Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Sophos AV

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux Sophos AV à l'aide de Bindplane. L'analyseur transforme les journaux JSON en modèle de données unifié (UDM). Il extrait les champs des structures JSON imbriquées, les mappe aux champs UDM et catégorise les événements en fonction du champ "type", en enrichissant les données avec des détails et des actions spécifiques pour différents types d'événements Sophos AV.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Une machine Windows ou Linux supplémentaire, capable d'exécuter Python en continu
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à la console d'administration Sophos Central

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Trouvez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'SOPHOS_AV'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification de l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer l'accès à l'API Sophos Central

Connectez-vous à Sophos Central Admin.
Sélectionnez Paramètres généraux > Gestion des jetons d'API.
Cliquez sur Ajouter un jeton pour en créer un.
Saisissez un nom de jeton, puis cliquez sur Enregistrer. Le récapitulatif du jeton d'API pour le jeton fourni s'affiche.
Dans la section Récapitulatif du jeton API, cliquez sur Copier pour copier l'URL et les en-têtes d'accès à l'API.

Installer Python sur une autre machine

Ouvrez le navigateur Web et accédez au site Web Python.
Cliquez sur Télécharger Python pour votre système d'exploitation.
Installez Python :
- Sous Windows :
  1. Lancez le programme d'installation.
  2. Cochez la case Add Python to PATH (Ajouter Python au PATH).
  3. Cliquez sur Installer maintenant.
- Sous Mac :
  1. Python est peut-être déjà installé. Si ce n'est pas le cas, vous pouvez installer la dernière version à l'aide du terminal.
  2. Ouvrez Terminal et saisissez la commande suivante :
```
python --version
```

Télécharger le script d'intégration Sophos

Accédez à la page GitHub du dépôt GitHub d'intégration SIEM Sophos Central.
Cliquez sur le bouton vert Code > Télécharger le fichier ZIP.
Extrayez le fichier ZIP.

Configurer le script

Ouvrez le fichier config.ini dans le répertoire où vous avez extrait l'archive ZIP.
Modifiez le fichier de configuration :
- Jeton d'API : saisissez la clé API copiée précédemment depuis Sophos Central.
- Détails du serveur Syslog : saisissez les détails de votre serveur Syslog.
- Hôte : saisissez l'adresse IP de l'agent BindPlane.
- Port : saisissez le numéro de port de l'agent BindPlane.
- Protocole : saisissez UDP (vous pouvez également utiliser TCP ou TLS selon votre configuration).
Enregistrez le fichier.

Exécuter le script

Accédez au dossier de script.
- Sous Windows :
  1. Appuyez sur la touche Windows et saisissez cmd.
  2. Cliquez sur Invite de commandes.
  3. Accédez au dossier du script :
```
cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
- Sous macOS :
  1. Accédez à Applications > Utilitaires.
  2. Ouvrez l'application Terminal.
  3. Accédez au dossier du script :
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
Exécutez le script :
- Saisissez la commande suivante pour démarrer le script :
```
python siem.py
```
  Remarque : Le script commencera à extraire les journaux de Sophos Central et à les transférer vers votre serveur syslog au format JSON.

Automatisez l'exécution continue du script sur Windows (à l'aide du Planificateur de tâches) :

Ouvrez le Planificateur de tâches en saisissant Planificateur de tâches dans le menu Démarrer.
Cliquez sur Créer une tâche.
Dans l'onglet Général :
- Nommez votre tâche (par exemple, Sophos AV Log Export).
Dans l'onglet Déclencheurs :
- Cliquez sur Nouveau et définissez la tâche sur Tous les jours ou Au démarrage (selon votre préférence).
Dans l'onglet Actions :
- Cliquez sur Nouveau, puis sélectionnez Démarrer un programme.
- Recherchez l'exécutable python.exe (généralement situé dans C:/Python/XX/python.exe).
- Dans le champ Ajouter des arguments, saisissez le chemin d'accès au script (par exemple, C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py).
Cliquez sur OK pour enregistrer la tâche.

Automatisez l'exécution continue du script sur Mac (à l'aide de tâches Cron) :

Ouvrez le terminal.
Saisissez crontab -e et appuyez sur Entrée.
Ajoutez une ligne à la fin du fichier :
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
Remarque : Cette commande exécute le script chaque minute. Ajustez la durée selon vos besoins.
Cliquez sur Enregistrer et quittez l'éditeur.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
customer_id	target.resource.id	Mappage direct
data.customer_id	target.resource.id	Mappage direct
data.dhost	principal.hostname	Mappage direct
data.end	timestamp	Mappage direct
data.endpoint_id	principal.resource.id	Mappage direct
data.group	security_result.category_details	Mappage direct
data.id	principal.resource.id	Mappage direct
data.location	principal.hostname	Mappage direct
data.name	metadata.description	Mappage direct
data.rt	timestamp	Mappage direct
data.severity	security_result.severity	Mappage direct
data.source	principal.user.user_display_name	Mappage direct
data.source_info.ip	principal.ip	Mappage direct
data.suser	principal.user.userid	Mappage direct
data.threat	security_result.rule_name	Mappage direct lorsque data.group est défini sur "POLICY"
data.type	metadata.product_event_type	Mappage direct
data.user_id	principal.user.userid	Mappage direct
data.when	timestamp	Mappage direct
dhost	principal.hostname	Mappage direct
end	timestamp	Mappage direct
ID du point de terminaison	principal.resource.id	Mappage direct
groupe	security_result.category_details	Mappage direct
id	principal.resource.id	Mappage direct
emplacement	principal.hostname	Mappage direct
nom	metadata.description	Mappage direct
rt	timestamp	Mappage direct
de gravité,	security_result.severity	Mappage direct
source	principal.user.user_display_name	Mappage direct
source_info.ip	principal.ip	Mappage direct
suser	principal.user.userid	Mappage direct
type	metadata.product_event_type	Mappage direct
user_id	principal.user.userid	Mappage direct
date	timestamp	Mappage direct
-	is_alert	Le champ "is_alert" est défini sur "true" pour les événements dont la gravité est "moyenne" ou "élevée", ou lorsque le champ "type" indique un événement nécessitant une alerte, comme "Event::Endpoint::UpdateRebootRequired".
-	is_significant	Le champ "is_significant" est défini sur "true" pour les événements dont la gravité est "moyenne" ou "élevée".
-	metadata.description	Le champ de description est renseigné avec la valeur du champ "name" du journal brut.
-	metadata.event_timestamp	Le champ event_timestamp est renseigné avec la valeur du champ "end", "rt" ou "when" du journal brut.
-	metadata.event_type	Le champ "event_type" est dérivé du champ "type" du journal brut. Il mappe des types d'événements Sophos spécifiques à des types d'événements UDM Chronicle.
-	metadata.log_type	Le champ log_type est défini sur "SOPHOS_AV" pour tous les événements.
-	metadata.product_event_type	Le champ product_event_type est renseigné avec la valeur du champ "type" du journal brut.
-	metadata.product_name	Le champ "product_name" est défini sur "Sophos Anti-Virus" pour tous les événements.
-	metadata.vendor_name	Le champ "vendor_name" est défini sur "Sophos" pour tous les événements.
-	network.direction	Le champ "direction" est défini sur "OUTBOUND" pour tous les événements "NETWORK_CONNECTION".
-	network.ip_protocol	Le champ "ip_protocol" est défini sur "TCP" pour les événements "NETWORK_CONNECTION" lorsque le champ "target.url" est présent.
-	principal.hostname	Le champ "Nom d'hôte" est renseigné avec la valeur du champ "dhost" ou "location" du journal brut.
-	principal.ip	Le champ "ip" est renseigné avec la valeur du champ "source_info.ip" du journal brut.
-	principal.resource.id	Le champ "id" est renseigné avec la valeur du champ "id" ou "endpoint_id" du journal brut.
-	principal.user.user_display_name	Le champ "user_display_name" est renseigné avec la valeur du champ "suser" ou "source" du journal brut.
-	principal.user.userid	Le champ "userid" est renseigné avec la valeur du champ "suser", "user_id" ou "data.suser" du journal brut.
-	security_result.action	Le champ "action" est dérivé du champ "data.name" du journal brut, qui mappe des actions Sophos spécifiques à des actions UDM Chronicle.
-	security_result.category_details	Le champ "category_details" est renseigné avec la valeur du champ "group" du journal brut.
-	security_result.rule_name	Le champ "rule_name" est extrait du champ "data.name" du journal brut. Il recherche plus précisément des modèles tels que "Non-respect des règles : [rule_name]" ou "Noms des règles : [rule_name]".
-	security_result.severity	Le champ "severity" (gravité) est renseigné avec la valeur du champ "severity" du journal brut, qui est convertie au niveau de gravité UDM Chronicle correspondant.
-	security_result.summary	Le champ "Résumé" est renseigné avec la valeur du champ "name" du journal brut lorsque le type d'événement est "GENERIC_EVENT" ou "STATUS_HEARTBEAT".
-	target.application	Le champ "application" est renseigné avec la valeur du champ "data.name" du journal brut lorsque le type d'événement est "NETWORK_CONNECTION" et que la description mentionne le blocage d'une application.
-	target.asset_id	Le champ "asset_id" est renseigné avec la valeur du champ "data.endpoint_id" du journal brut lorsque le type d'événement est "NETWORK_CONNECTION" et que la description mentionne un ID d'asset.
-	target.file.full_path	Le champ "full_path" est extrait du champ "data.name" du journal brut, en recherchant spécifiquement des modèles tels que "Source path: [full_path]".
-	target.file.size	Le champ "Taille" est extrait du champ "data.name" du journal brut. Il recherche plus précisément des modèles tels que "Taille du fichier : [taille]".
-	target.hostname	Le champ "Nom d'hôte" est renseigné avec la valeur du champ "data.dhost" du journal brut lorsque le type d'événement est "NETWORK_CONNECTION" et que la description mentionne un nom d'hôte cible.
-	target.process.file.full_path	Le champ "full_path" est extrait du champ "data.name" du journal brut, en recherchant plus précisément des modèles tels que "Application contrôlée [action]: [full_path]".
-	target.resource.id	Le champ "id" est renseigné avec la valeur du champ "customer_id" du journal brut.
-	target.resource.name	Le champ "Nom" est renseigné avec des valeurs spécifiques en fonction du type d'événement. Pour "SETTING_CREATION" et "SETTING_MODIFICATION", il est défini respectivement sur "Enregistrement de l'appareil" et "Protection en temps réel". Pour "SCAN_UNCATEGORIZED", il est renseigné avec la valeur du champ "data.name" du journal brut.
-	target.resource.type	Le champ "type" est renseigné avec des valeurs spécifiques en fonction du type d'événement. Pour "SETTING_CREATION" et "SETTING_MODIFICATION", la valeur est définie sur "SETTING". Pour "SCAN_UNCATEGORIZED", la valeur est définie sur "Scan". Pour "SCAN_NETWORK", la valeur est définie sur "Appareil".
-	target.url	Le champ "url" est extrait du champ "data.name" du journal brut, en recherchant spécifiquement des modèles tels que "'[url]' bloqué".
-	target.user.userid	Le champ "userid" est renseigné avec la valeur du champ "data.user_id" du journal brut lorsque le type d'événement est "USER_CREATION".
-	timestamp	Le champ d'horodatage est renseigné avec la valeur du champ "end", "rt" ou "when" du journal brut.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.