SonicWall-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie SonicWall-Logs mit einem Google Security Operations-Forwarder erfassen können.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label SONIC_FIREWALL.
SonicWall-Sicherheitsappliance konfigurieren
- Melden Sie sich in der SonicWall an.
- Gehen Sie zu Log > Syslog.
- Klicken Sie im Bereich Syslog-Server auf Hinzufügen. Das Fenster Syslog-Server hinzufügen wird angezeigt.
- Geben Sie im Feld Name oder IP-Adresse den Hostnamen oder die IP-Adresse des Google Security Operations-Forwarders an.
- Wenn in Ihrer Syslog-Konfiguration nicht der Standardport 514 verwendet wird, geben Sie die Portnummer im Feld Port number (Portnummer) an.
- Klicken Sie auf OK.
- Klicken Sie auf Akzeptieren, um alle Syslog-Servereinstellungen zu speichern.
Google Security Operations-Forwarder und Syslog zum Erfassen von SonicWall-Logs konfigurieren
- Rufen Sie die SIEM-Einstellungen > Weiterleitungen auf.
- Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
- Geben Sie im Feld Name des Forwarders einen eindeutigen Namen für den Forwarder ein.
- Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen Namen ein.
- Wählen Sie SonicWall als Logtyp aus.
- Wählen Sie Syslog als Collector-Typ aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwenden soll, um auf Syslog-Daten zu warten.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Geben Sie den Zielport an, auf dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen.
Informationen zu den Anforderungen für die einzelnen Forwarder-Typen finden Sie unter Forwarder-Konfiguration nach Typ.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz zur Feldzuordnung
Dieser Parser extrahiert Schlüssel/Wert-Paare aus Syslog-Nachrichten der SonicWall-Firewall, normalisiert verschiedene Felder wie Zeitstempel, IP-Adressen und Ports und ordnet sie dem UDM-Format zu. Es verarbeitet sowohl IPv4- als auch IPv6-Adressen, unterscheidet zwischen zulässigen und blockierten Ereignissen und extrahiert sicherheitsrelevante Details wie Regelnamen und ‑beschreibungen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Agent | event.idm.read_only_udm.network.http.user_agent |
Der Wert des Felds agent wird dem UDM-Feld zugewiesen. |
| appcat | event.idm.read_only_udm.security_result.summary |
Der Wert des Felds appcat wird dem UDM-Feld zugewiesen. Wenn appcat „PROXY-ACCESS“ enthält, wird event.idm.read_only_udm.security_result.category auf „POLICY_VIOLATION“ und event.idm.read_only_udm.security_result.action auf „BLOCK“ festgelegt. |
| appid | event.idm.read_only_udm.security_result.rule_id |
Der Wert des Felds appid wird dem UDM-Feld zugewiesen. |
| arg | event.idm.read_only_udm.target.resource.name |
Der Wert des Felds arg wird dem UDM-Feld zugewiesen. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „avgThroughput“ und dem Wert aus dem Feld avgThroughput hinzugefügt. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
Der Wert des Felds bytesIn wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
Der Wert des Felds bytesOut wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „bytesTotal“ und dem Wert aus dem Feld bytesTotal hinzugefügt. |
| Kategorie | event.idm.read_only_udm.security_result.category_details |
Der Wert des Felds Category wird dem UDM-Feld zugewiesen. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Dem UDM-Feld wird ein Erkennungsfeld mit dem Schlüssel „Connection Duration (milli seconds)“ (Verbindungsdauer (Millisekunden)) und dem Wert aus dem Feld cdur hinzugefügt. |
| dst | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
Die IP-Adresse und der Port werden aus dem Feld dst extrahiert. Wenn dstV6 nicht leer ist, wird die IP-Adresse stattdessen aus dstV6 extrahiert. |
| dstMac | event.idm.read_only_udm.target.mac |
Der Wert des Felds dstMac wird dem UDM-Feld zugewiesen. |
| dstV6 | event.idm.read_only_udm.target.ip |
Die IP-Adresse wird aus dem Feld dstV6 extrahiert. |
| dstname | event.idm.read_only_udm.target.hostname |
Wenn dstname keine IP-Adresse ist, wird der Wert dem UDM-Feld zugewiesen. |
| Dauer | event.idm.read_only_udm.network.session_duration.seconds |
Der Wert des Felds duration wird in eine Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| fw | event.idm.read_only_udm.principal.ip |
Der Wert des Felds fw wird dem UDM-Feld zugewiesen. Wenn fw „-“ enthält, wird event.idm.read_only_udm.additional.fields ein Label mit dem Schlüssel „fw“ und dem Wert aus dem Feld fw hinzugefügt. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
Der Wert des Felds fw_action wird event.idm.read_only_udm.security_result.action_details zugewiesen. Wenn fw_action „drop“ ist, wird event.idm.read_only_udm.security_result.action auf „BLOCK“ und event.idm.read_only_udm.security_result.summary auf den Wert von msg festgelegt. |
| gw | event.idm.read_only_udm.intermediary.ip |
Die IP-Adresse wird aus dem Feld gw extrahiert und dem UDM-Feld zugewiesen. |
| id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Der Wert des Felds id wird beiden UDM-Feldern zugewiesen. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „maxThroughput“ und dem Wert aus dem Feld maxThroughput hinzugefügt. |
| msg | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Wenn fw_action nicht „drop“ ist oder appcat leer ist, wird der Wert des Felds msg event.idm.read_only_udm.security_result.summary zugewiesen. Andernfalls wird sie event.idm.read_only_udm.metadata.description zugewiesen. |
| natDst | event.idm.read_only_udm.target.nat_ip |
Die IP-Adresse wird aus dem Feld natDst extrahiert und dem UDM-Feld zugewiesen. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
Die IP-Adresse wird aus dem Feld natSrc extrahiert und dem UDM-Feld zugewiesen. |
| Hinweis | event.idm.read_only_udm.security_result.description |
Der Wert des Felds note wird nach dem Extrahieren von dstip, srcip, gw und sec_desc dem UDM-Feld zugewiesen. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „packetsIn“ und dem Wert aus dem Feld packetsIn hinzugefügt. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „packetsOut“ und dem Wert aus dem Feld packetsOut hinzugefügt. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „packetsTotal“ und dem Wert aus dem Feld packetsTotal hinzugefügt. |
| pri | event.idm.read_only_udm.security_result.severity |
Der Wert des Felds pri bestimmt den Wert des UDM-Felds: 0, 1, 2 –> CRITICAL; 3 –> ERROR; 4 –> MEDIUM; 5, 7 –> LOW; 6 –> INFORMATIONAL. |
| Proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Wenn proto „udp“ enthält, wird die UDM ip_protocol auf „UDP“ und event_type auf „NETWORK_CONNECTION“ festgelegt. Wenn proto „https“ enthält, wird das UDM application_protocol auf „HTTPS“ festgelegt. |
| rcvd | event.idm.read_only_udm.network.received_bytes |
Der Wert des Felds rcvd wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| Regel | event.idm.read_only_udm.security_result.rule_name |
Der Wert des Felds rule wird dem UDM-Feld zugewiesen. |
| sec_desc | event.idm.read_only_udm.security_result.description |
Der Wert des Felds sec_desc wird dem UDM-Feld zugewiesen. |
| sent | event.idm.read_only_udm.network.sent_bytes |
Der Wert des Felds sent wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
Dem UDM-Feld wird ein Erkennungsfeld mit dem Schlüssel „Session Type“ (Sitzungstyp) und dem Wert aus dem Feld sess hinzugefügt. |
| sn | event.idm.read_only_udm.additional.fields |
Dem UDM-Feld wird ein Label mit dem Schlüssel „SN“ und dem Wert aus dem Feld sn hinzugefügt. |
| spkt | event.idm.read_only_udm.network.sent_packets |
Der Wert des Felds spkt wird in eine Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
Die IP-Adresse und der Port werden aus dem Feld src extrahiert. Wenn srcV6 nicht leer ist, wird die IP-Adresse stattdessen aus srcV6 extrahiert. |
| srcMac | event.idm.read_only_udm.principal.mac |
Der Wert des Felds srcMac wird dem UDM-Feld zugewiesen. |
| srcV6 | event.idm.read_only_udm.principal.ip |
Die IP-Adresse wird aus dem Feld srcV6 extrahiert. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Wenn srcip „-“ enthält, wird event.idm.read_only_udm.additional.fields ein Label mit dem Schlüssel „srcip“ und dem Wert aus dem Feld srcip hinzugefügt. Andernfalls wird der Wert von srcip event.idm.read_only_udm.principal.ip zugewiesen. |
| Zeit | event.idm.read_only_udm.metadata.event_timestamp |
Der Wert des Felds time wird geparst und in einen Zeitstempel konvertiert, der dann dem UDM-Feld zugewiesen wird. |
| Typ | event.idm.read_only_udm.network.ip_protocol |
Wenn das Feld proto „icmp“ ist, wird das UDM-Feld auf „ICMP“ gesetzt. |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Wenn user leer ist, wird stattdessen der Wert von usr verwendet. Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse behandelt und email_addresses hinzugefügt. Wenn er ein Leerzeichen enthält, wird er als Anzeigename behandelt. Andernfalls wird sie als Nutzer-ID behandelt. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Dem UDM-Feld wird ein Erkennungsfeld mit dem Schlüssel „vpnpolicy“ und dem Wert aus dem Feld vpnpolicy hinzugefügt. Fest codiert auf „SonicWall“. Fest codiert auf „Firewall“. Fest codiert auf „SONIC_FIREWALL“. Wird durch Logik auf Grundlage der Werte anderer Felder bestimmt. Der Standardwert ist „GENERIC_EVENT“. Mögliche Werte sind „STATUS_UPDATE“, „NETWORK_CONNECTION“ oder „NETWORK_HTTP“. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten