Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Sophos Intercept EDR

Supportato in:

Google SecOps SIEM

Questo documento spiega come raccogliere i log di Sophos Intercept EDR utilizzando Bindplane. Il parser estrae i campi dai log JSON di Sophos EDR, trasformandoli nel modello UDM (Unified Data Model). Analizza il campo message, mappa i campi Sophos ai campi UDM (ad esempio, suser a principal.user.userid), esegue unioni condizionali in base alla presenza del campo e classifica gli eventi in base al campo type, impostando i tipi di eventi UDM e le azioni dei risultati di sicurezza appropriati.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows 2016 o versioni successive oppure un host Linux con systemd
Un'altra macchina Windows o Linux in grado di eseguire Python ininterrottamente
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso privilegiato alla console di amministrazione di Sophos Central

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'SOPHOS_EDR'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare l'accesso all'API Sophos Central

Accedi a Sophos Central Admin.
Seleziona Impostazioni globali > Gestione token API.
Fai clic su Aggiungi token per creare un nuovo token.
Inserisci un nome per il token e fai clic su Salva. Viene visualizzato il Riepilogo token API per il token fornito.
Nella sezione Riepilogo token API, fai clic su Copia per copiare l'URL di accesso all'API e le intestazioni.

Installare Python su un'altra macchina

Apri il browser web e vai al sito web di Python.
Fai clic su Scarica Python per il tuo sistema operativo.
Installa Python:
- Su Windows:
  1. Esegui il programma di installazione.
  2. Seleziona la casella Aggiungi Python a PATH.
  3. Fai clic su Installa ora.
- Sul Mac:
  1. Python potrebbe essere già installato. In caso contrario, puoi installare l'ultima versione utilizzando il terminale.
  2. Apri Terminale e digita questo comando:
```
python --version
```

Scarica lo script di integrazione di Sophos

Vai alla pagina GitHub del repository GitHub di integrazione SIEM di Sophos Central.
Fai clic sul pulsante verde Codice > Scarica ZIP.
Estrai il file ZIP.

Configurare la configurazione dello script

Apri il file config.ini nella directory in cui hai estratto l'archivio ZIP.
Modifica il file di configurazione:
- Token API: inserisci la chiave API copiata in precedenza da Sophos Central.
- Dettagli del server syslog: inserisci i dettagli del server syslog.
- Host: inserisci l'indirizzo IP dell'agente BindPlane.
- Porta: inserisci il numero di porta dell'agente BindPlane.
- Protocollo: inserisci UDP (puoi utilizzare anche TCP o TLS a seconda della configurazione).
Salva il file.

Esegui lo script

Vai alla cartella degli script.
- Su Windows:
  1. Premi il tasto Windows e digita cmd.
  2. Fai clic su Prompt dei comandi.
  3. Vai alla cartella degli script:
```
cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
- In macOS:
  1. Vai ad Applicazioni > Utilità.
  2. Apri Terminale.
  3. Vai alla cartella degli script:
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
Esegui lo script:
- Digita il seguente comando per avviare lo script:
```
python siem.py
```
  Nota: lo script inizierà a recuperare i log da Sophos Central e a inoltrarli al server syslog in formato JSON.

Automatizza l'esecuzione continua dello script su Windows (utilizzando l'Utilità di pianificazione):

Apri Utilità di pianificazione digitando Utilità di pianificazione nel menu Start.
Fai clic su Crea attività.
Nella scheda Generale:
- Assegna un nome all'attività (ad esempio, Sophos AV Log Export).
Nella scheda Trigger:
- Fai clic su Nuovo e imposta l'attività in modo che venga eseguita Giornalmente o All'avvio (a seconda delle tue preferenze).
Nella scheda Azioni:
- Fai clic su Nuovo e seleziona Avvia un programma.
- Cerca l'eseguibile python.exe (di solito si trova in C:/Python/XX/python.exe).
- Nel campo Aggiungi argomenti, digita il percorso dello script (ad esempio, C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py).
Fai clic su Ok per salvare l'attività.

Automatizza l'esecuzione continua dello script su Mac (utilizzando Cron Jobs):

Apri Terminale.
Digita crontab -e e premi Invio.
Aggiungi una nuova riga alla fine del file:
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
Nota: lo script verrà eseguito ogni minuto. Regola l'ora in base alle tue esigenze.
Fai clic su Salva ed esci dall'editor.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`appSha256`	`principal.process.file.sha256`	Il valore di `appSha256` del log non elaborato viene assegnato a questo campo UDM.
`core_remedy_items.items[].descriptor`	`principal.process.file.names`	Il valore di ogni `descriptor` all'interno dell'array `items` in `core_remedy_items` dal log non elaborato viene aggiunto come voce `names` separata nell'UDM.
`customer_id`	`target.resource.id`	Il valore di `customer_id` del log non elaborato viene assegnato a questo campo UDM.
`detection_identity_name`	`security_result.threat_feed_name`	Il valore di `detection_identity_name` del log non elaborato viene assegnato a questo campo UDM.
`dhost`	`target.hostname`	Il valore di `dhost` del log non elaborato viene assegnato a questo campo UDM.
`endpoint_id`	`target.resource.attribute.labels[].value`	Il valore di `endpoint_id` del log non elaborato viene assegnato come valore di un'etichetta in `target.resource.attribute.labels`. La chiave per questa etichetta è "endpoint_id".
`endpoint_type`	`target.resource.attribute.labels[].value`	Il valore di `endpoint_type` del log non elaborato viene assegnato come valore di un'etichetta in `target.resource.attribute.labels`. La chiave per questa etichetta è "endpoint_type".
`filePath`	`target.file.full_path`	Il valore di `filePath` del log non elaborato viene assegnato a questo campo UDM.
`group`	`principal.group.group_display_name`	Il valore di `group` del log non elaborato viene assegnato a questo campo UDM.
`id`	`target.process.pid`	Il valore di `id` del log non elaborato viene assegnato a questo campo UDM.
`name`	`metadata.description`	Il valore di `name` del log non elaborato viene assegnato a questo campo UDM. Il valore viene derivato dal campo `type` nel log non elaborato utilizzando la logica condizionale nel parser. Il valore predefinito è `NETWORK_UNCATEGORIZED`. Valori `type` specifici vengono mappati a diversi tipi di eventi UDM (ad es. "UpdateSuccess" corrisponde a `STATUS_UPDATE`, "ServiceNotRunning" corrisponde a `SERVICE_STOP` e così via. Codificato in modo permanente su "SOPHOS_EDR". Il valore di `type` del log non elaborato viene assegnato a questo campo UDM. Codificato in modo permanente su "Sophos EDR". Codificato in modo permanente su "SOPHOS".
`rt`	`metadata.event_timestamp`, `timestamp`	Il valore di `rt` del log non elaborato, che rappresenta l'ora dell'evento, viene analizzato e utilizzato per popolare sia il campo `metadata.event_timestamp` sia il campo `timestamp` di primo livello nel modello UDM.
`security_result.severity`	`security_result.severity`	Il valore di `severity` del log non elaborato viene convertito in maiuscolo e assegnato a questo campo UDM.
`source_info.ip`	`principal.ip`	Il valore di `ip` all'interno di `source_info` del log non elaborato viene assegnato a questo campo UDM.
`suser`	`principal.user.userid`	Il valore di `suser` del log non elaborato viene assegnato a questo campo UDM.
`threat`	`security_result.threat_name`	Il valore di `threat` del log non elaborato viene assegnato a questo campo UDM.
	`security_result.action`	Il valore deriva dal campo `type` nel log non elaborato. Se `type` contiene "Blocked" o "Warn" (senza distinzione tra maiuscole e minuscole), il valore viene impostato su "BLOCK". Se `type` contiene "Allow" (senza distinzione tra maiuscole e minuscole), il valore viene impostato su "ALLOW". Il valore è impostato su "TASK" se il campo `type` nel log non elaborato è "ScheduledDataUploadResumed" o "ScheduledDailyLimitExceeded".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.