Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de Suricata para comunicarse con JSA

Para enviar eventos a JSA, debe configurar una integración de Syslog.

Antes de empezar

Debe tener acceso al dispositivo Suricata y tener permisos para escribir en archivos de configuración y reiniciar servicios. Necesita un nombre de usuario y contraseña, como la información de inicio de sesión de Windows o Linux, para el sistema donde instaló Suricata.

Asegúrese de que rsyslog esté instalado en el sistema donde instaló Suricata. Para obtener más información, consulte el sitio web de rsyslog.

  1. Inicie sesión en el dispositivo Suricat.
  2. Abra el archivo de configuración de Suricata llamado suricata.yaml, ubicado en el directorio de instalación de Suricat. Actualice la eve-log entrada bajo el encabezado de salidas.

    Utilice el siguiente ejemplo como guía:

    La <facility> variable es un nombre de instalación Syslog entre local0 y local7, como local5.

  3. Abra el archivo de configuración rsyslog llamado /etc/rsyslog.conf y agregue una regla de reenvío para enviar las alertas a JSA.

    Utilice el siguiente ejemplo como guía:

    <facility>.* @@<QRadar IP/hostname>:514

    La <facility> variable es la misma utilidad de Syslog que configuró en el paso anterior. El <JSAIP/hostname> es la IP o el nombre de host de la consola JSA o del host administrado al que desea reenviar las alertas de Suricata.

  4. Reinicie los servicios Suricata y rsyslog.