Recopila registros de Sophos Capsule8

En este documento, se explica cómo recopilar registros de Sophos Linux Sensor (anteriormente Capsule8) con Bindplane. Sophos Capsule8 proporciona protección en tiempo de ejecución para cargas de trabajo, contenedores y entornos de Kubernetes de Linux, ya que detecta amenazas y responde a ellas a nivel del kernel con la tecnología eBPF. Primero, el analizador extrae y estructura los datos de registro con formato JSON. Luego, asigna los campos extraídos a sus atributos correspondientes dentro del Modelo de datos unificado (UDM) de Chronicle, enfocándose en los metadatos, los resultados de seguridad y la información principal.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Una instancia de Google SecOps
• Windows 2016 o versiones posteriores, o un host de Linux con systemd
• Una máquina adicional con Windows o Linux, capaz de ejecutar Python de forma continua
• Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
• Acceso con privilegios a la Consola del administrador de Sophos Central
• Sophos Linux Sensor (anteriormente Capsule8) implementado en tus sistemas Linux

Configura el sensor de Linux de Sophos para exportar alertas a Sophos Central

Antes de configurar la integración, primero debes configurar Sophos Linux Sensor para que envíe datos de alertas a Sophos Central.

Requisitos previos para la integración de Sophos Central

1. Sensor de Sophos para Linux, versión 5.5.2.22 o posterior
2. Una de las siguientes licencias:
   • Intercept X Advanced for Server con XDR
   • Servidor central de Managed Detection and Response Essential
   • Servidor completo de detección y respuesta gestionadas centralizadas
3. La URL de MCS y el ID de usuario de Sophos Central
4. Un token de API de repositorio de paquetes de SLS válido.

Cómo encontrar la URL de MCS

1. Accede a Sophos Central.
2. Haz clic en el nombre de tu cuenta > Configuración de asistencia.
3. Busca la línea que comienza con This account is located para averiguar en qué región geográfica se encuentra tu cuenta de Sophos Central.

4. Usa la siguiente tabla para encontrar tu URL de MCS según tu región:

   Región	URL de MCS
   Estados Unidos (Oregón)	mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
   Estados Unidos (Ohio)	mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
   Irlanda	mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
   Alemania	mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
   Canadá	mcs2.stn100yul.ctr.sophos.com
   Australia	mcs2.stn100syd.ctr.sophos.com
   Asia-Pacífico (Tokio)	mcs2.stn100hnd.ctr.sophos.com
   América del Sur (São Paulo)	mcs2.stn100gru.ctr.sophos.com

Si no ves tu región en la tabla, usa mcs2.stn100bom.ctr.sophos.com como la URL de MCS.

Configura la salida de alertas del sensor de Linux de Sophos

1. Abre /etc/sophos/runtimedetections.yaml en un editor de texto.

2. Agrega las siguientes líneas y reemplaza los valores de marcador de posición por los detalles reales de Sophos Central:

   send_labs_telemetry: true
   endpoint_telemetry_enabled: true
   cloud_meta: auto
   
   # Set your customer id:
   customer_id: "{tenant-id}"
   
   mcs:
     token: "{LINUX_REPO_API_KEY}"
     url: "{MCS_URL}"
     enabled: true
   

3. Guarda los cambios y sal.

4. Reinicia el sensor:

   systemctl restart sophoslinuxsensor
   

Opcional: Configura el sensor de Sophos para Linux para enviar metaeventos al Data Lake

A partir de la versión 5.11.0, SLS admite el envío de datos de eventos al lago de datos de Sophos.

1. Abre /etc/sophos/runtimedetections.yaml en un editor de texto.

2. Agrega la siguiente configuración:

   investigations:
     reporting_interval: 5s
     zeromq:
       topics:
       - process_events: running_processes_linux_events
         audit_user_msg: user_events_linux
     sinks:
     - backend: mcs
       name: "mcs"
       type: mcs
     flight_recorder:
       enabled: true
       tables:
       - name: "process_events"
         enabled: true
         rows: 1000
         filter:
         - match eventType == "PROCESS_EVENT_TYPE_EXEC"
         - match eventType == "BASELINE_TASK"
         - default ignore
       - name: "audit_user_msg"
         enabled: true
         rows: 1000
         filter:
         - ignore programName == "cron"
         - ignore processPid == 1
         - default match
   

3. Guarda los cambios y sal.

4. Reinicia el sensor:

   systemctl restart sophoslinuxsensor
   

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación en Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

• Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:

   1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <customer_id>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'SOPHOS_CAPSULE8'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
   • Reemplaza <customer_id> por el ID de cliente real.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

• Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configura el acceso a la API de Sophos Central

1. Accede a Sophos Central Admin.
2. Selecciona Configuración global > Administración de tokens de API.
3. Haz clic en Agregar token para crear uno nuevo.
4. Ingresa un nombre para el token y haz clic en Guardar. Se mostrará el Resumen del token de API para el token proporcionado.
5. En la sección Resumen del token de API, haz clic en Copiar para copiar la URL y los encabezados de acceso a la API.

Instala Python en una máquina adicional

1. Abre el navegador web y ve al sitio web de Python.
2. Haz clic en Descargar Python para tu sistema operativo.

3. Instala Python:

   • En Windows:
     1. Ejecuta el instalador.
     2. Marca la casilla que dice Add Python to PATH.
     3. Haz clic en Instalar ahora.

   • En Mac:

     1. Es posible que Python ya esté instalado. De lo contrario, puedes instalar la versión más reciente con la terminal.

     2. Abre Terminal y escribe el siguiente comando:

        python --version
        

Descarga la secuencia de comandos de integración de Sophos

1. Ve a la página de GitHub del repositorio de GitHub de integración de SIEM de Sophos Central.
2. Haz clic en el botón verde Code > Download ZIP.
3. Extrae el archivo ZIP.

Configura la secuencia de comandos

1. Abre el archivo config.ini en el directorio en el que extrajiste el archivo ZIP.
2. Edita el archivo de configuración:
   • Token de API: Ingresa la clave de API que copiaste anteriormente de Sophos Central.
   • Detalles del servidor Syslog: Ingresa los detalles de tu servidor Syslog.
   • Host: Ingresa la dirección IP del agente de BindPlane.
   • Puerto: Ingresa el número de puerto del agente de BindPlane.
   • Protocolo: Ingresa UDP (también puedes usar TCP o TLS según tu configuración).
3. Guarda el archivo.

Ejecuta la secuencia de comandos:

1. Ve a la carpeta de la secuencia de comandos.

   • En Windows:

     1. Presiona la tecla Windows y escribe cmd.
     2. Haz clic en Símbolo del sistema.
     3. Ve a la carpeta de la secuencia de comandos:

     cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
     

   • En macOS:

     1. Ve a Aplicaciones > Utilidades.
     2. Abre Terminal.
     3. Ve a la carpeta de la secuencia de comandos:

     cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
     

2. Ejecuta la secuencia de comandos:

   • Escribe el siguiente comando para iniciar la secuencia de comandos:

     python siem.py
     

Automatiza la secuencia de comandos para que se ejecute de forma continua en Windows (con el Programador de tareas):

1. Para abrir el Programador de tareas, escribe Programador de tareas en el menú Inicio.
2. Haz clic en Crear tarea.
3. En la pestaña General, haz lo siguiente:
   • Asigna un nombre a la tarea (por ejemplo, Sophos AV Log Export).
4. En la pestaña Activadores, haz lo siguiente:
   • Haz clic en Nuevo y configura la tarea para que se ejecute Diariamente o Al inicio (según tu preferencia).
5. En la pestaña Acciones, haz lo siguiente:
   • Haz clic en Nuevo y selecciona Iniciar un programa.
   • Busca el archivo ejecutable python.exe (por lo general, se encuentra en C:/Python/XX/python.exe).
   • En el campo Agregar argumentos, escribe la ruta de acceso al guion (por ejemplo, C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py).
6. Haz clic en Aceptar para guardar la tarea.

Automatiza la secuencia de comandos para que se ejecute de forma continua en Mac (con trabajos de Cron):

1. Abre Terminal.
2. Escribe crontab -e y presiona Intro.

3. Agrega una línea nueva al final del archivo:

   * * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
   

4. Haz clic en Guardar y sal del editor.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
categorías	read_only_udm.security_result.category_details	Cada elemento del array de categorías se agrega como un category_details independiente.
comentarios	read_only_udm.security_result.description	Se asigna directamente desde el campo de comentarios.
confianza	read_only_udm.security_result.severity_details	Se asigna directamente desde el campo de confianza.
descripción	read_only_udm.security_result.summary	Se asigna directamente desde el campo de descripción.
incident_id	read_only_udm.security_result.rule_id	Se asigna directamente desde el campo incident_id.
linaje	principal.process.parent_process…	El array de linaje se usa para completar una cadena de procesos principales, con hasta 15 niveles de profundidad. Cada elemento del array de linaje representa un proceso en la cadena, en el que el índice 0 es el elemento principal inmediato y los índices más altos representan ancestros más lejanos. Los campos pid y name de cada elemento del linaje se asignan a los campos correspondientes en el UDM.
location.container_id	principal.labels.value	Se asigna directamente desde el campo location.container_id. La clave correspondiente se establece en "container_id".
location.container_labels.maintainer	principal.labels.value	Se asigna directamente desde el campo location.container_labels.maintainer. La clave correspondiente se establece en "mantenedor".
location.container_name	principal.labels.value	Se asigna directamente desde el campo location.container_name. La clave correspondiente se establece en "container_name".
location.image_id	principal.labels.value	Se asigna directamente desde el campo location.image_id. La clave correspondiente se establece en "image_id".
location.image_name	principal.labels.value	Se asigna directamente desde el campo location.image_name. La clave correspondiente se establece en "image_name".
location.kubernetes_namespace	principal.labels.value	Se asigna directamente desde el campo location.kubernetes_namespace. La clave correspondiente se establece en "kubernetes_namespace".
location.kubernetes_pod	principal.labels.value	Se asigna directamente desde el campo location.kubernetes_pod. La clave correspondiente se establece en "kubernetes_pod".
matched_rule	read_only_udm.security_result.rule_name	Se asigna directamente desde el campo matched_rule.
metadata.gcp_instance_hostname	principal.hostname	Se asigna directamente desde el campo metadata.gcp_instance_hostname.
metadata.gcp_instance_zone	principal.cloud.availability_zone	La zona de disponibilidad se extrae del campo metadata.gcp_instance_zone con una expresión regular.
metadata.gcp_project_id	principal.cloud.project.name	Se asigna directamente desde el campo metadata.gcp_project_id.
metadata.gcp_project_numeric_id	principal.cloud.project.id	Se asigna directamente desde el campo metadata.gcp_project_numeric_id.
metadata.network_interface_eth0_addr_0	principal.ip	La dirección IP se extrae del campo metadata.network_interface_eth0_addr_0 con una expresión regular.
metadata.network_interface_eth0_hardware_addr	principal.mac	Se asigna directamente desde el campo metadata.network_interface_eth0_hardware_addr.
policy_type	read_only_udm.metadata.product_event_type	Se asigna directamente desde el campo policy_type.
process_info.args	principal.labels.value	Cada elemento del array process_info.args se agrega como una etiqueta independiente. La clave se establece en "process_info.arg[index]", donde index es la posición del argumento en el array.
process_info.name	principal.process.file.full_path	Se asigna directamente desde el campo process_info.name.
process_info.pid	principal.process.pid	Se asigna directamente desde el campo process_info.pid.
process_info.ppid	principal.process.parent_process.pid	Se asigna directamente desde el campo process_info.ppid.
priority	read_only_udm.security_result.severity	Se asigna directamente desde el campo de prioridad y se convierte a mayúsculas.
timestamp	read_only_udm.metadata.event_timestamp	Se asigna directamente desde el campo de marca de tiempo.
uuid	read_only_udm.metadata.product_log_id	Se asigna directamente desde el campo uuid.
N/A	read_only_udm.metadata.log_type	Se establece en un valor constante de "SOPHOS_CAPSULE8".
N/A	read_only_udm.metadata.event_type	Se establece en un valor constante de "SCAN_HOST".
N/A	read_only_udm.metadata.vendor_name	Se establece en un valor constante de "Sophos".
N/A	read_only_udm.metadata.product_name	Se establece en un valor constante de "Capsule8".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.