Recopila registros de SonicWall
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de SonicWall con un retransmisor de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia SONIC_FIREWALL.
Configura el dispositivo de seguridad SonicWall
- Accede a la consola de SonicWall.
- Ve a Registro > Syslog.
- En la sección Servidores Syslog, haz clic en Agregar. Aparecerá la ventana Agregar servidor syslog.
- En el campo Nombre o Dirección IP, proporciona el nombre de host o la dirección IP del reenviador de Google Security Operations.
- Si tu configuración de syslog no usa el puerto 514 predeterminado, especifica el número de puerto en el campo Número de puerto.
- Haz clic en Aceptar.
- Haz clic en Aceptar para guardar todos los parámetros de configuración del servidor syslog.
Configura el reenvío de Google Security Operations y syslog para transferir registros de SonicWall
- Ve a Configuración del SIEM > Reenviadores.
- Haz clic en Agregar un nuevo reenvío.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre.
- Selecciona SonicWall como el Tipo de registro.
- Selecciona Syslog como el Tipo de recopilador.
- Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo de conexión que usará el recopilador para escuchar los datos de syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los retransmisores de Google Security Operations, consulta la documentación de los retransmisores de Google Security Operations.
Para obtener información sobre los requisitos de cada tipo de reenvío, consulta Configuración del reenvío por tipo.
Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador extrae pares clave-valor de los mensajes de syslog del firewall de SonicWall, normaliza varios campos, como marcas de tiempo, direcciones IP y puertos, y los asigna al formato del UDM. Maneja direcciones IPv4 e IPv6, distingue entre eventos permitidos y bloqueados, y extrae detalles relevantes para la seguridad, como nombres y descripciones de reglas.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| agente | event.idm.read_only_udm.network.http.user_agent |
El valor del campo agent se asigna al campo del UDM. |
| appcat | event.idm.read_only_udm.security_result.summary |
El valor del campo appcat se asigna al campo del UDM. Si appcat contiene "PROXY-ACCESS", event.idm.read_only_udm.security_result.category se establece en "POLICY_VIOLATION" y event.idm.read_only_udm.security_result.action se establece en "BLOCK". |
| id de app | event.idm.read_only_udm.security_result.rule_id |
El valor del campo appid se asigna al campo del UDM. |
| argumento | event.idm.read_only_udm.target.resource.name |
El valor del campo arg se asigna al campo del UDM. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "avgThroughput" y el valor del campo avgThroughput al campo UDM. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
El valor del campo bytesIn se convierte en un número entero sin signo y se asigna al campo del UDM. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
El valor del campo bytesOut se convierte en un número entero sin signo y se asigna al campo del UDM. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "bytesTotal" y el valor del campo bytesTotal al campo del UDM. |
| Categoría | event.idm.read_only_udm.security_result.category_details |
El valor del campo Category se asigna al campo del UDM. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Se agrega un campo de detección con la clave "Duración de la conexión (milisegundos)" y el valor del campo cdur al campo de UDM. |
| DST | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
La IP y el puerto se extraen del campo dst. Si dstV6 no está vacío, la IP se extrae de dstV6. |
| dstMac | event.idm.read_only_udm.target.mac |
El valor del campo dstMac se asigna al campo del UDM. |
| dstV6 | event.idm.read_only_udm.target.ip |
La IP se extrae del campo dstV6. |
| dstname | event.idm.read_only_udm.target.hostname |
Si dstname no es una dirección IP, su valor se asigna al campo de UDM. |
| duración | event.idm.read_only_udm.network.session_duration.seconds |
El valor del campo duration se convierte en un número entero y se asigna al campo de UDM. |
| fw | event.idm.read_only_udm.principal.ip |
El valor del campo fw se asigna al campo del UDM. Si fw contiene "-", se agrega a event.idm.read_only_udm.additional.fields una etiqueta con la clave "fw" y el valor del campo fw. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
El valor del campo fw_action se asigna a event.idm.read_only_udm.security_result.action_details. Si fw_action es "drop", event.idm.read_only_udm.security_result.action se establece en "BLOCK" y event.idm.read_only_udm.security_result.summary se establece en el valor de msg. |
| GW | event.idm.read_only_udm.intermediary.ip |
La dirección IP se extrae del campo gw y se asigna al campo UDM. |
| id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
El valor del campo id se asigna a ambos campos de UDM. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "maxThroughput" y el valor del campo maxThroughput al campo del UDM. |
| msg | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Si fw_action no es "drop" o appcat está vacío, el valor del campo msg se asigna a event.idm.read_only_udm.security_result.summary. De lo contrario, se asigna a event.idm.read_only_udm.metadata.description. |
| natDst | event.idm.read_only_udm.target.nat_ip |
La dirección IP se extrae del campo natDst y se asigna al campo UDM. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
La dirección IP se extrae del campo natSrc y se asigna al campo UDM. |
| nota | event.idm.read_only_udm.security_result.description |
El valor del campo note, después de extraer dstip, srcip, gw y sec_desc, se asigna al campo de UDM. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "packetsIn" y el valor del campo packetsIn al campo de UDM. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "packetsOut" y el valor del campo packetsOut al campo de UDM. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "packetsTotal" y el valor del campo packetsTotal al campo del UDM. |
| pri | event.idm.read_only_udm.security_result.severity |
El valor del campo pri determina el valor del campo UDM: 0, 1, 2 -> CRÍTICO; 3 -> ERROR; 4 -> MEDIO; 5, 7 -> BAJO; 6 -> INFORMATIVO. |
| protocolo | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Si proto contiene "udp", el UDM ip_protocol se establece en "UDP" y event_type se establece en "NETWORK_CONNECTION". Si proto contiene "https", el UDM application_protocol se establece en "HTTPS". |
| rcvd | event.idm.read_only_udm.network.received_bytes |
El valor del campo rcvd se convierte en un número entero sin signo y se asigna al campo del UDM. |
| regla | event.idm.read_only_udm.security_result.rule_name |
El valor del campo rule se asigna al campo del UDM. |
| sec_desc | event.idm.read_only_udm.security_result.description |
El valor del campo sec_desc se asigna al campo del UDM. |
| enviados | event.idm.read_only_udm.network.sent_bytes |
El valor del campo sent se convierte en un número entero sin signo y se asigna al campo del UDM. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
Se agrega un campo de detección con la clave "Session Type" y el valor del campo sess al campo de UDM. |
| sn | event.idm.read_only_udm.additional.fields |
Se agrega una etiqueta con la clave "SN" y el valor del campo sn al campo UDM. |
| spkt | event.idm.read_only_udm.network.sent_packets |
El valor del campo spkt se convierte en un número entero y se asigna al campo de UDM. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
La IP y el puerto se extraen del campo src. Si srcV6 no está vacío, la IP se extrae de srcV6. |
| srcMac | event.idm.read_only_udm.principal.mac |
El valor del campo srcMac se asigna al campo del UDM. |
| srcV6 | event.idm.read_only_udm.principal.ip |
La IP se extrae del campo srcV6. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Si srcip contiene "-", se agrega a event.idm.read_only_udm.additional.fields una etiqueta con la clave "srcip" y el valor del campo srcip. De lo contrario, el valor de srcip se asigna a event.idm.read_only_udm.principal.ip. |
| hora | event.idm.read_only_udm.metadata.event_timestamp |
El valor del campo time se analiza y se convierte en una marca de tiempo, que luego se asigna al campo del UDM. |
| tipo | event.idm.read_only_udm.network.ip_protocol |
Si el campo proto es "icmp", el campo UDM se establece en "ICMP". |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Si user está vacío, se usa el valor de usr. Si el valor contiene “@”, se trata como una dirección de correo electrónico y se agrega a email_addresses. Si contiene un espacio, se trata como un nombre visible. De lo contrario, se trata como un ID de usuario. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Se agrega un campo de detección con la clave "vpnpolicy" y el valor del campo vpnpolicy al campo de UDM. Está codificado como "SonicWall". Se codifica como "Firewall". Está codificado como "SONIC_FIREWALL". Se determina según la lógica basada en los valores de otros campos. El valor predeterminado es “GENERIC_EVENT”, pero puede ser “STATUS_UPDATE”, “NETWORK_CONNECTION” o “NETWORK_HTTP”. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.