Recopila registros de Cofense

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Cofense a Google Security Operations con el agente de Bindplane.

Cofense Triage es una plataforma de respuesta ante incidentes de phishing que automatiza la detección, el análisis y la respuesta a los correos electrónicos de phishing que informan los empleados. Agrupa amenazas similares, asigna puntuaciones de riesgo, extrae indicadores de compromiso (IOC) y se integra con herramientas de organización de seguridad para acelerar la resolución de incidentes de phishing.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows Server 2016 o versiones posteriores, o host de Linux con systemd
Conectividad de red entre el agente de Bindplane y el servidor de Cofense Triage
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a la Consola del administrador de Cofense Triage
Cofense Triage versión 1.20 o posterior

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Nota: Este archivo JSON contiene credenciales para autenticar el agente de Bindplane en Google SecOps.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Nota: Se requiere el ID de cliente para configurar el exportador del agente de Bindplane.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Espera a que se complete la instalación.
Ejecute el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```
El estado del servicio debe ser RUNNING.

Instalación en Linux

Abre una terminal con privilegios de administrador o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Espera a que se complete la instalación.
Ejecute el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```
El estado del servicio debe ser active (running).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solución de problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviar registros a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml por la siguiente configuración:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cofense:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'your-customer-id'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: COFENSE_TRIAGE
        raw_log_field: body

service:
    pipelines:
        logs/cofense_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cofense

Reemplaza los marcadores de posición que se indican más abajo:
- Configuración del receptor:
  - listen_address: Dirección IP y puerto para escuchar:
    - 0.0.0.0:514 para escuchar en todas las interfaces del puerto 514 (requiere acceso de administrador en Linux)
    - 0.0.0.0:1514 para escuchar en un puerto sin privilegios (recomendado para Linux no root)
  - Opciones de tipo de receptor:
    - tcplog para syslog TCP (recomendado para Cofense Triage)
    - udplog para el registro del sistema UDP
- Configuración del exportador:
  - creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia de datos de Google SecOps:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id: ID de cliente de Google SecOps
  - endpoint: URL del extremo regional:
    - EE.UU.: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Consulta Extremos regionales para obtener la lista completa.

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, haz lo siguiente:
1. Ejecuta el comando siguiente:
```
sudo systemctl restart observiq-otel-collector
```
2. Verifica que el servicio esté en ejecución:
```
sudo systemctl status observiq-otel-collector
```
3. Revisa los registros en busca de errores:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar el agente de Bindplane en Windows, haz lo siguiente:
1. Elige una de las siguientes opciones:
  - Símbolo del sistema o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Consola de Services:
    1. Presiona Win+R, escribe services.msc y presiona Intro.
    2. Busca observIQ OpenTelemetry Collector.
    3. Haz clic con el botón derecho y selecciona Reiniciar.
2. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
3. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura el reenvío de Syslog de Cofense Triage

Cofense Triage puede reenviar eventos y alertas de informes de phishing en CEF (formato de evento común) a través de syslog a recopiladores SIEM externos.

Habilita la salida de syslog en Cofense Triage

Accede a la interfaz web de Cofense Triage con credenciales de administrador.
Ve a Administración > Sistema > Syslog.
Habilita el botón de activación Syslog.
Configura los siguientes parámetros de syslog:
- Servidor Syslog: Ingresa la dirección IP o el nombre de host del host del agente de Bindplane (por ejemplo, 192.168.1.100).
- Puerto: Ingresa el puerto que coincide con el agente de BindPlane listen_address (por ejemplo, 514).
- Protocolo: Selecciona TCP (recomendado) o UDP para que coincida con el tipo de receptor del agente de Bindplane.
- Formato: Selecciona CEF (formato de evento común).
Haz clic en Guardar.

Configura alertas de Syslog

En la interfaz web de Cofense Triage, ve a Administración > Sistema > Alertas de Syslog.
Selecciona los tipos de eventos que deseas reenviar:
- Informes de phishing: Se reenvían cuando se reciben y procesan informes de phishing nuevos.
- Eventos de clúster: Se reenvían cuando se agrupan los informes.
- Eventos de indicadores de amenazas: Se reenvían cuando se extraen IOC de los informes.
- Alertas de estado: Se reenvían para eventos de estado y rendimiento del sistema.
Haz clic en Guardar.

Nota: Las categorías y la granularidad de las alertas de Syslog dependen de la versión y el nivel de licencia de Cofense Triage. Consulta la documentación de Cofense Triage para tu versión específica.

Verifica el reenvío de Syslog

Después de guardar la configuración de syslog, activa un evento de prueba en Cofense Triage (por ejemplo, procesa un informe de phishing).
Verifica los registros del agente de BindPlane para ver los mensajes syslog entrantes:
- Linux: sudo journalctl -u observiq-otel-collector -f
- Windows: type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Verifica que aparezcan mensajes con formato CEF en los registros, por ejemplo:

CEF:0|Cofense|Triage|1.0|100|Phishing Report Processed|5|suser=reporter@company.com duser=attacker@malicious.com cs4=Urgent: Account Verification cat=Processed:Threats

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
msg, rule_id, start, rt	additional.fields	Se combina con las etiquetas del mensaje si no está vacío, rule_id si no está vacío, start si no está vacío y rt si no está vacío.
event_data, descrip	metadata.description	Valor de event_data si no está vacío; de lo contrario, descrip
deviceCustomDate1, log_datetime	metadata.event_timestamp	Se analiza a partir de deviceCustomDate1 si no está vacío; de lo contrario, se usa log_datetime con el formato MMM d aaaa HH:mm:ss o MMM d HH:mm:ss.
suser, duser, has_principal	metadata.event_type	Se establece en EMAIL_TRANSACTION si suser y duser coinciden con el patrón de correo electrónico; de lo contrario, se establece en GENERIC_EVENT y, luego, en STATUS_UPDATE si has_principal es verdadero y era GENERIC_EVENT.
cs3	metadata.product_log_id	Se extrajo de cs3 con el patrón de grok /%{INT:productlogid}
	metadata.product_name	Se estableció en "Triaje".
cs3	metadata.url_back_to_product	Valor copiado directamente
	metadata.vendor_name	Se establece en "Cofense".
suser	network.email.from	Valor copiado directamente
cs4	network.email.subject	Valor copiado directamente
duser	network.email.to	Valor copiado directamente
host	principal.asset.hostname	Valor copiado directamente
ipaddress	principal.asset.ip	Valor copiado directamente
host	principal.hostname	Valor copiado directamente
ipaddress	principal.ip	Valor copiado directamente
processID	principal.process.pid	Valor copiado directamente
descrip	principal.user.userid	Se extrajo de la descripción con el patrón de Grok User: (%{WORD:user_id})
cat, cs2	security_result.action	Se establece en ALLOW si cat está en ["health","Processed:Marketing","Processed:Non-Malicious"], BLOCK si cat == "Processed:Spam" o "Processed:Threats" o cs2 está en ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"]
gravedad,	security_result.alert_state	Se establece en ALERTING si la gravedad está en ["8","10","11","12","13","14"]; de lo contrario, se establece en NOT_ALERTING.
cat, cs2, severity	security_result.category	Se establece en MAIL_SPAM si cat == "Processed:Spam", MAIL_PHISHING si cs2 in ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] o severity in ["8","10","11","12","13","14"]
cat	security_result.description	Valor copiado directamente
gravedad,	security_result.rule_id	Valor copiado directamente
cs2	security_result.rule_name	Valor copiado directamente
cat, cs2	security_result.severity	Se establece en INFORMATIONAL si cat está en ["health","Processed:Marketing","Processed:Non-Malicious"], en HIGH si cat == "Processed:Spam", en CRITICAL si cat == "Processed:Threats" y, de lo contrario, en HIGH si cs2 está en ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"].

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.