Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Sophos Intercept EDR

Compatível com:

Google secops SIEM

Este documento explica como recolher registos do Sophos Intercept EDR através do Bindplane. O analisador extrai campos dos registos JSON do Sophos EDR, transformando-os no modelo de dados unificado (UDM). Analisa o campo message, mapeia os campos da Sophos para os campos da UDM (por exemplo, suser para principal.user.userid), realiza uniões condicionais com base na presença de campos e categoriza eventos com base no campo type, definindo os tipos de eventos da UDM e as ações de resultados de segurança adequados.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Uma instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Uma máquina Windows ou Linux adicional capaz de executar continuamente o Python
Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas de acordo com os requisitos do agente Bindplane
Acesso privilegiado à consola de administração do Sophos Central

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <customer_id>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'SOPHOS_EDR'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o acesso à API do Sophos Central

Inicie sessão no Sophos Central Admin.
Selecione Definições globais > Gestão de tokens da API.
Clique em Adicionar token para criar um novo token.
Introduza um nome de token e clique em Guardar. É apresentado o Resumo do token de API para o token fornecido.
Na secção Resumo do token de API, clique em Copiar para copiar o URL e os cabeçalhos de acesso à API.

Instale o Python numa máquina adicional

Abra o navegador de Internet e aceda ao Website do Python.
Clique em Transferir Python para o seu sistema operativo.
Instale o Python:
- No Windows:
  1. Execute o instalador.
  2. Selecione a caixa que indica Adicionar Python ao PATH.
  3. Clique em Instalar agora.
- Em Mac:
  1. O Python pode já estar instalado. Caso contrário, pode instalar a versão mais recente através do terminal.
  2. Abra o Terminal e escreva o seguinte comando:
```
python --version
```

Transfira o script de integração do Sophos

Aceda à página do GitHub do repositório do GitHub de integração do SIEM do Sophos Central.
Clique no botão verde Código > Transferir ZIP.
Extraia o ficheiro ZIP.

Configure a configuração do script

Abra o ficheiro config.ini no diretório onde extraiu o arquivo ZIP.
Edite o ficheiro de configuração:
- Token de API: introduza a chave da API copiada anteriormente do Sophos Central.
- Detalhes do servidor Syslog: introduza os detalhes do seu servidor Syslog.
- Anfitrião: introduza o endereço IP do agente BindPlane.
- Porta: introduza o número da porta do agente BindPlane.
- Protocolo: introduza UDP (também pode usar TCP ou TLS, consoante a sua configuração).
Guarde o ficheiro.

Execute o script

Aceda à pasta de scripts.
- Em Windows:
  1. Prima a tecla Windows e escreva cmd.
  2. Clique em Linha de comandos.
  3. Aceda à pasta de scripts:
```
cd C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
- No macOS:
  1. Aceda a Aplicações > Utilitários.
  2. Abra o Terminal.
  3. Aceda à pasta de scripts:
```
cd /Users/YourName/Downloads/Sophos-Central-SIEM-Integration
```
Execute o guião:
- Escreva o seguinte comando para iniciar o script:
```
python siem.py
```
  Nota: o script começa a obter registos do Sophos Central e a encaminhá-los para o seu servidor syslog no formato JSON.

Automatize o script para ser executado continuamente no Windows (através do Agendador de tarefas):

Abra o Agendador de tarefas escrevendo Agendador de tarefas no menu Iniciar.
Clique em Criar tarefa.
No separador Geral:
- Atribua um nome à tarefa (por exemplo, Sophos AV Log Export).
No separador Acionadores:
- Clique em Novo e defina a tarefa para ser executada Diariamente ou No arranque (consoante a sua preferência).
No separador Ações:
- Clique em Novo e selecione Iniciar um programa.
- Procure o ficheiro executável python.exe (normalmente, encontra-se em C:/Python/XX/python.exe).
- No campo Adicionar argumentos, escreva o caminho para o guião (por exemplo, C:/Users/YourName/Downloads/Sophos-Central-SIEM-Integrationsiem.py).
Clique em OK para guardar a tarefa.

Automatize o script para ser executado continuamente no Mac (através de tarefas cron):

Abra o Terminal.
Escreva crontab -e e prima Enter.
Adicione uma nova linha no final do ficheiro:
```
* * * * * /usr/bin/python /Users/YourName/Downloads/Sophos-Central-SIEM-Integration/siem.py
```
Nota: isto executa o script a cada minuto. Ajuste a hora com base nas suas necessidades.
Clique em Guardar e saia do editor.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
`appSha256`	`principal.process.file.sha256`	O valor de `appSha256` do registo não processado é atribuído a este campo UDM.
`core_remedy_items.items[].descriptor`	`principal.process.file.names`	O valor de cada `descriptor` na matriz `items` em `core_remedy_items` do registo não processado é adicionado como uma entrada `names` separada no UDM.
`customer_id`	`target.resource.id`	O valor de `customer_id` do registo não processado é atribuído a este campo UDM.
`detection_identity_name`	`security_result.threat_feed_name`	O valor de `detection_identity_name` do registo não processado é atribuído a este campo UDM.
`dhost`	`target.hostname`	O valor de `dhost` do registo não processado é atribuído a este campo UDM.
`endpoint_id`	`target.resource.attribute.labels[].value`	O valor de `endpoint_id` do registo não processado é atribuído como o valor de uma etiqueta em `target.resource.attribute.labels`. A chave desta etiqueta é "endpoint_id".
`endpoint_type`	`target.resource.attribute.labels[].value`	O valor de `endpoint_type` do registo não processado é atribuído como o valor de uma etiqueta em `target.resource.attribute.labels`. A chave desta etiqueta é "endpoint_type".
`filePath`	`target.file.full_path`	O valor de `filePath` do registo não processado é atribuído a este campo UDM.
`group`	`principal.group.group_display_name`	O valor de `group` do registo não processado é atribuído a este campo UDM.
`id`	`target.process.pid`	O valor de `id` do registo não processado é atribuído a este campo UDM.
`name`	`metadata.description`	O valor de `name` do registo não processado é atribuído a este campo UDM. O valor é derivado do campo `type` no registo não processado através da lógica condicional no analisador. O valor predefinido é `NETWORK_UNCATEGORIZED`. Os valores `type` específicos são mapeados para diferentes tipos de eventos do UDM (por exemplo, "UpdateSuccess" é mapeado para `STATUS_UPDATE`, "ServiceNotRunning" é mapeado para `SERVICE_STOP`, etc.). Codificado de forma rígida para "SOPHOS_EDR". O valor de `type` do registo não processado é atribuído a este campo UDM. Codificado de forma rígida para "Sophos EDR". Codificado de forma rígida para "SOPHOS".
`rt`	`metadata.event_timestamp`, `timestamp`	O valor de `rt` do registo não processado, que representa a hora do evento, é analisado e usado para preencher os campos `metadata.event_timestamp` e `timestamp` de nível superior no UDM.
`security_result.severity`	`security_result.severity`	O valor de `severity` do registo não processado é convertido em maiúsculas e atribuído a este campo UDM.
`source_info.ip`	`principal.ip`	O valor de `ip` dentro de `source_info` do registo não processado é atribuído a este campo de UDM.
`suser`	`principal.user.userid`	O valor de `suser` do registo não processado é atribuído a este campo UDM.
`threat`	`security_result.threat_name`	O valor de `threat` do registo não processado é atribuído a este campo UDM.
	`security_result.action`	O valor é derivado do campo `type` no registo não processado. Se `type` contiver "Blocked" ou "Warn" (não é sensível a maiúsculas e minúsculas), o valor é definido como "BLOCK". Se `type` contiver "Allow" (não é sensível a maiúsculas e minúsculas), o valor é definido como "ALLOW". O valor é definido como "TASK" se o campo `type` no registo não processado for "ScheduledDataUploadResumed" ou "ScheduledDailyLimitExceeded".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.