Collecter les journaux DHCP Sophos
Compatible avec :
Google SecOps
SIEM
Ce document explique comment ingérer les journaux Sophos Dynamic Host Configuration Protocol (DHCP) dans Google Security Operations à l'aide de Bindplane. L'analyseur normalise d'abord les messages syslog Sophos DHCP dans une structure clé-valeur, puis mappe les champs extraits au schéma UDM (Unified Data Model). Il gère différents types de messages DHCP (DHCPREQUEST, DHCPACK, DHCPOFFER, DHCPNAK) et extrait les informations pertinentes telles que les adresses IP, les adresses MAC et les options DHCP.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps.
- Un hôte Windows 2016 ou version ultérieure, ou Linux avec
systemd. - Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
- Accès privilégié à la console de gestion Sophos UTM ou à la console d'administration Web Sophos Firewall (SFOS).
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion.
- Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
- Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Ressources d'installation supplémentaires
Pour plus d'options d'installation, consultez le guide d'installation.
Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps
- Accédez au fichier de configuration :
- Trouvez le fichier
config.yaml. Il se trouve généralement dans le répertoire/etc/bindplane-agent/sous Linux ou dans le répertoire d'installation sous Windows. - Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple,
nano,viou le Bloc-notes).
- Trouvez le fichier
Modifiez le fichier
config.yamlcomme suit :receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'SOPHOS_DHCP' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
- Remplacez
<CUSTOMER_ID>par le numéro client réel. - Mettez à jour
/path/to/ingestion-authentication-file.jsonavec le chemin d'accès à l'emplacement où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent BindPlane sous Linux, exécutez la commande suivante :
sudo systemctl restart observiq-otel-collectorPour redémarrer l'agent BindPlane dans Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
sc stop observiq-otel-collector && sc start observiq-otel-collector
Option 2 : Configurer le transfert Syslog sur le pare-feu Sophos
- Connectez-vous à la console d'administration Web Sophos Firewall.
- Accédez à Configurer > Services système > Paramètres de journalisation.
- Cliquez sur Ajouter pour configurer un serveur Syslog.
- Fournissez les informations de configuration suivantes :
- Nom : saisissez un nom unique pour le collecteur Google SecOps (par exemple,
Google SecOps BindPlane DHCP). - Adresse IP/Domaine : saisissez l'adresse IP BindPlane.
- Port : saisissez le numéro de port BindPlane (par exemple,
514). - Établissement : sélectionnez DAEMON.
- Niveau de gravité : sélectionnez Information.
- Format : sélectionnez Format standard de l'appareil.
- Nom : saisissez un nom unique pour le collecteur Google SecOps (par exemple,
- Cliquez sur Enregistrer.
- Revenez à la page Paramètres de journalisation et sélectionnez les types de journaux spécifiques à transférer vers le serveur syslog.
- Sélectionnez les catégories de journaux appropriées qui incluent les événements DHCP. Les journaux DHCP sont générés par le service dhcpd et font partie des journaux réseau ou système qui seront transférés lorsque les catégories de journaux correspondantes seront activées.
- Cliquez sur Appliquer pour enregistrer la configuration.
Option 1 : Configurer le transfert Syslog sur Sophos UTM
- Connectez-vous à la console de gestion Sophos UTM.
- Accédez à Journalisation et rapports> Paramètres de journalisation> Serveur Syslog distant.
- Cliquez sur le bouton bascule pour activer syslog à distance. La zone "Paramètres Syslog à distance" devient modifiable.
- Dans le champ Serveurs Syslog, cliquez sur + Ajouter un serveur Syslog.
- Dans la boîte de dialogue Ajouter un serveur Syslog, fournissez les informations de configuration suivantes :
- Nom : saisissez un nom descriptif (par exemple,
Google SecOps BindPlane DHCP). - Serveur : cliquez sur l'icône + (plus) à côté du champ "Serveur". Créez ou sélectionnez un hôte à partir des définitions de réseau avec l'adresse IP de l'agent BindPlane, puis cliquez sur Enregistrer.
- Port : cliquez sur l'icône + (Plus) à côté du champ Port. Créez ou sélectionnez une définition de service avec le protocole et le port appropriés (par exemple, UDP/514), puis cliquez sur Enregistrer.
- Nom : saisissez un nom descriptif (par exemple,
- Cliquez sur Save (Enregistrer) dans la boîte de dialogue Add Syslog Server (Ajouter un serveur Syslog).
- Cliquez sur Appliquer dans la section Paramètres Syslog à distance.
- Facultatif : Ajustez le paramètre Buffer Syslog distant (la valeur par défaut est 1000 lignes), puis cliquez sur Appliquer.
- Dans la section Sélection des journaux Syslog à distance, sélectionnez Serveur DHCP et les catégories de journaux requises.
- Cliquez sur Appliquer pour enregistrer les paramètres de sélection des journaux.
Table de mappage UDM
| Champ du journal | Mappage UDM | Logique |
|---|---|---|
| action | event.idm.read_only_udm.security_result.action_details | |
| attr_address | event.idm.read_only_udm.target.ip | |
| attr_addresses | event.idm.read_only_udm.target.ip | |
| call | event.idm.read_only_udm.security_result.summary | |
| Client | event.idm.read_only_udm.principal.hostname | |
| Client | event1.idm.read_only_udm.principal.hostname | |
| données | ||
| dstip | event.idm.read_only_udm.target.ip | |
| dstmac | event.idm.read_only_udm.target.mac | |
| dstport | event.idm.read_only_udm.target.port | |
| fwrule | event.idm.read_only_udm.security_result.rule_id | |
| id | event.idm.read_only_udm.metadata.product_event_type | Concaténé avec ulogd - |
| id | event1.idm.read_only_udm.metadata.product_event_type | Concaténé avec ID - |
| info | event.idm.read_only_udm.security_result.description | |
| initf | event.idm.read_only_udm.security_result.about.labels.value | La clé est codée en dur sur In Interface. |
| Message | event.idm.read_only_udm.metadata.description | Lorsque process_type n'est pas confd ni ulogd |
| nom | event.idm.read_only_udm.security_result.description | |
| objname | event.idm.read_only_udm.principal.resource.name | |
| oldattr_address | event.idm.read_only_udm.principal.ip | |
| oldattr_addresses | event.idm.read_only_udm.principal.ip | |
| outitf | event.idm.read_only_udm.security_result.about.labels.value | La clé est codée en dur sur Out Interface. |
| pid | event.idm.read_only_udm.principal.process.pid | |
| proto | event.idm.read_only_udm.network.ip_protocol | |
| de gravité, | event.idm.read_only_udm.security_result.severity | Si la gravité est info ou debug, security_result.severity est INFORMATIONAL. Si la gravité est warn, security_result.severity est MEDIUM. |
| de gravité, | event1.idm.read_only_udm.security_result.severity | Si la gravité est info ou debug, security_result.severity est INFORMATIONAL. Si la gravité est warn, security_result.severity est MEDIUM. |
| sid | event.idm.read_only_udm.security_result.about.labels.value | La clé est codée en dur sur sid. |
| src_host | event.idm.read_only_udm.principal.hostname | Lorsque process_type est défini sur dhcpd et que dhcp_type est défini sur DHCPREQUEST, DHCPACK ou DHCPOFFER |
| src_host | event.idm.read_only_udm.observer.hostname | Lorsque process_type est défini sur dhcpd et dhcp_type sur DHCPREQUEST |
| src_host | event.idm.read_only_udm.network.dhcp.client_hostname | Lorsque process_type est défini sur dhcpd et que dhcp_type est défini sur DHCPACK ou DHCPOFFER |
| src_ip | event.idm.read_only_udm.network.dhcp.ciaddr | Lorsque process_type est défini sur dhcpd et dhcp_type sur DHCPREQUEST |
| src_ip | event.idm.read_only_udm.network.dhcp.yiaddr | Lorsque process_type est défini sur dhcpd et que dhcp_type est défini sur DHCPACK, DHCPOFFER ou DHCPNAK |
| src_ip | event.idm.read_only_udm.principal.ip | Lorsque process_type est défini sur dhcpd et que dhcp_type est défini sur DHCPREQUEST, DHCPACK, DHCPOFFER ou DHCPNAK |
| src_ip | event.idm.read_only_udm.observer.ip | Lorsque process_type est défini sur dhcpd et que dhcp_type est défini sur DHCPREQUEST, DHCPACK ou DHCPOFFER |
| src_mac | event.idm.read_only_udm.network.dhcp.chaddr | Lorsque process_type est défini sur dhcpd et que dhcp_type est défini sur DHCPREQUEST, DHCPACK, DHCPOFFER ou DHCPNAK |
| src_mac | event.idm.read_only_udm.principal.mac | Lorsque process_type est défini sur dhcpd et que dhcp_type est défini sur DHCPREQUEST, DHCPACK, DHCPOFFER ou DHCPNAK |
| srcip | event.idm.read_only_udm.principal.ip | |
| srcip | event1.idm.read_only_udm.principal.ip | |
| srcmac | event.idm.read_only_udm.principal.mac | |
| srcport | event.idm.read_only_udm.principal.port | |
| sub | event.idm.read_only_udm.metadata.description | |
| sub | event1.idm.read_only_udm.metadata.description | |
| tcpflags | event.idm.read_only_udm.security_result.about.labels.value | La clé est codée en dur sur TCP Flags. |
| utilisateur | event.idm.read_only_udm.principal.user.userid | |
| utilisateur | event1.idm.read_only_udm.principal.user.userid | |
| event.idm.read_only_udm.metadata.event_type | GENERIC_EVENT si aucun autre event_type n'est défini. NETWORK_CONNECTION si srcip et dstip ne sont pas vides. RESOURCE_WRITTEN si le nom est object changed. NETWORK_DHCP si process_type est dhcpd |
|
| event.idm.read_only_udm.metadata.log_type | Codé en dur sur SOPHOS_DHCP |
|
| event.idm.read_only_udm.metadata.product_name | Codé en dur sur SOPHOS_DHCP |
|
| event.idm.read_only_udm.metadata.vendor_name | Codé en dur sur SOPHOS |
|
| event.idm.read_only_udm.network.application_protocol | Codé en dur sur DHCP lorsque process_type est défini sur dhcpd |
|
| event.idm.read_only_udm.network.dhcp.opcode | Codé en dur sur BOOTREQUEST lorsque process_type est défini sur dhcpd et dhcp_type sur DHCPREQUEST. Codé en dur sur BOOTREPLY lorsque process_type est dhcpd et que dhcp_type est DHCPACK, DHCPOFFER ou DHCPNAK |
|
| event.idm.read_only_udm.network.dhcp.type | REQUEST lorsque process_type est défini sur dhcpd et dhcp_type sur DHCPREQUEST. ACK lorsque process_type est défini sur dhcpd et dhcp_type sur DHCPACK. OFFER lorsque process_type est défini sur dhcpd et dhcp_type sur DHCPOFFER. NAK lorsque process_type est défini sur dhcpd et dhcp_type sur DHCPNAK |
|
| event1.idm.read_only_udm.metadata.event_type | Codé en dur sur GENERIC_EVENT |
|
| event1.idm.read_only_udm.metadata.log_type | Codé en dur sur SOPHOS_DHCP |
|
| event1.idm.read_only_udm.metadata.product_name | Codé en dur sur SOPHOS_DHCP |
|
| event1.idm.read_only_udm.metadata.vendor_name | Codé en dur sur SOPHOS |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.