Collecter les journaux SonicWall
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux SonicWall à l'aide d'un transmetteur Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion SONIC_FIREWALL.
Configurer l'appliance de sécurité SonicWall
- Connectez-vous à la console SonicWall.
- Accédez à Journal > Syslog.
- Dans la section Serveurs Syslog, cliquez sur Ajouter. La fenêtre Ajouter un serveur syslog s'affiche.
- Dans le champ Nom ou Adresse IP, indiquez le nom d'hôte ou l'adresse IP du redirecteur Google Security Operations.
- Si votre configuration syslog n'utilise pas le port 514 par défaut, spécifiez le numéro de port dans le champ Numéro de port.
- Cliquez sur OK.
- Cliquez sur Accepter pour enregistrer tous les paramètres du serveur Syslog.
Configurer le redirecteur Google Security Operations et syslog pour ingérer les journaux SonicWall
- Accédez à Paramètres SIEM > Transférateurs.
- Cliquez sur Ajouter un nouveau transfert.
- Dans le champ Nom du transitaire, saisissez un nom unique pour le transitaire.
- Cliquez sur Envoyer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom.
- Sélectionnez SonicWall comme Type de journal.
- Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée obligatoires suivants :
- Protocole : spécifiez le protocole de connexion que le collecteur utilisera pour écouter les données Syslog.
- Adresse : spécifiez l'adresse IP ou le nom d'hôte de la cible où réside le collecteur et où il écoute les données syslog.
- Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les redirecteurs Google Security Operations, consultez la documentation sur les redirecteurs Google Security Operations.
Pour en savoir plus sur les exigences de chaque type de redirecteur, consultez Configuration des redirecteurs par type.
Si vous rencontrez des problèmes lors de la création de transferts, contactez l'assistance Google Security Operations.
Référence du mappage de champs
Ce parseur extrait les paires clé/valeur des messages syslog du pare-feu SonicWall, normalise différents champs tels que les codes temporels, les adresses IP et les ports, et les mappe au format UDM. Il gère les adresses IPv4 et IPv6, fait la distinction entre les événements autorisés et bloqués, et extrait les détails liés à la sécurité, comme les noms et les descriptions des règles.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| agent | event.idm.read_only_udm.network.http.user_agent |
La valeur du champ agent est attribuée au champ UDM. |
| appcat | event.idm.read_only_udm.security_result.summary |
La valeur du champ appcat est attribuée au champ UDM. Si appcat contient "PROXY-ACCESS", event.idm.read_only_udm.security_result.category est défini sur "POLICY_VIOLATION" et event.idm.read_only_udm.security_result.action est défini sur "BLOCK". |
| appid | event.idm.read_only_udm.security_result.rule_id |
La valeur du champ appid est attribuée au champ UDM. |
| arg | event.idm.read_only_udm.target.resource.name |
La valeur du champ arg est attribuée au champ UDM. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "avgThroughput" et la valeur du champ avgThroughput est ajouté au champ UDM. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
La valeur du champ bytesIn est convertie en entier non signé et attribuée au champ UDM. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
La valeur du champ bytesOut est convertie en entier non signé et attribuée au champ UDM. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "bytesTotal" et la valeur du champ bytesTotal est ajouté au champ UDM. |
| Catégorie | event.idm.read_only_udm.security_result.category_details |
La valeur du champ Category est attribuée au champ UDM. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Un champ de détection avec la clé "Connection Duration (milli seconds)" (Durée de la connexion (en millisecondes)) et la valeur du champ cdur est ajouté au champ UDM. |
| dst | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
L'adresse IP et le port sont extraits du champ dst. Si dstV6 n'est pas vide, l'adresse IP est extraite de dstV6 à la place. |
| dstMac | event.idm.read_only_udm.target.mac |
La valeur du champ dstMac est attribuée au champ UDM. |
| dstV6 | event.idm.read_only_udm.target.ip |
L'adresse IP est extraite du champ dstV6. |
| dstname | event.idm.read_only_udm.target.hostname |
Si dstname n'est pas une adresse IP, sa valeur est attribuée au champ UDM. |
| duration | event.idm.read_only_udm.network.session_duration.seconds |
La valeur du champ duration est convertie en entier et attribuée au champ UDM. |
| fw | event.idm.read_only_udm.principal.ip |
La valeur du champ fw est attribuée au champ UDM. Si fw contient "-", un libellé avec la clé "fw" et la valeur du champ fw est ajouté à event.idm.read_only_udm.additional.fields. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
La valeur du champ fw_action est attribuée à event.idm.read_only_udm.security_result.action_details. Si fw_action est défini sur "drop", event.idm.read_only_udm.security_result.action est défini sur "BLOCK" et event.idm.read_only_udm.security_result.summary est défini sur la valeur de msg. |
| gw | event.idm.read_only_udm.intermediary.ip |
L'adresse IP est extraite du champ gw et attribuée au champ UDM. |
| id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
La valeur du champ id est attribuée aux deux champs UDM. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "maxThroughput" et la valeur du champ maxThroughput est ajouté au champ UDM. |
| Message | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Si fw_action n'est pas défini sur "drop" ou si appcat est vide, la valeur du champ msg est attribuée à event.idm.read_only_udm.security_result.summary. Sinon, il est attribué à event.idm.read_only_udm.metadata.description. |
| natDst | event.idm.read_only_udm.target.nat_ip |
L'adresse IP est extraite du champ natDst et attribuée au champ UDM. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
L'adresse IP est extraite du champ natSrc et attribuée au champ UDM. |
| note | event.idm.read_only_udm.security_result.description |
La valeur du champ note, après extraction de dstip, srcip, gw et sec_desc, est attribuée au champ UDM. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "packetsIn" et la valeur du champ packetsIn est ajouté au champ UDM. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "packetsOut" et la valeur du champ packetsOut est ajouté au champ UDM. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "packetsTotal" et la valeur du champ packetsTotal est ajouté au champ UDM. |
| pri | event.idm.read_only_udm.security_result.severity |
La valeur du champ pri détermine la valeur du champ UDM : 0, 1, 2 → CRITICAL ; 3 → ERROR ; 4 → MEDIUM ; 5, 7 → LOW ; 6 → INFORMATIONAL. |
| proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Si proto contient "udp", l'UDM ip_protocol est défini sur "UDP" et event_type est défini sur "NETWORK_CONNECTION". Si proto contient "https", l'UDM application_protocol est défini sur "HTTPS". |
| rcvd | event.idm.read_only_udm.network.received_bytes |
La valeur du champ rcvd est convertie en entier non signé et attribuée au champ UDM. |
| règle | event.idm.read_only_udm.security_result.rule_name |
La valeur du champ rule est attribuée au champ UDM. |
| sec_desc | event.idm.read_only_udm.security_result.description |
La valeur du champ sec_desc est attribuée au champ UDM. |
| sent | event.idm.read_only_udm.network.sent_bytes |
La valeur du champ sent est convertie en entier non signé et attribuée au champ UDM. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
Un champ de détection avec la clé "Session Type" (Type de session) et la valeur du champ sess est ajouté au champ UDM. |
| sn | event.idm.read_only_udm.additional.fields |
Un libellé avec la clé "SN" et la valeur du champ sn est ajouté au champ UDM. |
| spkt | event.idm.read_only_udm.network.sent_packets |
La valeur du champ spkt est convertie en entier et attribuée au champ UDM. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
L'adresse IP et le port sont extraits du champ src. Si srcV6 n'est pas vide, l'adresse IP est extraite de srcV6 à la place. |
| srcMac | event.idm.read_only_udm.principal.mac |
La valeur du champ srcMac est attribuée au champ UDM. |
| srcV6 | event.idm.read_only_udm.principal.ip |
L'adresse IP est extraite du champ srcV6. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Si srcip contient "-", un libellé avec la clé "srcip" et la valeur du champ srcip est ajouté à event.idm.read_only_udm.additional.fields. Sinon, la valeur de srcip est attribuée à event.idm.read_only_udm.principal.ip. |
| temps | event.idm.read_only_udm.metadata.event_timestamp |
La valeur du champ time est analysée et convertie en code temporel, qui est ensuite attribué au champ UDM. |
| type | event.idm.read_only_udm.network.ip_protocol |
Si le champ proto est défini sur "icmp", le champ UDM est défini sur "ICMP". |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Si user est vide, la valeur de usr est utilisée à la place. Si la valeur contient "@", elle est traitée comme une adresse e-mail et ajoutée à email_addresses. S'il contient un espace, il est traité comme un nom à afficher. Dans le cas contraire, il est traité comme un ID utilisateur. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Un champ de détection avec la clé "vpnpolicy" et la valeur du champ vpnpolicy est ajouté au champ UDM. Codé en dur sur "SonicWall". Codé en dur sur "Firewall". Codé en dur sur "SONIC_FIREWALL". Déterminé par une logique basée sur les valeurs d'autres champs. La valeur par défaut est "GENERIC_EVENT". Les autres valeurs possibles sont "STATUS_UPDATE", "NETWORK_CONNECTION" ou "NETWORK_HTTP". |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.