集成Code42与相扑逻辑- Code42支持

概述

相扑逻辑是一个安全betway365信息和事件管理(SIEM)工具，可帮助您检测和响应威胁。本教程解释如何从Code42收集并自动将文件泄露事件数据导入Sumo Logic。

观看下面的短视频，了解Incydr如何与Sumo Logic集成。更多视频，请访问Code42大学．

注意事项

需要Python 3.5或更高版本。有关下载和安装Python的说明，请参阅Python文档．
您的业务流程服务器必须能够通过SSL(端口80和443)连接到Code42控制台地址。

在开始之前

创建API客户端

在Code42控制台中，创建一个API客户端，在CLI中提供与Sumo Logic集成的权限:

用户角色的用户内部风险管理角色，创建API客户端仅用于与相扑逻辑集成。
权限:设置必要的API的权限在API客户端中设置集成所需的最小权限。(在通过API客户端ID和secret在CLI中授予访问权限，测试以确认在Sumo Logic中可以访问所需的数据。)

安装和配置Code42 CLI

要与Sumo Logic集成，您必须首先安装Code42命令行而且创建概要文件按照https://clidocs.code42.com．

步骤1:收集文件泄露事件数据

从Code42中收集文件泄露事件数据Cron作业或自动化任务，或使用相扑逻辑脚本源集合的方法。

创建cron作业或自动化任务

在完成创建用户和设置Code42 CLI的步骤之后，为其创建一个自动任务或cron作业在预定的基础上运行查询．

Linux cron作业

在Linux系统上为用户帐户创建一个cron作业。下面的脚本是一个静态示例。修改它以满足您本地环境的需要。
复制!
```
Crontab -e */15 * * * * dbus-run-session——/home/exampledirectory/scriptname.sh
```
(可选)要记录cron作业，在脚本末尾添加以下内容:
复制!
```
>> /home/exampledirectory/ 2>&1 .log
```

确保脚本可执行。
下面的脚本是最新文件事件的动态示例。

printf '[%s] %s\n' "$(date '+%Y-%m-%d %H:% m:% s ')""执行:-打开Dbus会话并执行命令" eval "$(printf '\n' | gnome-keyring-daemon——unlock)" eval "$(printf '\n' | /usr/bin/gnome-keyring-daemon——start)"# / home / exampledirectory /。local/bin/code42 betway365security-data -b "2020-04-27 00:12:00" -f CEF——profile yourprofile——c42-username your.user@example.com > /home/你的目录/code42cef-out /home/exampledirectory/。local/bin/code42 betway365security-data send-to 172.19.50.70:2014 -b "2020-04-27 00:12:00"——use-checkpoint example_checkpoint -f JSON——profile demo——c42-username your.user@example.com——include-non-exposure printf '[%s] %s\n' "$(date '+%Y-%m-%d %H:% m:% s ')"“完整:“

Windows自动任务

步骤1:创建一个脚本

创建一个脚本(例如，批处理、Powershell或其他脚本)，以执行带有所需参数的Code42 CLI命令。该脚本可以很容易地执行调整或执行复杂(复合)查询。在下面的例子中，使用了run.bat。

@echo off code42 betway365security-data send-to 172.19.50.70:2014 -f CEF -b 2020-04-27——use-checkpoint example-checkpoint——profile demo_profile code42在这里需要额外的查询

步骤2:创建定时任务

使用任务调度器创建计划任务，以便在需要时重复执行。

从触发器选项卡，创建一个新的触发器。
将触发器设置为运行每天．
将触发器设置为复发的每一: 1天。
选择每天重复任务选择一个时间框架。
选择的持续时间:无限期。
(可选)选择如果任务运行时间超过: 30分钟。
从行动选项卡，创建执行批处理脚本的操作(例如run.bat)。
(可选)从设置选项卡上，选择与重复计划匹配的重试和强制停止设置。

使用相扑逻辑脚本源

您还可以使用Sumo Logic Script Source从Code42收集文件泄露事件数据。有关设置和使用脚本源的说明，请参见Sumo Logic文档．

步骤2:将日志收集配置为Sumo Logic

下载、安装和配置Sumo Logic收集器，可以在用于Code42 CLI的编排服务器上，也可以在其他系统上。

登录到Sumo Logic控制台。
点击管理数据>收集从左侧导航栏。
点击添加收藏．

打开“选择收集器类型”对话框。
选择安装收集器或主持收集器．
弹出“添加已安装的收集器”或“添加托管的收集器”对话框。
单击要安装收集器的平台的链接。
安装包下载完成。
按照所选平台的安装说明操作:
- Linux
- 窗户
- MacOS
安装完成后，收集器将出现在Collection选项卡上。

步骤3:为代理收集配置Code42源

下面的说明描述了如何从Sumo Logic UI中添加收集器作为源。

相扑逻辑脚本源
如果你在用the相扑逻辑脚本源采集方法，配置源后的相扑逻辑指令．

点击管理数据>收集从左侧导航栏。
找到在前面步骤中添加的收集器。
点击Add >添加源．

打开“文件源”窗口。
选择源。
出现配置选项(本例中为Syslog)。
输入一个的名字对于源。
选择您的协议而且港口．
对于时间戳格式，请选择指定格式．
1. 输入以下内容格式：yyyy-MM-dd 'HH: mm: ss。SSS 'Z”
2. 在时间戳定位器字段，输入正则表达式来定位日志行中的时间戳，例如:
  \“eventTimestamp \”:\ \”(. * ?)\”
  如果没有提供正则表达式，Sumo Logic将自动定位时间戳。
3. 点击添加．
点击保存．
源已配置，日志现在从业务流程服务器流向Sumo Logic环境。

日志类型

可选日志类型如下:

暴露事件
非暴露事件

日志消息示例

{"eventId": "0_c4b5e830-824a-40a3-a6d9-345664cfbb33_941983451917189059_971295845574006661_193"， "eventType": "READ_BY_APP"， "eventTimestamp": "2020-09-09T20:55:47.087Z"， "insertionTimestamp": "2020-09-09T20:57:22.179901Z"， "fieldErrors": []， "filePath": "C:/Users/first. "last/Documents/"， "fileName": "fileName .png"， "fileType": "FILE"， "fileCategory": "IMAGE"， "fileCategoryByBytes": "IMAGE"， "fileCategoryByExtension": "IMAGE"， "fileSize": 4052619， "fileOwner": "first. ""createTimestamp": "2020-02-10T04:38:42Z"， "modifyTimestamp": "2020-02-10T04:38:42Z"， "deviceUserName": "vistor.welch@example.com"， "osHostName": "FIRSTL-WIN10"， "domainName": " FIRSTL-WIN10.example.com"， "publicIpAddress": "XXX.XXX.XX. "XXX"， "privateIpAddresses": ["XXX.XXX. xx . "XXX”、“fe80:0:0:0:1d77: dcdf: c593:1143%eth4”、“0:0:0:0:0:0:0:1”、“127.0.0.1”),”deviceUid”:“941983451917189059”、“userUid”:“902428473202283166”、“演员”:空,“directoryId”:[],“源”:“端点”、“url”:空,“共享”:空,“sharedWith”:[],“sharingTypeAdded”:[],“cloudDriveId”:空,“detectionSourceAlias”:null,”文件标识:空,“曝光”:“ApplicationRead”,“processOwner”:“第一。last"， "processName": "\\Device\ \HarddiskVolume2\\Program Files (x86)\\谷歌\\Chrome\\Application\ \Chrome .exe"， "windowTitle": ["Files - OneDrive -谷歌Chrome"]， "tabUrl": "https://my.sharepoint.com/personal/first_last_onmicrosoft_com/_layouts/15/ OneDrive .exe . "aspx"， "removableMediaVendor": null， "removableMediaName": null， "removableMediaSerialNumber": null， "removableMediaCapacity": null， "removableMediaBusType": null， "removableMediaMediaName": null， "removableMediaMediaName": null， "removableMediaVolumeName": []， "removableMediaPartitionId": []， "syncDestination": null， "syncDestinationUsername": []， "emailDlpPolicyNames": null， "emailSubject": null， "emailSender": null， "emailFrom": null， " email收件人":null， "outsideActiveHours": false， "mimeTypeByBytes":"image/png"， "mimeTypeByExtension": "image/png"， "mimeTypeMismatch": false， "printJobName": null， "printerName": null， "printedFilesBackupPath": null， "remoteActivity": "TRUE"， "trusted": TRUE， "operatingSystemUser": "first.last"}

步骤4:配置Code42仪表板

的Code42 Incydr应用程序相扑逻辑使您能够检测和响应内部威胁，同时以简单、信号和速度为协作和远程企业提供数据保护。

使用此仪表板:

检测并响应来自企业云、电子邮件和计算机系统的数据泄漏和盗窃
在Slack, OneDrive，谷歌Drive, Box, Zoom等中可视化文件共享活动
根据文件名、用户或端点关联显示文件遥测数据

根据需要更新查询url
如果您登录到Code42控制台https://console.us.code42.com，所有仪表板默认工作。如果你使用不同的URL登录到Code42控制台，您必须更新以下仪表板的查询，以使用您的Code42控制台URL:

前10个暴露文件
恶意md5
按暴露类型分列的前10个终端用户
曝光类型前10名云用户

为Sumo Logic安装Code42 Incydr应用程序

安装Code42 Incydr应用程序:

登录到Sumo Logic控制台。
点击应用程序目录．
搜索并选择Code42 Incydr应用程序。
选择您正在使用的服务版本。
点击添加到库．

Incydr仪表板

筛选仪表板

单击仪表板左上角的过滤器图标显示筛选器列表您可以在整个仪表板上应用。使用过滤器在更细粒度的级别上深入和检查数据。

主仪表盘过滤器

单击面板左上角的筛选器图标，查看该特定面板的筛选器列表。

云曝光面板

查询样本

您可以使用以下查询来创建或修改仪表板。如上所述，您可能需要这样做在这些查询中更新Code42控制台url．

云曝光

_sourceCategory = " Code42源”| json“源”SourceType | json“演员”作为用户| json“曝光[0]”ExposureType | json汽车钥匙“eventType”、“fileOwner”、“文件类型”,“文件名”、“sha256Checksum”、“filePath”,“文件大小”、“fileCategory”、“md5Checksum”、“processName”,“processOwner”、“removableMediaSerialNumber”,“removableMediaName”、“removableMediaVendor”,“syncDestination”、“url”,“userUid”| ! (SourceType =“端点”)|算作SourceCount由SourceType | SourceCount排序

端点曝光

_sourceCategory = " Code42源”| | json“osHostName”端点json“源”SourceType | json“deviceUserName”作为用户| json“曝光[0]”ExposureType | json”privateIpAddresses[0]”作为IPAddress | json汽车钥匙“eventType”、“fileOwner”、“文件类型”,“文件名”、“publicIpAddress”、“sha256Checksum”、“filePath”,“文件大小”,“fileCategory”、“md5Checksum”,“演员”、“processName”、“processOwner”、“removableMediaSerialNumber”,“removableMediaName”、“removableMediaVendor”,"syncDestination"， "url"， "userUid" | where SourceType="Endpoint" | count as exposure by ExposureType | sort by exposure

可移动媒体曝光用户

_sourceCategory = " Code42源”| = json字段_raw“osHostName”端点| json“源”SourceType | json“deviceUserName”作为用户| json“曝光[0]”ExposureType | json”privateIpAddresses[0]”作为IPAddress | json汽车钥匙“eventType”、“fileOwner”、“文件类型”,“文件名”、“publicIpAddress”、“sha256Checksum”、“filePath”,“文件大小”,“fileCategory”、“md5Checksum”,“演员”、“processName”、“processOwner”、“removableMediaSerialNumber”,“removableMediaName”、“removableMediaVendor”,"syncDestination"， "url"， "userUid" | parse field=User "*@*" as User, UserDomain | timesslice 1d |where ExposureType matches "RemovableMedia" |count by _timesslice, User | transpose row _timesslice column User

位置曝光(地图)

_sourceCategory="Your Code42 Source Here" | json "osHostName" AS User_endpoint | json " Source " AS source_type | json "deviceUserName" AS UserName | json "exposure[0]" AS exposure_type | json "privateIpAddresses[0]" | json auto keys "eventType"，"fileOwner"，"fileType"，"fileName"，" publicicipaddress "，" sha256Checksum"， "filePath"， "fileSize"，"fileCategory"，"md5Checksum"， "actor"， "processName"， "processOwner"，" removableMediaSerialNumber"， "removableMediaName"， "removableMediaVendor"，"syncDestination"， "url"， "userUid" |查找纬度，经度从地理://位置上的ip= publicicipaddress | json field=_raw "filePath" | if(filePath匹配"*:/*"，子字符串(filePath,0,1)，"")作为driveletter | count(exposure_type)作为纬度，经度|排序

暴露的前10个文件

此指示板包括到Code42控制台的链接，以了解更多详细信息。

_sourceCategory = " Code42源”| json“文件名”文件| json“md5Checksum”MD5 |如果(isNull (MD5),“NA”,MD5)作为MD5 | urlencode(文件)URLName | tourl (concat (" https://console.us.code42.com/app/ /搜索/搜索/ ? t0 = fileName&q0 = IS&v0 = ", URLName,“t1 = eventTimestamp&q1 = WITHIN_THE_LAST&v1 = P30D”),文件),文件| tourl (concat (" https://console.us.code42.com/app/ /搜索/搜索/ ? t0 = md5Checksum&q0 = IS&v0 = ", MD5,“t1 = eventTimestamp&q1 = WITHIN_THE_LAST&v1 = P30D”),MD5)为MD5 |按文件排序，MD5 |按文件|排序，MD5按文件前10排序

前25个暴露的文件

_sourceCategory = " Code42源”| | json“osHostName”端点json“源”SourceType | json“deviceUserName”用户| json“文件名”文件| json“曝光[0]”exposure_type | json”privateIpAddresses[0]“| json汽车钥匙“eventType”、“fileOwner”、“文件类型”,“publicIpAddress”、“sha256Checksum”,“filePath”、“文件大小”,“fileCategory”、“md5Checksum”,“演员”、“processName”、“processOwner”、“removableMediaSerialNumber”,“removableMediaName”、“removableMediaVendor”,"syncDestination"， "url"， "userUid" | count as FileCount by File | sort by FileCount | top 25 File by FileCount

按暴露类型分列的前10个终端用户

此指示板包括到Code42控制台的链接，以了解更多详细信息。

_sourceCategory = " Code42源”| | json“osHostName”端点json“源”SourceType | json“deviceUserName”作为用户| json“曝光[0]”ExposureType | json”privateIpAddresses[0]”作为IPAddress | json汽车钥匙“eventType”、“fileOwner”、“文件类型”,“文件名”、“publicIpAddress”、“sha256Checksum”、“filePath”,“文件大小”,“fileCategory”、“md5Checksum”,“演员”、“processName”、“processOwner”、“removableMediaSerialNumber”,“removableMediaName”、“removableMediaVendor”,"syncDestination"， "url"， "userUid" | urlencode(用户)作为URLName | tourl(concat("https://console.us.code42.com/app/#/forensic-search/search/?t0=deviceUserName&q0=IS&v0="， URLName， "&t1= ExposureType &q1=IS_EITHER&v1%5B0%5D=RemovableMedia&v1%5B1%5D=ApplicationRead&v1%5B2%5D=CloudStorage&v1%5B3%5D=OutsideTrustedDomains&v1%5B4%5D=SharedToDomain&v1%5B5%5D=SharedViaLink&v1%5B6%5D=IsPublic&t2=eventTimestamp&q2=WITHIN_THE_LAST&v2=P30D")，用户)作为用户| count as exposucount by ExposureType，用户|按暴露类型排序|前10用户，暴露类型按暴露类型排序

曝光类型前10名云用户

此指示板包括到Code42控制台的链接，以了解更多详细信息。

_sourceCategory="Your Code42 Source Here" | json " Source " AS SourceType | json "actor" AS User | json "exposure[0]" AS ExposureType | json auto keys "eventType"，"fileOwner"，"fileType"，"fileName"，"sha256Checksum"， "filePath"， "fileSize"，"fileCategory"，"md5Checksum"， "actor"， "processName"， "processOwner"，" removableMediaSerialNumber"， "removableMediaName"， "removableMediaVendor"， "syncDestination"， "url"，“userUid”| urlencode(用户)URLName | tourl (concat (" https://console.us.code42.com/app/ /搜索/搜索/ ? t0 = actor&q0 = IS&v0 = ", URLName,“t1 = exposureType&q1 = EXISTS&v1 % 5 b0 % 5 d = IsPublic&v1 % b1 % 5 d = SharedViaLink&v1 % 5 b2 % 5 d = SharedToDomain&v1 % 5 b3 % 5 d = OutsideTrustedDomains&v1 % 5 b4 % 5 d = RemovableMedia&v1 % 5 b5 % 5 d = ApplicationRead&v1 % 5 b6 % 5 d = CloudStorage&t2 = eventTimestamp&q2 = WITHIN_THE_LAST&v2 = P30D”),用户)用户| ! (source_type =“端点”)|算作ExposureCount ExposureType,用户|按暴露类型排序|前10用户，暴露类型按暴露类型排序

恶意md5

这个仪表板将存在于Code42设备上的MD5哈希值与Crowdstrike的妥协指标(IOC)列表进行比较，只有在找到匹配时才显示结果。它还包括到Code42控制台的链接，以了解更多详细信息。有关更多信息，请参见Sumo Logic文档．

_sourceCategory = " Code42源”| json“md5Checksum”MD5 |如果(isNull (MD5),“NA”,MD5)作为MD5 |查询类型,演员,原始,threatlevel malicious_confidence从相扑:/ / / cs威胁威胁= MD5 | tourl (concat (" https://console.us.code42.com/app/ /搜索/搜索/ ? t0 = md5Checksum&q0 = IS&v0 = ", MD5,“t1 = eventTimestamp&q1 = WITHIN_THE_LAST&v1 = P30D”),MD5)如MD5 |类型=“hash_md5”和malicious_confidence =“高”|算作MD5Count MD5

概述

注意事项

在开始之前

创建API客户端

安装和配置Code42 CLI

步骤1:收集文件泄露事件数据

创建cron作业或自动化任务

Linux cron作业

Windows自动任务

步骤1:创建一个脚本

步骤2:创建定时任务

使用相扑逻辑脚本源

步骤2:将日志收集配置为Sumo Logic

步骤3:为代理收集配置Code42源

日志类型

日志消息示例

步骤4:配置Code42仪表板

为Sumo Logic安装Code42 Incydr应用程序

筛选仪表板

查询样本

云曝光

端点曝光

可移动媒体曝光用户

位置曝光(地图)

暴露的前10个文件

前25个暴露的文件

按暴露类型分列的前10个终端用户

曝光类型前10名云用户

恶意md5

外部资源

相关的话题