To find out if this integration is available in your organization, see your Datadog Integrations page or ask your organization administrator.
To initiate an exception request to enable this integration for your organization, email support@ddog-gov.com.
Suricata - SMB (DCERPC, NTLMSSP, Kerberos)
概要
Suricata は多くの民間企業や公共機関で利用され、主要ベンダーによってアセット保護のために組み込まれている、高性能なオープンソースのネットワーク解析および脅威検知ソフトウェアです。
このインテグレーションでは、Alert、Anomaly、HTTP、DNS、FTP、FTP_DATA、TLS、TFTP、SMB、SSH、Flow、RDP、DHCP、ARP の各ログタイプに対する付加情報と可視化を提供します。アラートや異常、ネットワーク接続、DNS、DHCP 活動の詳細な可視化や、インテグレーションに含まれるダッシュボードでのネットワークプロトコル分析を容易にします。
セットアップ
インストール
Suricata インテグレーションをインストールするには、以下の Agent インストールコマンドを実行し、続いて下記の手順に従ってください。詳細については、Integration Management のドキュメントを参照してください。
注: Agent のバージョンが 7.57.0 以上の場合、この手順は不要です。
Linux の場合、以下を実行してください。
sudo -u dd-agent -- datadog-agent integration install datadog-suricata==1.0.0
構成
ログ収集
Datadog Agent では、ログ収集はデフォルトで無効になっています。datadog.yaml ファイルで有効にしてください。
Suricata のログを収集するには、suricata.d/conf.yaml ファイルに以下の構成ブロックを追加します。
利用可能な構成オプションについては、sample suricata.d/conf.yaml を参照してください。
logs:
- type: file
path: /var/log/suricata/eve.json
service: suricata
source: suricata
注: Suricata アプリケーションの suricata.yaml で eve-log の出力を有効にし、以下のポイントに対応していることを確認してください。
suricata.yaml ファイルの eve-log 設定では、filetype パラメータを regular のままにしておいてください。- Suricata の出力ファイルのデフォルトパスは
/var/log/suricata、デフォルトのファイル名は eve.json です。これらを変更している場合は、conf.yaml ファイル内の path パラメータを修正してください。
Agent を再起動します。
検証
Agent のステータスサブコマンドを実行し、Checks セクション内に suricata があることを確認してください。
収集データ
Logs
Suricata インテグレーションでは、以下のログタイプが収集されます。
| 形式 | イベントタイプ |
|---|
| JSON | alert, anomaly, http, dns, ftp, ftp_data, tls. tftp, smb, ssh, flow, rdp, dhcp, arp |
メトリクス
Suricata インテグレーションにはメトリクスは含まれていません。
イベント
Suricata インテグレーションにはイベントは含まれていません。
サービスチェック
Suricata インテグレーションにはサービスチェックは含まれていません。
トラブルシューティング
ログファイルを監視している際に Permission denied エラーが表示される場合は、dd-agent ユーザーに対してファイルの読み取り権限を付与してください。
sudo chown -R dd-agent:dd-agent /var/log/suricata/eve.json
追加のサポートが必要な場合は、Datadog サポートにお問い合わせください。
