Zeek(Bro) 로그 수집

이 문서에서는 Zeek(이전 Bro) 및 NXLog를 Google Security Operations과 함께 배포하여 Zeek 로그를 JSON 형식으로 수집하는 방법을 설명합니다. 또한 이 문서에서는 Zeek 로그 필드가 Google Security Operations 통합 데이터 모델(UDM) 필드에 매핑되는 방식을 설명합니다.

Google Security Operations 데이터 수집에 대한 개요는 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 BRO_JSON 수집 라벨이 있는 파서에 적용됩니다.

시작하기 전에

• Zeek 로그를 수집하기 위해 배포된 구성요소를 이해하려면 배포 아키텍처를 검토합니다. 각 고객 배포는 이 표현과 다를 수 있고 더 복잡할 수 있습니다. 다음 다이어그램에서는 Linux 서버에서 NXLog 에이전트를 구성하고 Google Security Operations 전달자를 설치하여 로그 데이터를 Google Security Operations로 전달하는 방법을 보여줍니다.

  

• Google Security Operations 파서에서 지원하는 Zeek 버전을 확인합니다. Google Security Operations 파서는 다음과 같은 Zeek 버전을 지원합니다.

  • Zeek 4.1.0
  • Zeek 4.0.1
  • Zeek 5.2.0
  • Zeek 6.0.0

• Zeek 파서를 사용하기 전에 이전 파서와 현재 Zeek 파서 간의 필드 매핑 변경사항을 검토합니다. 마이그레이션 과정에서 원본 필드를 사용하는 규칙, 검색, 대시보드 또는 기타 프로세스가 업데이트된 필드를 사용하는지 확인합니다.

  예를 들어 이전 파서 버전에서 server_name 필드는 target.hostname UDM 필드에 매핑됩니다. 현재 Zeek 파서에서 server_name 필드는 network.tls.client.server_name UDM 필드에 매핑됩니다. 현재 Zeek 파서로 마이그레이션하고 규칙에서 server_name 필드를 사용하는 경우 현재 파서의 network.tls.client.server_name UDM 필드를 사용하도록 규칙을 수정해야 합니다.

• Google Security Operations 파서에서 지원하는 Zeek 로그 유형을 확인합니다. 다음 표에는 Google Security Operations 파서에서 지원하는 Zeek 로그 유형이 나와 있습니다.

로그 유형	설명
네트워크 프로토콜	DHCP(동적 호스트 구성 프로토콜) 및 DNS(도메인 이름 시스템)와 같은 네트워크 프로토콜의 로그 파일을 포함합니다.
파일	파일 분석 결과, 온라인 인증서 상태 프로토콜(OCSP), 포터블 실행 파일(PE), X.509 인증서 로그 파일이 포함됩니다.
NetControl	NetControl 작업의 로그 파일과 OpenFlow 디버그 로그가 포함됩니다.
감지	인텔리전스 데이터 일치, Zeek 알림, 알람 스트림, 서명 일치, traceroute 감지의 로그 파일이 포함됩니다.
네트워크 관찰	SSL 인증서의 로그 파일, TCP 핸드셰이크를 완료한 호스트, Modbus 기본 및 복제본, 호스트에서 실행되는 서비스, 네트워크에서 사용된 소프트웨어가 포함됩니다.

• 아직 Zeek를 설치하고 구성하지 않았으면 지금 설치하고 구성합니다. 자세한 내용은 Zeek 설치를 참조하세요.

• Zeek 로그를 JSON 형식으로 수집합니다. 자세한 내용은 JSON으로 Zeek 로그 출력을 참조하세요.

• 배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.

NXLog 및 Google Security Operations 전달자 구성

1. Google Security Operations 전달자가 실행되는 Linux 머신에 NXLog Community Edition을 다운로드하고 설치합니다.
   • NXLog Community Edition을 다운로드하는 방법에 대한 자세한 내용은 NXLog 문서를 참조하세요.
   • 필요한 NXLog 패키지와 종속 항목을 설치하는 방법에 대한 자세한 내용은 Linux 시스템에 NXLog 설치를 참조하세요.
2. 각 NXLog 인스턴스에 대한 구성 파일을 만듭니다.

3. NXLog im_file 모듈을 사용하여 파일에서 읽고 줄을 파싱합니다. 다음은 NXLog 구성 예시입니다.

   LogFile /var/log/nxlog/nxlog.log
   LogLevel INFO
   
   define ZEEK_OUTPUT_DESTINATION_ADDRESS <hostname>
   define ZEEK_OUTPUT_DESTINATION_PORT <port>
   
   <Input conn>
      Module      im_file
      File        '/opt/zeek/logs/current/conn.log'
      Exec $raw_event= "conn" + ' - ' + $raw_event;;
   </Input>
   
   <Input dce_rpc>
     Module      im_file
     File        '/opt/zeek/logs/current/dce_rpc.log'
     Exec $raw_event= "dce_rpc" + ' - ' + $raw_event;;
   </Input>
   
   <Output out_chronicle>
     Module  om_tcp
     Host    %ZEEK_OUTPUT_DESTINATION_ADDRESS%
     Port    %ZEEK_OUTPUT_DESTINATION_PORT%
   </Output>
   
   <Route zeek_to_chronicle>
     Path conn, dce_rpc => out_chronicle
   </Route>
   
   

   앞의 구성 예시를 사용하려면 다음을 수행합니다.

   • <hostname> 및 <port> 값을 대상 Linux 서버에 대한 정보로 바꿉니다.
   • 수집하려는 각 Zeek 로그 유형의 입력, 출력, 경로 요소를 추가합니다.

4. Google Security Operations 전달자를 구성하여 로그를 Google Security Operations에 전송합니다. 자세한 내용은 Linux에서 전달자 설치 및 구성을 참조하세요. 다음은 전달자 구성의 예입니다.

     output:
     url: URL
     identity:
     identity:
     collector_id: COLLECTOR_ID
     customer_id: CUSTOMER_ID
     secret_key: |
   
     {
     "type": "service_account",
     "project_id": "malachite-projectname",
     "private_key_id": `PRIVATE_KEY_ID`,
     "private_key": `PRIVATE_KEY`,
     "client_email":"`SERVICE_ACCOUNT_NAME`@malachite-`PROJECT_ID`.`SERVICE_ACCOUNT_DOMAIN`",
     "client_id": `CLIENT_ID`,
     "auth_uri": "https://accounts.google.com/o/oauth2/auth",
     "token_uri": "https://oauth2.googleapis.com/token",
     "auth_provider_x509_cert_url":"https://www.googleapis.com/oauth2/v1/certs",
     "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/`SERVICSERVICE_ACCOUNT_NAME`%40malachite-`PROJECT_ID`.`SERVICE_ACCOUNT_DOMAIN`",
     }
   
     collectors:
     - syslog:
         common:
           enabled: true
           data_type: BRO_JSON
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

5. PRIVATE_KEY_ID, PRIVATE_KEY, SERVICSERVICE_ACCOUNT_NAME, PROJECT_ID, CLIENT_ID, SERVICE_ACCOUNT_DOMAIN, CUSTOMER_ID, URL, COLLECTOR_ID, CUSTOMER_ID를 Google Cloud 플랫폼에서 다운로드할 수 있는 서비스 계정 JSON 파일의 각 값으로 바꿉니다.

6. NXLog 서비스를 시작합니다.

Bindplane 에이전트를 사용하여 Google SecOps로 로그 전달

1. Linux 가상 머신을 설치하고 설정합니다.
2. 로그를 Google SecOps로 전달하도록 Linux에 Bindplane 에이전트를 설치하고 구성합니다. Bindplane 에이전트를 설치하고 구성하는 방법에 대한 자세한 내용은 Bindplane 에이전트 설치 및 구성 안내를 참고하세요.

피드를 만들 때 문제가 발생하면 Google SecOps 지원팀에 문의하세요.

지원되는 Zeek (Bro) 로그 형식

Zeek (Bro) 파서는 JSON 및 SYSLOG+JSON 형식의 로그를 지원합니다.

지원되는 Zeek (Bro) 샘플 로그

• JOSN

  {
    "insertId": "1pvsdy2f8v21o8",
    "jsonPayload": {
      "message": "Jun 14 07:46:10 dummyhostname systemd[1]: Stopping System Logging Service..."
    },
    "resource": {
      "type": "gce_instance",
      "labels": {
        "project_id": "cl-tpt-dis-awkc-con17-p-922a",
        "zone": "us-central1-a",
        "instance_id": "4136884722753789246"
      }
    },
    "timestamp": "2024-09-03T19:31:32.353129233Z",
    "labels": {
      "compute.googleapis.com/resource_name": "dummyostname"
    },
    "logName": "projects/cl-tpt-dis-awkc-con17-p-922a/logs/syslog",
    "receiveTimestamp": "2024-09-03T19:31:33.388651657Z"
  }
  

• SYSLOG + JSON

  <13>1 2021-12-21T23: 51: 25-08: 00 ia-cs-vubro-089 bro_http - - - {
    "ts": 1640159484.694295,
    "uid": "CTgT3z1adxn1EMPbmj",
    "id.orig_h": "198.51.100.27",
    "id.orig_p": 58729,
    "id.resp_h": "198.51.100.28",
    "id.resp_p": 8088,
    "trans_depth": 2284,
    "method": "POST",
    "host": "198.51.100.8",
    "uri": "/system/gateway",
    "version": "1.1",
    "user_agent": "Java/11.0.11",
    "request_body_len": 304,
    "response_body_len": 203,
    "status_code": 200,
    "status_msg": "OK",
    "tags": [],
    "orig_fuids": [
      "FefIdu4i8dzFTUONb5"
    ],
    "orig_mime_types": [
      "application/xml"
    ],
    "resp_fuids": [
      "Flqz7L3yyQR1eSN4Kf"
    ],
    "resp_mime_types": [
      "application/xml"
    ]
  }
  

필드 매핑 참조: Zeek 로그 필드를 UDM 필드로

Google Security Operations 파서가 Zeek 로그 필드를 각 Zeek 로그 유형의 Google Security Operations UDM 이벤트 필드에 매핑하는 방식을 이해하려면 다음 섹션을 참조하세요.

• 네트워크 프로토콜
• 파일
• Netcontrol
• 감지
• 네트워크 관찰

네트워크 프로토콜

다음 표에는 네트워크 프로토콜 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

파일

다음 표에는 파일 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

Netcontrol

다음 표에는 NetControl 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

감지

다음 표에는 감지 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

네트워크 관찰

다음 표에는 네트워크 관찰 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

필드 매핑 참조: 이벤트 ID에서 UDM 이벤트 유형으로

파서에서 로그 이름을 UDM 이벤트 유형에 매핑하는 방법을 이해하려면 다음 섹션을 참조하세요.

• 네트워크 프로토콜
• 파일
• Netcontrol
• 감지
• 네트워크 관찰

네트워크 프로토콜

다음 표에는 네트워크 프로토콜 로그 유형의 로그 이름과 해당 UDM 이벤트 유형이 나와 있습니다.

로그 이름	설명	UDM 이벤트 유형
conn.log	TCP/UDP/ICMP connections	NETWORK_CONNECTION
dce_rpc.log	Distributed Computing Environment/RPC	NETWORK_CONNECTION
dhcp.log	DHCP leases	NETWORK_DHCP
dnp3.log	DNP3 (Distributed Network Protocol 3) requests and replies	NETWORK_CONNECTION
dns.log	DNS activity	NETWORK_DNS
ftp.log	FTP (File Transfer Protocol) activity	NETWORK_FTP
http.log	HTTP requests and replies	NETWORK_HTTP
irc.log	IRC (Internet Relay Chat) commands and responses	NETWORK_CONNECTION
kerberos.log	Kerberos	NETWORK_CONNECTION
modbus.log	Modbus commands and responses	NETWORK_CONNECTION
modbus_register_change.log	Tracks changes to Modbus holding registers	GENERIC_EVENT
mysql.log	MySQL	NETWORK_UNCATEGORIZED
ntlm.log	NT LAN Manager (NTLM)	NETWORK_CONNECTION
ntp.log	Network Time Protocol	NETWORK_CONNECTION
radius.log	RADIUS authentication attempts	USER_LOGIN
rdp.log	Remote Desktop Protocol (RDP)	NETWORK_CONNECTION
rfb.log	Remote Framebuffer (RFB)	NETWORK_CONNECTION
sip.log	Session Initiation Protocol (SIP)	NETWORK_UNCATEGORIZED
smb_cmd.log	SMB (Server Message Block) commands	NETWORK_CONNECTION
smb_files.log	SMB (Server Message Block) files	NETWORK_UNCATEGORIZED
smb_mapping.log	SMB (Server Message Block) trees	NETWORK_CONNECTION
smtp.log	SMTP (Simple Mail Transfer Protocol) transactions	NETWORK_SMTP
snmp.log	SNMP (Simple Network Management Protocol) messages	NETWORK_UNCATEGORIZED
socks.log	SOCKS proxy requests	NETWORK_CONNECTION
ssh.log	SSH (Secure Shell) connections	NETWORK_UNCATEGORIZED
ssl.log	SSL(Secure Sockets Layer)/TLS(Transport Layer Security) handshake info	NETWORK_HTTP NETWORK_CONNECTION
syslog.log	Syslog messages	NETWORK_CONNECTION
tunnel.log	Tunneling protocol events	NETWORK_CONNECTION

파일

다음 표에는 파일 로그 유형의 로그 이름과 해당 UDM 이벤트 유형이 나와 있습니다.

로그 이름	설명	UDM 이벤트 유형
files.log	File analysis results	NETWORK_UNCATEGORIZED
ocsp.log	If policy script is loaded, the Online Certificate Status Protocol (OCSP) log is created.	GENERIC_EVENT
pe.log	Portable Executable (PE)	GENERIC_EVENT
x509.log	X.509 certificate info	GENERIC_EVENT

Netcontrol

다음 표에는 netcontrol 로그 유형의 로그 이름과 해당 UDM 이벤트 유형이 나와 있습니다.

로그 이름	설명	UDM 이벤트 유형
netcontrol.log	NetControl actions	GENERIC_EVENT
netcontrol_drop.log	NetControl actions	STATUS_UPDATE
netcontrol_shunt.log	NetControl shunt actions	STATUS_UPDATE
netcontrol_catch_release.log	NetControl catch and release actions	GENERIC_EVENT
openflow.log	OpenFlow debug log	GENERIC_EVENT

감지

다음 표에는 감지 로그 유형의 로그 이름과 해당 UDM 이벤트 유형이 나와 있습니다.

로그 이름	설명	UDM 이벤트 유형
intel.log	Intelligence data matches	GENERIC_EVENT
notice.log	Zeek notices	NETWORK_CONNECTION
notice_alarm.log	The alarm stream	NETWORK_CONNECTION
signatures.log	Signature matches	GENERIC_EVENT
traceroute.log	Traceroute detection	NETWORK_UNCATEGORIZED

네트워크 관찰

다음 표에는 네트워크 관찰 로그 유형의 로그 이름과 해당 UDM 이벤트 유형이 나와 있습니다.

로그 이름	설명	UDM 이벤트 유형
known_certs.log	SSL certificates	GENERIC_EVENT
known_hosts.log	Hosts that completed TCP handshakes	GENERIC_EVENT
known_modbus.log	Modbus master and secondary	GENERIC_EVENT
known_services.log	Services running on hosts	GENERIC_EVENT
software.log	Software used on the network	GENERIC_EVENT

다음 단계

• Google Security Operations에 데이터 수집

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.