Recopila registros del AV de Sophos

En este documento, se explica cómo recopilar registros de Sophos AV con Bindplane. El analizador transforma los registros JSON en un modelo de datos unificado (UDM). Extrae campos de estructuras JSON anidadas, los asigna a campos del UDM y realiza la categorización de eventos según el campo de tipo, lo que enriquece los datos con detalles y acciones específicos para diferentes tipos de eventos de Sophos AV.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Una instancia de Google SecOps
• Windows 2016 o versiones posteriores, o un host de Linux con systemd
• Una máquina adicional con Windows o Linux, capaz de ejecutar Python de forma continua
• Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
• Acceso con privilegios a la Consola del administrador de Sophos Central

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación en Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

• Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:

   1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <customer_id>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'SOPHOS_AV'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
   • Reemplaza <customer_id> por el ID de cliente real.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

• Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configura el acceso a la API de Sophos Central

1. Accede a Sophos Central Admin.
2. Selecciona Configuración global > Administración de tokens de API.
3. Haz clic en Agregar token para crear uno nuevo.
4. Ingresa un nombre de token y haz clic en Guardar. Se muestra el Resumen del token de API para el token proporcionado.
5. En la sección Resumen del token de API, haz clic en Copiar para copiar la URL y los encabezados de acceso a la API.

Instala Python en una máquina adicional

1. Abre el navegador web y ve al sitio web de Python.
2. Haz clic en Descargar Python para tu sistema operativo.

3. Instala Python:

   • En Windows:
     1. Ejecuta el instalador.
     2. Marca la casilla que dice Add Python to PATH.
     3. Haz clic en Instalar ahora.

   • En Mac:

     1. Es posible que Python ya esté instalado. De lo contrario, puedes instalar la versión más reciente con la terminal.

     2. Abre Terminal y escribe el siguiente comando:

        python --version
        

Descarga la secuencia de comandos de integración de Sophos

1. Ve a la página de GitHub del repositorio de GitHub de integración de SIEM de Sophos Central.
2. Haz clic en el botón verde Code > Download ZIP.
3. Extrae el archivo ZIP.

Configura la secuencia de comandos

1. Abre el archivo config.ini en el directorio en el que extrajiste el archivo ZIP.
2. Edita el archivo de configuración:
   • Token de API: Ingresa la clave de API que copiaste anteriormente de Sophos Central.
   • Detalles del servidor Syslog: Ingresa los detalles de tu servidor Syslog.
   • Host: Ingresa la dirección IP del agente de BindPlane.
   • Puerto: Ingresa el número de puerto del agente de BindPlane.
   • Protocolo: Ingresa UDP (también puedes usar TCP o TLS según tu configuración).
3. Guarda el archivo.

Ejecuta la secuencia de comandos:

1. Ve a la carpeta de la secuencia de comandos.

   • En Windows:

     1. Presiona la tecla Windows y escribe cmd.
     2. Haz clic en Símbolo del sistema.
     3. Ve a la carpeta de la secuencia de comandos:

     cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
     

   • En macOS:

     1. Ve a Aplicaciones > Utilidades.
     2. Abre Terminal.
     3. Ve a la carpeta de la secuencia de comandos:

     cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
     

2. Ejecuta la secuencia de comandos:

   • Escribe el siguiente comando para iniciar la secuencia de comandos:

     python siem.py
     

Automatiza la secuencia de comandos para que se ejecute de forma continua en Windows (con el Programador de tareas):

1. Para abrir el Programador de tareas, escribe Programador de tareas en el menú Inicio.
2. Haz clic en Crear tarea.
3. En la pestaña General, haz lo siguiente:
   • Asigna un nombre a la tarea (por ejemplo, Sophos AV Log Export).
4. En la pestaña Activadores, haz lo siguiente:
   • Haz clic en Nuevo y configura la tarea para que se ejecute Diariamente o Al inicio (según tu preferencia).
5. En la pestaña Acciones, haz lo siguiente:
   • Haz clic en Nuevo y selecciona Iniciar un programa.
   • Busca el archivo ejecutable python.exe (por lo general, se encuentra en C:/Python/XX/python.exe).
   • En el campo Agregar argumentos, escribe la ruta de acceso al guion (por ejemplo, C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py).
6. Haz clic en Aceptar para guardar la tarea.

Automatiza la secuencia de comandos para que se ejecute de forma continua en Mac (con trabajos de Cron):

1. Abre Terminal.
2. Escribe crontab -e y presiona Intro.

3. Agrega una línea nueva al final del archivo:

   * * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
   

4. Haz clic en Guardar y sal del editor.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
customer_id	target.resource.id	Asignación directa
data.customer_id	target.resource.id	Asignación directa
data.dhost	principal.hostname	Asignación directa
data.end	timestamp	Asignación directa
data.endpoint_id	principal.resource.id	Asignación directa
data.group	security_result.category_details	Asignación directa
data.id	principal.resource.id	Asignación directa
data.location	principal.hostname	Asignación directa
data.name	metadata.description	Asignación directa
data.rt	timestamp	Asignación directa
data.severity	security_result.severity	Asignación directa
data.source	principal.user.user_display_name	Asignación directa
data.source_info.ip	principal.ip	Asignación directa
data.suser	principal.user.userid	Asignación directa
data.threat	security_result.rule_name	Asignación directa cuando data.group es "POLICY"
data.type	metadata.product_event_type	Asignación directa
data.user_id	principal.user.userid	Asignación directa
data.when	timestamp	Asignación directa
dhost	principal.hostname	Asignación directa
end	timestamp	Asignación directa
endpoint_id	principal.resource.id	Asignación directa
grupo	security_result.category_details	Asignación directa
id	principal.resource.id	Asignación directa
ubicación	principal.hostname	Asignación directa
nombre	metadata.description	Asignación directa
rt	timestamp	Asignación directa
gravedad,	security_result.severity	Asignación directa
source	principal.user.user_display_name	Asignación directa
source_info.ip	principal.ip	Asignación directa
suser	principal.user.userid	Asignación directa
tipo	metadata.product_event_type	Asignación directa
user_id	principal.user.userid	Asignación directa
cuando	timestamp	Asignación directa
-	is_alert	El campo is_alert se establece como verdadero para los eventos con "gravedad" "media" o "alta", o cuando el campo "tipo" indica un evento que merece una alerta, como "Event::Endpoint::UpdateRebootRequired".
-	is_significant	El campo is_significant se establece como verdadero para los eventos con "gravedad" "media" o "alta".
-	metadata.description	El campo de descripción se completa con el valor del campo "name" del registro sin procesar.
-	metadata.event_timestamp	El campo event_timestamp se completa con el valor del campo "end", "rt" o "when" del registro sin procesar.
-	metadata.event_type	El campo event_type se deriva del campo "type" en el registro sin procesar, y asigna tipos de eventos específicos de Sophos a tipos de eventos del UDM de Chronicle.
-	metadata.log_type	El campo log_type se establece en "SOPHOS_AV" para todos los eventos.
-	metadata.product_event_type	El campo product_event_type se completa con el valor del campo "type" del registro sin procesar.
-	metadata.product_name	El campo product_name se establece en "Sophos Anti-Virus" para todos los eventos.
-	metadata.vendor_name	El campo vendor_name se establece en "Sophos" para todos los eventos.
-	network.direction	El campo de dirección se establece en "OUTBOUND" para todos los eventos "NETWORK_CONNECTION".
-	network.ip_protocol	El campo ip_protocol se establece en "TCP" para los eventos "NETWORK_CONNECTION" en los que está presente el campo "target.url".
-	principal.hostname	El campo de nombre de host se completa con el valor del campo "dhost" o "location" del registro sin procesar.
-	principal.ip	El campo ip se propaga con el valor del campo "source_info.ip" del registro sin procesar.
-	principal.resource.id	El campo id se completa con el valor del campo "id" o "endpoint_id" del registro sin procesar.
-	principal.user.user_display_name	El campo user_display_name se completa con el valor del campo "suser" o "source" del registro sin procesar.
-	principal.user.userid	El campo userid se completa con el valor del campo "suser", "user_id" o "data.suser" del registro sin procesar.
-	security_result.action	El campo de acción se deriva del campo "data.name" en el registro sin procesar, que asigna acciones específicas de Sophos a acciones de UDM de Chronicle.
-	security_result.category_details	El campo category_details se propaga con el valor del campo "group" del registro sin procesar.
-	security_result.rule_name	El campo rule_name se extrae del campo "data.name" en el registro sin procesar, específicamente buscando patrones como "Incumplimiento de la política: [rule_name]" o "Nombres de las reglas: [rule_name]".
-	security_result.severity	El campo de gravedad se completa con el valor del campo "gravedad" del registro sin procesar, y se convierte al nivel de gravedad correspondiente del UDM de Chronicle.
-	security_result.summary	El campo de resumen se completa con el valor del campo "name" del registro sin procesar cuando el tipo de evento es "GENERIC_EVENT" o "STATUS_HEARTBEAT".
-	target.application	El campo de la aplicación se completa con el valor del campo "data.name" del registro sin procesar cuando el tipo de evento es "NETWORK_CONNECTION" y la descripción menciona que se bloqueó una aplicación.
-	target.asset_id	El campo asset_id se completa con el valor del campo "data.endpoint_id" del registro sin procesar cuando el tipo de evento es "NETWORK_CONNECTION" y la descripción menciona un ID de activo.
-	target.file.full_path	El campo full_path se extrae del campo "data.name" en el registro sin procesar, y se buscan específicamente patrones como "Ruta de origen: [full_path]".
-	target.file.size	El campo de tamaño se extrae del campo "data.name" en el registro sin procesar, específicamente buscando patrones como "Tamaño del archivo: [tamaño]".
-	target.hostname	El campo de nombre de host se completa con el valor del campo "data.dhost" del registro sin procesar cuando el tipo de evento es "NETWORK_CONNECTION" y la descripción menciona un nombre de host de destino.
-	target.process.file.full_path	El campo full_path se extrae del campo "data.name" en el registro sin procesar, y se buscan específicamente patrones como "Aplicación controlada [acción]: [ruta_completa]".
-	target.resource.id	El campo id se propaga con el valor del campo "customer_id" del registro sin procesar.
-	target.resource.name	El campo de nombre se completa con valores específicos según el tipo de evento. Para "SETTING_CREATION" y "SETTING_MODIFICATION", se establece en "Registro de dispositivos" y "Protección en tiempo real", respectivamente. En el caso de "SCAN_UNCATEGORIZED", se completa con el valor del campo "data.name" del registro sin procesar.
-	target.resource.type	El campo type se completa con valores específicos según el tipo de evento. Para "SETTING_CREATION" y "SETTING_MODIFICATION", se establece en "SETTING". Para "SCAN_UNCATEGORIZED", se establece en "Scan". Para "SCAN_NETWORK", se establece en "Device".
-	target.url	El campo URL se extrae del campo "data.name" en el registro sin procesar, y se buscan específicamente patrones como "[url] bloqueada".
-	target.user.userid	El campo userid se completa con el valor del campo "data.user_id" del registro sin procesar cuando el tipo de evento es "USER_CREATION".
-	timestamp	El campo de marca de tiempo se completa con el valor de los campos "end", "rt" o "when" del registro sin procesar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.