Collecter les journaux Cofense

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Cofense dans Google Security Operations à l'aide de l'agent Bindplane.

Cofense Triage est une plate-forme de réponse aux incidents d'hameçonnage qui automatise la détection, l'analyse et la réponse aux e-mails d'hameçonnage signalés par les employés. Il regroupe les menaces similaires, attribue des scores de risque, extrait les indicateurs de compromission (IOC) et s'intègre aux outils d'orchestration de la sécurité pour accélérer la résolution des incidents d'hameçonnage.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur Cofense Triage
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à la console d'administration Cofense Triage
Cofense Triage version 1.20 ou ultérieure

Obtenir le fichier d'authentification pour l'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
L'état du service doit être RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
L'état du service doit être active (running).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer syslog et envoyer des journaux à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cofense:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'your-customer-id'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: COFENSE_TRIAGE
        raw_log_field: body

service:
    pipelines:
        logs/cofense_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cofense

Remplacez les espaces réservés suivants :
- Configuration du récepteur :
  - listen_address : adresse IP et port à écouter :
    - 0.0.0.0:514 pour écouter sur toutes les interfaces sur le port 514 (nécessite l'accès root sur Linux)
    - 0.0.0.0:1514 pour écouter sur un port non privilégié (recommandé pour Linux non root)
  - Options de type de récepteur :
    - tcplog pour syslog TCP (recommandé pour Cofense Triage)
    - udplog pour le syslog UDP
- Configuration de l'exportateur :
  - creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion Google SecOps :
    - Linux : /etc/bindplane-agent/ingestion-auth.json
    - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id : ID client Google SecOps
  - endpoint : URL du point de terminaison régional :
    - États-Unis : malachiteingestion-pa.googleapis.com
    - Europe : europe-malachiteingestion-pa.googleapis.com
    - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
    - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux :
1. Exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
2. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
3. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane sous Windows :
1. Choisissez l'une des options suivantes :
  - Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Console Services :
    1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
    2. Localisez observIQ OpenTelemetry Collector.
    3. Effectuez un clic droit, puis sélectionnez Redémarrer.
2. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
3. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog Cofense Triage

Cofense Triage peut transférer les événements et les alertes de signalement d'hameçonnage au format CEF (Common Event Format) via syslog vers des collecteurs SIEM externes.

Activer la sortie syslog dans Cofense Triage

Connectez-vous à l'interface Web Cofense Triage avec des identifiants d'administrateur.
Accédez à Administration > Système > Syslog.
Activez l'option Syslog.
Configurez les paramètres syslog suivants :
- Serveur Syslog : saisissez l'adresse IP ou le nom d'hôte de l'hôte de l'agent Bindplane (par exemple, 192.168.1.100).
- Port : saisissez le port correspondant à l'agent Bindplane listen_address (par exemple, 514).
- Protocole : sélectionnez TCP (recommandé) ou UDP pour correspondre au type de récepteur de l'agent Bindplane.
- Format : sélectionnez CEF (Common Event Format).
Cliquez sur Enregistrer.

Configurer les alertes syslog

Dans l'interface Web de Cofense Triage, accédez à Administration > Système > Alertes Syslog.
Sélectionnez les types d'événements à transférer :
- Rapports d'hameçonnage : transmis lorsque de nouveaux rapports d'hameçonnage sont reçus et traités
- Événements de cluster : transférés lorsque les rapports sont regroupés
- Événements d'indicateurs de menace : transférés lorsque des IoC sont extraits des rapports
- Alertes de santé : transférées pour les événements liés à l'état et aux performances du système
Cliquez sur Enregistrer.

Remarque : Les catégories et la précision des alertes Syslog dépendent de la version et du niveau de licence de Cofense Triage. Consultez la documentation de Cofense Triage pour votre version spécifique.

Vérifier le transfert Syslog

Après avoir enregistré la configuration Syslog, déclenchez un événement de test dans Cofense Triage (par exemple, traitez un signalement de phishing).
Consultez les journaux de l'agent Bindplane pour les messages syslog entrants :
- Linux : sudo journalctl -u observiq-otel-collector -f
- Windows : type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Vérifiez que les messages au format CEF s'affichent dans les journaux, par exemple :

CEF:0|Cofense|Triage|1.0|100|Phishing Report Processed|5|suser=reporter@company.com duser=attacker@malicious.com cs4=Urgent: Account Verification cat=Processed:Threats

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
msg, rule_id, start, rt	additional.fields	Fusionné avec les libellés pour msg (si non vide), rule_id (si non vide), start (si non vide), rt (si non vide)
event_data, descrip	metadata.description	Valeur de event_data si elle n'est pas vide, sinon descrip
deviceCustomDate1, log_datetime	metadata.event_timestamp	Analysé à partir de deviceCustomDate1 s'il n'est pas vide, sinon log_datetime au format MMM d yyyy HH:mm:ss ou MMM d HH:mm:ss
suser, duser, has_principal	metadata.event_type	Définissez la valeur sur EMAIL_TRANSACTION si suser et duser correspondent au modèle d'adresse e-mail, sur GENERIC_EVENT dans le cas contraire, puis sur STATUS_UPDATE si has_principal est défini sur "true" et que la valeur était GENERIC_EVENT.
cs3	metadata.product_log_id	Extrait de cs3 à l'aide du modèle grok /%{INT:productlogid}
	metadata.product_name	Défini sur "Triage"
cs3	metadata.url_back_to_product	Valeur copiée directement
	metadata.vendor_name	Défini sur "Cofense"
suser	network.email.from	Valeur copiée directement
cs4	network.email.subject	Valeur copiée directement
duser	network.email.to	Valeur copiée directement
hôte	principal.asset.hostname	Valeur copiée directement
ipaddress	principal.asset.ip	Valeur copiée directement
hôte	principal.hostname	Valeur copiée directement
ipaddress	principal.ip	Valeur copiée directement
processID	principal.process.pid	Valeur copiée directement
descrip	principal.user.userid	Extrait de la description à l'aide du modèle Grok User: (%{WORD:user_id})
cat, cs2	security_result.action	Définissez sur ALLOW si la catégorie est ["health","Processed:Marketing","Processed:Non-Malicious"], sur BLOCK si la catégorie est "Processed:Spam" ou "Processed:Threats" ou si cs2 est ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"]
de gravité,	security_result.alert_state	Défini sur ALERTING si la gravité est dans ["8","10","11","12","13","14"], sinon NOT_ALERTING
cat, cs2, severity	security_result.category	Définissez sur MAIL_SPAM si cat == "Processed:Spam", MAIL_PHISHING si cs2 in ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] ou severity in ["8","10","11","12","13","14"]
cat	security_result.description	Valeur copiée directement
de gravité,	security_result.rule_id	Valeur copiée directement
cs2	security_result.rule_name	Valeur copiée directement
cat, cs2	security_result.severity	Définissez sur INFORMATIONAL si cat est dans ["health","Processed:Marketing","Processed:Non-Malicious"], sur HIGH si cat == "Processed:Spam", sur CRITICAL si cat == "Processed:Threats", sinon sur HIGH si cs2 est dans ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"]

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.