Recopila registros de Sophos Central

En este documento, se explica cómo recopilar registros de Sophos Central con Bindplane. El analizador transforma los registros JSON en un modelo de datos unificado (UDM). Extrae campos de estructuras JSON anidadas, los asigna a campos de la UDM y realiza la categorización de eventos en función del campo type, lo que enriquece los datos con detalles y acciones específicos para diferentes tipos de eventos de Sophos Central.

Antes de comenzar

• Asegúrate de tener una instancia de Google Security Operations.
• Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
• Asegúrate de tener una máquina adicional con Windows o Linux que pueda ejecutar Python de forma continua.
• Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
• Asegúrate de tener acceso con privilegios al firewall Sophos XG.

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación de Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

• Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:

   1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SYSLOG
               namespace: sophos_central
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

4. Reemplaza <customer_id> por el ID de cliente real.

5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

• Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configura el acceso a la API de Sophos Central

1. Accede a Sophos Central Admin.
2. Selecciona Configuración global > Administración de tokens de API.
3. Haz clic en Agregar token para crear uno nuevo.
4. Ingresa un nombre de token y haz clic en Guardar. Se muestra el Resumen del token de API para el token proporcionado.
5. En la sección Resumen del token de API, haz clic en Copiar para copiar la URL de acceso y los encabezados de la API.

Instala Python en la máquina adicional

1. Abre el navegador web y ve al sitio web de Python.
2. Haz clic en Download Python para tu sistema operativo (Windows o Mac).

3. Instala Python.

   • En Windows, haz lo siguiente:
     1. Ejecuta el instalador.
     2. Marca la casilla que dice Add Python to PATH.
     3. Haz clic en Instalar ahora.

   • En Mac:

     1. Es posible que Python ya esté instalado. De lo contrario, puedes instalar la versión más reciente con la terminal.

     2. Abre Terminal y escribe el siguiente comando:

        python --version
        

Descarga la secuencia de comandos de integración de Sophos

1. Ve a la página de GitHub del repositorio de GitHub de integración de SIEM de Sophos Central.
2. Haz clic en el botón Code > Download ZIP verde.
3. Extrae el archivo ZIP.

Configura la secuencia de comandos

1. Busca y abre el archivo config.ini con un editor de texto.
2. Edita el archivo de configuración:
   • Token de API: Ingresa la clave de API que copiaste antes de Sophos Central.
   • Detalles del servidor de Syslog: Ingresa los detalles de tu servidor de syslog.
   • Host: Ingresa la dirección IP de Bindplane.
   • Puerto: Ingresa el número de puerto de Bindplane.
   • Protocolo: Ingresa UDP (también puedes usar TCP o TLS según tu configuración).
3. Guarde el archivo.

Ejecuta la secuencia de comandos:

1. Ve a la carpeta de la secuencia de comandos.

   • En Windows:

     1. Presiona la tecla Windows y escribe cmd.
     2. Haz clic en Símbolo del sistema.

     3. Ve a la carpeta de la secuencia de comandos:

        cd C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration
        

   • En macOS:

     1. Ve a Aplicaciones > Utilidades.
     2. Abre Terminal.

     3. Ve a la carpeta de la secuencia de comandos:

        cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
        

2. Ejecuta la secuencia de comandos:

   • Escribe el siguiente comando para iniciar la secuencia de comandos:

     python siem.py
     

Automatiza la secuencia de comandos para que se ejecute de forma continua en Windows (con el Programador de tareas):

1. Para abrir el Programador de tareas, escribe Programador de tareas en el menú Inicio.
2. Haz clic en Crear tarea.
3. En la pestaña General, haz lo siguiente:
   • Asigna un nombre a la tarea, por ejemplo, Sophos Central Log Export.
4. En la pestaña Activadores, haz lo siguiente:
   • Haz clic en Nueva y configura la tarea para que se ejecute Diariamente o Al inicio (según tus preferencias).
5. En la pestaña Acciones, haz lo siguiente:
   • Haz clic en Nuevo y selecciona Iniciar un programa.
   • Busca el archivo ejecutable python.exe (por lo general, se encuentra en C:\PythonXX\python.exe).
   • En el campo Agregar argumentos, escribe la ruta de acceso a la secuencia de comandos, por ejemplo, C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration\siem.py.
6. Haz clic en Aceptar para guardar la tarea.

Automatiza la secuencia de comandos para que se ejecute de forma continua en Mac (con Cron Jobs):

1. Abre Terminal.
2. Escribe crontab -e y presiona Intro.

3. Agrega una línea nueva al final del archivo:

   * * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
   

4. Guarda y sal del editor.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
customer_id	target.resource.id	Se asigna directamente desde el campo customer_id.
data.core_remedy_items.items.0.descriptor	target.process.file.full_path	Se asigna directamente desde el campo data.core_remedy_items.items.0.descriptor.
data.source_info.ip	principal.ip principal.asset.ip	Se asigna directamente desde el campo data.source_info.ip.
descripción	metadata.description	Se asigna directamente desde el campo description cuando metadata.event_type es GENERIC_EVENT.
dhost	principal.hostname principal.asset.hostname	Se asigna directamente desde el campo dhost.
duid	security_result.detection_fields.value	Se asigna directamente desde el campo duid.
end	metadata.event_timestamp	Se analiza en formato RFC 3339 y se asigna al campo event_timestamp.
endpoint_id	target.asset_id	Se asigna como Device endpoint Id: {endpoint_id}.
endpoint_type	security_result.about.labels.value	Se asigna directamente desde el campo endpoint_type.
grupo	security_result.category_details	Se asigna directamente desde el campo group.
nombre	security_result.description security_result.summary	Se asigna directamente desde el campo name. Si se configuran las marcas is_alert o is_significant, se asignan a security_result.summary.
	is_alert	Establece en true para valores específicos de type que indiquen una alerta; de lo contrario, se establecerá en false de forma predeterminada.
	is_significant	Se establece en true para valores específicos de type que indican un evento significativo; de lo contrario, se establece de forma predeterminada en false.
	metadata.event_type	Se determina en función del campo type y la lógica adicional dentro del analizador. Entre los valores posibles, se incluyen los siguientes: FILE_OPEN, SCAN_HOST, SETTING_MODIFICATION, STATUS_HEARTBEAT, SETTING_CREATION, NETWORK_CONNECTION, SCAN_PROCESS, SCAN_UNCATEGORIZED, USER_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE.
	metadata.log_type	Se define en SOPHOS_CENTRAL.
	metadata.product_event_type	Se asigna directamente desde el campo type.
	metadata.product_name	Se define en Sophos Central.
	metadata.vendor_name	Se define en Sophos.
	network.direction	Se establece en OUTBOUND para valores específicos de type que indican conexiones de red salientes.
	network.ip_protocol	Se establece en TCP para valores type específicos que indican conexiones de red TCP.
	security_result.action	Se determina en función del campo action extraído del campo name con patrones grok. Entre los valores posibles, se incluyen los siguientes: ALLOW, BLOCK, ALLOW_WITH_MODIFICATION y UNKNOWN_ACTION.
	security_result.detection_fields.key	Se establece en duid cuando el campo duid está presente.
	security_result.rule_name	Se extraen del campo name con patrones grok para valores type específicos.
	security_result.severity	Se asigna desde el campo severity con la siguiente asignación: baja -> LOW, media -> MEDIUM, alta/crítica -> HIGH.
	target.application	Se extraen del campo name con patrones grok para valores type específicos.
	target.asset.hostname	Se asigna desde el campo dhost para valores type específicos.
	target.file.full_path	Se extraen del campo name con patrones de grok para valores type específicos o se asignan directamente desde data.core_remedy_items.items.0.descriptor o core_remedy_items.items.0.descriptor.
	target.file.size	Se extraen del campo name con patrones grok y se convierten a uinteger para valores específicos de type.
	target.hostname	Se asigna desde el campo dhost para valores type específicos.
	target.resource.name	Se establecen en valores específicos según el campo type o se extraen del campo name con patrones de grok.
	target.resource.type	Se establecen en valores específicos según el campo type.
	target.user.userid	Se asigna desde el campo suser después de extraer el nombre de usuario con patrones de grok.
	target.url	Se extraen del campo name con patrones grok para valores type específicos.
source_info.ip	principal.ip principal.asset.ip	Se asigna directamente desde el campo source_info.ip.
suser	principal.user.userid target.user.userid	Se extrae del campo suser con patrones de grok para quitar los prefijos de nombres de host.
tipo	metadata.product_event_type	Se asigna directamente desde el campo type.

Cambios

2025-01-30

Mejora:

• Se agregó compatibilidad para analizar registros JSON sin analizar.

2025-01-08

Mejora:

• Se agregaron url, action y scan_name en statedata para analizar registros sin analizar.
• Se asignó user_id a principal.user.userid.

2024-09-05

Mejora:

• Se agregó compatibilidad para analizar registros JSON sin analizar.
• Se asignó location a principal.cloud.availability_zone.

2024-05-17

Mejora:

• Se asignaron data.core_remedy_items.items.0.descriptor y core_remedy_items.items.0.descriptor a target.process.file.full_path.

2024-05-14

Corrección de errores:

• Se cambió la asignación de target.user.userid de duid a suser.
• Se asignó duid a security_result.detection_fields.

2022-12-27

• Es un analizador creado recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.