Raccogliere i log DHCP di Sophos
Supportato in:
Google SecOps
SIEM
Questo documento spiega come importare i log DHCP (Dynamic Host Configuration Protocol) di Sophos in Google Security Operations utilizzando Bindplane. Il parser prima normalizza i messaggi syslog DHCP di Sophos in una struttura chiave-valore e poi mappa i campi estratti allo schema Unified Data Model (UDM). Gestisce diversi tipi di messaggi DHCP (DHCPREQUEST, DHCPACK, DHCPOFFER, DHCPNAK) ed estrae informazioni pertinenti come indirizzi IP, indirizzi MAC e opzioni DHCP.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps.
- Un host Windows 2016 o versioni successive o Linux con
systemd. - Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
- Accesso privilegiato alla console di gestione Sophos UTM o alla console di amministrazione web Sophos Firewall (SFOS).
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione.
- Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione, consulta la guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps
- Accedi al file di configurazione:
- Individua il file
config.yaml. In genere, si trova nella directory/etc/bindplane-agent/su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano,vio Blocco note).
- Individua il file
Modifica il file
config.yamlcome segue:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'SOPHOS_DHCP' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
- Sostituisci
<CUSTOMER_ID>con l'ID cliente effettivo. - Aggiorna
/path/to/ingestion-authentication-file.jsonal percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente BindPlane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorPer riavviare l'agente BindPlane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
sc stop observiq-otel-collector && sc start observiq-otel-collector
Opzione 2: configura l'inoltro Syslog su Sophos Firewall
- Accedi alla console di amministrazione web di Sophos Firewall.
- Vai a Configura > Servizi di sistema > Impostazioni log.
- Fai clic su Aggiungi per configurare un server syslog.
- Fornisci i seguenti dettagli di configurazione:
- Name (Nome): inserisci un nome univoco per il raccoglitore Google SecOps (ad esempio,
Google SecOps BindPlane DHCP). - Indirizzo IP/Dominio: inserisci l'indirizzo IP di BindPlane.
- Porta: inserisci il numero di porta di BindPlane (ad esempio,
514). - Facility (Struttura): seleziona DAEMON.
- Livello di gravità: seleziona Informazioni.
- Formato: seleziona Formato standard del dispositivo.
- Name (Nome): inserisci un nome univoco per il raccoglitore Google SecOps (ad esempio,
- Fai clic su Salva.
- Torna alla pagina Impostazioni log e seleziona i tipi di log specifici da inoltrare al server syslog.
- Seleziona le categorie di log appropriate che includono gli eventi DHCP. I log DHCP vengono generati dal servizio dhcpd e fanno parte dei log di rete o di sistema che verranno inoltrati quando le categorie di log corrispondenti sono abilitate.
- Fai clic su Applica per salvare la configurazione.
Opzione 1: configura l'inoltro Syslog su Sophos UTM
- Accedi alla console di gestione Sophos UTM.
- Vai a Registrazione e report > Impostazioni log > Server Syslog remoto.
- Fai clic sul pulsante di attivazione/disattivazione per attivare Remote syslog. L'area Impostazioni Syslog remoto diventa modificabile.
- Nel campo Server Syslog, fai clic su + Aggiungi server Syslog.
- Nella finestra di dialogo Aggiungi server syslog, fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome descrittivo (ad esempio,
Google SecOps BindPlane DHCP). - Server: fai clic sull'icona + (più) accanto al campo Server. Crea o seleziona un host da Definizioni di rete con l'indirizzo IP dell'agente BindPlane e fai clic su Salva.
- Porta: fai clic sull'icona + (più) accanto al campo Porta. Crea o seleziona una definizione di servizio con il protocollo e la porta appropriati (ad esempio UDP/514) e fai clic su Salva.
- Nome: inserisci un nome descrittivo (ad esempio,
- Fai clic su Salva nella finestra di dialogo Aggiungi server Syslog.
- Fai clic su Applica nella sezione Impostazioni Syslog remoto.
- (Facoltativo) Regola l'impostazione Buffer Syslog remoto (il valore predefinito è 1000 righe) e fai clic su Applica.
- Nella sezione Selezione log Syslog remoto, seleziona Server DHCP e le categorie di log richieste.
- Fai clic su Applica per salvare le impostazioni di selezione dei log.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| azione | event.idm.read_only_udm.security_result.action_details | |
| attr_address | event.idm.read_only_udm.target.ip | |
| attr_addresses | event.idm.read_only_udm.target.ip | |
| chiamare | event.idm.read_only_udm.security_result.summary | |
| client | event.idm.read_only_udm.principal.hostname | |
| client | event1.idm.read_only_udm.principal.hostname | |
| dati | ||
| dstip | event.idm.read_only_udm.target.ip | |
| dstmac | event.idm.read_only_udm.target.mac | |
| dstport | event.idm.read_only_udm.target.port | |
| fwrule | event.idm.read_only_udm.security_result.rule_id | |
| id | event.idm.read_only_udm.metadata.product_event_type | Concatenato con ulogd - |
| id | event1.idm.read_only_udm.metadata.product_event_type | Concatenato con ID - |
| informazioni | event.idm.read_only_udm.security_result.description | |
| initf | event.idm.read_only_udm.security_result.about.labels.value | La chiave è codificata in modo permanente su In Interface |
| msg | event.idm.read_only_udm.metadata.description | Quando process_type non è confd o ulogd |
| nome | event.idm.read_only_udm.security_result.description | |
| objname | event.idm.read_only_udm.principal.resource.name | |
| oldattr_address | event.idm.read_only_udm.principal.ip | |
| oldattr_addresses | event.idm.read_only_udm.principal.ip | |
| outitf | event.idm.read_only_udm.security_result.about.labels.value | La chiave è codificata in modo permanente su Out Interface |
| pid | event.idm.read_only_udm.principal.process.pid | |
| proto | event.idm.read_only_udm.network.ip_protocol | |
| gravità | event.idm.read_only_udm.security_result.severity | Se la gravità è info o debug, security_result.severity è INFORMATIONAL. Se la gravità è warn, security_result.severity è MEDIUM |
| gravità | event1.idm.read_only_udm.security_result.severity | Se la gravità è info o debug, security_result.severity è INFORMATIONAL. Se la gravità è warn, security_result.severity è MEDIUM |
| sid | event.idm.read_only_udm.security_result.about.labels.value | La chiave è codificata in modo permanente su sid |
| src_host | event.idm.read_only_udm.principal.hostname | Quando process_type è dhcpd e dhcp_type è DHCPREQUEST o DHCPACK o DHCPOFFER |
| src_host | event.idm.read_only_udm.observer.hostname | Quando process_type è dhcpd e dhcp_type è DHCPREQUEST |
| src_host | event.idm.read_only_udm.network.dhcp.client_hostname | Quando process_type è dhcpd e dhcp_type è DHCPACK o DHCPOFFER |
| src_ip | event.idm.read_only_udm.network.dhcp.ciaddr | Quando process_type è dhcpd e dhcp_type è DHCPREQUEST |
| src_ip | event.idm.read_only_udm.network.dhcp.yiaddr | Quando process_type è dhcpd e dhcp_type è DHCPACK o DHCPOFFER o DHCPNAK |
| src_ip | event.idm.read_only_udm.principal.ip | Quando process_type è dhcpd e dhcp_type è DHCPREQUEST o DHCPACK o DHCPOFFER o DHCPNAK |
| src_ip | event.idm.read_only_udm.observer.ip | Quando process_type è dhcpd e dhcp_type è DHCPREQUEST o DHCPACK o DHCPOFFER |
| src_mac | event.idm.read_only_udm.network.dhcp.chaddr | Quando process_type è dhcpd e dhcp_type è DHCPREQUEST o DHCPACK o DHCPOFFER o DHCPNAK |
| src_mac | event.idm.read_only_udm.principal.mac | Quando process_type è dhcpd e dhcp_type è DHCPREQUEST o DHCPACK o DHCPOFFER o DHCPNAK |
| srcip | event.idm.read_only_udm.principal.ip | |
| srcip | event1.idm.read_only_udm.principal.ip | |
| srcmac | event.idm.read_only_udm.principal.mac | |
| srcport | event.idm.read_only_udm.principal.port | |
| Pub/Sub. | event.idm.read_only_udm.metadata.description | |
| Pub/Sub. | event1.idm.read_only_udm.metadata.description | |
| tcpflags | event.idm.read_only_udm.security_result.about.labels.value | La chiave è codificata in modo permanente su TCP Flags |
| utente | event.idm.read_only_udm.principal.user.userid | |
| utente | event1.idm.read_only_udm.principal.user.userid | |
| event.idm.read_only_udm.metadata.event_type | GENERIC_EVENT se non è impostato nessun altro event_type. NETWORK_CONNECTION se srcip e dstip non sono vuoti. RESOURCE_WRITTEN se il nome è object changed. NETWORK_DHCP if process_type is dhcpd |
|
| event.idm.read_only_udm.metadata.log_type | Codificato in modo permanente su SOPHOS_DHCP |
|
| event.idm.read_only_udm.metadata.product_name | Codificato in modo permanente su SOPHOS_DHCP |
|
| event.idm.read_only_udm.metadata.vendor_name | Codificato in modo permanente su SOPHOS |
|
| event.idm.read_only_udm.network.application_protocol | Codificato in modo permanente su DHCP quando process_type è dhcpd |
|
| event.idm.read_only_udm.network.dhcp.opcode | Codificato in modo permanente su BOOTREQUEST quando process_type è dhcpd e dhcp_type è DHCPREQUEST. Codificato in modo permanente su BOOTREPLY quando process_type è dhcpd e dhcp_type è DHCPACK o DHCPOFFER o DHCPNAK |
|
| event.idm.read_only_udm.network.dhcp.type | REQUEST quando process_type è dhcpd e dhcp_type è DHCPREQUEST. ACK quando process_type è dhcpd e dhcp_type è DHCPACK. OFFER quando process_type è dhcpd e dhcp_type è DHCPOFFER. NAK quando process_type è dhcpd e dhcp_type è DHCPNAK |
|
| event1.idm.read_only_udm.metadata.event_type | Codificato in modo permanente su GENERIC_EVENT |
|
| event1.idm.read_only_udm.metadata.log_type | Codificato in modo permanente su SOPHOS_DHCP |
|
| event1.idm.read_only_udm.metadata.product_name | Codificato in modo permanente su SOPHOS_DHCP |
|
| event1.idm.read_only_udm.metadata.vendor_name | Codificato in modo permanente su SOPHOS |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.