Esta página foi traduzida pela API Cloud Translation.

Coletar registros de auditoria do Linux e do sistema Unix

Compatível com:

Google SecOps SIEM

Neste documento, descrevemos como coletar registros do daemon de auditoria (auditd) e do sistema Unix e usar o encaminhador do Google Security Operations para ingerir registros no Google SecOps.

Os procedimentos neste documento foram testados no Debian 11.7 e no Ubuntu 22.04 LTS (Jammy Jellyfish).

Coletar registros do auditd e do syslog

É possível configurar hosts Linux para enviar registros auditd a um encaminhador do Google SecOps usando o rsyslog.

Implante o daemon de auditoria e a estrutura de envio de auditoria:
```
apt-get install auditd audispd-plugins
```
Se você já implantou o daemon e a estrutura, pule esta etapa.
Para ativar o registro de todos os comandos (incluindo usuário e raiz), adicione as seguintes linhas a /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Observação: se você ativou as detecções selecionadas de ameaças do Linux do Google SecOps, use a configuração auditd adequada.
Restart auditd:
```
service auditd restart
```

Configurar o encaminhador do Google SecOps para o auditd

No encaminhador do Google SecOps, especifique o seguinte tipo de dados:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para mais informações, consulte Instalar e configurar o encaminhador do Google SecOps no Linux.

Configurar o syslog

Verifique se os parâmetros no arquivo /etc/audisp/plugins.d/syslog.conf correspondem aos seguintes valores:
```
active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string
```
Modifique ou crie o arquivo /etc/rsyslog.d/50-default.conf e adicione a seguinte linha no final dele:
```
local6.* @@FORWARDER_IP:PORT
```
Substitua <var>FORWARDER_IP</var> e <var>PORT</var> pelo endereço IP e pela porta do encaminhador.
- A primeira coluna indica quais registros são enviados do /var/log pelo rsyslog.
- O @@ indica que o TCP é usado para enviar a mensagem. Para usar o UDP, use um @.
Desative o registro local no syslog: adicione local6.none à linha que configura o registro local do syslog. O caminho varia de acordo com o SO:
- Debian: /etc/rsyslog.conf
- Ubuntu: /etc/rsyslog.d/50-default.conf
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Reinicie os seguintes serviços:

service auditd restart
service rsyslog restart

Coletar registros de sistemas Unix

Crie ou modifique o arquivo /etc/rsyslog.d/50-default.conf e adicione a seguinte linha no final dele:
```
*.* @@FORWARDER_IP:PORT
```
Substitua <var>FORWARDER_IP</var> e <var>PORT</var> pelo endereço IP e pela porta do encaminhador.
Execute o comando a seguir para reiniciar o daemon e carregar a nova configuração:
```
sudo service rsyslog restart
```

Configurar o encaminhador do Google SecOps para registros do Unix

No encaminhador do Google SecOps, especifique o seguinte tipo de dados:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Para mais informações, consulte Instalar e configurar o encaminhador do Google SecOps no Linux.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.