Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Sophos Central

Supportato in:

Google SecOps SIEM

Questo documento spiega come raccogliere i log di Sophos Central utilizzando Bindplane. Il parser trasforma i log JSON in un modello di dati unificato (UDM). Estrae i campi dalle strutture JSON nidificate, li mappa ai campi UDM ed esegue la classificazione degli eventi in base al campo type, arricchendo i dati con dettagli e azioni specifici per diversi tipi di eventi Sophos Central.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
Assicurati di avere un'altra macchina Windows o Linux in grado di eseguire Python in modo continuo.
Se il servizio è eseguito dietro un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso privilegiato a Sophos XG Firewall.

Ottenere il file di autenticazione di importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Ottenere l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Per altre opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: sophos_central
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui il seguente comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare l'accesso all'API Sophos Central

Accedi a Sophos Central Admin.
Seleziona Impostazioni globali > Gestione token API.
Fai clic su Aggiungi token per creare un nuovo token.
Inserisci un nome per il token e fai clic su Salva. Viene visualizzato il riepilogo del token API per il token fornito.
Nella sezione Riepilogo token API, fai clic su Copia per copiare l'URL di accesso e le intestazioni dell'API.

Installa Python sulla macchina aggiuntiva

Apri il browser web e vai al sito web di Python.
Fai clic su Scarica Python per il tuo sistema operativo (Windows o Mac).
Installa Python.
- Su Windows:
  1. Esegui il programma di installazione.
  2. Seleziona la casella Aggiungi Python a PATH.
  3. Fai clic su Installa ora.
- Sul Mac:
  1. Python potrebbe essere già installato. In caso contrario, puoi installare la versione più recente utilizzando il terminale.
  2. Apri Terminale e digita il seguente comando:
```
python --version
```

Scarica lo script di integrazione di Sophos

Vai alla pagina GitHub del repository GitHub di integrazione di SIEM di Sophos Central.
Fai clic sul pulsante Codice > Scarica ZIP verde.
Estrai il file ZIP.

Configurare la configurazione dello script

Trova e apri il file config.ini con un editor di testo.
Modifica il file di configurazione:
- Token API: inserisci la chiave API copiata in precedenza da Sophos Central.
- Dettagli del server syslog: inserisci i dettagli del server syslog.
- Host: inserisci l'indirizzo IP di Bindplane.
- Porta: inserisci il numero di porta di Bindplane.
- Protocollo: inserisci UDP (puoi anche utilizzare TCP o TLS a seconda della configurazione).
Salva il file.

Esegui lo script

Vai alla cartella dello script.
- Su Windows:
  1. Premi il tasto Windows e digita cmd.
  2. Fai clic su Prompt dei comandi.
  3. Vai alla cartella dello script:
```
cd C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration
```
- Su macOS:
  1. Vai ad Applicazioni > Utilità.
  2. Apri Terminale.
  3. Vai alla cartella dello script:
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
Esegui lo script:
- Digita il seguente comando per avviare lo script:
```
python siem.py
```

Automatizza lo script in modo che venga eseguito continuamente su Windows (utilizzando la Pianificazione attività):

Apri Utilità di pianificazione digitando Utilità di pianificazione nel menu Start.
Fai clic su Crea attività.
Nella scheda Generale:
- Assegna un nome all'attività, ad esempio Sophos Central Log Export.
Nella scheda Trigger:
- Fai clic su Nuova e imposta l'attività in modo che venga eseguita Giornalieramente o All'avvio (a seconda delle tue preferenze).
Nella scheda Azioni:
- Fai clic su Nuovo e seleziona Avvia un programma.
- Cerca l'eseguibile python.exe (di solito si trova in C:\PythonXX\python.exe).
- Nel campo Aggiungi argomenti, digita il percorso dello script, ad esempio C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration\siem.py.
Fai clic su OK per salvare l'attività.

Automatizza lo script in modo che venga eseguito continuamente su Mac (utilizzando i CronJob):

Apri il terminale.
Digita crontab -e e premi Invio.
Aggiungi una nuova riga alla fine del file:
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
Nota: lo script verrà eseguito ogni minuto. Modifica il tempo in base alle tue esigenze.
Salva ed esci dall'editor.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
customer_id	target.resource.id	Mappato direttamente dal campo `customer_id`.
data.core_remedy_items.items.0.descriptor	target.process.file.full_path	Mappato direttamente dal campo `data.core_remedy_items.items.0.descriptor`.
data.source_info.ip	principal.ip principal.asset.ip	Mappato direttamente dal campo `data.source_info.ip`.
description	metadata.description	Mappato direttamente dal campo `description` quando `metadata.event_type` è `GENERIC_EVENT`.
dhost	principal.hostname principal.asset.hostname	Mappato direttamente dal campo `dhost`.
duid	security_result.detection_fields.value	Mappato direttamente dal campo `duid`.
end	metadata.event_timestamp	Analizzati in formato RFC 3339 e mappati al campo `event_timestamp`.
endpoint_id (ID endpoint)	target.asset_id	Mappato come `Device endpoint Id: {endpoint_id}`.
endpoint_type	security_result.about.labels.value	Mappato direttamente dal campo `endpoint_type`.
gruppo	security_result.category_details	Mappato direttamente dal campo `group`.
nome	security_result.description security_result.summary	Mappato direttamente dal campo `name`. Se sono impostati i flag `is_alert` o `is_significant`, viene mappato a `security_result.summary`.
	is_alert	Impostato su `true` per valori `type` specifici che indicano un avviso, altrimenti il valore predefinito è `false`.
	is_significant	Impostato su `true` per valori `type` specifici che indicano un evento significativo, altrimenti il valore predefinito è `false`.
	metadata.event_type	Determinato in base al campo `type` e a una logica aggiuntiva all'interno del parser. I valori possibili includono: FILE_OPEN, SCAN_HOST, SETTING_MODIFICATION, STATUS_HEARTBEAT, SETTING_CREATION, NETWORK_CONNECTION, SCAN_PROCESS, SCAN_UNCATEGORIZED, USER_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE.
	metadata.log_type	Imposta su `SOPHOS_CENTRAL`.
	metadata.product_event_type	Mappato direttamente dal campo `type`.
	metadata.product_name	Imposta su `Sophos Central`.
	metadata.vendor_name	Imposta su `Sophos`.
	network.direction	Impostato su `OUTBOUND` per valori `type` specifici che indicano le connessioni di rete in uscita.
	network.ip_protocol	Impostato su `TCP` per valori `type` specifici che indicano connessioni di rete TCP.
	security_result.action	Determinato in base al campo `action` estratto dal campo `name` utilizzando i pattern Grok. I valori possibili sono: ALLOW, BLOCK, ALLOW_WITH_MODIFICATION, UNKNOWN_ACTION.
	security_result.detection_fields.key	Imposta su `duid` quando è presente il campo `duid`.
	security_result.rule_name	Estratto dal campo `name` utilizzando pattern Grok per valori `type` specifici.
	security_result.severity	Mappato dal campo `severity` con la seguente mappatura: basso -> LOW, medio -> MEDIUM, alto/critico -> HIGH.
	target.application	Estratto dal campo `name` utilizzando pattern Grok per valori `type` specifici.
	target.asset.hostname	Mappato dal campo `dhost` per valori `type` specifici.
	target.file.full_path	Estratto dal campo `name` utilizzando pattern Grok per valori `type` specifici o mappato direttamente da `data.core_remedy_items.items.0.descriptor` o `core_remedy_items.items.0.descriptor`.
	target.file.size	Estratto dal campo `name` utilizzando i pattern Grok e convertito in `uinteger` per valori `type` specifici.
	target.hostname	Mappato dal campo `dhost` per valori `type` specifici.
	target.resource.name	Impostato su valori specifici in base al campo `type` o estratto dal campo `name` utilizzando i pattern Grok.
	target.resource.type	Impostato su valori specifici in base al campo `type`.
	target.user.userid	Mappato dal campo `suser` dopo l'estrazione del nome utente utilizzando i pattern Grok.
	target.url	Estratto dal campo `name` utilizzando pattern Grok per valori `type` specifici.
source_info.ip	principal.ip principal.asset.ip	Mappato direttamente dal campo `source_info.ip`.
suser	principal.user.userid target.user.userid	Estratto dal campo `suser` utilizzando i pattern Grok per rimuovere i prefissi dei nomi host.
tipo	metadata.product_event_type	Mappato direttamente dal campo `type`.

Modifiche

2025-01-30

Miglioramento:

È stato aggiunto il supporto per l'analisi dei log JSON non analizzati.

2025-01-08

Miglioramento:

Sono stati aggiunti url, action e scan_name in statedata per analizzare i log non analizzati.
user_id è stato mappato a principal.user.userid.

2024-09-05

Miglioramento:

È stato aggiunto il supporto per l'analisi dei log JSON non analizzati.
location è stato mappato a principal.cloud.availability_zone.

2024-05-17

Miglioramento:

data.core_remedy_items.items.0.descriptor e core_remedy_items.items.0.descriptor sono stati mappati a target.process.file.full_path.

2024-05-14

Correzione di bug:

La mappatura di target.user.userid è cambiata da duid a suser.
duid è stato mappato a security_result.detection_fields.

2022-12-27

Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.