Cribl Stream-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cribl Stream-Logs mit dem integrierten Google SecOps-Ziel in Google Security Operations aufnehmen. Cribl Stream generiert Betriebsdaten in Form von Logs, Messwerten und Ereignissen. Mit dieser Integration können Sie diese Logs zur Analyse und Überwachung an Google SecOps senden.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz.
  • Zugriff auf die Cribl Stream-Verwaltungskonsole oder den Cluster.
  • Anmeldedaten für Google Cloud-Dienstkonten.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

Google SecOps-Ziel in Cribl Stream konfigurieren

  1. Melden Sie sich in der Cribl Stream Management Console an.
  2. Rufen Sie Daten > Ziele auf.
  3. Klicken Sie auf Ziel hinzufügen.
  4. Wählen Sie Google Cloud > Security Operations (SecOps) aus.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Ausgabe-ID: Geben Sie einen eindeutigen Namen ein, z. B. google-secops-destination.
    • Beschreibung: Geben Sie eine Beschreibung für dieses Ziel ein.
    • Ereignisse senden als: Wählen Sie Unstrukturiert aus (empfohlen für die Standard-Log-Analyse).
    • API-Version: Wählen Sie V2 aus.
    • Standardmäßiger Logtyp: Wählen Sie CRIBL_STREAM aus der Liste aus.
    • Optional: Namespace: Geben Sie einen Namespace ein, um Logs aus dieser Quelle zu identifizieren, z. B. cribl-logs.
  6. Im Abschnitt Authentifizierung:
    • Authentifizierungsmethode: Dienstkonto (JSON).
    • Dienstkontoschlüssel: Laden Sie die JSON-Datei mit den Anmeldedaten hoch oder fügen Sie ihren Inhalt ein.
  7. Im Bereich Verarbeitung:
    • Log-Textfeld: Geben Sie optional _raw ein. Wenn nicht festgelegt, sendet Cribl die JSON-Darstellung des gesamten Ereignisses. Verwenden Sie _raw nur, wenn Sie tatsächlich Rohtext in diesem Feld speichern.
  8. Klicken Sie auf Speichern.

Route zum Senden von Cribl Stream-Logs erstellen

  1. Klicken Sie auf Daten > Routen.
  2. Klicken Sie auf Route hinzufügen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Routenname: Geben Sie einen aussagekräftigen Namen ein, z. B. cribl-logs-to-secops.
    • Filter: Geben Sie source.match(/cribl.*/) ein, um interne Cribl-Logs (Betriebslogs von Cribl selbst) zu erfassen.
    • Output: Wählen Sie das im vorherigen Abschnitt erstellte Google SecOps-Ziel aus.
    • Pipeline: Wählen Sie passthru aus oder erstellen Sie eine benutzerdefinierte Pipeline für die Log-Anreicherung.
  4. Klicken Sie auf Speichern.
  5. Commit & Deploy (Commit und Bereitstellen) der Konfiguration, um Änderungen zu übernehmen.

Logfilterung und ‑anreicherung konfigurieren (optional)

Wenn Sie Cribl Stream-Logs filtern oder anreichern müssen, bevor Sie sie an Google SecOps senden, gehen Sie so vor:

  1. Rufen Sie in Cribl Stream Data > Pipelines auf.
  2. Klicken Sie auf Pipeline hinzufügen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Pipeline-ID: Geben Sie einen aussagekräftigen Namen ein, z. B. cribl-log-processing.
    • Beschreibung: Geben Sie eine Beschreibung für die Pipeline ein.
  4. Fügen Sie bei Bedarf Funktionen hinzu:
    • Eval: Metadatenfelder hinzufügen oder vorhandene Felder ändern.
    • Regex Extract (Regex-Extraktion): Extrahieren Sie bestimmte Informationen aus Log-Nachrichten.
    • Entfernen: Entfernen Sie unnötige Ereignisse oder Felder.
    • Maskieren: Vertrauliche Informationen entfernen.
  5. Klicken Sie auf Speichern.
  6. Aktualisieren Sie Ihre Route, damit diese Pipeline anstelle von passthru verwendet wird.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten