Microsoft Sentinel: Log Collection Sophos Endpoint Protection (Sophos Central)

Come avrete potuto notare, all’interno della Community ho scritto diversi articoli inerenti al mondo SIEM di casa Redmond, che spaziano dal deploy della soluzione di Microsoft Sentinel, fino a guide molto specifiche su come eseguire la collezione dei log provenienti da diverse fonti e vi ho spiegato come al giorno d’oggi è di fondamentale importanza avere a disposizione più Log possibile per eseguire correlazioni degli eventi in modo puntuale.

In questo articolo vorrei darvi evidenza di come poter eseguire la log collection di Sophos Central, per la componente di Endpoint Protection per poi inviare questi log all’interno di Microsoft Sentinel.

Una volta che poi i log sono presenti all’interno del SIEM/SOAR di casa Redmond posso essere utilizzati in qualsiasi modo noi vogliamo, per creare automazioni che ci permettono di rispondere in modo preciso e puntuale ad Incident di sicurezza.

Scenario

Per darvi evidenza di come implementare questa funzionalità all’interno del mio ambiente di demo avrò a disposizione un tenant di Sophos Central, un Tenant Microsoft 365 (con una sottoscrizione Azure) e un Server (SRVDC) protetto da Sophos Antivirus.

Figura 1: Console Sophos Central con il dispositivo di Demo

Figura 2: SRVDC in cui è installato Sophos Antivirus per la protezione

Figura 3: Workspace di Microsoft Sentinel per la log Collection da Sophos Central

Svolgimento

Vi riporto a titolo informativo anche alcuni articoli relativi a Microsoft Sentinel per darvi evidenza sia dell’implementazione di questa soluzione, e sia della collezione dei log. Per l’implementazione di Microsoft Sentinel fate riferimento all’articolo di Nicola Ferrini Introduzione a Microsoft Sentinel – ICT Power invece per la log collection ed automazione vi prego di fare riferimento agli articoli che vi riporto di seguito:

Ora dovrete recarvi all’interno del portale di Microsoft Azure nella sezione di Microsoft Sentinel Microsoft Sentinel – Microsoft Azure

Figura 4: Portale di Microsoft Azure e selezione di Microsoft Sentinel

Figura 5: Selezione Workspace di Microsoft Sentinel per la creazione del data connector di Sophos

Figura 6: Installazione connettore Microsoft Sentinel relativo a Sophos Endpoint Protection

Figura 7: Installazione del connettore di Sophos in corso

Figura 8: Installazione Connettore Sophos ultimata in modo corretto

Ora dovrete procedere alla configurazione del connettore per permettere a Microsoft Sentinel di ricevere i log

Figura 9: Configurazione connettore sophos

Figura 10: Configurazione connettore Sophos Endpoint Protection

Come potete notare, all’interno del connettore è presente anche la funzione che attraverso una Kusto Query (KQL) esegue il parsing dei log. Inoltre è possibile utilizzare due connettori:

  • Sophos Endpoint Protection (using REST API) (Preview)
  • Sophos Endpoint Protection (using Azure Functions)

Vi guiderò nella configurazione di entrambi i connettori.

Sophos Endpoint Protection (using REST API) (Preview)

Figura 11: Configurazione connettore Sophos tramite Rest API

Ora saranno necessarie le seguenti informazioni:

  • Sophos Tenant ID
  • Sophos Tenant Data Region
  • Client ID
  • Secret ID

Le informazioni saranno recuperabili all’interno del portale di Sophos Central

Figura 12: Parametri di Sophos Central per la configurazione

Accedete quindi al vostro portale di Sophos Sophos Central

Figura 13: Creazione API per collegamento con Microsoft Sentinel

Ora dovrete scegliere un nome per il Token, nel mio caso scelgo “TokenSentinel”.

Figura 14: Configurazione API per Microsoft Sentinel

Copiarsi ora il Client ID (vi consiglio di salvarlo momentaneamente in un file txt) in quanto sarà da copiare all’interno del connettore di Sentinel

Figura 15: Copia del Client ID per le API

Ora copiate il Secret ID, anche per questo vi consiglio di salvarlo all’interno di un file txt.

Figura 16: Copia del Secret ID per il collegamento API

Figura 17: Recupero del Tenant ID della console di Sophos

Figura 18: Copia Del tenant ID della console di Sophos

Ora ritornate all’interno della configurazione del connettore nel portale di Azure, inserite quindi i parametri che avete creato in precedenza e cliccate su “Connect”.

Figura 19: Salvataggio Configurazione delle API per il collegamento con la console di Sophos

Ora Sentinel comincierà ad immagazzinare i log di Sophos Central.

Sophos Endpoint Protection (using Azure Functions)

Figura 20: Deploy connettore Sophos con Azure Function

Figura 21: Configurazione Azure Function lato Sophos

Figura 22: Configurazione Azure Function Sophos

Negli step successivi vi consiglio di annotarvi gli ID perché vi serviranno più avanti per la configurazione finale.

Figura 23: Copia API Access URL + Headers

Figura 24: Copia del Workspace ID e della chiave primaria del Workspace di Microsoft Sentinel

Figura 25: Copia Resrouces ID

Ora inserite all’interno del connettore i parametri copiati in precedenza.

Figura 26: Copia parametri nel connettore recuperati negli step precedenti

Figura 27: Salvataggio connettore

Figura 28: Deploy Completato con successo

Ora Sophos invierà i log a Sentinel anche con la configurazione tramite Azure Function.

Per darvi evidenza dell’invio corretto dei log eseguirò un file eicar sul mio SRVDC

Figura 29: Download File Eicar per simulare un Virus

Figura 30: File sul server rilevato come Malevolo

Ora tramite KQL (Kusto Query) identifichiamo gli eventi Sophos.

Figura 31: KQL per identificare eventi Sophos

Conclusioni

Come vi avevo spiegato nei precedenti articoli, Microsoft Sentinel al proprio interno offre diversi connettori che ci permettono in modo semplice e veloce di effettuare log collection e permetterci quindi di agire in modo tempestivo in caso di compromissioni.

Nel caso specifico avere a disposizione i log di un sistema XDR e Antivirus può aiutarci a capire cosa accade all’interno dei nostri device e creare regole di automazione / correlazione che ci permettono di identificare comportamenti anomali e bloccarli proprio sul nascere evitando spiacevoli sorprese.