本頁面由 Cloud Translation API 翻譯而成。

收集 Sophos AV 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 收集 Sophos AV 記錄。剖析器會將 JSON 記錄轉換為統一資料模型 (UDM)。這項功能會從巢狀 JSON 結構中擷取欄位，將這些欄位對應至 UDM 欄位，並根據類型欄位執行事件分類，然後針對不同 Sophos AV 事件類型，以特定詳細資料和動作來擴充資料。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
另一部 Windows 或 Linux 電腦，能夠持續執行 Python
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Sophos Central 管理控制台的特殊權限

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'SOPHOS_AV'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

視基礎架構需求替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定 Sophos Central API 存取權

登入 Sophos Central Admin。
依序選取「通用設定」>「API 權杖管理」。
按一下「新增權杖」即可建立新權杖。
輸入權杖名稱，然後按一下「儲存」。系統會顯示所提供權杖的「API 權杖摘要」。
在「API 權杖摘要」部分中，按一下「複製」，複製 API 存取網址和標頭。

在其他機器上安裝 Python

開啟網路瀏覽器，然後前往 Python 網站。
按一下適用於您作業系統的「下載 Python」。
安裝 Python：
- Windows：
  1. 執行安裝程式。
  2. 勾選「Add Python to PATH」方塊。
  3. 按一下「立即安裝」。
- 使用 Mac 電腦：
  1. Python 可能已安裝完畢，如果沒有，您可以使用終端機安裝最新版本。
  2. 開啟「終端機」並輸入下列指令：
```
python --version
```

下載 Sophos 整合指令碼

前往 Sophos Central SIEM Integration GitHub 存放區的 GitHub 頁面。
按一下綠色的「Code」按鈕 >「Download ZIP」。
解壓縮 ZIP 檔案。

設定指令碼

在解壓縮 ZIP 封存檔的目錄中開啟 config.ini 檔案。
編輯設定檔：
- API 權杖：輸入先前從 Sophos Central 複製的 API 金鑰。
- 系統記錄檔伺服器詳細資料：輸入系統記錄檔伺服器的詳細資料。
- 主機：輸入 BindPlane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 BindPlane 代理程式通訊埠編號。
- 通訊協定：輸入 UDP (您也可以視設定使用 TCP 或 TLS)。
儲存檔案。

執行指令碼

前往指令碼資料夾。
- 使用 Windows 電腦：
  1. 按下 Windows 鍵，然後輸入 cmd。
  2. 按一下「命令提示字元」。
  3. 前往指令碼資料夾：
```
cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
- 在 macOS 上執行下列操作：
  1. 依序前往「應用程式」>「工具程式」。
  2. 開啟 [Terminal]。
  3. 前往指令碼資料夾：
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
執行指令碼：
- 輸入下列指令來啟動指令碼：
```
python siem.py
```
  注意： 指令碼會開始從 Sophos Central 擷取記錄，並以 JSON 格式轉送至您的系統記錄伺服器。

在 Windows 上自動執行指令碼 (使用工作排程器)：

在「開始」選單中輸入「工作排程器」，開啟工作排程器。
按一下「建立工作」。
在「一般」分頁中：
- 為工作命名 (例如 Sophos AV Log Export)。
在「觸發條件」分頁中：
- 按一下「新增」，然後視需要將工作設為「每日」或「啟動時」執行。
在「動作」分頁中：
- 按一下「新增」，然後選取「開始計畫」。
- 瀏覽 python.exe 可執行檔 (通常位於 C:/Python/XX/python.exe)。
- 在「Add arguments」(新增引數) 欄位中，輸入指令碼的路徑 (例如 C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py)。
按一下「確定」儲存工作。

自動執行指令碼，在 Mac 上持續運作 (使用 Cron Jobs)：

開啟終端機。
輸入 crontab -e，然後按下 Enter 鍵。
在檔案結尾處加上新的一行：
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
注意： 這會每分鐘執行一次指令碼。請視需要調整時間。
按一下「儲存」並結束編輯器。

UDM 對應表

記錄欄位	UDM 對應	邏輯
customer_id	target.resource.id	直接對應
data.customer_id	target.resource.id	直接對應
data.dhost	principal.hostname	直接對應
data.end	時間戳記	直接對應
data.endpoint_id	principal.resource.id	直接對應
data.group	security_result.category_details	直接對應
data.id	principal.resource.id	直接對應
data.location	principal.hostname	直接對應
data.name	metadata.description	直接對應
data.rt	時間戳記	直接對應
data.severity	security_result.severity	直接對應
data.source	principal.user.user_display_name	直接對應
data.source_info.ip	principal.ip	直接對應
data.suser	principal.user.userid	直接對應
data.threat	security_result.rule_name	資料.群組為「POLICY」時的直接對應
data.type	metadata.product_event_type	直接對應
data.user_id	principal.user.userid	直接對應
data.when	時間戳記	直接對應
dhost	principal.hostname	直接對應
結束	時間戳記	直接對應
端點 ID	principal.resource.id	直接對應
群組	security_result.category_details	直接對應
id	principal.resource.id	直接對應
位置	principal.hostname	直接對應
名稱	metadata.description	直接對應
rt	時間戳記	直接對應
嚴重性	security_result.severity	直接對應
來源	principal.user.user_display_name	直接對應
source_info.ip	principal.ip	直接對應
suser	principal.user.userid	直接對應
類型	metadata.product_event_type	直接對應
user_id	principal.user.userid	直接對應
時間	時間戳記	直接對應
-	is_alert	如果事件的「嚴重性」為「中」或「高」，或「類型」欄位指出值得注意的事件 (例如「Event::Endpoint::UpdateRebootRequired」)，系統就會將 is_alert 欄位設為 true。
-	is_significant	如果事件的「嚴重程度」為「中」或「高」，is_significant 欄位會設為 true。
-	metadata.description	說明欄位會填入原始記錄中「name」欄位的值。
-	metadata.event_timestamp	event_timestamp 欄位會填入原始記錄檔中「end」、「rt」或「when」欄位的值。
-	metadata.event_type	event_type 欄位衍生自原始記錄中的「type」欄位，可將特定 Sophos 事件類型對應至 Chronicle UDM 事件類型。
-	metadata.log_type	所有事件的 log_type 欄位都會設為「SOPHOS_AV」。
-	metadata.product_event_type	product_event_type 欄位會填入原始記錄的「type」欄位值。
-	metadata.product_name	所有事件的 product_name 欄位都會設為「Sophos Anti-Virus」。
-	metadata.vendor_name	所有事件的 vendor_name 欄位都會設為「Sophos」。
-	network.direction	所有「NETWORK_CONNECTION」事件的方向欄位都會設為「OUTBOUND」。
-	network.ip_protocol	如果「NETWORK_CONNECTION」事件有「target.url」欄位，ip_protocol 欄位會設為「TCP」。
-	principal.hostname	主機名稱欄位會填入原始記錄中的「dhost」或「location」欄位值。
-	principal.ip	系統會從原始記錄的「source_info.ip」欄位填入 ip 欄位的值。
-	principal.resource.id	系統會從原始記錄的「id」或「endpoint_id」欄位中，填入 id 欄位的值。
-	principal.user.user_display_name	系統會從原始記錄的「suser」或「source」欄位值，填入 user_display_name 欄位。
-	principal.user.userid	系統會從原始記錄的「suser」、「user_id」或「data.suser」欄位，填入 userid 欄位的值。
-	security_result.action	動作欄位衍生自原始記錄中的「data.name」欄位，可將特定 Sophos 動作對應至 Chronicle UDM 動作。
-	security_result.category_details	category_details 欄位會填入原始記錄的「group」欄位值。
-	security_result.rule_name	系統會從原始記錄的「data.name」欄位中擷取 rule_name 欄位，特別是尋找「Policy non-compliance: [rule_name]」或「Rule names: [rule_name]」等模式。
-	security_result.severity	系統會填入原始記錄中「嚴重性」欄位的值，並轉換為對應的 Chronicle UDM 嚴重性等級。
-	security_result.summary	如果事件類型為「GENERIC_EVENT」或「STATUS_HEARTBEAT」，系統會從原始記錄的「name」欄位填入摘要欄位的值。
-	target.application	如果事件類型為「NETWORK_CONNECTION」，且說明提及應用程式遭到封鎖，系統會從原始記錄的「data.name」欄位填入應用程式欄位的值。
-	target.asset_id	當事件類型為「NETWORK_CONNECTION」，且說明提及資產 ID 時，系統會從原始記錄的「data.endpoint_id」欄位填入 asset_id 欄位的值。
-	target.file.full_path	系統會從原始記錄的「data.name」欄位擷取 full_path 欄位，特別是尋找「Source path: [full_path]」這類模式。
-	target.file.size	系統會從原始記錄的「data.name」欄位擷取大小欄位，特別是尋找「File size: [size]」這類模式。
-	target.hostname	如果事件類型為「NETWORK_CONNECTION」，且說明中提及目標主機名稱，系統就會從原始記錄的「data.dhost」欄位填入主機名稱欄位的值。
-	target.process.file.full_path	系統會從原始記錄的「data.name」欄位中擷取 full_path 欄位，特別是尋找「Controlled application [action]: [full_path]」這類模式。
-	target.resource.id	系統會從原始記錄的「customer_id」欄位值填入 id 欄位。
-	target.resource.name	系統會根據事件類型，在名稱欄位中填入特定值。如果是「SETTING_CREATION」和「SETTING_MODIFICATION」，則分別設為「裝置註冊」和「即時防護」。如果是「SCAN_UNCATEGORIZED」，系統會填入原始記錄的「data.name」欄位值。
-	target.resource.type	系統會根據事件類型，在「類型」欄位中填入特定值。如果是「SETTING_CREATION」和「SETTING_MODIFICATION」，則會設為「SETTING」。如果是「SCAN_UNCATEGORIZED」，則會設為「掃描」。「SCAN_NETWORK」設為「裝置」。
-	target.url	系統會從原始記錄的「data.name」欄位中擷取網址欄位，特別是尋找「'[url]' blocked」等模式。
-	target.user.userid	如果事件類型為「USER_CREATION」，系統會從原始記錄的「data.user_id」欄位填入 userid 欄位的值。
-	時間戳記	時間戳記欄位會填入原始記錄中的「end」、「rt」或「when」欄位值。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。