Recolha registos do Cribl Stream

Compatível com:

Este documento explica como carregar registos do Cribl Stream para o Google Security Operations através do destino do Google SecOps integrado. O Cribl Stream produz dados operacionais sob a forma de registos, métricas e eventos. Esta integração permite-lhe enviar estes registos para o Google SecOps para análise e monitorização.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Uma instância do Google SecOps.
  • Acesso à consola de gestão ou ao cluster do Cribl Stream.
  • Credenciais da conta de serviço do Google Cloud.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento.

Configure o destino do Google SecOps no Cribl Stream

  1. Inicie sessão na Cribl Stream Management Console.
  2. Aceda a Dados > Destinos.
  3. Clique em Adicionar destino.
  4. Selecione Google Cloud > Security Operations (SecOps).
  5. Indique os seguintes detalhes de configuração:
    • ID de saída: introduza um nome exclusivo (por exemplo, google-secops-destination).
    • Descrição: introduza uma descrição para este destino.
    • Enviar eventos como: selecione Não estruturado (recomendado para a análise padrão de registos).
    • Versão da API: selecione V2.
    • Tipo de registo predefinido: selecione CRIBL_STREAM na lista.
    • Opcional: espaço de nomes: introduza um espaço de nomes para identificar os registos desta origem (por exemplo, cribl-logs).
  6. Na secção Autenticação:
    • Método de autenticação: conta de serviço (JSON).
    • Chave da conta de serviço: carregue ou cole o conteúdo do ficheiro de credenciais JSON.
  7. Na secção Processamento:
    • Campo de texto de registo: opcionalmente, introduza _raw. Se não estiver definido, o Cribl envia a representação JSON de todo o evento; use _raw apenas se armazenar efetivamente texto não processado neste campo.
  8. Clique em Guardar.

Crie uma rota para enviar registos do Cribl Stream

  1. Aceda a Dados > Rotas.
  2. Clique em Adicionar trajeto.
  3. Indique os seguintes detalhes de configuração:
    • Nome do trajeto: introduza um nome significativo (por exemplo, cribl-logs-to-secops).
    • Filtro: introduza source.match(/cribl.*/) para capturar registos internos do Cribl (registos operacionais do próprio Cribl).
    • Saída: selecione o destino do Google SecOps criado na secção anterior.
    • Pipeline: selecione passthru ou crie uma pipeline personalizada para o enriquecimento de registos.
  4. Clique em Guardar.
  5. Confirme e implemente a configuração para aplicar as alterações.

Configure o filtro e o enriquecimento de registos (opcional)

Se precisar de filtrar ou enriquecer os registos do Cribl Stream antes de os enviar para o Google SecOps:

  1. Aceda a Dados > Pipelines no Cribl Stream.
  2. Clique em Adicionar pipeline.
  3. Indique os seguintes detalhes de configuração:
    • ID do pipeline: introduza um nome significativo (por exemplo, cribl-log-processing).
    • Descrição: introduza uma descrição para o pipeline.
  4. Adicione funções conforme necessário:
    • Avaliação: adicione campos de metadados ou modifique campos existentes.
    • Regex Extract: extraia informações específicas de mensagens de registo.
    • Ignorar: remova eventos ou campos desnecessários.
    • Máscara: oculte informações confidenciais.
  5. Clique em Guardar.
  6. Atualize o seu trajeto para usar este pipeline em vez de passthru.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.