Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Sophos Intercept EDR

Compatible avec :

Google SecOps SIEM

Ce document explique comment collecter les journaux Sophos Intercept EDR à l'aide de Bindplane. L'analyseur extrait les champs des journaux JSON Sophos EDR et les transforme en modèle de données unifié (UDM). Il analyse le champ message, mappe les champs Sophos sur les champs UDM (par exemple, suser sur principal.user.userid), effectue des fusions conditionnelles en fonction de la présence des champs et catégorise les événements en fonction du champ type, en définissant les types d'événements UDM et les actions de résultat de sécurité appropriés.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Une machine Windows ou Linux supplémentaire, capable d'exécuter Python en continu
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à la console d'administration Sophos Central

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Trouvez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'SOPHOS_EDR'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification de l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer l'accès à l'API Sophos Central

Connectez-vous à Sophos Central Admin.
Sélectionnez Paramètres généraux > Gestion des jetons d'API.
Cliquez sur Ajouter un jeton pour en créer un.
Saisissez un nom de jeton, puis cliquez sur Enregistrer. Le récapitulatif du jeton d'API s'affiche pour le jeton fourni.
Dans la section Récapitulatif du jeton API, cliquez sur Copier pour copier l'URL et les en-têtes d'accès à l'API.

Installer Python sur une autre machine

Ouvrez le navigateur Web et accédez au site Web Python.
Cliquez sur Télécharger Python pour votre système d'exploitation.
Installez Python :
- Sous Windows :
  1. Lancez le programme d'installation.
  2. Cochez la case Add Python to PATH (Ajouter Python au PATH).
  3. Cliquez sur Installer maintenant.
- Sous Mac :
  1. Python est peut-être déjà installé. Si ce n'est pas le cas, vous pouvez installer la dernière version à l'aide du terminal.
  2. Ouvrez Terminal et saisissez la commande suivante :
```
python --version
```

Télécharger le script d'intégration Sophos

Accédez à la page GitHub du dépôt GitHub d'intégration SIEM Sophos Central.
Cliquez sur le bouton vert Code > Télécharger le fichier ZIP.
Extrayez le fichier ZIP.

Configurer le script

Ouvrez le fichier config.ini dans le répertoire dans lequel vous avez extrait l'archive ZIP.
Modifiez le fichier de configuration :
- Jeton d'API : saisissez la clé API copiée précédemment depuis Sophos Central.
- Détails du serveur Syslog : saisissez les détails de votre serveur Syslog.
- Hôte : saisissez l'adresse IP de l'agent BindPlane.
- Port : saisissez le numéro de port de l'agent BindPlane.
- Protocole : saisissez UDP (vous pouvez également utiliser TCP ou TLS selon votre configuration).
Enregistrez le fichier.

Exécuter le script

Accédez au dossier de script.
- Sous Windows :
  1. Appuyez sur la touche Windows et saisissez cmd.
  2. Cliquez sur Invite de commandes.
  3. Accédez au dossier du script :
```
cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
- Sous macOS :
  1. Accédez à Applications > Utilitaires.
  2. Ouvrez l'application Terminal.
  3. Accédez au dossier du script :
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
Exécutez le script :
- Saisissez la commande suivante pour démarrer le script :
```
python siem.py
```
  Remarque : Le script commencera à extraire les journaux de Sophos Central et à les transférer vers votre serveur syslog au format JSON.

Automatisez l'exécution continue du script sur Windows (à l'aide du Planificateur de tâches) :

Ouvrez le Planificateur de tâches en saisissant Planificateur de tâches dans le menu Démarrer.
Cliquez sur Créer une tâche.
Dans l'onglet Général :
- Nommez votre tâche (par exemple, Sophos AV Log Export).
Dans l'onglet Déclencheurs :
- Cliquez sur Nouveau et définissez la tâche sur Tous les jours ou Au démarrage (selon votre préférence).
Dans l'onglet Actions :
- Cliquez sur Nouveau, puis sélectionnez Démarrer un programme.
- Recherchez l'exécutable python.exe (généralement situé dans C:/Python/XX/python.exe).
- Dans le champ Ajouter des arguments, saisissez le chemin d'accès au script (par exemple, C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py).
Cliquez sur OK pour enregistrer la tâche.

Automatisez l'exécution continue du script sur Mac (à l'aide de tâches Cron) :

Ouvrez le terminal.
Saisissez crontab -e et appuyez sur Entrée.
Ajoutez une ligne à la fin du fichier :
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
Remarque : Cette commande exécute le script chaque minute. Ajustez la durée selon vos besoins.
Cliquez sur Enregistrer et quittez l'éditeur.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`appSha256`	`principal.process.file.sha256`	La valeur de `appSha256` du journal brut est attribuée à ce champ UDM.
`core_remedy_items.items[].descriptor`	`principal.process.file.names`	La valeur de chaque `descriptor` dans le tableau `items` de `core_remedy_items` du journal brut est ajoutée en tant qu'entrée `names` distincte dans l'UDM.
`customer_id`	`target.resource.id`	La valeur de `customer_id` du journal brut est attribuée à ce champ UDM.
`detection_identity_name`	`security_result.threat_feed_name`	La valeur de `detection_identity_name` du journal brut est attribuée à ce champ UDM.
`dhost`	`target.hostname`	La valeur de `dhost` du journal brut est attribuée à ce champ UDM.
`endpoint_id`	`target.resource.attribute.labels[].value`	La valeur de `endpoint_id` du journal brut est attribuée comme valeur d'un libellé dans `target.resource.attribute.labels`. La clé de ce libellé est "endpoint_id".
`endpoint_type`	`target.resource.attribute.labels[].value`	La valeur de `endpoint_type` du journal brut est attribuée comme valeur d'un libellé dans `target.resource.attribute.labels`. La clé de ce libellé est "endpoint_type".
`filePath`	`target.file.full_path`	La valeur de `filePath` du journal brut est attribuée à ce champ UDM.
`group`	`principal.group.group_display_name`	La valeur de `group` du journal brut est attribuée à ce champ UDM.
`id`	`target.process.pid`	La valeur de `id` du journal brut est attribuée à ce champ UDM.
`name`	`metadata.description`	La valeur de `name` du journal brut est attribuée à ce champ UDM. La valeur est dérivée du champ `type` du journal brut à l'aide d'une logique conditionnelle dans l'analyseur. La valeur par défaut est `NETWORK_UNCATEGORIZED`. Des valeurs `type` spécifiques correspondent à différents types d'événements UDM (par exemple, "UpdateSuccess" correspond à `STATUS_UPDATE`, "ServiceNotRunning" correspond à `SERVICE_STOP`, etc.). Codé en dur sur "SOPHOS_EDR". La valeur de `type` du journal brut est attribuée à ce champ UDM. Codé en dur sur "Sophos EDR". Codé en dur sur "SOPHOS".
`rt`	`metadata.event_timestamp`, `timestamp`	La valeur `rt` du journal brut, qui représente l'heure de l'événement, est analysée et utilisée pour renseigner les champs `metadata.event_timestamp` et `timestamp` de premier niveau dans l'UDM.
`security_result.severity`	`security_result.severity`	La valeur de `severity` du journal brut est mise en majuscules et attribuée à ce champ UDM.
`source_info.ip`	`principal.ip`	La valeur de `ip` dans `source_info` du journal brut est attribuée à ce champ UDM.
`suser`	`principal.user.userid`	La valeur de `suser` du journal brut est attribuée à ce champ UDM.
`threat`	`security_result.threat_name`	La valeur de `threat` du journal brut est attribuée à ce champ UDM.
	`security_result.action`	La valeur est dérivée du champ `type` dans le journal brut. Si `type` contient "Blocked" (Bloqué) ou "Warn" (Avertissement) (sans tenir compte de la casse), la valeur est définie sur "BLOCK" (BLOQUER). Si `type` contient "Autoriser" (sans tenir compte de la casse), la valeur est définie sur "ALLOW". La valeur est définie sur "TASK" si le champ `type` du journal brut est "ScheduledDataUploadResumed" ou "ScheduledDailyLimitExceeded".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.