Recopila registros de DHCP de Sophos
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo transferir registros del protocolo de configuración dinámica de host (DHCP) de Sophos a Google Security Operations con Bindplane. Primero, el analizador normaliza los mensajes syslog de DHCP de Sophos en una estructura de clave-valor y, luego, asigna los campos extraídos al esquema del modelo de datos unificado (UDM). Controla diferentes tipos de mensajes DHCP (DHCPREQUEST, DHCPACK, DHCPOFFER, DHCPNAK) y extrae información relevante, como direcciones IP, direcciones MAC y opciones de DHCP.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Es una instancia de Google SecOps.
- Un host de Windows 2016 o posterior, o Linux con
systemd. - Si ejecutas el agente detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos según los requisitos del agente de Bindplane.
- Acceso con privilegios a la consola de administración de Sophos UTM o a la consola de administración web de Sophos Firewall (SFOS)
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia.
- Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación en Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
Para obtener más opciones de instalación, consulta la guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
- Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'SOPHOS_DHCP' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
- Reemplaza
<CUSTOMER_ID>por el ID de cliente real. - Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de BindPlane en Linux, ejecuta el siguiente comando:
sudo systemctl restart observiq-otel-collectorPara reiniciar el agente de BindPlane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
sc stop observiq-otel-collector && sc start observiq-otel-collector
Opción 2: Configura el reenvío de Syslog en el firewall de Sophos
- Accede a la Consola del administrador web de Sophos Firewall.
- Ve a Configurar > Servicios del sistema > Configuración de registros.
- Haz clic en Agregar para configurar un servidor syslog.
- Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre único para el recopilador de Google SecOps (por ejemplo,
Google SecOps BindPlane DHCP). - Dirección IP o dominio: Ingresa la dirección IP de BindPlane.
- Puerto: Ingresa el número de puerto de BindPlane (por ejemplo,
514). - Facility: Selecciona DAEMON.
- Nivel de gravedad: Selecciona Information.
- Formato: Selecciona Formato estándar del dispositivo.
- Nombre: Ingresa un nombre único para el recopilador de Google SecOps (por ejemplo,
- Haz clic en Guardar.
- Regresa a la página Configuración de registros y selecciona los tipos de registros específicos que se reenviarán al servidor syslog.
- Selecciona las categorías de registros adecuadas que incluyan eventos de DHCP. El servicio dhcpd genera los registros de DHCP, que forman parte de los registros de red o del sistema que se reenvían cuando se habilitan las categorías de registro correspondientes.
- Haz clic en Aplicar para guardar la configuración.
Opción 1: Configura el reenvío de Syslog en Sophos UTM
- Accede a la Consola de administración de Sophos UTM.
- Ve a Logging & Reporting > Log Settings > Remote Syslog Server.
- Haz clic en el botón de activación para habilitar Syslog remoto. El área de configuración de Syslog remoto se puede editar.
- En el campo Servidores Syslog, haz clic en + Agregar servidor Syslog.
- En el diálogo Agregar servidor syslog, proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
Google SecOps BindPlane DHCP). - Servidor: Haz clic en el ícono de + (más) junto al campo Servidor. Crea o selecciona un host en las definiciones de red con la dirección IP del agente de BindPlane y haz clic en Guardar.
- Puerto: Haz clic en el ícono + (más) junto al campo Puerto. Crea o selecciona una definición de servicio con el protocolo y el puerto adecuados (por ejemplo, UDP/514) y haz clic en Guardar.
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
- Haz clic en Guardar en el diálogo Agregar servidor Syslog.
- Haz clic en Aplicar en la sección Configuración de Syslog remoto.
- Opcional: Ajusta el parámetro de configuración Remote Syslog Buffer (el valor predeterminado es 1000 líneas) y haz clic en Aplicar.
- En la sección Remote Syslog Log Selection, selecciona DHCP Server y las categorías de registro requeridas.
- Haz clic en Aplicar para guardar la configuración de selección de registros.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| acción | event.idm.read_only_udm.security_result.action_details | |
| attr_address | event.idm.read_only_udm.target.ip | |
| attr_addresses | event.idm.read_only_udm.target.ip | |
| call | event.idm.read_only_udm.security_result.summary | |
| cliente | event.idm.read_only_udm.principal.hostname | |
| cliente | event1.idm.read_only_udm.principal.hostname | |
| datos | ||
| dstip | event.idm.read_only_udm.target.ip | |
| dstmac | event.idm.read_only_udm.target.mac | |
| dstport | event.idm.read_only_udm.target.port | |
| fwrule | event.idm.read_only_udm.security_result.rule_id | |
| id | event.idm.read_only_udm.metadata.product_event_type | Se concatenó con ulogd - |
| id | event1.idm.read_only_udm.metadata.product_event_type | Se concatenó con ID - |
| información | event.idm.read_only_udm.security_result.description | |
| initf | event.idm.read_only_udm.security_result.about.labels.value | La clave está codificada como In Interface. |
| msg | event.idm.read_only_udm.metadata.description | Cuando process_type no es confd ni ulogd |
| nombre | event.idm.read_only_udm.security_result.description | |
| objname | event.idm.read_only_udm.principal.resource.name | |
| oldattr_address | event.idm.read_only_udm.principal.ip | |
| oldattr_addresses | event.idm.read_only_udm.principal.ip | |
| outitf | event.idm.read_only_udm.security_result.about.labels.value | La clave está codificada como Out Interface. |
| pid | event.idm.read_only_udm.principal.process.pid | |
| protocolo | event.idm.read_only_udm.network.ip_protocol | |
| gravedad, | event.idm.read_only_udm.security_result.severity | Si la gravedad es info o debug, security_result.severity es INFORMATIONAL. Si la gravedad es warn, security_result.severity es MEDIUM. |
| gravedad, | event1.idm.read_only_udm.security_result.severity | Si la gravedad es info o debug, security_result.severity es INFORMATIONAL. Si la gravedad es warn, security_result.severity es MEDIUM. |
| sid | event.idm.read_only_udm.security_result.about.labels.value | La clave está codificada como sid. |
| src_host | event.idm.read_only_udm.principal.hostname | Cuando process_type es dhcpd y dhcp_type es DHCPREQUEST, DHCPACK o DHCPOFFER |
| src_host | event.idm.read_only_udm.observer.hostname | Cuando process_type es dhcpd y dhcp_type es DHCPREQUEST |
| src_host | event.idm.read_only_udm.network.dhcp.client_hostname | Cuando process_type es dhcpd y dhcp_type es DHCPACK o DHCPOFFER |
| src_ip | event.idm.read_only_udm.network.dhcp.ciaddr | Cuando process_type es dhcpd y dhcp_type es DHCPREQUEST |
| src_ip | event.idm.read_only_udm.network.dhcp.yiaddr | Cuando process_type es dhcpd y dhcp_type es DHCPACK, DHCPOFFER o DHCPNAK |
| src_ip | event.idm.read_only_udm.principal.ip | Cuando process_type es dhcpd y dhcp_type es DHCPREQUEST, DHCPACK, DHCPOFFER o DHCPNAK |
| src_ip | event.idm.read_only_udm.observer.ip | Cuando process_type es dhcpd y dhcp_type es DHCPREQUEST, DHCPACK o DHCPOFFER |
| src_mac | event.idm.read_only_udm.network.dhcp.chaddr | Cuando process_type es dhcpd y dhcp_type es DHCPREQUEST, DHCPACK, DHCPOFFER o DHCPNAK |
| src_mac | event.idm.read_only_udm.principal.mac | Cuando process_type es dhcpd y dhcp_type es DHCPREQUEST, DHCPACK, DHCPOFFER o DHCPNAK |
| srcip | event.idm.read_only_udm.principal.ip | |
| srcip | event1.idm.read_only_udm.principal.ip | |
| srcmac | event.idm.read_only_udm.principal.mac | |
| srcport | event.idm.read_only_udm.principal.port | |
| sub | event.idm.read_only_udm.metadata.description | |
| sub | event1.idm.read_only_udm.metadata.description | |
| tcpflags | event.idm.read_only_udm.security_result.about.labels.value | La clave está codificada como TCP Flags. |
| usuario | event.idm.read_only_udm.principal.user.userid | |
| usuario | event1.idm.read_only_udm.principal.user.userid | |
| event.idm.read_only_udm.metadata.event_type | GENERIC_EVENT si no se establece ningún otro event_type. NETWORK_CONNECTION si srcip y dstip no están vacíos. RESOURCE_WRITTEN si el nombre es object changed. NETWORK_DHCP si process_type es dhcpd |
|
| event.idm.read_only_udm.metadata.log_type | Codificado como SOPHOS_DHCP |
|
| event.idm.read_only_udm.metadata.product_name | Codificado como SOPHOS_DHCP |
|
| event.idm.read_only_udm.metadata.vendor_name | Codificado como SOPHOS |
|
| event.idm.read_only_udm.network.application_protocol | Se codifica como DHCP cuando process_type es dhcpd. |
|
| event.idm.read_only_udm.network.dhcp.opcode | Se codifica de forma rígida como BOOTREQUEST cuando process_type es dhcpd y dhcp_type es DHCPREQUEST. Se codifica como BOOTREPLY cuando process_type es dhcpd y dhcp_type es DHCPACK, DHCPOFFER o DHCPNAK. |
|
| event.idm.read_only_udm.network.dhcp.type | REQUEST cuando process_type es dhcpd y dhcp_type es DHCPREQUEST. ACK cuando process_type es dhcpd y dhcp_type es DHCPACK. OFFER cuando process_type es dhcpd y dhcp_type es DHCPOFFER. NAK cuando process_type es dhcpd y dhcp_type es DHCPNAK |
|
| event1.idm.read_only_udm.metadata.event_type | Codificado como GENERIC_EVENT |
|
| event1.idm.read_only_udm.metadata.log_type | Codificado como SOPHOS_DHCP |
|
| event1.idm.read_only_udm.metadata.product_name | Codificado como SOPHOS_DHCP |
|
| event1.idm.read_only_udm.metadata.vendor_name | Codificado como SOPHOS |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.