Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Sophos Central

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log Sophos Central menggunakan Bindplane. Parser mengubah log JSON menjadi model data terpadu (UDM). Proses ini mengekstrak kolom dari struktur JSON bertingkat, memetakannya ke kolom UDM, dan melakukan kategorisasi peristiwa berdasarkan kolom type, yang memperkaya data dengan detail dan tindakan spesifik untuk berbagai jenis peristiwa Sophos Central.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Pastikan Anda memiliki komputer Windows atau Linux tambahan yang dapat menjalankan Python secara terus-menerus.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses istimewa ke Sophos XG Firewall.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: sophos_central
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi akses Sophos Central API

Login ke Admin Sophos Central.
Pilih Setelan Global > Pengelolaan Token API.
Klik Add Token untuk membuat token baru.
Masukkan nama token, lalu klik Simpan. Ringkasan Token API untuk token yang diberikan akan ditampilkan.
Di bagian API Token Summary, klik Copy untuk menyalin URL dan header akses API.

Instal Python di mesin tambahan

Buka browser web, lalu buka situs Python.
Klik Download Python untuk sistem operasi Anda (Windows atau Mac).
Instal Python.
- Di Windows:
  1. Jalankan penginstal.
  2. Centang kotak yang bertuliskan Add Python to PATH.
  3. Klik Instal Sekarang.
- Di Mac:
  1. Python mungkin sudah diinstal, jika belum, Anda dapat menginstal versi terbaru menggunakan terminal.
  2. Buka Terminal dan ketik perintah berikut:
```
python --version
```

Download skrip integrasi Sophos

Buka halaman GitHub untuk Sophos Central SIEM Integration GitHub Repository.
Klik tombol Code berwarna hijau > Download ZIP.
Ekstrak file ZIP.

Menyiapkan konfigurasi skrip

Temukan dan Buka file config.ini dengan editor teks.
Edit file konfigurasi:
- Token API: masukkan Kunci API yang disalin sebelumnya dari Sophos Central.
- Detail Server Syslog: masukkan detail server syslog Anda.
- Host: masukkan alamat IP Bindplane.
- Port: masukkan nomor port Bindplane.
- Protokol: masukkan UDP (Anda juga dapat menggunakan TCP atau TLS, bergantung pada penyiapan Anda).
Simpan file dengan mengklik tombol Save.

Jalankan skrip:

Buka folder skrip.
- Di Windows:
  1. Tekan tombol Windows, lalu ketik cmd.
  2. Klik Command Prompt.
  3. Buka folder skrip:
```
cd C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration
```
- Di macOS:
  1. Buka Applications > Utilities.
  2. Buka Terminal.
  3. Buka folder skrip:
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
Jalankan skrip:
- Ketik perintah berikut untuk memulai skrip:
```
python siem.py
```

Mengotomatiskan skrip agar berjalan terus-menerus di Windows (menggunakan Task Scheduler):

Buka Task Scheduler dengan mengetik Task Scheduler di menu Start.
Klik Buat Tugas.
Di tab General:
- Beri nama tugas Anda; misalnya, Sophos Central Log Export.
Di tab Triggers:
- Klik Baru dan tetapkan tugas untuk dijalankan Setiap hari atau Saat startup (bergantung pada preferensi Anda).
Di tab Tindakan:
- Klik Baru, lalu pilih Mulai program.
- Jelajahi file yang dapat dieksekusi python.exe (biasanya ditemukan di C:\PythonXX\python.exe).
- Di kolom Add arguments, ketik jalur ke skrip; misalnya, C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration\siem.py.
Klik OK untuk menyimpan tugas.

Mengotomatiskan skrip agar berjalan terus-menerus di Mac (menggunakan Cron Jobs):

Buka Terminal.
Ketik crontab -e dan tekan Enter.
Tambahkan baris baru di akhir file:
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
Catatan: Ini akan menjalankan skrip setiap menit. Sesuaikan waktu berdasarkan kebutuhan Anda.
Simpan dan keluar dari editor.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
customer_id	target.resource.id	Dipetakan langsung dari kolom `customer_id`.
data.core_remedy_items.items.0.descriptor	target.process.file.full_path	Dipetakan langsung dari kolom `data.core_remedy_items.items.0.descriptor`.
data.source_info.ip	principal.ip principal.asset.ip	Dipetakan langsung dari kolom `data.source_info.ip`.
deskripsi	metadata.description	Dipetakan langsung dari kolom `description` saat `metadata.event_type` adalah `GENERIC_EVENT`.
dhost	principal.hostname principal.asset.hostname	Dipetakan langsung dari kolom `dhost`.
duid	security_result.detection_fields.value	Dipetakan langsung dari kolom `duid`.
selesai	metadata.event_timestamp	Diuraikan ke format RFC 3339 dan dipetakan ke kolom `event_timestamp`.
endpoint_id	target.asset_id	Dipetakan sebagai `Device endpoint Id: {endpoint_id}`.
endpoint_type	security_result.about.labels.value	Dipetakan langsung dari kolom `endpoint_type`.
grup	security_result.category_details	Dipetakan langsung dari kolom `group`.
nama	security_result.description security_result.summary	Dipetakan langsung dari kolom `name`.
	metadata.event_type	Ditentukan berdasarkan kolom `type` dan logika tambahan dalam parser. Nilai yang memungkinkan mencakup: FILE_OPEN, SCAN_HOST, SETTING_MODIFICATION, STATUS_HEARTBEAT, SETTING_CREATION, NETWORK_CONNECTION, SCAN_PROCESS, SCAN_UNCATEGORIZED, USER_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE.
	metadata.log_type	Tetapkan ke `SOPHOS_CENTRAL`.
	metadata.product_event_type	Dipetakan langsung dari kolom `type`.
	metadata.product_name	Tetapkan ke `Sophos Central`.
	metadata.vendor_name	Tetapkan ke `Sophos`.
	network.direction	Setel ke `OUTBOUND` untuk nilai `type` tertentu yang menunjukkan koneksi jaringan keluar.
	network.ip_protocol	Disetel ke `TCP` untuk nilai `type` tertentu yang menunjukkan koneksi jaringan TCP.
	security_result.action	Ditentukan berdasarkan kolom `action` yang diekstrak dari kolom `name` menggunakan pola grok. Nilai yang mungkin mencakup: ALLOW, BLOCK, ALLOW_WITH_MODIFICATION, UNKNOWN_ACTION.
	security_result.detection_fields.key	Tetapkan ke `duid` jika kolom `duid` ada.
	security_result.rule_name	Diekstrak dari kolom `name` menggunakan pola grok untuk nilai `type` tertentu.
	security_result.severity	Dipetakan dari kolom `severity` dengan pemetaan berikut: rendah -> RENDAH, sedang -> SEDANG, tinggi/kritis -> TINGGI.
	target.application	Diekstrak dari kolom `name` menggunakan pola grok untuk nilai `type` tertentu.
	target.asset.hostname	Dipetakan dari kolom `dhost` untuk nilai `type` tertentu.
	target.file.full_path	Diekstrak dari kolom `name` menggunakan pola grok untuk nilai `type` tertentu, atau dipetakan langsung dari `data.core_remedy_items.items.0.descriptor` atau `core_remedy_items.items.0.descriptor`.
	target.file.size	Diekstrak dari kolom `name` menggunakan pola grok dan dikonversi ke `uinteger` untuk nilai `type` tertentu.
	target.hostname	Dipetakan dari kolom `dhost` untuk nilai `type` tertentu.
	target.resource.name	Ditetapkan ke nilai tertentu berdasarkan kolom `type`, atau diekstrak dari kolom `name` menggunakan pola grok.
	target.resource.type	Ditetapkan ke nilai tertentu berdasarkan kolom `type`.
	target.user.userid	Dipetakan dari kolom `suser` setelah mengekstrak nama pengguna menggunakan pola grok.
	target.url	Diekstrak dari kolom `name` menggunakan pola grok untuk nilai `type` tertentu.
source_info.ip	principal.ip principal.asset.ip	Dipetakan langsung dari kolom `source_info.ip`.
suser	principal.user.userid target.user.userid	Diekstrak dari kolom `suser` menggunakan pola grok untuk menghapus awalan nama host.
jenis	metadata.product_event_type	Dipetakan langsung dari kolom `type`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.