Recoger registros de Sophos AV

En este documento se explica cómo recoger registros de Sophos AV mediante Bindplane. El analizador transforma los registros JSON en un modelo de datos unificado (UDM). Extrae campos de estructuras JSON anidadas, los asigna a campos de UDM y categoriza los eventos en función del campo de tipo, lo que enriquece los datos con detalles y acciones específicos para los distintos tipos de eventos de Sophos AV.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

• Una instancia de Google SecOps
• Windows 2016 o versiones posteriores, o un host Linux con systemd
• Un ordenador adicional con Windows o Linux que pueda ejecutar Python de forma continua
• Si se ejecuta a través de un proxy, asegúrese de que los puertos del cortafuegos estén abiertos según los requisitos del agente de Bindplane.
• Acceso privilegiado a la consola de administración de Sophos Central

Obtener el archivo de autenticación de ingestión de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recogida.
3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación de Linux

1. Abre un terminal con privilegios de superusuario o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

• Para ver otras opciones de instalación, consulta esta guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:

   1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <customer_id>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'SOPHOS_AV'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
   • Sustituye <customer_id> por el ID de cliente real.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

• Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar el acceso a la API de Sophos Central

1. Inicia sesión en Sophos Central Admin.
2. Selecciona Configuración global > Gestión de tokens de API.
3. Haz clic en Añadir token para crear uno.
4. Introduce un nombre para el token y haz clic en Guardar. Se muestra el resumen del token de la API del token proporcionado.
5. En la sección Resumen del token de la API, haz clic en Copiar para copiar la URL de acceso a la API y los encabezados.

Instalar Python en otra máquina

1. Abre el navegador web y ve al sitio web de Python.
2. Haz clic en Descargar Python para tu sistema operativo.

3. Instala Python:

   • En Windows:
     1. Ejecuta el instalador.
     2. Marca la casilla Add Python to PATH (Añadir Python a PATH).
     3. Haz clic en Instalar ahora.

   • En Mac:

     1. Puede que Python ya esté instalado. Si no es así, puedes instalar la versión más reciente mediante la terminal.

     2. Abre Terminal y escribe el siguiente comando:

        python --version
        

Descargar la secuencia de comandos de integración de Sophos

1. Ve a la página de GitHub del repositorio de GitHub de integración de SIEM de Sophos Central.
2. Haz clic en el botón verde Código > Descargar ZIP.
3. Extrae el archivo ZIP.

Configurar el script

1. Abre el archivo config.ini en el directorio donde hayas extraído el archivo ZIP.
2. Edita el archivo de configuración:
   • Token de la API: introduce la clave de la API que has copiado anteriormente de Sophos Central.
   • Detalles del servidor Syslog: introduce los detalles de tu servidor Syslog.
   • Host: introduce la dirección IP del agente de BindPlane.
   • Puerto: introduce el número de puerto del agente de BindPlane.
   • Protocolo: introduce UDP (también puedes usar TCP o TLS en función de tu configuración).
3. Guarda el archivo.

Ejecutar la secuencia de comandos

1. Ve a la carpeta de secuencias de comandos.

   • En Windows:

     1. Pulsa la tecla Windows y escribe cmd.
     2. Haz clic en Símbolo del sistema.
     3. Ve a la carpeta de secuencias de comandos:

     cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
     

   • En macOS:

     1. Ve a Aplicaciones > Utilidades.
     2. Abre la aplicación Terminal.
     3. Ve a la carpeta de secuencias de comandos:

     cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
     

2. Ejecuta la secuencia de comandos:

   • Escribe el siguiente comando para iniciar la secuencia de comandos:

     python siem.py
     

Automatiza la secuencia de comandos para que se ejecute continuamente en Windows (con el Programador de tareas):

1. Abre Programador de tareas escribiendo Programador de tareas en el menú Inicio.
2. Haz clic en Crear tarea.
3. En la pestaña General:
   • Ponle un nombre a la tarea (por ejemplo, Sophos AV Log Export).
4. En la pestaña Activadores:
   • Haz clic en Nuevo y configura la tarea para que se ejecute Diariamente o Al inicio (según tus preferencias).
5. En la pestaña Acciones:
   • Haz clic en Nuevo y selecciona Iniciar un programa.
   • Busca el archivo ejecutable python.exe (normalmente se encuentra en C:/Python/XX/python.exe).
   • En el campo Add arguments (Añadir argumentos), escribe la ruta a la secuencia de comandos (por ejemplo, C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py).
6. Haz clic en Aceptar para guardar la tarea.

Automatiza la secuencia de comandos para que se ejecute de forma continua en Mac (con tareas cron):

1. Abre Terminal.
2. Escribe crontab -e y pulsa Intro.

3. Añade una línea nueva al final del archivo:

   * * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
   

4. Haz clic en Guardar y cierra el editor.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
customer_id	target.resource.id	Asignación directa
data.customer_id	target.resource.id	Asignación directa
data.dhost	principal.hostname	Asignación directa
data.end	timestamp	Asignación directa
data.endpoint_id	principal.resource.id	Asignación directa
data.group	security_result.category_details	Asignación directa
data.id	principal.resource.id	Asignación directa
data.location	principal.hostname	Asignación directa
data.name	metadata.description	Asignación directa
data.rt	timestamp	Asignación directa
data.severity	security_result.severity	Asignación directa
data.source	principal.user.user_display_name	Asignación directa
data.source_info.ip	principal.ip	Asignación directa
data.suser	principal.user.userid	Asignación directa
data.threat	security_result.rule_name	Asignación directa cuando data.group es "POLICY"
data.type	metadata.product_event_type	Asignación directa
data.user_id	principal.user.userid	Asignación directa
data.when	timestamp	Asignación directa
dhost	principal.hostname	Asignación directa
fin	timestamp	Asignación directa
endpoint_id	principal.resource.id	Asignación directa
grupo	security_result.category_details	Asignación directa
id	principal.resource.id	Asignación directa
ubicación	principal.hostname	Asignación directa
name	metadata.description	Asignación directa
rt	timestamp	Asignación directa
gravedad	security_result.severity	Asignación directa
fuente	principal.user.user_display_name	Asignación directa
source_info.ip	principal.ip	Asignación directa
suser	principal.user.userid	Asignación directa
tipo	metadata.product_event_type	Asignación directa
user_id	principal.user.userid	Asignación directa
cuando	timestamp	Asignación directa
-	is_alert	El campo is_alert se define como "true" en los eventos con una gravedad "media" o "alta", o cuando el campo "type" indica un evento que merece una alerta, como "Event::Endpoint::UpdateRebootRequired".
-	is_significant	El campo is_significant se define como "true" en los eventos con una gravedad "media" o "alta".
-	metadata.description	El campo de descripción se rellena con el valor del campo "name" del registro sin procesar.
-	metadata.event_timestamp	El campo event_timestamp se rellena con el valor del campo "end", "rt" o "when" del registro sin procesar.
-	metadata.event_type	El campo event_type se deriva del campo "type" del registro sin procesar, que asigna tipos de eventos de Sophos específicos a tipos de eventos de UDM de Chronicle.
-	metadata.log_type	El campo log_type se define como "SOPHOS_AV" en todos los eventos.
-	metadata.product_event_type	El campo product_event_type se rellena con el valor del campo "type" del registro sin procesar.
-	metadata.product_name	El campo product_name tiene el valor "Sophos Anti-Virus" en todos los eventos.
-	metadata.vendor_name	El campo vendor_name tiene el valor "Sophos" en todos los eventos.
-	network.direction	El campo de dirección tiene el valor "OUTBOUND" en todos los eventos "NETWORK_CONNECTION".
-	network.ip_protocol	El campo ip_protocol se define como "TCP" en los eventos "NETWORK_CONNECTION" en los que está presente el campo "target.url".
-	principal.hostname	El campo de nombre de host se rellena con el valor del campo "dhost" o "location" del registro sin procesar.
-	principal.ip	El campo ip se rellena con el valor del campo "source_info.ip" del registro sin procesar.
-	principal.resource.id	El campo "id" se rellena con el valor del campo "id" o "endpoint_id" del registro sin procesar.
-	principal.user.user_display_name	El campo user_display_name se rellena con el valor del campo "suser" o "source" del registro sin procesar.
-	principal.user.userid	El campo userid se rellena con el valor del campo "suser", "user_id" o "data.suser" del registro sin procesar.
-	security_result.action	El campo de acción se deriva del campo "data.name" del registro sin procesar, que asigna acciones específicas de Sophos a acciones de UDM de Chronicle.
-	security_result.category_details	El campo "category_details" se rellena con el valor del campo "group" del registro sin procesar.
-	security_result.rule_name	El campo rule_name se extrae del campo "data.name" del registro sin procesar. En concreto, se buscan patrones como "Policy non-compliance: [rule_name]" o "Rule names: [rule_name]".
-	security_result.severity	El campo de gravedad se rellena con el valor del campo "severity" del registro sin procesar, que se convierte en el nivel de gravedad de UDM de Chronicle correspondiente.
-	security_result.summary	El campo de resumen se rellena con el valor del campo "name" del registro sin procesar cuando el tipo de evento es "GENERIC_EVENT" o "STATUS_HEARTBEAT".
-	target.application	El campo de aplicación se rellena con el valor del campo "data.name" del registro sin procesar cuando el tipo de evento es "NETWORK_CONNECTION" y la descripción menciona que se ha bloqueado una aplicación.
-	target.asset_id	El campo asset_id se rellena con el valor del campo "data.endpoint_id" del registro sin procesar cuando el tipo de evento es "NETWORK_CONNECTION" y la descripción menciona un ID de recurso.
-	target.file.full_path	El campo full_path se extrae del campo "data.name" del registro sin procesar. En concreto, se buscan patrones como "Source path: [full_path]".
-	target.file.size	El campo de tamaño se extrae del campo "data.name" del registro sin procesar. En concreto, se buscan patrones como "File size: [size]".
-	target.hostname	El campo de nombre de host se rellena con el valor del campo "data.dhost" del registro sin procesar cuando el tipo de evento es "NETWORK_CONNECTION" y la descripción menciona un nombre de host de destino.
-	target.process.file.full_path	El campo full_path se extrae del campo "data.name" del registro sin procesar. En concreto, se buscan patrones como "Aplicación controlada [acción]: [ruta_completa]".
-	target.resource.id	El campo "id" se rellena con el valor del campo "customer_id" del registro sin procesar.
-	target.resource.name	El campo Nombre se rellena con valores específicos en función del tipo de evento. En "SETTING_CREATION" y "SETTING_MODIFICATION", se asignan los valores "Device Registration" (Registro de dispositivo) y "Real time protection" (Protección en tiempo real), respectivamente. En el caso de "SCAN_UNCATEGORIZED", se rellena con el valor del campo "data.name" del registro sin procesar.
-	target.resource.type	El campo "type" se rellena con valores específicos en función del tipo de evento. En el caso de "SETTING_CREATION" y "SETTING_MODIFICATION", se asigna el valor "SETTING". En el caso de "SCAN_UNCATEGORIZED", se ha definido como "Escanear". En "SCAN_NETWORK", se ha definido el valor "Device".
-	target.url	El campo "url" se extrae del campo "data.name" del registro sin procesar, en el que se buscan patrones como "'[url]' blocked".
-	target.user.userid	El campo userid se rellena con el valor del campo "data.user_id" del registro sin procesar cuando el tipo de evento es "USER_CREATION".
-	timestamp	El campo de marca de tiempo se rellena con el valor del campo "end", "rt" o "when" del registro sin procesar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.