Настройка получения событий Suricata

Вы можете настроить получение событий программы Suricata версии 7.0.1 в

SIEM-систему

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий Suricata в KUMA.
2. Создание коллектора KUMA для получения событий Suricata.

   Для получения событий Suricata в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Suricata json file, на шаге Транспорт выберите тип коннектора file.

3. Установка коллектора KUMA для получения событий Suricata.
4. Проверка поступления событий Suricata в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий Suricata выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка аудита событий Suricata

Чтобы настроить журналирование событий Suricata:

1. Подключитесь по протоколу SSH к серверу, обладающему административными учётными записями.
2. Создайте резервную копию файла /etc/suricata/suricata.yaml.
3. Установите в конфигурационном файле /etc/suricata/suricata.yaml в секции eve-log следующие значения:

   - eve-log:

   enabled: yes

   filetype: regular #regular|syslog|unix_dgram|unix_stream|redis

   filename: eve.json

4. Сохраните изменения в файле конфигурации /etc/suricata/suricata.yaml.

В результате события Suricata будут записываться в файл /usr/local/var/log/suricata/eve.json.

Suricata не поддерживает ограничение размера файла с событиями eve.json. При необходимости вы можете контролировать размер журнала с помощью ротации. Например, для настройки ежечасной ротации журнала добавьте в конфигурационный файл следующие строки:

outputs:

- eve-log:

filename: eve-%Y-%m-%d-%H:%M.json

rotate-interval: hour