Raccogliere i log di Sophos AV

Questo documento spiega come raccogliere i log di Sophos AV utilizzando Bindplane. Il parser trasforma i log JSON in un modello unificato dei dati (UDM). Estrae i campi dalle strutture JSON nidificate, li mappa ai campi UDM ed esegue la classificazione degli eventi in base al campo di tipo, arricchendo i dati con dettagli e azioni specifici per i diversi tipi di eventi Sophos AV.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Windows 2016 o versioni successive oppure un host Linux con systemd
• Un'altra macchina Windows o Linux in grado di eseguire Python ininterrottamente
• Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
• Accesso privilegiato alla console di amministrazione di Sophos Central

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

• Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <customer_id>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'SOPHOS_AV'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
   • Sostituisci <customer_id> con l'ID cliente effettivo.
   • Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui questo comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurare l'accesso all'API Sophos Central

1. Accedi a Sophos Central Admin.
2. Seleziona Impostazioni globali > Gestione token API.
3. Fai clic su Aggiungi token per creare un nuovo token.
4. Inserisci un nome per il token e fai clic su Salva. Viene visualizzato il Riepilogo token API per il token fornito.
5. Nella sezione Riepilogo token API, fai clic su Copia per copiare l'URL di accesso all'API e le intestazioni.

Installare Python su un'altra macchina

1. Apri il browser web e vai al sito web di Python.
2. Fai clic su Scarica Python per il tuo sistema operativo.

3. Installa Python:

   • Su Windows:
     1. Esegui il programma di installazione.
     2. Seleziona la casella Aggiungi Python a PATH.
     3. Fai clic su Installa ora.

   • Sul Mac:

     1. Python potrebbe essere già installato. In caso contrario, puoi installare l'ultima versione utilizzando il terminale.

     2. Apri Terminale e digita questo comando:

        python --version
        

Scarica lo script di integrazione di Sophos

1. Vai alla pagina GitHub del repository GitHub di integrazione SIEM di Sophos Central.
2. Fai clic sul pulsante verde Codice > Scarica ZIP.
3. Estrai il file ZIP.

Configurare la configurazione dello script

1. Apri il file config.ini nella directory in cui hai estratto l'archivio ZIP.
2. Modifica il file di configurazione:
   • Token API: inserisci la chiave API copiata in precedenza da Sophos Central.
   • Dettagli del server syslog: inserisci i dettagli del server syslog.
   • Host: inserisci l'indirizzo IP dell'agente BindPlane.
   • Porta: inserisci il numero di porta dell'agente BindPlane.
   • Protocollo: inserisci UDP (puoi utilizzare anche TCP o TLS a seconda della configurazione).
3. Salva il file.

Esegui lo script

1. Vai alla cartella degli script.

   • Su Windows:

     1. Premi il tasto Windows e digita cmd.
     2. Fai clic su Prompt dei comandi.
     3. Vai alla cartella degli script:

     cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
     

   • In macOS:

     1. Vai ad Applicazioni > Utilità.
     2. Apri Terminale.
     3. Vai alla cartella degli script:

     cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
     

2. Esegui lo script:

   • Digita il seguente comando per avviare lo script:

     python siem.py
     

Automatizza l'esecuzione continua dello script su Windows (utilizzando l'Utilità di pianificazione):

1. Apri Utilità di pianificazione digitando Utilità di pianificazione nel menu Start.
2. Fai clic su Crea attività.
3. Nella scheda Generale:
   • Assegna un nome all'attività (ad esempio, Sophos AV Log Export).
4. Nella scheda Trigger:
   • Fai clic su Nuovo e imposta l'attività in modo che venga eseguita Giornalmente o All'avvio (a seconda delle tue preferenze).
5. Nella scheda Azioni:
   • Fai clic su Nuovo e seleziona Avvia un programma.
   • Cerca l'eseguibile python.exe (di solito si trova in C:/Python/XX/python.exe).
   • Nel campo Aggiungi argomenti, digita il percorso dello script (ad esempio, C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py).
6. Fai clic su Ok per salvare l'attività.

Automatizza l'esecuzione continua dello script su Mac (utilizzando Cron Jobs):

1. Apri Terminale.
2. Digita crontab -e e premi Invio.

3. Aggiungi una nuova riga alla fine del file:

   * * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
   

4. Fai clic su Salva ed esci dall'editor.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
customer_id	target.resource.id	Mappatura diretta
data.customer_id	target.resource.id	Mappatura diretta
data.dhost	principal.hostname	Mappatura diretta
data.end	timestamp	Mappatura diretta
data.endpoint_id	principal.resource.id	Mappatura diretta
data.group	security_result.category_details	Mappatura diretta
data.id	principal.resource.id	Mappatura diretta
data.location	principal.hostname	Mappatura diretta
data.name	metadata.description	Mappatura diretta
data.rt	timestamp	Mappatura diretta
data.severity	security_result.severity	Mappatura diretta
data.source	principal.user.user_display_name	Mappatura diretta
data.source_info.ip	principal.ip	Mappatura diretta
data.suser	principal.user.userid	Mappatura diretta
data.threat	security_result.rule_name	Mappatura diretta quando data.group è "POLICY"
data.type	metadata.product_event_type	Mappatura diretta
data.user_id	principal.user.userid	Mappatura diretta
data.when	timestamp	Mappatura diretta
dhost	principal.hostname	Mappatura diretta
end	timestamp	Mappatura diretta
endpoint_id (ID endpoint)	principal.resource.id	Mappatura diretta
gruppo	security_result.category_details	Mappatura diretta
ID	principal.resource.id	Mappatura diretta
località	principal.hostname	Mappatura diretta
nome	metadata.description	Mappatura diretta
rt	timestamp	Mappatura diretta
gravità	security_result.severity	Mappatura diretta
origine	principal.user.user_display_name	Mappatura diretta
source_info.ip	principal.ip	Mappatura diretta
suser	principal.user.userid	Mappatura diretta
tipo	metadata.product_event_type	Mappatura diretta
user_id	principal.user.userid	Mappatura diretta
quando	timestamp	Mappatura diretta
-	is_alert	Il campo is_alert è impostato su true per gli eventi con "severity" (gravità) "medium" (media) o "high" (alta) oppure quando il campo "type" (tipo) indica un evento che merita un avviso, ad esempio "Event::Endpoint::UpdateRebootRequired".
-	is_significant	Il campo is_significant è impostato su true per gli eventi con "gravità" "media" o "alta".
-	metadata.description	Il campo della descrizione viene compilato con il valore del campo "name" del log non elaborato.
-	metadata.event_timestamp	Il campo event_timestamp viene compilato con il valore del campo "end", "rt" o "when" del log non elaborato.
-	metadata.event_type	Il campo event_type deriva dal campo "type" nel log non elaborato, mappando tipi di eventi Sophos specifici ai tipi di eventi UDM di Chronicle.
-	metadata.log_type	Il campo log_type è impostato su "SOPHOS_AV" per tutti gli eventi.
-	metadata.product_event_type	Il campo product_event_type viene compilato con il valore del campo "type" del log non elaborato.
-	metadata.product_name	Il campo product_name è impostato su "Sophos Anti-Virus" per tutti gli eventi.
-	metadata.vendor_name	Il campo vendor_name è impostato su "Sophos" per tutti gli eventi.
-	network.direction	Il campo direzione è impostato su "OUTBOUND" per tutti gli eventi "NETWORK_CONNECTION".
-	network.ip_protocol	Il campo ip_protocol è impostato su "TCP" per gli eventi "NETWORK_CONNECTION" in cui è presente il campo "target.url".
-	principal.hostname	Il campo Nome host viene compilato con il valore del campo "dhost" o "location" del log non elaborato.
-	principal.ip	Il campo ip viene compilato con il valore del campo "source_info.ip" del log non elaborato.
-	principal.resource.id	Il campo id viene compilato con il valore del campo "id" o "endpoint_id" del log non elaborato.
-	principal.user.user_display_name	Il campo user_display_name viene compilato con il valore del campo "suser" o "source" del log non elaborato.
-	principal.user.userid	Il campo userid viene compilato con il valore del campo "suser", "user_id" o "data.suser" del log non elaborato.
-	security_result.action	Il campo Azione deriva dal campo "data.name" nel log non elaborato, mappando azioni Sophos specifiche alle azioni UDM di Chronicle.
-	security_result.category_details	Il campo category_details viene compilato con il valore del campo "group" del log non elaborato.
-	security_result.rule_name	Il campo rule_name viene estratto dal campo "data.name" nel log non elaborato, cercando in particolare pattern come "Policy non-compliance: [rule_name]" o "Rule names: [rule_name]".
-	security_result.severity	Il campo gravità viene compilato con il valore del campo "gravità" del log non elaborato, convertendolo nel livello di gravità UDM di Chronicle corrispondente.
-	security_result.summary	Il campo riepilogativo viene compilato con il valore del campo "name" del log non elaborato quando il tipo di evento è "GENERIC_EVENT" o "STATUS_HEARTBEAT".
-	target.application	Il campo dell'applicazione viene compilato con il valore del campo "data.name" del log non elaborato quando il tipo di evento è "NETWORK_CONNECTION" e la descrizione menziona un'applicazione bloccata.
-	target.asset_id	Il campo asset_id viene compilato con il valore del campo "data.endpoint_id" del log non elaborato quando il tipo di evento è "NETWORK_CONNECTION" e la descrizione menziona un ID risorsa.
-	target.file.full_path	Il campo full_path viene estratto dal campo "data.name" nel log non elaborato, cercando in particolare pattern come "Source path: [full_path]".
-	target.file.size	Il campo delle dimensioni viene estratto dal campo "data.name" nel log non elaborato, cercando in particolare pattern come "File size: [size]".
-	target.hostname	Il campo Nome host viene compilato con il valore del campo "data.dhost" del log non elaborato quando il tipo di evento è "NETWORK_CONNECTION" e la descrizione menziona un nome host di destinazione.
-	target.process.file.full_path	Il campo full_path viene estratto dal campo "data.name" nel log non elaborato, cercando in particolare pattern come "Controlled application [action]: [full_path]".
-	target.resource.id	Il campo id viene compilato con il valore del campo "customer_id" del log non elaborato.
-	target.resource.name	Il campo del nome viene compilato con valori specifici in base al tipo di evento. Per "SETTING_CREATION" e "SETTING_MODIFICATION", è impostato rispettivamente su "Registrazione dispositivo" e "Protezione in tempo reale". Per "SCAN_UNCATEGORIZED", viene compilato con il valore del campo "data.name" del log non elaborato.
-	target.resource.type	Il campo type viene compilato con valori specifici in base al tipo di evento. Per "SETTING_CREATION" e "SETTING_MODIFICATION", è impostato su "SETTING". Per "SCAN_UNCATEGORIZED", è impostato su "Scan". Per "SCAN_NETWORK", è impostato su "Device".
-	target.url	Il campo URL viene estratto dal campo "data.name" nel log non elaborato, cercando in particolare pattern come "'[url]' bloccato".
-	target.user.userid	Il campo userid viene compilato con il valore del campo "data.user_id" del log non elaborato quando il tipo di evento è "USER_CREATION".
-	timestamp	Il campo timestamp viene compilato con il valore del campo "end", "rt" o "when" del log non elaborato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.