Raccogliere i log di Cribl Stream

Supportato in:

Questo documento spiega come importare i log di Cribl Stream in Google Security Operations utilizzando la destinazione Google SecOps integrata. Cribl Stream produce dati operativi sotto forma di log, metriche ed eventi. Questa integrazione ti consente di inviare questi log a Google SecOps per l'analisi e il monitoraggio.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps.
  • Accesso alla console di gestione o al cluster di Cribl Stream.
  • Credenziali del account di servizio Google Cloud.

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione.

Configurare la destinazione Google SecOps in Cribl Stream

  1. Accedi alla console di gestione di Cribl Stream.
  2. Vai a Dati > Destinazioni.
  3. Fai clic su Aggiungi destinazione.
  4. Seleziona Google Cloud > Security Operations (SecOps).
  5. Fornisci i seguenti dettagli di configurazione:
    • ID output: inserisci un nome univoco (ad esempio google-secops-destination).
    • Descrizione: inserisci una descrizione per questa destinazione.
    • Invia eventi come: seleziona Non strutturato (opzione consigliata per l'analisi dei log standard).
    • Versione API: seleziona V2.
    • Tipo di log predefinito: seleziona CRIBL_STREAM dall'elenco.
    • (Facoltativo) Spazio dei nomi: inserisci uno spazio dei nomi per identificare i log di questa origine (ad esempio, cribl-logs).
  6. Nella sezione Autenticazione:
    • Metodo di autenticazione: service account (JSON).
    • Chiave dell'account di servizio: carica o incolla i contenuti del file JSON delle credenziali.
  7. Nella sezione Elaborazione:
    • Campo di testo Log: se vuoi, inserisci _raw. Se non è impostato, Cribl invierà la rappresentazione JSON dell'intero evento; utilizza _raw solo se memorizzi effettivamente il testo non elaborato in questo campo.
  8. Fai clic su Salva.

Crea una route per inviare i log di Cribl Stream

  1. Vai a Dati > Percorsi.
  2. Fai clic su Aggiungi percorso.
  3. Fornisci i seguenti dettagli di configurazione:
    • Nome route: inserisci un nome significativo (ad esempio cribl-logs-to-secops).
    • Filtro: inserisci source.match(/cribl.*/) per acquisire i log interni di Cribl (log operativi di Cribl).
    • Output: seleziona la destinazione Google SecOps creata nella sezione precedente.
    • Pipeline: seleziona passthru o crea una pipeline personalizzata per l'arricchimento dei log.
  4. Fai clic su Salva.
  5. Esegui il commit e il deployment della configurazione per applicare le modifiche.

Configurare il filtro e l'arricchimento dei log (facoltativo)

Se devi filtrare o arricchire i log di Cribl Stream prima di inviarli a Google SecOps:

  1. Vai a Dati > Pipeline in Cribl Stream.
  2. Fai clic su Aggiungi pipeline.
  3. Fornisci i seguenti dettagli di configurazione:
    • ID pipeline: inserisci un nome significativo (ad esempio cribl-log-processing).
    • Description (Descrizione): inserisci una descrizione della pipeline.
  4. Aggiungi le funzioni necessarie:
    • Valutazione: aggiungi campi di metadati o modifica quelli esistenti.
    • Estrai espressione regolare: estrai informazioni specifiche dai messaggi di log.
    • Elimina: rimuovi eventi o campi non necessari.
    • Maschera: oscura le informazioni sensibili.
  5. Fai clic su Salva.
  6. Aggiorna la route in modo che utilizzi questa pipeline anziché passthru.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.