Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Sophos Central

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros de Sophos Central con Bindplane. El analizador transforma los registros JSON en un modelo de datos unificado (UDM). Extrae campos de estructuras JSON anidadas, los asigna a campos del UDM y realiza la categorización de eventos según el campo type, lo que enriquece los datos con detalles y acciones específicos para diferentes tipos de eventos de Sophos Central.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Asegúrate de tener una máquina adicional con Windows o Linux que pueda ejecutar Python de forma continua.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios al firewall de Sophos XG.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: sophos_central
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el acceso a la API de Sophos Central

Accede a Sophos Central Admin.
Selecciona Configuración global > Administración de tokens de API.
Haz clic en Agregar token para crear uno nuevo.
Ingresa un nombre de token y haz clic en Guardar. Se muestra el Resumen del token de API para el token proporcionado.
En la sección Resumen del token de API, haz clic en Copiar para copiar la URL y los encabezados de acceso a la API.

Instala Python en la máquina adicional

Abre el navegador web y ve al sitio web de Python.
Haz clic en Descargar Python para tu sistema operativo (Windows o Mac).
Instala Python.
- En Windows:
  1. Ejecuta el instalador.
  2. Marca la casilla que dice Add Python to PATH.
  3. Haz clic en Instalar ahora.
- En Mac:
  1. Es posible que Python ya esté instalado. De lo contrario, puedes instalar la versión más reciente con la terminal.
  2. Abre Terminal y escribe el siguiente comando:
```
python --version
```

Descarga la secuencia de comandos de integración de Sophos

Ve a la página de GitHub del repositorio de GitHub de integración de SIEM de Sophos Central.
Haz clic en el botón verde Code > Download ZIP.
Extrae el archivo ZIP.

Configura la secuencia de comandos

Busca y abre el archivo config.ini con un editor de texto.
Edita el archivo de configuración:
- Token de API: Ingresa la clave de API que copiaste anteriormente de Sophos Central.
- Syslog Server Details: Ingresa los detalles de tu servidor syslog.
- Host: Ingresa la dirección IP de Bindplane.
- Puerto: Ingresa el número de puerto de Bindplane.
- Protocolo: Ingresa UDP (también puedes usar TCP o TLS según tu configuración).
Guarde el archivo.

Ejecuta la secuencia de comandos:

Ve a la carpeta de la secuencia de comandos.
- En Windows:
  1. Presiona la tecla Windows y escribe cmd.
  2. Haz clic en Símbolo del sistema.
  3. Ve a la carpeta de la secuencia de comandos:
```
cd C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration
```
- En macOS:
  1. Ve a Aplicaciones > Utilidades.
  2. Abre Terminal.
  3. Ve a la carpeta de la secuencia de comandos:
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
Ejecuta la secuencia de comandos:
- Escribe el siguiente comando para iniciar la secuencia de comandos:
```
python siem.py
```

Automatiza la secuencia de comandos para que se ejecute de forma continua en Windows (con el Programador de tareas):

Para abrir el Programador de tareas, escribe Programador de tareas en el menú Inicio.
Haz clic en Crear tarea.
En la pestaña General, haz lo siguiente:
- Asigna un nombre a la tarea, por ejemplo, Sophos Central Log Export.
En la pestaña Activadores, haz lo siguiente:
- Haz clic en Nuevo y configura la tarea para que se ejecute Diariamente o Al inicio (según tu preferencia).
En la pestaña Acciones, haz lo siguiente:
- Haz clic en Nuevo y selecciona Iniciar un programa.
- Busca el archivo ejecutable python.exe (por lo general, se encuentra en C:\PythonXX\python.exe).
- En el campo Agregar argumentos, escribe la ruta de acceso al script, por ejemplo, C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration\siem.py.
Haz clic en Aceptar para guardar la tarea.

Automatiza la secuencia de comandos para que se ejecute de forma continua en Mac (con Cron Jobs):

Abre la Terminal.
Escribe crontab -e y presiona Intro.
Agrega una línea nueva al final del archivo:
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
Nota: Esto ejecutará la secuencia de comandos cada minuto. Ajusta la hora según tus necesidades.
Guarda y sal del editor.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
customer_id	target.resource.id	Se asigna directamente desde el campo `customer_id`.
data.core_remedy_items.items.0.descriptor	target.process.file.full_path	Se asigna directamente desde el campo `data.core_remedy_items.items.0.descriptor`.
data.source_info.ip	principal.ip principal.asset.ip	Se asigna directamente desde el campo `data.source_info.ip`.
descripción	metadata.description	Se asigna directamente desde el campo `description` cuando `metadata.event_type` es `GENERIC_EVENT`.
dhost	principal.hostname principal.asset.hostname	Se asigna directamente desde el campo `dhost`.
duid	security_result.detection_fields.value	Se asigna directamente desde el campo `duid`.
end	metadata.event_timestamp	Se analizó en formato RFC 3339 y se asignó al campo `event_timestamp`.
endpoint_id	target.asset_id	Se asigna como `Device endpoint Id: {endpoint_id}`.
endpoint_type	security_result.about.labels.value	Se asigna directamente desde el campo `endpoint_type`.
grupo	security_result.category_details	Se asigna directamente desde el campo `group`.
nombre	security_result.description security_result.summary	Se asigna directamente desde el campo `name`.
	metadata.event_type	Se determina según el campo `type` y la lógica adicional dentro del analizador. Entre los valores posibles, se incluyen: FILE_OPEN, SCAN_HOST, SETTING_MODIFICATION, STATUS_HEARTBEAT, SETTING_CREATION, NETWORK_CONNECTION, SCAN_PROCESS, SCAN_UNCATEGORIZED, USER_CREATION, USER_UNCATEGORIZED y STATUS_UPDATE.
	metadata.log_type	Se define en `SOPHOS_CENTRAL`.
	metadata.product_event_type	Se asigna directamente desde el campo `type`.
	metadata.product_name	Se define en `Sophos Central`.
	metadata.vendor_name	Se define en `Sophos`.
	network.direction	Se establece en `OUTBOUND` para valores de `type` específicos que indican conexiones de red salientes.
	network.ip_protocol	Se establece en `TCP` para valores de `type` específicos que indican conexiones de red TCP.
	security_result.action	Se determina según el campo `action` que se extrae del campo `name` con patrones de Grok. Entre los valores posibles, se incluyen ALLOW, BLOCK, ALLOW_WITH_MODIFICATION y UNKNOWN_ACTION.
	security_result.detection_fields.key	Se establece en `duid` cuando el campo `duid` está presente.
	security_result.rule_name	Se extrae del campo `name` con patrones de grok para valores de `type` específicos.
	security_result.severity	Se asigna desde el campo `severity` con la siguiente asignación: low -> LOW, medium -> MEDIUM, high/critical -> HIGH.
	target.application	Se extrae del campo `name` con patrones de grok para valores de `type` específicos.
	target.asset.hostname	Se asigna desde el campo `dhost` para valores de `type` específicos.
	target.file.full_path	Se extrae del campo `name` con patrones de Grok para valores de `type` específicos o se asigna directamente desde `data.core_remedy_items.items.0.descriptor` o `core_remedy_items.items.0.descriptor`.
	target.file.size	Se extrae del campo `name` con patrones de Grok y se convierte a `uinteger` para valores de `type` específicos.
	target.hostname	Se asigna desde el campo `dhost` para valores de `type` específicos.
	target.resource.name	Se establece en valores específicos según el campo `type` o se extrae del campo `name` con patrones de Grok.
	target.resource.type	Se establece en valores específicos según el campo `type`.
	target.user.userid	Se asigna desde el campo `suser` después de extraer el nombre de usuario con patrones de grok.
	target.url	Se extrae del campo `name` con patrones de grok para valores de `type` específicos.
source_info.ip	principal.ip principal.asset.ip	Se asigna directamente desde el campo `source_info.ip`.
suser	principal.user.userid target.user.userid	Se extrae del campo `suser` con patrones de Grok para quitar los prefijos de nombres de host.
tipo	metadata.product_event_type	Se asigna directamente desde el campo `type`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.