Esta página se ha traducido con Cloud Translation API.

Recopilar registros DHCP de Sophos

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros del protocolo de configuración dinámica de hosts (DHCP) de Sophos en Google Security Operations mediante Bindplane. El analizador primero normaliza los mensajes syslog de DHCP de Sophos en una estructura de pares clave-valor y, a continuación, asigna los campos extraídos al esquema del modelo de datos unificado (UDM). Gestiona diferentes tipos de mensajes DHCP (DHCPREQUEST, DHCPACK, DHCPOFFER y DHCPNAK) y extrae información relevante, como direcciones IP, direcciones MAC y opciones DHCP.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Una instancia de Google SecOps.
Un host Windows 2016 o posterior, o Linux con systemd.
Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos según los requisitos del agente de Bindplane.
Acceso privilegiado a la consola de gestión de Sophos UTM o a la consola de administración web de Sophos Firewall (SFOS).

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión.
- Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux siguiendo las instrucciones que se indican a continuación.

Instalación de ventanas

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre un terminal con privilegios de superusuario o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
- Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
- Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'SOPHOS_DHCP'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye <CUSTOMER_ID> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta donde se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente BindPlane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart observiq-otel-collector
```
Para reiniciar el agente de BindPlane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
```
sc stop observiq-otel-collector && sc start observiq-otel-collector
```

Opción 2: Configurar el reenvío de Syslog en Sophos Firewall

Inicia sesión en la consola de administración web de Sophos Firewall.
Ve a Configurar > Servicios del sistema > Ajustes de registro.
Haz clic en Añadir para configurar un servidor syslog.
Proporcione los siguientes detalles de configuración:
- Nombre: introduce un nombre único para el recopilador de Google SecOps (por ejemplo, Google SecOps BindPlane DHCP).
- Dirección IP o dominio: introduce la dirección IP de BindPlane.
- Puerto: introduce el número de puerto de BindPlane (por ejemplo, 514).
- Facility (Instalación): selecciona DAEMON (DEMONIO).
- Nivel de gravedad: selecciona Información.
- Formato: selecciona Formato estándar del dispositivo.
Haz clic en Guardar.
Vuelve a la página Configuración de registro y selecciona los tipos de registro específicos que quieras reenviar al servidor syslog.
Seleccione las categorías de registro adecuadas que incluyan eventos DHCP. El servicio dhcpd genera los registros DHCP, que forman parte de los registros de red o del sistema que se reenviarán cuando se habiliten las categorías de registro correspondientes.
Haz clic en Aplicar para guardar la configuración.

Opción 1: Configurar el reenvío de Syslog en Sophos UTM

Inicia sesión en la consola de gestión de Sophos UTM.
Ve a Registro e informes > Configuración de registro > Servidor Syslog remoto.
Haz clic en el botón de activación para habilitar Syslog remoto. El área Configuración de Syslog remoto se puede editar.
En el campo Servidores Syslog, haga clic en + Añadir servidor Syslog.
En el cuadro de diálogo Añadir servidor syslog, proporcione los siguientes detalles de configuración:
- Nombre: introduce un nombre descriptivo (por ejemplo, Google SecOps BindPlane DHCP).
- Servidor: haz clic en el icono + (más) situado junto al campo Servidor. Crea o selecciona un Host (Host) en Network Definitions (Definiciones de red) con la dirección IP del agente de BindPlane y haz clic en Save (Guardar).
- Puerto: haz clic en el icono + (más) situado junto al campo Puerto. Crea o selecciona una definición de servicio con el protocolo y el puerto adecuados (por ejemplo, UDP/514) y haz clic en Guardar.
En el cuadro de diálogo Añadir servidor Syslog, haga clic en Guardar.
En la sección Configuración de Syslog remoto, haz clic en Aplicar.

Opcional: Ajusta la opción Búfer de syslog remoto (el valor predeterminado es 1000 líneas) y haz clic en Aplicar.
En la sección Remote Syslog Log Selection (Selección de registros de syslog remoto), selecciona DHCP Server (Servidor DHCP) y las categorías de registro necesarias.
Haga clic en Aplicar para guardar la configuración de selección de registros.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
acción	event.idm.read_only_udm.security_result.action_details
attr_address	event.idm.read_only_udm.target.ip
attr_addresses	event.idm.read_only_udm.target.ip
llamada	event.idm.read_only_udm.security_result.summary
client	event.idm.read_only_udm.principal.hostname
client	event1.idm.read_only_udm.principal.hostname
datos
dstip	event.idm.read_only_udm.target.ip
dstmac	event.idm.read_only_udm.target.mac
dstport	event.idm.read_only_udm.target.port
fwrule	event.idm.read_only_udm.security_result.rule_id
id	event.idm.read_only_udm.metadata.product_event_type	Concatenado con `ulogd -`
id	event1.idm.read_only_udm.metadata.product_event_type	Concatenado con `ID -`
información	event.idm.read_only_udm.security_result.description
initf	event.idm.read_only_udm.security_result.about.labels.value	La clave está codificada como `In Interface`
msg	event.idm.read_only_udm.metadata.description	Cuando process_type no es `confd` ni `ulogd`
name	event.idm.read_only_udm.security_result.description
objname	event.idm.read_only_udm.principal.resource.name
oldattr_address	event.idm.read_only_udm.principal.ip
oldattr_addresses	event.idm.read_only_udm.principal.ip
outitf	event.idm.read_only_udm.security_result.about.labels.value	La clave está codificada como `Out Interface`
pid	event.idm.read_only_udm.principal.process.pid
proto	event.idm.read_only_udm.network.ip_protocol
gravedad	event.idm.read_only_udm.security_result.severity	Si la gravedad es `info` o `debug`, entonces security_result.severity es `INFORMATIONAL`. Si la gravedad es `warn`, security_result.severity es `MEDIUM`.
gravedad	event1.idm.read_only_udm.security_result.severity	Si la gravedad es `info` o `debug`, entonces security_result.severity es `INFORMATIONAL`. Si la gravedad es `warn`, security_result.severity es `MEDIUM`.
sid	event.idm.read_only_udm.security_result.about.labels.value	La clave está codificada como `sid`
src_host	event.idm.read_only_udm.principal.hostname	Cuando process_type es `dhcpd` y dhcp_type es `DHCPREQUEST`, `DHCPACK` o `DHCPOFFER`
src_host	event.idm.read_only_udm.observer.hostname	Cuando process_type es `dhcpd` y dhcp_type es `DHCPREQUEST`
src_host	event.idm.read_only_udm.network.dhcp.client_hostname	Cuando process_type es `dhcpd` y dhcp_type es `DHCPACK` o `DHCPOFFER`
src_ip	event.idm.read_only_udm.network.dhcp.ciaddr	Cuando process_type es `dhcpd` y dhcp_type es `DHCPREQUEST`
src_ip	event.idm.read_only_udm.network.dhcp.yiaddr	Cuando process_type es `dhcpd` y dhcp_type es `DHCPACK`, `DHCPOFFER` o `DHCPNAK`
src_ip	event.idm.read_only_udm.principal.ip	Cuando process_type es `dhcpd` y dhcp_type es `DHCPREQUEST`, `DHCPACK`, `DHCPOFFER` o `DHCPNAK`
src_ip	event.idm.read_only_udm.observer.ip	Cuando process_type es `dhcpd` y dhcp_type es `DHCPREQUEST`, `DHCPACK` o `DHCPOFFER`
src_mac	event.idm.read_only_udm.network.dhcp.chaddr	Cuando process_type es `dhcpd` y dhcp_type es `DHCPREQUEST`, `DHCPACK`, `DHCPOFFER` o `DHCPNAK`
src_mac	event.idm.read_only_udm.principal.mac	Cuando process_type es `dhcpd` y dhcp_type es `DHCPREQUEST`, `DHCPACK`, `DHCPOFFER` o `DHCPNAK`
srcip	event.idm.read_only_udm.principal.ip
srcip	event1.idm.read_only_udm.principal.ip
srcmac	event.idm.read_only_udm.principal.mac
srcport	event.idm.read_only_udm.principal.port
sub	event.idm.read_only_udm.metadata.description
sub	event1.idm.read_only_udm.metadata.description
tcpflags	event.idm.read_only_udm.security_result.about.labels.value	La clave está codificada como `TCP Flags`
usuario	event.idm.read_only_udm.principal.user.userid
usuario	event1.idm.read_only_udm.principal.user.userid
	event.idm.read_only_udm.metadata.event_type	`GENERIC_EVENT` si no se ha definido ningún otro event_type. `NETWORK_CONNECTION` si srcip y dstip no están vacíos. `RESOURCE_WRITTEN` si el nombre es `object changed`. `NETWORK_DHCP` si process_type es `dhcpd`
	event.idm.read_only_udm.metadata.log_type	Codificado de forma rígida en `SOPHOS_DHCP`
	event.idm.read_only_udm.metadata.product_name	Codificado de forma rígida en `SOPHOS_DHCP`
	event.idm.read_only_udm.metadata.vendor_name	Codificado de forma rígida en `SOPHOS`
	event.idm.read_only_udm.network.application_protocol	Se ha codificado como `DHCP` cuando process_type es `dhcpd`.
	event.idm.read_only_udm.network.dhcp.opcode	Se ha codificado como `BOOTREQUEST` cuando process_type es `dhcpd` y dhcp_type es `DHCPREQUEST`. Se ha codificado como `BOOTREPLY` cuando process_type es `dhcpd` y dhcp_type es `DHCPACK`, `DHCPOFFER` o `DHCPNAK`.
	event.idm.read_only_udm.network.dhcp.type	`REQUEST` cuando process_type es `dhcpd` y dhcp_type es `DHCPREQUEST`. `ACK` cuando process_type es `dhcpd` y dhcp_type es `DHCPACK`. `OFFER` cuando process_type es `dhcpd` y dhcp_type es `DHCPOFFER`. `NAK` cuando process_type es `dhcpd` y dhcp_type es `DHCPNAK`
	event1.idm.read_only_udm.metadata.event_type	Codificado de forma rígida en `GENERIC_EVENT`
	event1.idm.read_only_udm.metadata.log_type	Codificado de forma rígida en `SOPHOS_DHCP`
	event1.idm.read_only_udm.metadata.product_name	Codificado de forma rígida en `SOPHOS_DHCP`
	event1.idm.read_only_udm.metadata.vendor_name	Codificado de forma rígida en `SOPHOS`

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.