Recoger registros de SonicWall
Disponible en:
SecOps de Google
SIEM
En este documento se describe cómo puede recoger registros de SonicWall mediante un reenviador de Google Security Operations.
Para obtener más información, consulta Ingestión de datos en Google Security Operations.
Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión SONIC_FIREWALL.
Configurar el dispositivo de seguridad SonicWall
- Inicia sesión en la consola de SonicWall.
- Ve a Registro > Syslog.
- En la sección Servidores Syslog, haz clic en Añadir. Aparecerá la ventana Añadir servidor syslog.
- En el campo Nombre o Dirección IP, indica el nombre de host o la dirección IP del reenviador de Google Security Operations.
- Si tu configuración de syslog no usa el puerto 514 predeterminado, especifica el número de puerto en el campo Número de puerto.
- Haz clic en Aceptar.
- Haz clic en Aceptar para guardar todos los ajustes del servidor syslog.
Configurar el reenviador de Google Security Operations y syslog para ingerir registros de SonicWall
- Ve a Configuración de SIEM > Reenviadores.
- Haz clic en Añadir nuevo remitente.
- En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
- Haz clic en Enviar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
- En el campo Nombre del recolector, escribe un nombre.
- Seleccione SonicWall como Tipo de registro.
- Seleccione Syslog como Tipo de recogida.
- Configure los siguientes parámetros de entrada obligatorios:
- Protocolo: especifica el protocolo de conexión que usará el recopilador para detectar datos de syslog.
- Dirección: especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: especifica el puerto de destino en el que reside el recolector y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenviadores de Google Security Operations, consulta la documentación de los reenviadores de Google Security Operations.
Para obtener información sobre los requisitos de cada tipo de reenviador, consulta Configuración de reenviadores por tipo.
Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de Google Security Operations.
Referencia de asignación de campos
Este analizador extrae pares clave-valor de los mensajes syslog del cortafuegos de SonicWall, normaliza varios campos, como marcas de tiempo, direcciones IP y puertos, y los asigna al formato UDM. Gestiona direcciones IPv4 e IPv6, distingue entre eventos permitidos y bloqueados, y extrae detalles relevantes para la seguridad, como nombres y descripciones de reglas.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| agente | event.idm.read_only_udm.network.http.user_agent |
El valor del campo agent se asigna al campo de UDM. |
| appcat | event.idm.read_only_udm.security_result.summary |
El valor del campo appcat se asigna al campo de UDM. Si appcat contiene "PROXY-ACCESS", event.idm.read_only_udm.security_result.category se asigna a "POLICY_VIOLATION" y event.idm.read_only_udm.security_result.action se asigna a "BLOCK". |
| appid | event.idm.read_only_udm.security_result.rule_id |
El valor del campo appid se asigna al campo de UDM. |
| arg | event.idm.read_only_udm.target.resource.name |
El valor del campo arg se asigna al campo de UDM. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Se añade una etiqueta con la clave "avgThroughput" y el valor del campo avgThroughput al campo de UDM. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
El valor del campo bytesIn se convierte en un entero sin signo y se asigna al campo de UDM. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
El valor del campo bytesOut se convierte en un entero sin signo y se asigna al campo de UDM. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Se añade una etiqueta con la clave "bytesTotal" y el valor del campo bytesTotal al campo de UDM. |
| Categoría | event.idm.read_only_udm.security_result.category_details |
El valor del campo Category se asigna al campo de UDM. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Se añade al campo UDM un campo de detección con la clave "Connection Duration (milli seconds)" y el valor del campo cdur. |
| dst | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
La IP y el puerto se extraen del campo dst. Si dstV6 no está vacío, la IP se extrae de dstV6. |
| dstMac | event.idm.read_only_udm.target.mac |
El valor del campo dstMac se asigna al campo de UDM. |
| dstV6 | event.idm.read_only_udm.target.ip |
La IP se extrae del campo dstV6. |
| dstname | event.idm.read_only_udm.target.hostname |
Si dstname no es una dirección IP, su valor se asigna al campo UDM. |
| duración | event.idm.read_only_udm.network.session_duration.seconds |
El valor del campo duration se convierte en un número entero y se asigna al campo de UDM. |
| fw | event.idm.read_only_udm.principal.ip |
El valor del campo fw se asigna al campo de UDM. Si fw contiene "-", se añade a event.idm.read_only_udm.additional.fields una etiqueta con la clave "fw" y el valor del campo fw. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
El valor del campo fw_action se asigna a event.idm.read_only_udm.security_result.action_details. Si fw_action es "drop", event.idm.read_only_udm.security_result.action se define como "BLOCK" y event.idm.read_only_udm.security_result.summary se define con el valor de msg. |
| gw | event.idm.read_only_udm.intermediary.ip |
La dirección IP se extrae del campo gw y se asigna al campo UDM. |
| id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
El valor del campo id se asigna a ambos campos de UDM. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Se añade al campo UDM una etiqueta con la clave "maxThroughput" y el valor del campo maxThroughput. |
| msg | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Si fw_action no es "drop" o appcat está vacío, el valor del campo msg se asigna a event.idm.read_only_udm.security_result.summary. De lo contrario, se asigna a event.idm.read_only_udm.metadata.description. |
| natDst | event.idm.read_only_udm.target.nat_ip |
La dirección IP se extrae del campo natDst y se asigna al campo UDM. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
La dirección IP se extrae del campo natSrc y se asigna al campo UDM. |
| note | event.idm.read_only_udm.security_result.description |
El valor del campo note, después de extraer dstip, srcip, gw y sec_desc, se asigna al campo de UDM. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Se añade una etiqueta con la clave "packetsIn" y el valor del campo packetsIn al campo de UDM. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Se añade una etiqueta con la clave "packetsOut" y el valor del campo packetsOut al campo de UDM. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Se añade una etiqueta con la clave "packetsTotal" y el valor del campo packetsTotal al campo de UDM. |
| pri | event.idm.read_only_udm.security_result.severity |
El valor del campo pri determina el valor del campo UDM: 0, 1, 2 -> CRÍTICO; 3 -> ERROR; 4 -> MEDIO; 5, 7 -> BAJO; 6 -> INFORMATIVO. |
| proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Si proto contiene "udp", el UDM ip_protocol se define como "UDP" y event_type se define como "NETWORK_CONNECTION". Si proto contiene "https", el UDM application_protocol se define como "HTTPS". |
| rcvd | event.idm.read_only_udm.network.received_bytes |
El valor del campo rcvd se convierte en un entero sin signo y se asigna al campo de UDM. |
| regla | event.idm.read_only_udm.security_result.rule_name |
El valor del campo rule se asigna al campo de UDM. |
| sec_desc | event.idm.read_only_udm.security_result.description |
El valor del campo sec_desc se asigna al campo de UDM. |
| sent | event.idm.read_only_udm.network.sent_bytes |
El valor del campo sent se convierte en un entero sin signo y se asigna al campo de UDM. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
Se añade al campo UDM un campo de detección con la clave "Session Type" y el valor del campo sess. |
| sn | event.idm.read_only_udm.additional.fields |
Se añade una etiqueta con la clave "SN" y el valor del campo sn al campo de UDM. |
| spkt | event.idm.read_only_udm.network.sent_packets |
El valor del campo spkt se convierte en un número entero y se asigna al campo de UDM. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
La IP y el puerto se extraen del campo src. Si srcV6 no está vacío, la IP se extrae de srcV6. |
| srcMac | event.idm.read_only_udm.principal.mac |
El valor del campo srcMac se asigna al campo de UDM. |
| srcV6 | event.idm.read_only_udm.principal.ip |
La IP se extrae del campo srcV6. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Si srcip contiene "-", se añade a event.idm.read_only_udm.additional.fields una etiqueta con la clave "srcip" y el valor del campo srcip. De lo contrario, se asigna el valor de srcip a event.idm.read_only_udm.principal.ip. |
| Tiempo | event.idm.read_only_udm.metadata.event_timestamp |
El valor del campo time se analiza y se convierte en una marca de tiempo, que se asigna al campo UDM. |
| tipo | event.idm.read_only_udm.network.ip_protocol |
Si el campo proto es "icmp", el campo UDM se define como "ICMP". |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Si user está vacío, se usa el valor de usr. Si el valor contiene "@", se trata como una dirección de correo electrónico y se añade a email_addresses. Si contiene un espacio, se trata como un nombre visible. De lo contrario, se trata como un ID de usuario. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Se añade al campo UDM un campo de detección con la clave "vpnpolicy" y el valor del campo vpnpolicy. Codificado como "SonicWall". Codificado como "Firewall". Codificado como "SONIC_FIREWALL". Determinado por la lógica basada en los valores de otros campos. El valor predeterminado es "GENERIC_EVENT", pero puede ser "STATUS_UPDATE", "NETWORK_CONNECTION" o "NETWORK_HTTP". |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.