Raccogliere i log di Sophos Capsule8

Questo documento spiega come raccogliere i log di Sophos Linux Sensor (in precedenza Capsule8) utilizzando Bindplane. Sophos Capsule8 fornisce protezione in fase di runtime per carichi di lavoro Linux, container e ambienti Kubernetes rilevando e rispondendo alle minacce a livello di kernel utilizzando la tecnologia eBPF. Il parser estrae e struttura innanzitutto i dati di log in formato JSON. Quindi, mappa i campi estratti ai relativi attributi all'interno del modello Unified Data Model (UDM) di Chronicle, concentrandosi su metadati, risultati di sicurezza e informazioni principali.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Windows 2016 o versioni successive oppure un host Linux con systemd
• Un'altra macchina Windows o Linux in grado di eseguire Python ininterrottamente
• Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
• Accesso privilegiato alla console di amministrazione di Sophos Central
• Sophos Linux Sensor (in precedenza Capsule8) implementato sui tuoi sistemi Linux

Configurare Sophos Linux Sensor per esportare gli avvisi in Sophos Central

Prima di configurare l'integrazione, devi configurare Sophos Linux Sensor per inviare i dati degli avvisi a Sophos Central.

Prerequisiti per l'integrazione di Sophos Central

1. Sophos Linux Sensor versione 5.5.2.22 o successive.
2. Una delle seguenti licenze:
   • Intercept X Advanced for Server con XDR
   • Central Managed Detection and Response Essential Server
   • Server completo di rilevamento e risposta gestiti centralizzati
3. L'URL MCS e l'ID tenant di Sophos Central.
4. Un token API del repository di pacchetti SLS valido.

Trovare l'URL di MCS

1. Accedi a Sophos Central.
2. Fai clic sul nome del tuo account > Impostazioni di assistenza.
3. Cerca la riga che inizia con This account is located per scoprire in quale regione geografica si trova il tuo account Sophos Central.

4. Utilizza la tabella seguente per trovare l'URL di MCS in base alla tua regione:

   Regione	URL MCS
   Stati Uniti (Oregon)	mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
   Stati Uniti (Ohio)	mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
   Irlanda	mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
   Germania	mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
   Canada	mcs2.stn100yul.ctr.sophos.com
   Australia	mcs2.stn100syd.ctr.sophos.com
   Asia Pacifico (Tokyo)	mcs2.stn100hnd.ctr.sophos.com
   Sud America (San Paolo)	mcs2.stn100gru.ctr.sophos.com

Se non vedi la tua regione nella tabella, utilizza mcs2.stn100bom.ctr.sophos.com come URL di MCS.

Configurare l'output degli avvisi di Sophos Linux Sensor

1. Apri /etc/sophos/runtimedetections.yaml in un editor di testo.

2. Aggiungi le seguenti righe, sostituendo i valori segnaposto con i dettagli effettivi di Sophos Central:

   send_labs_telemetry: true
   endpoint_telemetry_enabled: true
   cloud_meta: auto
   
   # Set your customer id:
   customer_id: "{tenant-id}"
   
   mcs:
     token: "{LINUX_REPO_API_KEY}"
     url: "{MCS_URL}"
     enabled: true
   

3. Salva le modifiche ed esci.

4. Riavvia il sensore:

   systemctl restart sophoslinuxsensor
   

(Facoltativo) Configura Sophos Linux Sensor per inviare meta-eventi a Data Lake

A partire dalla versione 5.11.0, SLS supporta l'invio dei dati sugli eventi a Sophos Data Lake.

1. Apri /etc/sophos/runtimedetections.yaml in un editor di testo.

2. Aggiungi la seguente configurazione:

   investigations:
     reporting_interval: 5s
     zeromq:
       topics:
       - process_events: running_processes_linux_events
         audit_user_msg: user_events_linux
     sinks:
     - backend: mcs
       name: "mcs"
       type: mcs
     flight_recorder:
       enabled: true
       tables:
       - name: "process_events"
         enabled: true
         rows: 1000
         filter:
         - match eventType == "PROCESS_EVENT_TYPE_EXEC"
         - match eventType == "BASELINE_TASK"
         - default ignore
       - name: "audit_user_msg"
         enabled: true
         rows: 1000
         filter:
         - ignore programName == "cron"
         - ignore processPid == 1
         - default match
   

3. Salva le modifiche ed esci.

4. Riavvia il sensore:

   systemctl restart sophoslinuxsensor
   

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

• Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <customer_id>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'SOPHOS_CAPSULE8'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

   • Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
   • Sostituisci <customer_id> con l'ID cliente effettivo.
   • Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui questo comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurare l'accesso all'API Sophos Central

1. Accedi a Sophos Central Admin.
2. Seleziona Impostazioni globali > Gestione token API.
3. Fai clic su Aggiungi token per creare un nuovo token.
4. Inserisci un nome per il token e fai clic su Salva. Viene visualizzato il Riepilogo token API per il token fornito.
5. Nella sezione Riepilogo token API, fai clic su Copia per copiare l'URL di accesso all'API e le intestazioni.

Installare Python su un'altra macchina

1. Apri il browser web e vai al sito web di Python.
2. Fai clic su Scarica Python per il tuo sistema operativo.

3. Installa Python:

   • Su Windows:
     1. Esegui il programma di installazione.
     2. Seleziona la casella Aggiungi Python a PATH.
     3. Fai clic su Installa ora.

   • Sul Mac:

     1. Python potrebbe essere già installato. In caso contrario, puoi installare l'ultima versione utilizzando il terminale.

     2. Apri Terminale e digita questo comando:

        python --version
        

Scarica lo script di integrazione di Sophos

1. Vai alla pagina GitHub del repository GitHub di integrazione SIEM di Sophos Central.
2. Fai clic sul pulsante verde Codice > Scarica ZIP.
3. Estrai il file ZIP.

Configurare la configurazione dello script

1. Apri il file config.ini nella directory in cui hai estratto l'archivio ZIP.
2. Modifica il file di configurazione:
   • Token API: inserisci la chiave API copiata in precedenza da Sophos Central.
   • Dettagli del server syslog: inserisci i dettagli del server syslog.
   • Host: inserisci l'indirizzo IP dell'agente BindPlane.
   • Porta: inserisci il numero di porta dell'agente BindPlane.
   • Protocollo: inserisci UDP (puoi utilizzare anche TCP o TLS a seconda della configurazione).
3. Salva il file.

Esegui lo script

1. Vai alla cartella degli script.

   • Su Windows:

     1. Premi il tasto Windows e digita cmd.
     2. Fai clic su Prompt dei comandi.
     3. Vai alla cartella degli script:

     cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
     

   • In macOS:

     1. Vai ad Applicazioni > Utilità.
     2. Apri Terminale.
     3. Vai alla cartella degli script:

     cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
     

2. Esegui lo script:

   • Digita il seguente comando per avviare lo script:

     python siem.py
     

Automatizza l'esecuzione continua dello script su Windows (utilizzando l'Utilità di pianificazione):

1. Apri Utilità di pianificazione digitando Utilità di pianificazione nel menu Start.
2. Fai clic su Crea attività.
3. Nella scheda Generale:
   • Assegna un nome all'attività (ad esempio, Sophos AV Log Export).
4. Nella scheda Trigger:
   • Fai clic su Nuovo e imposta l'attività in modo che venga eseguita Giornalmente o All'avvio (a seconda delle tue preferenze).
5. Nella scheda Azioni:
   • Fai clic su Nuovo e seleziona Avvia un programma.
   • Cerca l'eseguibile python.exe (di solito si trova in C:/Python/XX/python.exe).
   • Nel campo Aggiungi argomenti, digita il percorso dello script (ad esempio, C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py).
6. Fai clic su Ok per salvare l'attività.

Automatizza l'esecuzione continua dello script su Mac (utilizzando Cron Jobs):

1. Apri Terminale.
2. Digita crontab -e e premi Invio.

3. Aggiungi una nuova riga alla fine del file:

   * * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
   

4. Fai clic su Salva ed esci dall'editor.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
categorie	read_only_udm.security_result.category_details	Ogni elemento dell'array delle categorie viene aggiunto come categoria_details separata.
commenti	read_only_udm.security_result.description	Mappato direttamente dal campo dei commenti.
confidenza	read_only_udm.security_result.severity_details	Mappato direttamente dal campo di confidenza.
descrizione	read_only_udm.security_result.summary	Mappato direttamente dal campo Descrizione.
incident_id	read_only_udm.security_result.rule_id	Mappato direttamente dal campo incident_id.
derivazione	principal.process.parent_process...	L'array di derivazione viene utilizzato per compilare una catena di processi padre, fino a 15 livelli di profondità. Ogni elemento dell'array di derivazione rappresenta un processo nella catena, con l'indice 0 che indica il genitore immediato e gli indici più alti che rappresentano gli antenati più lontani. I campi pid e name di ogni elemento di derivazione vengono mappati ai campi corrispondenti in UDM.
location.container_id	principal.labels.value	Mappato direttamente dal campo location.container_id. La chiave corrispondente è impostata su "container_id".
location.container_labels.maintainer	principal.labels.value	Mappato direttamente dal campo location.container_labels.maintainer. La chiave corrispondente è impostata su "maintainer".
location.container_name	principal.labels.value	Mappato direttamente dal campo location.container_name. La chiave corrispondente è impostata su "container_name".
location.image_id	principal.labels.value	Mappato direttamente dal campo location.image_id. La chiave corrispondente è impostata su "image_id".
location.image_name	principal.labels.value	Mappato direttamente dal campo location.image_name. La chiave corrispondente è impostata su "image_name".
location.kubernetes_namespace	principal.labels.value	Mappato direttamente dal campo location.kubernetes_namespace. La chiave corrispondente è impostata su "kubernetes_namespace".
location.kubernetes_pod	principal.labels.value	Mappato direttamente dal campo location.kubernetes_pod. La chiave corrispondente è impostata su "kubernetes_pod".
matched_rule	read_only_udm.security_result.rule_name	Mappato direttamente dal campo matched_rule.
metadata.gcp_instance_hostname	principal.hostname	Mappato direttamente dal campo metadata.gcp_instance_hostname.
metadata.gcp_instance_zone	principal.cloud.availability_zone	La zona di disponibilità viene estratta dal campo metadata.gcp_instance_zone utilizzando un'espressione regolare.
metadata.gcp_project_id	principal.cloud.project.name	Mappato direttamente dal campo metadata.gcp_project_id.
metadata.gcp_project_numeric_id	principal.cloud.project.id	Mappato direttamente dal campo metadata.gcp_project_numeric_id.
metadata.network_interface_eth0_addr_0	principal.ip	L'indirizzo IP viene estratto dal campo metadata.network_interface_eth0_addr_0 utilizzando un'espressione regolare.
metadata.network_interface_eth0_hardware_addr	principal.mac	Mappato direttamente dal campo metadata.network_interface_eth0_hardware_addr.
policy_type	read_only_udm.metadata.product_event_type	Mappato direttamente dal campo policy_type.
process_info.args	principal.labels.value	Ogni elemento dell'array process_info.args viene aggiunto come etichetta separata. La chiave è impostata su "process_info.arg[index]", dove index è la posizione dell'argomento nell'array.
process_info.name	principal.process.file.full_path	Mappato direttamente dal campo process_info.name.
process_info.pid	principal.process.pid	Mappato direttamente dal campo process_info.pid.
process_info.ppid	principal.process.parent_process.pid	Mappato direttamente dal campo process_info.ppid.
priorità	read_only_udm.security_result.severity	Mappato direttamente dal campo priorità, convertito in maiuscolo.
timestamp	read_only_udm.metadata.event_timestamp	Mappato direttamente dal campo timestamp.
uuid	read_only_udm.metadata.product_log_id	Mappato direttamente dal campo uuid.
N/D	read_only_udm.metadata.log_type	Imposta un valore costante di "SOPHOS_CAPSULE8".
N/D	read_only_udm.metadata.event_type	Imposta un valore costante di "SCAN_HOST".
N/D	read_only_udm.metadata.vendor_name	Imposta un valore costante di "Sophos".
N/D	read_only_udm.metadata.product_name	Impostato su un valore costante di "Capsule8".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.