Raccogliere i log di Cofense

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Cofense in Google Security Operations utilizzando l'agente Bindplane.

Cofense Triage è una piattaforma di risposta agli incidenti di phishing che automatizza il rilevamento, l'analisi e la risposta alle email di phishing segnalate dai dipendenti. Raggruppa minacce simili, assegna punteggi di rischio, estrae indicatori di compromissione (IOC) e si integra con gli strumenti di orchestrazione della sicurezza per accelerare la risoluzione degli incidenti di phishing.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server Cofense Triage
Se l'esecuzione avviene tramite un proxy, assicurati che le porte firewall siano aperte in base ai requisiti dell'agente Bindplane.
Accesso con privilegi alla console di amministrazione di Cofense Triage
Cofense Triage versione 1.20 o successive

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane su Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Lo stato del servizio deve essere RUNNING.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Lo stato del servizio deve essere attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviare i log a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cofense:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'your-customer-id'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: COFENSE_TRIAGE
        raw_log_field: body

service:
    pipelines:
        logs/cofense_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cofense

Sostituisci i seguenti segnaposto:
- Configurazione del ricevitore:
  - listen_address: Indirizzo IP e porta su cui ascoltare:
    - 0.0.0.0:514 per ascoltare su tutte le interfacce sulla porta 514 (richiede l'accesso come amministratore su Linux)
    - 0.0.0.0:1514 per l'ascolto su una porta senza privilegi (consigliato per Linux non root)
  - Opzioni del tipo di ricevitore:
    - tcplog per syslog TCP (consigliato per Cofense Triage)
    - udplog per syslog UDP
- Configurazione dell'esportatore:
  - creds_file_path: il percorso completo del file di autenticazione dell'importazione di Google SecOps:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id: ID cliente Google SecOps
  - endpoint: URL endpoint regionale:
    - Stati Uniti: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Per l'elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:

Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux:

Esegui questo comando:

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

sudo systemctl status observiq-otel-collector

Controlla la presenza di errori nei log:

sudo journalctl -u observiq-otel-collector -f

Per riavviare l'agente Bindplane in Windows:
1. Scegli una delle seguenti opzioni:
  - Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Console Services:
    1. Premi Win+R, digita services.msc e premi Invio.
    2. Individua observIQ OpenTelemetry Collector.
    3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
2. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
3. Controlla la presenza di errori nei log:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare l'inoltro di Syslog di Cofense Triage

Cofense Triage può inoltrare eventi e avvisi di segnalazione di phishing in formato CEF (Common Event Format) tramite syslog a raccoglitori SIEM esterni.

Abilitare l'output syslog in Cofense Triage

Accedi all'interfaccia web di Cofense Triage con le credenziali di amministratore.
Vai a Amministrazione > Sistema > Syslog.
Attiva il pulsante di attivazione/disattivazione Syslog.
Configura i seguenti parametri syslog:
- Server syslog: inserisci l'indirizzo IP o il nome host dell'host dell'agente Bindplane (ad esempio, 192.168.1.100).
- Porta: inserisci la porta corrispondente all'agente Bindplane listen_address (ad esempio, 514).
- Protocollo: seleziona TCP (consigliato) o UDP in modo che corrisponda al tipo di ricevitore dell'agente Bindplane.
- Formato: seleziona CEF (Common Event Format).
Fai clic su Salva.

Configurare gli avvisi syslog

Nell'interfaccia web di Cofense Triage, vai ad Administration > System > Syslog Alerts.
Seleziona i tipi di eventi da inoltrare:
- Report di phishing: inoltrati quando vengono ricevuti ed elaborati nuovi report di phishing
- Eventi del cluster: inoltrati quando i report sono raggruppati in cluster
- Eventi indicatori di minaccia: inoltrati quando gli indicatori di compromissione vengono estratti dai report
- Avvisi salute: inoltrati per eventi relativi a integrità e prestazioni del sistema
Fai clic su Salva.

Nota: le categorie e la granularità degli avvisi Syslog dipendono dalla versione e dal livello di licenza di Cofense Triage. Consulta la documentazione di Cofense Triage per la tua versione specifica.

Verificare l'inoltro di Syslog

Dopo aver salvato la configurazione syslog, attiva un evento di test in Cofense Triage (ad esempio, elabora un report di phishing).
Controlla i log dell'agente Bindplane per i messaggi syslog in entrata:
- Linux: sudo journalctl -u observiq-otel-collector -f
- Windows: type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Verifica che nei log vengano visualizzati messaggi formattati in CEF, ad esempio:

CEF:0|Cofense|Triage|1.0|100|Phishing Report Processed|5|suser=reporter@company.com duser=attacker@malicious.com cs4=Urgent: Account Verification cat=Processed:Threats

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
msg, rule_id, start, rt	additional.fields	Unito alle etichette per msg se non è vuoto, rule_id se non è vuoto, start se non è vuoto, rt se non è vuoto
event_data, descrip	metadata.description	Valore di event_data se non è vuoto, altrimenti descrip
deviceCustomDate1, log_datetime	metadata.event_timestamp	Analizzato da deviceCustomDate1 se non è vuoto, altrimenti log_datetime utilizzando il formato MMM d yyyy HH:mm:ss o MMM d HH:mm:ss
suser, duser, has_principal	metadata.event_type	Imposta EMAIL_TRANSACTION se suser e duser corrispondono al pattern email, altrimenti GENERIC_EVENT, quindi STATUS_UPDATE se has_principal è true ed era GENERIC_EVENT
cs3	metadata.product_log_id	Estratto da cs3 utilizzando il pattern grok /%{INT:productlogid}
	metadata.product_name	Impostato su "Triage"
cs3	metadata.url_back_to_product	Valore copiato direttamente
	metadata.vendor_name	Impostato su "Cofense"
suser	network.email.from	Valore copiato direttamente
cs4	network.email.subject	Valore copiato direttamente
duser	network.email.to	Valore copiato direttamente
host	principal.asset.hostname	Valore copiato direttamente
ipaddress	principal.asset.ip	Valore copiato direttamente
host	principal.hostname	Valore copiato direttamente
ipaddress	principal.ip	Valore copiato direttamente
processID	principal.process.pid	Valore copiato direttamente
descrip	principal.user.userid	Estratto dalla descrizione utilizzando il pattern grok User: (%{WORD:user_id})
cat, cs2	security_result.action	Imposta su ALLOW se cat in ["health","Processed:Marketing","Processed:Non-Malicious"], BLOCK se cat == "Processed:Spam" o "Processed:Threats" o cs2 in ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"]
gravità	security_result.alert_state	Impostato su ALERTING se la gravità è in ["8","10","11","12","13","14"], altrimenti NOT_ALERTING
cat, cs2, severity	security_result.category	Imposta su MAIL_SPAM se cat == "Processed:Spam", MAIL_PHISHING se cs2 in ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] o severity in ["8","10","11","12","13","14"]
gatto	security_result.description	Valore copiato direttamente
gravità	security_result.rule_id	Valore copiato direttamente
cs2	security_result.rule_name	Valore copiato direttamente
cat, cs2	security_result.severity	Imposta su INFORMATIONAL se cat in ["health","Processed:Marketing","Processed:Non-Malicious"], HIGH se cat == "Processed:Spam", CRITICAL se cat == "Processed:Threats", altrimenti HIGH se cs2 in ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"]

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.