Esta página se ha traducido con Cloud Translation API.

Recopilar registros de Sophos Central

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo recoger registros de Sophos Central mediante Bindplane. El analizador transforma los registros JSON en un modelo de datos unificado (UDM). Extrae campos de estructuras JSON anidadas, los asigna a campos de UDM y categoriza los eventos en función del campo type, lo que enriquece los datos con detalles y acciones específicos para los distintos tipos de eventos de Sophos Central.

Antes de empezar

Asegúrate de que tienes una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con systemd.
Asegúrate de tener otro ordenador con Windows o Linux que pueda ejecutar Python de forma continua.
Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
Asegúrate de que tienes acceso con privilegios a Sophos XG Firewall.

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: sophos_central
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar el acceso a la API de Sophos Central

Inicia sesión en Sophos Central Admin.
Seleccione Configuración global > Gestión de tokens de API.
Haz clic en Añadir token para crear uno.
Introduce un nombre para el token y haz clic en Guardar. Se muestra el resumen del token de la API del token proporcionado.
En la sección Resumen del token de la API, haz clic en Copiar para copiar la URL de acceso a la API y los encabezados.

Instala Python en el equipo adicional

Abre el navegador web y ve al sitio web de Python.
Haz clic en Descargar Python para tu sistema operativo (Windows o Mac).
Instala Python.
- En Windows:
  1. Ejecuta el instalador.
  2. Marca la casilla Añadir Python a PATH.
  3. Haz clic en Instalar ahora.
- En Mac:
  1. Puede que Python ya esté instalado. Si no es así, puedes instalar la versión más reciente mediante la terminal.
  2. Abre Terminal y escribe el siguiente comando:
```
python --version
```

Descargar la secuencia de comandos de integración de Sophos

Ve a la página de GitHub del repositorio de GitHub de integración de SIEM de Sophos Central.
Haz clic en el botón verde Código > Descargar ZIP.
Extrae el archivo ZIP.

Configurar la secuencia de comandos

Busca y abre el archivo config.ini con un editor de texto.
Edita el archivo de configuración:
- Token de la API: introduce la clave de la API que has copiado anteriormente de Sophos Central.
- Detalles del servidor Syslog: introduce los detalles de tu servidor Syslog.
- Host: introduce la dirección IP de Bindplane.
- Puerto: introduce el número de puerto de Bindplane.
- Protocolo: introduce UDP (también puedes usar TCP o TLS en función de tu configuración).
Guarda el archivo.

Ejecutar la secuencia de comandos

Ve a la carpeta de la secuencia de comandos.
- En Windows:
  1. Pulsa la tecla Windows y escribe cmd.
  2. Haz clic en Símbolo del sistema.
  3. Ve a la carpeta de secuencias de comandos:
```
cd C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration
```
- En macOS:
  1. Ve a Aplicaciones > Utilidades.
  2. Abre la aplicación Terminal.
  3. Ve a la carpeta de secuencias de comandos:
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
Ejecuta la secuencia de comandos:
- Escribe el siguiente comando para iniciar la secuencia de comandos:
```
python siem.py
```

Automatiza la secuencia de comandos para que se ejecute continuamente en Windows (con el Programador de tareas):

Abre Programador de tareas escribiendo Programador de tareas en el menú Inicio.
Haz clic en Crear tarea.
En la pestaña General:
- Ponle un nombre a la tarea; por ejemplo, Sophos Central Log Export.
En la pestaña Activadores:
- Haz clic en Nuevo y configura la tarea para que se ejecute Diariamente o Al inicio (según tus preferencias).
En la pestaña Acciones:
- Haz clic en Nuevo y selecciona Iniciar un programa.
- Busca el archivo ejecutable python.exe (normalmente se encuentra en C:\PythonXX\python.exe).
- En el campo Añadir argumentos, escribe la ruta del guion (por ejemplo, C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration\siem.py).
Haz clic en Aceptar para guardar la tarea.

Automatiza la secuencia de comandos para que se ejecute de forma continua en Mac (con tareas cron):

Abre Terminal.
Escribe crontab -e y pulsa Intro.
Añade una línea nueva al final del archivo:
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
Nota: El script se ejecutará cada minuto. Ajusta la hora según tus necesidades.
Guarda los cambios y cierra el editor.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
customer_id	target.resource.id	Se asigna directamente desde el campo `customer_id`.
data.core_remedy_items.items.0.descriptor	target.process.file.full_path	Se asigna directamente desde el campo `data.core_remedy_items.items.0.descriptor`.
data.source_info.ip	principal.ip principal.asset.ip	Se asigna directamente desde el campo `data.source_info.ip`.
description	metadata.description	Se asigna directamente desde el campo `description` cuando `metadata.event_type` es `GENERIC_EVENT`.
dhost	principal.hostname principal.asset.hostname	Se asigna directamente desde el campo `dhost`.
duid	security_result.detection_fields.value	Se asigna directamente desde el campo `duid`.
fin	metadata.event_timestamp	Se ha analizado en formato RFC 3339 y se ha asignado al campo `event_timestamp`.
endpoint_id	target.asset_id	Asignado como `Device endpoint Id: {endpoint_id}`.
endpoint_type	security_result.about.labels.value	Se asigna directamente desde el campo `endpoint_type`.
grupo	security_result.category_details	Se asigna directamente desde el campo `group`.
name	security_result.description security_result.summary	Se asigna directamente desde el campo `name`.
	metadata.event_type	Se determina en función del campo `type` y de la lógica adicional del analizador. Entre los valores posibles se incluyen FILE_OPEN, SCAN_HOST, SETTING_MODIFICATION, STATUS_HEARTBEAT, SETTING_CREATION, NETWORK_CONNECTION, SCAN_PROCESS, SCAN_UNCATEGORIZED, USER_CREATION, USER_UNCATEGORIZED y STATUS_UPDATE.
	metadata.log_type	Su valor debe ser `SOPHOS_CENTRAL`.
	metadata.product_event_type	Se asigna directamente desde el campo `type`.
	metadata.product_name	Su valor debe ser `Sophos Central`.
	metadata.vendor_name	Su valor debe ser `Sophos`.
	network.direction	Defina el valor `OUTBOUND` para valores `type` específicos que indiquen conexiones de red salientes.
	network.ip_protocol	Se define como `TCP` para valores `type` específicos que indican conexiones de red TCP.
	security_result.action	Se determina en función del campo `action` extraído del campo `name` mediante patrones grok. Entre los posibles valores se incluyen ALLOW, BLOCK, ALLOW_WITH_MODIFICATION y UNKNOWN_ACTION.
	security_result.detection_fields.key	Tiene el valor `duid` cuando el campo `duid` está presente.
	security_result.rule_name	Se extrae del campo `name` mediante patrones grok para valores de `type` específicos.
	security_result.severity	Se asigna desde el campo `severity` con la siguiente asignación: low -> LOW, medium -> MEDIUM, high/critical -> HIGH.
	target.application	Se extrae del campo `name` mediante patrones grok para valores de `type` específicos.
	target.asset.hostname	Se asigna desde el campo `dhost` para valores `type` específicos.
	target.file.full_path	Se extrae del campo `name` mediante patrones grok para valores `type` específicos o se asigna directamente desde `data.core_remedy_items.items.0.descriptor` o `core_remedy_items.items.0.descriptor`.
	target.file.size	Se extrae del campo `name` mediante patrones grok y se convierte a `uinteger` para valores `type` específicos.
	target.hostname	Se asigna desde el campo `dhost` para valores `type` específicos.
	target.resource.name	Se asignan valores específicos en función del campo `type` o se extraen del campo `name` mediante patrones grok.
	target.resource.type	Se asignan valores específicos en función del campo `type`.
	target.user.userid	Se asigna desde el campo `suser` después de extraer el nombre de usuario mediante patrones grok.
	target.url	Se extrae del campo `name` mediante patrones grok para valores de `type` específicos.
source_info.ip	principal.ip principal.asset.ip	Se asigna directamente desde el campo `source_info.ip`.
suser	principal.user.userid target.user.userid	Se extrae del campo `suser` mediante patrones grok para quitar los prefijos de nombre de host.
tipo	metadata.product_event_type	Se asigna directamente desde el campo `type`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.