Sophos XGS und Wazuh SIEM

[DerGast]

Hallo zusammen,

hat jemand von euch eine aktuelle Konfiguration laufen, die es ermöglicht mit Wazuh die syslogs von der XGS (aktuell) zu empfangen?
Ich habe alte Konfigurationen gefunden, angeblich soll sogar schon der Decoder funktionieren. Aber ich bekomme es nicht mal hin, dass Wazuh irgendwas empfängt, ich nichts über cat in den syslog_logs finde und überlege ob es da vielleicht eine Änderung gab
Oder kann mir jemand sagen wo ich auf der XGS sehe, dass Meldungen rausgingen oder es zu Fehlern kam (Port falsch, connection zurückgewiesen, not-secure..)
Ist auch alles in einem Subnetz, ufw auf Wazuh-Distri deaktiviert.
Wäre nämlich schon echt cool wenn das funktioniert
Dank und Gruß!

 

[Hammelkoppter]

Die Wazuh Anleitung zum Empfang von Syslogs verwendet 514/TCP. Die Sophos versendet 514/UDP. Hast du da drauf geachtet? Ist jetzt mal nen Schuss ins Blaue 🤷

 

[DerGast]

@Hammelkoppter Aber selbstverständlich
Ich hab auch schon andere Ports probiert, die ja angepasst werden können. Aber leider nicht..

 

[Hammelkoppter]

Funktioniert der Empfang von Syslogs denn generell?

 

[DerGast]

@Hammelkoppter Das ist ja die Geschichte. Ich bin der Meinung nicht.

Der Weg ist folgender:
In der XGS gibt man den Syslogserver an. Protokoll und Port. Zudem noch was geloggt werden soll (Daemon, System..) und welches Level.
Im Wazuh gibt man in den Konfigs an, dass es darauf hören soll.
Das wäre der erste einfache Schritt damit überhaupt was passiert...
Und dort (also auf dem Wazuh Host) müsste man bereits über nen 'cat' Befehl in den Logs sehen, dass Anfragen reinkommen.
Firewall ist auch deaktiviert. Ich weiß auch ehrlich nicht wo ich in dieser abgranzten XGS Logs für Syslog finde. Wenn ich dann dort sehen würde dass was passiert, aber nicht ankommt, wäre das ja schon ne Info...
Aber die XGS ist so.... ätzend.

Der zweite Step ist dann die Aktivierung des Decoders für die Sophos Logs und die Auswertung im Wazuh.
Dort wird dann der Inhalt des Logs in lesbarer Form und gefiltert im Wazuh angezeigt. Also zB "5x access denied für ssh" oder "IPS Rule Tralalala angeschlagen" oder sowas
Aber da Schritt eins schon nicht funktioniert, ist der Rest erstmal hinfällig.

 

[Hammelkoppter]

Na dann Versuch doch mal folgendes. Es gibt Tools die können Syslogs generieren z.B. Kiwi SyslogGen. Schicke mal ein paar Test Logs an Wazuh und schau ob was ankommt.
Dann gibt es auch noch simple Syslog Server z.B. tftp32 Da kannste deine Sophos mal hinloggen lassen. So kannst du ggf. eine der beiden Seiten als Fehler ausschließen.

 

[DerGast]

Ich hab mittlerweile andere Quellen genutzt und nun tcpdump gemacht.
Ja, es kommt was an. Im Dump sehe ich auch die Änderungen - aber irgendwie landen die weder in der archive.log noch archive.json obwohl ALLES nach Lehrbuch von Wazuh und Co übernommen wurde. Scheinbar gab es aber ne Änderung.
Keine Ahnung was das soll, jedenfalls suche ich jetzt an einer anderen Stelle und hangel mich mal da durch

 

[joern_s]

Falls es noch aktuell ist: https://github.com/JoernSchoenyan/Sophos-Wazuh-SOC

 

[DerGast]

@joern_s Hey!
danke Dir für den Link (und deine Mühe! Ich nehme an dass Du der Ersteller bist )
Ich wollte nur sagen dass ich doof bin. Die UFW lief... ich war überzeugt dass ich sie deaktiviert habe.
Gestern habe mich dann nochmal drangesetzt.. Port 514 erlaubt, Logs kamen durch..
Das sowohl mit der V19 und auch mit der V20.
Ich bin mir noch nicht schlüssig wie ich bei rund 70.000 Events am Tag speziell "failed logins" bei der Sophos filtern kann, aber irgendwie bekomme ich das auch noch raus
Danke!

 

[joern_s]

Genau, kommt aus meiner digitalen Feder. Authentifizierung auf der Firewall ist die Regel 113820. Falls ihr ein HA-Setup habt, wird es regelmäßig events geben mit dem user "hauser", darüber erfolgt der Sync. Ansonsten gibt es die unterschiedlichen VPN-Verbindungen mit Authentifizierung, stehen ja auch alle drin. Demnächst aktualisiere ich einige Regeln noch mal.