Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Sophos Intercept EDR

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros de Sophos Intercept EDR con Bindplane. El analizador extrae campos de los registros JSON de Sophos EDR y los transforma en el modelo de datos unificado (UDM). Analiza el campo message, asigna los campos de Sophos a los campos de UDM (por ejemplo, suser a principal.user.userid), realiza combinaciones condicionales según la presencia de campos y categoriza los eventos según el campo type, estableciendo los tipos de eventos de UDM y las acciones de resultados de seguridad adecuados.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows 2016 o versiones posteriores, o un host de Linux con systemd
Una máquina adicional con Windows o Linux, capaz de ejecutar Python de forma continua
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a la Consola del administrador de Sophos Central

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'SOPHOS_EDR'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el acceso a la API de Sophos Central

Accede a Sophos Central Admin.
Selecciona Configuración global > Administración de tokens de API.
Haz clic en Agregar token para crear uno nuevo.
Ingresa un nombre para el token y haz clic en Guardar. Se mostrará el Resumen del token de API para el token proporcionado.
En la sección Resumen del token de API, haz clic en Copiar para copiar la URL y los encabezados de acceso a la API.

Instala Python en una máquina adicional

Abre el navegador web y ve al sitio web de Python.
Haz clic en Descargar Python para tu sistema operativo.
Instala Python:
- En Windows:
  1. Ejecuta el instalador.
  2. Marca la casilla que dice Add Python to PATH.
  3. Haz clic en Instalar ahora.
- En Mac:
  1. Es posible que Python ya esté instalado. De lo contrario, puedes instalar la versión más reciente con la terminal.
  2. Abre Terminal y escribe el siguiente comando:
```
python --version
```

Descarga la secuencia de comandos de integración de Sophos

Ve a la página de GitHub del repositorio de GitHub de integración de SIEM de Sophos Central.
Haz clic en el botón verde Code > Download ZIP.
Extrae el archivo ZIP.

Configura la secuencia de comandos

Abre el archivo config.ini en el directorio en el que extrajiste el archivo ZIP.
Edita el archivo de configuración:
- Token de API: Ingresa la clave de API que copiaste anteriormente de Sophos Central.
- Detalles del servidor Syslog: Ingresa los detalles de tu servidor Syslog.
- Host: Ingresa la dirección IP del agente de BindPlane.
- Puerto: Ingresa el número de puerto del agente de BindPlane.
- Protocolo: Ingresa UDP (también puedes usar TCP o TLS según tu configuración).
Guarda el archivo.

Ejecuta la secuencia de comandos:

Ve a la carpeta de la secuencia de comandos.
- En Windows:
  1. Presiona la tecla Windows y escribe cmd.
  2. Haz clic en Símbolo del sistema.
  3. Ve a la carpeta de la secuencia de comandos:
```
cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
- En macOS:
  1. Ve a Aplicaciones > Utilidades.
  2. Abre Terminal.
  3. Ve a la carpeta de la secuencia de comandos:
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
Ejecuta la secuencia de comandos:
- Escribe el siguiente comando para iniciar la secuencia de comandos:
```
python siem.py
```
  Nota: La secuencia de comandos comenzará a recuperar registros de Sophos Central y a reenviarlos a tu servidor syslog en formato JSON.

Automatiza la secuencia de comandos para que se ejecute de forma continua en Windows (con el Programador de tareas):

Para abrir el Programador de tareas, escribe Programador de tareas en el menú Inicio.
Haz clic en Crear tarea.
En la pestaña General, haz lo siguiente:
- Asigna un nombre a la tarea (por ejemplo, Sophos AV Log Export).
En la pestaña Activadores, haz lo siguiente:
- Haz clic en Nuevo y configura la tarea para que se ejecute Diariamente o Al inicio (según tu preferencia).
En la pestaña Acciones, haz lo siguiente:
- Haz clic en Nuevo y selecciona Iniciar un programa.
- Busca el archivo ejecutable python.exe (por lo general, se encuentra en C:/Python/XX/python.exe).
- En el campo Agregar argumentos, escribe la ruta de acceso al guion (por ejemplo, C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py).
Haz clic en Aceptar para guardar la tarea.

Automatiza la secuencia de comandos para que se ejecute de forma continua en Mac (con trabajos de Cron):

Abre Terminal.
Escribe crontab -e y presiona Intro.
Agrega una línea nueva al final del archivo:
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
Nota: Esto ejecutará la secuencia de comandos cada minuto. Ajusta la hora según tus necesidades.
Haz clic en Guardar y sal del editor.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`appSha256`	`principal.process.file.sha256`	El valor de `appSha256` del registro sin procesar se asigna a este campo del UDM.
`core_remedy_items.items[].descriptor`	`principal.process.file.names`	El valor de cada `descriptor` dentro del array `items` en `core_remedy_items` del registro sin procesar se agrega como una entrada `names` independiente en el UDM.
`customer_id`	`target.resource.id`	El valor de `customer_id` del registro sin procesar se asigna a este campo del UDM.
`detection_identity_name`	`security_result.threat_feed_name`	El valor de `detection_identity_name` del registro sin procesar se asigna a este campo del UDM.
`dhost`	`target.hostname`	El valor de `dhost` del registro sin procesar se asigna a este campo del UDM.
`endpoint_id`	`target.resource.attribute.labels[].value`	El valor de `endpoint_id` del registro sin procesar se asigna como el valor de una etiqueta en `target.resource.attribute.labels`. La clave de esta etiqueta es "endpoint_id".
`endpoint_type`	`target.resource.attribute.labels[].value`	El valor de `endpoint_type` del registro sin procesar se asigna como el valor de una etiqueta en `target.resource.attribute.labels`. La clave de esta etiqueta es "endpoint_type".
`filePath`	`target.file.full_path`	El valor de `filePath` del registro sin procesar se asigna a este campo del UDM.
`group`	`principal.group.group_display_name`	El valor de `group` del registro sin procesar se asigna a este campo del UDM.
`id`	`target.process.pid`	El valor de `id` del registro sin procesar se asigna a este campo del UDM.
`name`	`metadata.description`	El valor de `name` del registro sin procesar se asigna a este campo del UDM. El valor se deriva del campo `type` en el registro sin procesar con lógica condicional en el analizador. El valor predeterminado es `NETWORK_UNCATEGORIZED`. Los valores de `type` específicos se asignan a diferentes tipos de eventos del UDM (p.ej., "UpdateSuccess" se asigna a `STATUS_UPDATE`, "ServiceNotRunning" se asigna a `SERVICE_STOP`, etcétera. Está codificado como "SOPHOS_EDR". El valor de `type` del registro sin procesar se asigna a este campo del UDM. Está codificado como "Sophos EDR". Está codificado como "SOPHOS".
`rt`	`metadata.event_timestamp`, `timestamp`	El valor de `rt` del registro sin procesar, que representa la hora del evento, se analiza y se usa para completar los campos `metadata.event_timestamp` y `timestamp` de nivel superior en el UDM.
`security_result.severity`	`security_result.severity`	El valor de `severity` del registro sin procesar se convierte a mayúsculas y se asigna a este campo de UDM.
`source_info.ip`	`principal.ip`	El valor de `ip` dentro de `source_info` del registro sin procesar se asigna a este campo del UDM.
`suser`	`principal.user.userid`	El valor de `suser` del registro sin procesar se asigna a este campo del UDM.
`threat`	`security_result.threat_name`	El valor de `threat` del registro sin procesar se asigna a este campo del UDM.
	`security_result.action`	El valor se deriva del campo `type` en el registro sin procesar. Si `type` contiene "Blocked" o "Warn" (sin distinguir mayúsculas de minúsculas), el valor se establece en "BLOCK". Si `type` contiene "Allow" (sin distinción entre mayúsculas y minúsculas), el valor se establece en "ALLOW". El valor se establece en "TASK" si el campo `type` en el registro sin procesar es "ScheduledDataUploadResumed" o "ScheduledDailyLimitExceeded".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.