Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Sophos Central

Supportato in:

Google secops SIEM

Questo documento spiega come raccogliere i log di Sophos Central utilizzando Bindplane. Il parser trasforma i log JSON in un modello UDM (Unified Data Model). Estrae i campi dalle strutture JSON nidificate, li mappa ai campi UDM ed esegue la classificazione degli eventi in base al campo type, arricchendo i dati con dettagli e azioni specifici per i diversi tipi di eventi di Sophos Central.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Assicurati di avere un'altra macchina Windows o Linux in grado di eseguire Python in modo continuo.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso con privilegi a Sophos XG Firewall.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: sophos_central
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare l'accesso all'API Sophos Central

Accedi a Sophos Central Admin.
Seleziona Impostazioni globali > Gestione token API.
Fai clic su Aggiungi token per creare un nuovo token.
Inserisci un nome per il token e fai clic su Salva. Viene visualizzato il Riepilogo token API per il token fornito.
Nella sezione Riepilogo token API, fai clic su Copia per copiare l'URL di accesso all'API e le intestazioni.

Installa Python sulla macchina aggiuntiva

Apri il browser web e vai al sito web di Python.
Fai clic su Scarica Python per il tuo sistema operativo (Windows o Mac).
Installa Python.
- Su Windows:
  1. Esegui il programma di installazione.
  2. Seleziona la casella Aggiungi Python a PATH.
  3. Fai clic su Installa ora.
- Sul Mac:
  1. Python potrebbe essere già installato. In caso contrario, puoi installare l'ultima versione utilizzando il terminale.
  2. Apri Terminale e digita questo comando:
```
python --version
```

Scaricare lo script di integrazione di Sophos

Vai alla pagina GitHub per il repository GitHub di integrazione SIEM di Sophos Central.
Fai clic sul pulsante verde Codice> Scarica ZIP.
Estrai il file ZIP.

Configurare la configurazione dello script

Trova e apri il file config.ini con un editor di testo.
Modifica il file di configurazione:
- Token API: inserisci la chiave API copiata in precedenza da Sophos Central.
- Dettagli del server syslog: inserisci i dettagli del server syslog.
- Host: inserisci l'indirizzo IP di Bindplane.
- Porta: inserisci il numero di porta di Bindplane.
- Protocollo: inserisci UDP (puoi utilizzare anche TCP o TLS a seconda della configurazione).
Salva il file.

Esegui lo script

Vai alla cartella degli script.
- Su Windows:
  1. Premi il tasto Windows e digita cmd.
  2. Fai clic su Prompt dei comandi.
  3. Vai alla cartella degli script:
```
cd C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration
```
- In macOS:
  1. Vai ad Applicazioni > Utilità.
  2. Apri Terminale.
  3. Vai alla cartella degli script:
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
Esegui lo script:
- Digita il seguente comando per avviare lo script:
```
python siem.py
```

Automatizza l'esecuzione continua dello script su Windows (utilizzando Utilità di pianificazione):

Apri Utilità di pianificazione digitando Utilità di pianificazione nel menu Start.
Fai clic su Crea attività.
Nella scheda Generale:
- Assegna un nome all'attività, ad esempio Sophos Central Log Export.
Nella scheda Trigger:
- Fai clic su Nuovo e imposta l'attività in modo che venga eseguita Ogni giorno o All'avvio (a seconda delle tue preferenze).
Nella scheda Azioni:
- Fai clic su Nuovo e seleziona Avvia un programma.
- Cerca il file eseguibile python.exe (di solito si trova in C:\PythonXX\python.exe).
- Nel campo Aggiungi argomenti, digita il percorso dello script, ad esempio C:\Users\YourName\Downloads\Sophos-Central-SIEM-Integration\siem.py.
Fai clic su Ok per salvare l'attività.

Automatizza l'esecuzione continua dello script su Mac (utilizzando Cron Jobs):

Apri il terminale.
Digita crontab -e e premi Invio.
Aggiungi una nuova riga alla fine del file:
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
Nota: lo script verrà eseguito ogni minuto. Regola l'ora in base alle tue esigenze.
Salva ed esci dall'editor.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
customer_id	target.resource.id	Mappato direttamente dal campo `customer_id`.
data.core_remedy_items.items.0.descriptor	target.process.file.full_path	Mappato direttamente dal campo `data.core_remedy_items.items.0.descriptor`.
data.source_info.ip	principal.ip principal.asset.ip	Mappato direttamente dal campo `data.source_info.ip`.
description	metadata.description	Mappato direttamente dal campo `description` quando `metadata.event_type` è `GENERIC_EVENT`.
dhost	principal.hostname principal.asset.hostname	Mappato direttamente dal campo `dhost`.
duid	security_result.detection_fields.value	Mappato direttamente dal campo `duid`.
end	metadata.event_timestamp	Analizzato nel formato RFC 3339 e mappato al campo `event_timestamp`.
endpoint_id (ID endpoint)	target.asset_id	Mappato come `Device endpoint Id: {endpoint_id}`.
endpoint_type	security_result.about.labels.value	Mappato direttamente dal campo `endpoint_type`.
gruppo	security_result.category_details	Mappato direttamente dal campo `group`.
nome	security_result.description security_result.summary	Mappato direttamente dal campo `name`.
	metadata.event_type	Determinato in base al campo `type` e alla logica aggiuntiva all'interno del parser. I valori possibili includono: FILE_OPEN, SCAN_HOST, SETTING_MODIFICATION, STATUS_HEARTBEAT, SETTING_CREATION, NETWORK_CONNECTION, SCAN_PROCESS, SCAN_UNCATEGORIZED, USER_CREATION, USER_UNCATEGORIZED, STATUS_UPDATE.
	metadata.log_type	Imposta su `SOPHOS_CENTRAL`.
	metadata.product_event_type	Mappato direttamente dal campo `type`.
	metadata.product_name	Imposta su `Sophos Central`.
	metadata.vendor_name	Imposta su `Sophos`.
	network.direction	Imposta su `OUTBOUND` per valori `type` specifici che indicano connessioni di rete in uscita.
	network.ip_protocol	Imposta `TCP` per valori `type` specifici che indicano connessioni di rete TCP.
	security_result.action	Determinato in base al campo `action` estratto dal campo `name` utilizzando i pattern grok. I valori possibili includono: ALLOW, BLOCK, ALLOW_WITH_MODIFICATION, UNKNOWN_ACTION.
	security_result.detection_fields.key	Imposta su `duid` quando è presente il campo `duid`.
	security_result.rule_name	Estratto dal campo `name` utilizzando i pattern grok per valori `type` specifici.
	security_result.severity	Mappato dal campo `severity` con il seguente mapping: bassa -> LOW, media -> MEDIUM, alta/critica -> HIGH.
	target.application	Estratto dal campo `name` utilizzando i pattern grok per valori `type` specifici.
	target.asset.hostname	Mappato dal campo `dhost` per valori `type` specifici.
	target.file.full_path	Estratto dal campo `name` utilizzando i pattern grok per valori `type` specifici o mappato direttamente da `data.core_remedy_items.items.0.descriptor` o `core_remedy_items.items.0.descriptor`.
	target.file.size	Estratto dal campo `name` utilizzando i pattern grok e convertito in `uinteger` per valori `type` specifici.
	target.hostname	Mappato dal campo `dhost` per valori `type` specifici.
	target.resource.name	Impostato su valori specifici in base al campo `type` o estratto dal campo `name` utilizzando i pattern grok.
	target.resource.type	Impostato su valori specifici in base al campo `type`.
	target.user.userid	Mappato dal campo `suser` dopo l'estrazione del nome utente utilizzando i pattern grok.
	target.url	Estratto dal campo `name` utilizzando i pattern grok per valori `type` specifici.
source_info.ip	principal.ip principal.asset.ip	Mappato direttamente dal campo `source_info.ip`.
suser	principal.user.userid target.user.userid	Estratto dal campo `suser` utilizzando i pattern grok per rimuovere i prefissi del nome host.
tipo	metadata.product_event_type	Mappato direttamente dal campo `type`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.