Sophos DHCP-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Sophos-DHCP-Logs mit Bindplane in Google Security Operations aufnehmen.
Der Parser extrahiert Felder aus Sophos DHCP-Syslog-formatierten Logs mithilfe von „grok“ und/oder „kv“. Die Werte werden dem Unified Data Model (UDM) zugeordnet und es werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.
Hinweis
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz.
- Ein Windows 2016- oder höher- oder Linux-Host mit systemd.
- Netzwerkverbindung: Wenn der Agent hinter einem Proxy ausgeführt wird, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Privilegierter Zugriff auf die Administrator-UI der Sophos Firewall/UTM.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agent auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
- Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei aufrufen:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis/opt/observiq-otel-collectoroder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'SOPHOS_DHCP' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
- Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
- Ersetzen Sie
<customer_id>durch Ihre tatsächliche Kundennummer. - Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Dateipfad, in dem die Authentifizierungsdatei in Schritt 1 gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
/opt/observiq-otel-collector/config.yamlUm den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
Syslog-Weiterleitung auf Sophos DHCP konfigurieren
- Melden Sie sich mit Administratorberechtigungen in der Sophos Firewall/UTM-Admin-Benutzeroberfläche an.
- Rufen Sie die Syslog-Einstellungen auf:
- Sophos Firewall:System Services > Log Settings.
- Sophos UTM:Logging & Reporting > Log Settings > Remote Syslog Server.
- Klicken Sie unter Syslog-Server auf Hinzufügen und geben Sie die folgenden Details an:
- Name: Ein aussagekräftiger Name, z.B.
GoogleSecOps-BindPlane. - IP-Adresse/Domain: Die IP-Adresse des BindPlane Agent-Hosts.
- Port: Der Bindplane-Agent-Port (z.B.
514). - Einrichtung: DAEMON.
- Schweregrad: Information (entsprechend Ihrer internen Richtlinie anpassen).
- Format: Gerätestandardformat (Schlüssel=Wert), um mit SYSLOG + KV übereinzustimmen.
- Name: Ein aussagekräftiger Name, z.B.
- Klicken Sie auf Speichern/Anwenden, um mit dem Weiterleiten von DHCP-bezogenen Logs zu beginnen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
msg |
metadata.description |
Direkt zugeordnet |
sub |
metadata.description |
Direkt zugeordnet |
log_date |
metadata.event_timestamp |
Geparst als yyyy:MM:dd-HH:mm:ss |
log_date_inner |
metadata.event_timestamp |
Geparst als MMM dd HH:mm:ss |
event_type |
metadata.event_type |
Direkt zugeordnet |
msg |
metadata.event_type |
Zugeordnet: call=new → GENERIC_EVENT |
process_type |
metadata.event_type |
Zugeordnet: "confd","ulogd" → GENERIC_EVENT, dhcpd → GENERIC_EVENT, dhcpd → `NETWORK_D... |
id |
metadata.product_event_type |
Direkt zugeordnet |
process_type |
metadata.product_event_type |
Direkt zugeordnet |
msg |
metadata.product_name |
Zugeordnet: call=new → SOPHOS_DHCP |
process_type |
metadata.product_name |
Zugeordnet: "confd","ulogd" → SOPHOS_DHCP |
msg |
metadata.vendor_name |
Zugeordnet: call=new → SOPHOS |
process_type |
metadata.vendor_name |
Zugeordnet: "confd","ulogd" → SOPHOS |
process_type |
network.application_protocol |
Zugeordnet: dhcpd → DHCP |
src_mac |
network.dhcp.chaddr |
Direkt zugeordnet |
src_ip |
network.dhcp.ciaddr |
Direkt zugeordnet |
src_host |
network.dhcp.client_hostname |
Direkt zugeordnet |
dhcp_type |
network.dhcp.opcode |
Zugeordnet: DHCPREQUEST → BOOTREQUEST, DHCPACK → BOOTREPLY, DHCPOFFER → BOOTREPLY, `... |
process_type |
network.dhcp.opcode |
Zugeordnet: dhcpd → BOOTREQUEST, dhcpd → BOOTREPLY |
dhcp_type |
network.dhcp.type |
Zugeordnet: DHCPREQUEST → REQUEST, DHCPACK → ACK, DHCPOFFER → OFFER, DHCPNAK → NAK |
process_type |
network.dhcp.type |
Zugeordnet: dhcpd → REQUEST, dhcpd → ACK, dhcpd → OFFER, dhcpd → NAK |
src_ip |
network.dhcp.yiaddr |
Direkt zugeordnet |
ip_protocol_out |
network.ip_protocol |
Direkt zugeordnet |
src_host |
observer.hostname |
Direkt zugeordnet |
dhcp_type |
observer.ip |
Zugeordnet: DHCPREQUEST → src_ip |
process_type |
observer.ip |
Zugeordnet: dhcpd → src_ip |
src_ip |
observer.ip |
Zusammengeführt |
client |
principal.hostname |
Direkt zugeordnet |
src_host |
principal.hostname |
Direkt zugeordnet |
dhcp_type |
principal.ip |
Zugeordnet: DHCPREQUEST → src_ip, DHCPNAK → src_ip |
ip |
principal.ip |
Zusammengeführt |
msg |
principal.ip |
Zugeordnet: call=new → srcip |
oldattr_address |
principal.ip |
Zusammengeführt |
process_type |
principal.ip |
Zugeordnet: "confd","ulogd" → srcip, "confd","ulogd" → oldattr_address, `"confd","ulogd"... |
src_ip |
principal.ip |
Zusammengeführt |
srcip |
principal.ip |
Zusammengeführt |
dhcp_type |
principal.mac |
Zugeordnet: DHCPREQUEST → src_mac, DHCPNAK → src_mac |
process_type |
principal.mac |
Zugeordnet: "confd","ulogd" → srcmac, dhcpd → src_mac |
src_mac |
principal.mac |
Zusammengeführt |
srcmac |
principal.mac |
Zusammengeführt |
srcport |
principal.port |
Direkt zugeordnet |
pid |
principal.process.pid |
Direkt zugeordnet |
objname |
principal.resource.name |
Direkt zugeordnet |
user |
principal.user.userid |
Direkt zugeordnet |
msg |
security_result |
Zugeordnet: call=new → sec_result |
process_type |
security_result |
Zugeordnet: "confd","ulogd" → sec_result, "confd","ulogd" → security_result |
sec_result |
security_result |
Zusammengeführt |
initf_label |
security_result.about.labels |
Zusammengeführt |
outitf_label |
security_result.about.labels |
Zusammengeführt |
process_type |
security_result.about.labels |
Zugeordnet: "confd","ulogd" → initf_label, "confd","ulogd" → outitf_label, `"confd","ulo... |
sid_label |
security_result.about.labels |
Zusammengeführt |
tcpflags_label |
security_result.about.labels |
Zusammengeführt |
action |
security_result.action_details |
Direkt zugeordnet |
action |
security_result.category |
Zugeordnet: portscan → category |
category |
security_result.category |
Zusammengeführt |
process_type |
security_result.category |
Zugeordnet: "confd","ulogd" → category |
info |
security_result.description |
Direkt zugeordnet |
name |
security_result.description |
Direkt zugeordnet |
fwrule |
security_result.rule_id |
Direkt zugeordnet |
process_type |
security_result.severity |
Zugeordnet: "confd","ulogd" → INFORMATIONAL, "confd","ulogd" → MEDIUM |
severity |
security_result.severity |
Zugeordnet: "info","debug" → INFORMATIONAL, warn → MEDIUM |
call |
security_result.summary |
Direkt zugeordnet |
attr_address |
target.ip |
Zusammengeführt |
dstip |
target.ip |
Zusammengeführt |
ip |
target.ip |
Zusammengeführt |
process_type |
target.ip |
Zugeordnet: "confd","ulogd" → dstip, "confd","ulogd" → attr_address, "confd","ulogd" →... |
dstmac |
target.mac |
Zusammengeführt |
process_type |
target.mac |
Zugeordnet: "confd","ulogd" → dstmac |
dstport |
target.port |
Direkt zugeordnet |
| – | metadata.event_type |
Konstante: GENERIC_EVENT |
| – | metadata.product_name |
Konstante: SOPHOS_DHCP |
| – | metadata.vendor_name |
Konstante: SOPHOS |
| – | network.application_protocol |
Konstante: DHCP |
| – | network.dhcp.opcode |
Konstante: BOOTREQUEST |
| – | network.dhcp.type |
Konstante: REQUEST |
| – | security_result.severity |
Konstante: INFORMATIONAL |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten