收集 Cribl Stream 記錄

支援的國家/地區:

本文說明如何使用內建的 Google SecOps 目的地,將 Cribl Stream 記錄擷取至 Google Security Operations。Cribl Stream 會以記錄、指標和事件的形式產生作業資料。整合這項資源,即可將這些記錄傳送至 Google SecOps 進行分析和監控。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • 存取 Cribl Stream 管理控制台或叢集。
  • Google Cloud 服務帳戶憑證。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案

在 Cribl Stream 中設定 Google SecOps 目的地

  1. 登入 Cribl Stream 管理控制台
  2. 依序前往「資料」> 目的地
  3. 按一下「新增目的地」
  4. 選取「Google Cloud」>「Security Operations (SecOps)」
  5. 提供下列設定詳細資料:
    • 輸出 ID:輸入專屬名稱 (例如 google-secops-destination)。
    • 說明:輸入這個目的地的說明。
    • 傳送事件身分:選取「非結構化」 (建議用於標準記錄剖析)。
    • API 版本:選取 V2
    • 預設記錄類型:從清單中選取「CRIBL_STREAM」
    • 選用:命名空間:輸入命名空間,識別這個來源的記錄 (例如 cribl-logs)。
  6. 在「驗證」部分中:
    • 驗證方法:服務帳戶 (JSON)。
    • 服務帳戶金鑰:上傳或貼上 JSON 憑證檔案內容。
  7. 在「處理」部分:
    • 記錄文字欄位:可選擇輸入 _raw。如未設定,Cribl 會傳送整個事件的 JSON 表示法;只有在您實際將原始文字儲存在這個欄位中時,才使用 _raw
  8. 按一下 [儲存]

建立路徑來傳送 Cribl Stream 記錄

  1. 前往「資料」> 路線
  2. 按一下 [新增路徑]
  3. 提供下列設定詳細資料:
    • 路徑名稱:輸入有意義的名稱 (例如 cribl-logs-to-secops)。
    • 篩選器:輸入 source.match(/cribl.*/),擷取 Cribl 內部記錄 (Cribl 本身的作業記錄)。
    • 輸出:選取上一節中建立的 Google SecOps 目的地。
    • 管道:選取「passthru」,或建立自訂管道來擴充記錄。
  4. 按一下 [儲存]
  5. 提交及部署設定,以套用變更。

設定記錄篩選和擴充功能 (選用)

如要在將 Cribl Stream 記錄傳送至 Google SecOps 前進行篩選或擴充,請按照下列步驟操作:

  1. 前往 Cribl Stream 中的「Data > Pipelines」
  2. 按一下「新增管道」
  3. 提供下列設定詳細資料:
    • 管道 ID:輸入有意義的名稱 (例如 cribl-log-processing)。
    • 說明:輸入管道說明。
  4. 視需要新增函式:
    • 評估:新增中繼資料欄位或修改現有欄位。
    • Regex Extract:從記錄訊息中擷取特定資訊。
    • 捨棄:移除不必要的事件或欄位。
    • 遮蓋:遮蓋機密資訊。
  5. 按一下 [儲存]
  6. 更新路徑,改用這個管道,而非 passthru

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。