Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Sophos Intercept EDR

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log Sophos Intercept EDR menggunakan Bindplane. Parser mengekstrak kolom dari log JSON Sophos EDR, lalu mengubahnya menjadi Model Data Terpadu (UDM). Skrip ini mem-parsing kolom message, memetakan kolom Sophos ke kolom UDM (misalnya, suser ke principal.user.userid), melakukan penggabungan bersyarat berdasarkan keberadaan kolom, dan mengategorikan peristiwa berdasarkan kolom type, dengan menetapkan jenis peristiwa UDM dan tindakan hasil keamanan yang sesuai.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Komputer Windows atau Linux tambahan, yang dapat menjalankan Python secara terus-menerus
Jika berjalan di belakang proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke konsol Admin Sophos Central

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'SOPHOS_EDR'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi akses Sophos Central API

Login ke Sophos Central Admin.
Pilih Setelan Global > Pengelolaan Token API.
Klik Tambahkan Token untuk membuat token baru.
Masukkan nama token, lalu klik Simpan; (Ringkasan Token API untuk token yang diberikan akan ditampilkan).
Di bagian API Token Summary, klik Copy untuk menyalin URL dan header akses API.

Menginstal Python di komputer tambahan

Buka browser web, lalu buka situs Python.
Klik Download Python untuk sistem operasi Anda.
Instal Python:
- Di Windows:
  1. Jalankan penginstal.
  2. Centang kotak yang bertuliskan Add Python to PATH.
  3. Klik Instal Sekarang.
- Di Mac:
  1. Python mungkin sudah diinstal, jika belum, Anda dapat menginstal versi terbaru menggunakan terminal.
  2. Buka Terminal dan ketik perintah berikut:
```
python --version
```

Download skrip integrasi Sophos

Buka halaman GitHub untuk Sophos Central SIEM Integration GitHub Repository.
Klik tombol Code berwarna hijau > Download ZIP.
Ekstrak file ZIP.

Menyiapkan konfigurasi skrip

Buka file config.ini di direktori tempat Anda mengekstrak arsip ZIP.
Edit file konfigurasi:
- Token API: Masukkan Kunci API yang disalin sebelumnya dari Sophos Central.
- Detail Server Syslog: Masukkan detail server syslog Anda.
- Host: Masukkan alamat IP Agen BindPlane.
- Port: Masukkan nomor port Agen BindPlane.
- Protocol: Masukkan UDP (Anda juga dapat menggunakan TCP atau TLS, bergantung pada penyiapan Anda).
Simpan file.

Jalankan skrip:

Buka folder skrip.
- Di Windows:
  1. Tekan tombol Windows, lalu ketik cmd.
  2. Klik Command Prompt.
  3. Buka folder skrip:
```
cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
- Di macOS:
  1. Buka Applications > Utilities.
  2. Buka Terminal.
  3. Buka folder skrip:
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
Jalankan skrip:
- Ketik perintah berikut untuk memulai skrip:
```
python siem.py
```
  Catatan: Skrip akan mulai mengambil log dari Sophos Central dan meneruskannya ke server syslog Anda dalam format JSON.

Mengotomatiskan skrip agar berjalan terus-menerus di Windows (menggunakan Task Scheduler):

Buka Task Scheduler dengan mengetik Task Scheduler di menu Start.
Klik Buat Tugas.
Di tab General:
- Beri nama tugas Anda; (misalnya, Sophos AV Log Export).
Di tab Triggers:
- Klik Baru dan tetapkan tugas untuk dijalankan Setiap hari atau Saat startup (bergantung pada preferensi Anda).
Di tab Tindakan:
- Klik Baru, lalu pilih Mulai program.
- Jelajahi file yang dapat dieksekusi python.exe (biasanya ditemukan di C:/Python/XX/python.exe).
- Di kolom Add arguments, ketik jalur ke skrip; (misalnya, C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py).
Klik OK untuk menyimpan tugas.

Mengotomatiskan skrip agar berjalan terus-menerus di Mac (menggunakan Cron Jobs):

Buka Terminal.
Ketik crontab -e dan tekan Enter.
Tambahkan baris baru di akhir file:
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
Catatan: Ini akan menjalankan skrip setiap menit. Sesuaikan waktu berdasarkan kebutuhan Anda.
Klik Simpan, lalu keluar dari editor.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`appSha256`	`principal.process.file.sha256`	Nilai `appSha256` dari log mentah ditetapkan ke kolom UDM ini.
`core_remedy_items.items[].descriptor`	`principal.process.file.names`	Nilai setiap `descriptor` dalam array `items` di `core_remedy_items` dari log mentah ditambahkan sebagai entri `names` terpisah di UDM.
`customer_id`	`target.resource.id`	Nilai `customer_id` dari log mentah ditetapkan ke kolom UDM ini.
`detection_identity_name`	`security_result.threat_feed_name`	Nilai `detection_identity_name` dari log mentah ditetapkan ke kolom UDM ini.
`dhost`	`target.hostname`	Nilai `dhost` dari log mentah ditetapkan ke kolom UDM ini.
`endpoint_id`	`target.resource.attribute.labels[].value`	Nilai `endpoint_id` dari log mentah ditetapkan sebagai nilai label di `target.resource.attribute.labels`. Kunci untuk label ini adalah "endpoint_id".
`endpoint_type`	`target.resource.attribute.labels[].value`	Nilai `endpoint_type` dari log mentah ditetapkan sebagai nilai label di `target.resource.attribute.labels`. Kunci untuk label ini adalah "endpoint_type".
`filePath`	`target.file.full_path`	Nilai `filePath` dari log mentah ditetapkan ke kolom UDM ini.
`group`	`principal.group.group_display_name`	Nilai `group` dari log mentah ditetapkan ke kolom UDM ini.
`id`	`target.process.pid`	Nilai `id` dari log mentah ditetapkan ke kolom UDM ini.
`name`	`metadata.description`	Nilai `name` dari log mentah ditetapkan ke kolom UDM ini. Nilai ini berasal dari kolom `type` dalam log mentah menggunakan logika bersyarat di parser. Nilai defaultnya adalah `NETWORK_UNCATEGORIZED`. Nilai `type` tertentu dipetakan ke berbagai jenis peristiwa UDM (misalnya, "UpdateSuccess" dipetakan ke `STATUS_UPDATE`, "ServiceNotRunning" dipetakan ke `SERVICE_STOP`, dll.). Dikodekan secara permanen ke "SOPHOS_EDR". Nilai `type` dari log mentah ditetapkan ke kolom UDM ini. Dikodekan secara permanen ke "Sophos EDR". Dikodekan secara permanen ke "SOPHOS".
`rt`	`metadata.event_timestamp`, `timestamp`	Nilai `rt` dari log mentah, yang merepresentasikan waktu peristiwa, diuraikan dan digunakan untuk mengisi kolom `metadata.event_timestamp` dan `timestamp` tingkat teratas di UDM.
`security_result.severity`	`security_result.severity`	Nilai `severity` dari log mentah dikonversi menjadi huruf besar dan ditetapkan ke kolom UDM ini.
`source_info.ip`	`principal.ip`	Nilai `ip` dalam `source_info` dari log mentah ditetapkan ke kolom UDM ini.
`suser`	`principal.user.userid`	Nilai `suser` dari log mentah ditetapkan ke kolom UDM ini.
`threat`	`security_result.threat_name`	Nilai `threat` dari log mentah ditetapkan ke kolom UDM ini.
	`security_result.action`	Nilai ini berasal dari kolom `type` di log mentah. Jika `type` berisi "Blocked" atau "Warn" (tidak peka huruf besar/kecil), nilai akan ditetapkan ke "BLOCK". Jika `type` berisi "Allow" (tidak peka huruf besar/kecil), nilai akan ditetapkan ke "ALLOW". Nilai disetel ke "TASK" jika kolom `type` dalam log mentah adalah "ScheduledDataUploadResumed" atau "ScheduledDailyLimitExceeded".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.