Mengumpulkan log SonicWall
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log SonicWall dengan menggunakan penerus Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan SONIC_FIREWALL.
Mengonfigurasi perangkat keamanan SonicWall
- Login ke konsol SonicWall.
- Buka Log > Syslog.
- Di bagian Server syslog, klik Tambahkan. Jendela Tambahkan server syslog akan muncul.
- Di kolom Name atau IP address, masukkan nama host atau alamat IP penerusan Google Security Operations.
- Jika konfigurasi syslog Anda tidak menggunakan port 514 default, di kolom Nomor port, tentukan nomor port.
- Klik Ok.
- Klik Terima untuk menyimpan semua setelan server syslog.
Mengonfigurasi penerusan dan syslog Google Security Operations untuk menyerap log SonicWall
- Buka Setelan SIEM > Pengirim.
- Klik Tambahkan penerusan baru.
- Di kolom Forwarder Name, masukkan nama unik untuk penerusan.
- Klik Kirim. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
- Di kolom Nama pengumpul, ketik nama.
- Pilih SonicWall sebagai Jenis log.
- Pilih Syslog sebagai Collector type.
- Konfigurasikan parameter input wajib berikut:
- Protokol: tentukan protokol koneksi yang akan digunakan pengumpul untuk memproses data syslog.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
- Klik Kirim.
Untuk mengetahui informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations.
Untuk mengetahui informasi tentang persyaratan untuk setiap jenis penerusan, lihat Konfigurasi penerusan menurut jenis.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Operasi Keamanan Google.
Referensi pemetaan kolom
Parser ini mengekstrak key-value pair dari pesan syslog firewall SonicWall, menormalisasi berbagai kolom seperti stempel waktu, alamat IP, dan port, serta memetakannya ke format UDM. Log ini menangani alamat IPv4 dan IPv6, membedakan antara peristiwa yang diizinkan dan diblokir, serta mengekstrak detail yang relevan dengan keamanan seperti nama dan deskripsi aturan.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| agen | event.idm.read_only_udm.network.http.user_agent |
Nilai kolom agent ditetapkan ke kolom UDM. |
| appcat | event.idm.read_only_udm.security_result.summary |
Nilai kolom appcat ditetapkan ke kolom UDM. Jika appcat berisi "PROXY-ACCESS", event.idm.read_only_udm.security_result.category ditetapkan ke "POLICY_VIOLATION" dan event.idm.read_only_udm.security_result.action ditetapkan ke "BLOCK". |
| idapp | event.idm.read_only_udm.security_result.rule_id |
Nilai kolom appid ditetapkan ke kolom UDM. |
| arg | event.idm.read_only_udm.target.resource.name |
Nilai kolom arg ditetapkan ke kolom UDM. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "avgThroughput" dan nilai dari kolom avgThroughput ditambahkan ke kolom UDM. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
Nilai kolom bytesIn dikonversi menjadi bilangan bulat yang tidak bertanda tangan dan ditetapkan ke kolom UDM. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
Nilai kolom bytesOut dikonversi menjadi bilangan bulat yang tidak bertanda tangan dan ditetapkan ke kolom UDM. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "bytesTotal" dan nilai dari kolom bytesTotal ditambahkan ke kolom UDM. |
| Kategori | event.idm.read_only_udm.security_result.category_details |
Nilai kolom Category ditetapkan ke kolom UDM. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Kolom deteksi dengan kunci "Connection Duration (milli seconds)" dan nilai dari kolom cdur ditambahkan ke kolom UDM. |
| dst | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
IP dan port diekstrak dari kolom dst. Jika dstV6 tidak kosong, IP akan diekstrak dari dstV6. |
| dstMac | event.idm.read_only_udm.target.mac |
Nilai kolom dstMac ditetapkan ke kolom UDM. |
| dstV6 | event.idm.read_only_udm.target.ip |
IP diekstrak dari kolom dstV6. |
| dstname | event.idm.read_only_udm.target.hostname |
Jika dstname bukan alamat IP, nilainya ditetapkan ke kolom UDM. |
| durasi | event.idm.read_only_udm.network.session_duration.seconds |
Nilai kolom duration dikonversi menjadi bilangan bulat dan ditetapkan ke kolom UDM. |
| fw | event.idm.read_only_udm.principal.ip |
Nilai kolom fw ditetapkan ke kolom UDM. Jika fw berisi "-", label dengan kunci "fw" dan nilai dari kolom fw akan ditambahkan ke event.idm.read_only_udm.additional.fields. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
Nilai kolom fw_action ditetapkan ke event.idm.read_only_udm.security_result.action_details. Jika fw_action adalah "drop", event.idm.read_only_udm.security_result.action ditetapkan ke "BLOCK" dan event.idm.read_only_udm.security_result.summary ditetapkan ke nilai msg. |
| gw | event.idm.read_only_udm.intermediary.ip |
Alamat IP diekstrak dari kolom gw dan ditetapkan ke kolom UDM. |
| id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Nilai kolom id ditetapkan ke kedua kolom UDM. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "maxThroughput" dan nilai dari kolom maxThroughput ditambahkan ke kolom UDM. |
| msg | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Jika fw_action bukan "drop" atau appcat kosong, nilai kolom msg akan ditetapkan ke event.idm.read_only_udm.security_result.summary. Jika tidak, nilai ini akan ditetapkan ke event.idm.read_only_udm.metadata.description. |
| natDst | event.idm.read_only_udm.target.nat_ip |
Alamat IP diekstrak dari kolom natDst dan ditetapkan ke kolom UDM. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
Alamat IP diekstrak dari kolom natSrc dan ditetapkan ke kolom UDM. |
| catatan | event.idm.read_only_udm.security_result.description |
Nilai kolom note, setelah mengekstrak dstip, srcip, gw, dan sec_desc, ditetapkan ke kolom UDM. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "packetsIn" dan nilai dari kolom packetsIn ditambahkan ke kolom UDM. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "packetsOut" dan nilai dari kolom packetsOut ditambahkan ke kolom UDM. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "packetsTotal" dan nilai dari kolom packetsTotal ditambahkan ke kolom UDM. |
| pri | event.idm.read_only_udm.security_result.severity |
Nilai kolom pri menentukan nilai kolom UDM: 0, 1, 2 -> CRITICAL; 3 -> ERROR; 4 -> MEDIUM; 5, 7 -> LOW; 6 -> INFORMATIONAL. |
| proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Jika proto berisi "udp", UDM ip_protocol ditetapkan ke "UDP" dan event_type ditetapkan ke "NETWORK_CONNECTION". Jika proto berisi "https", UDM application_protocol akan ditetapkan ke "HTTPS". |
| rcvd | event.idm.read_only_udm.network.received_bytes |
Nilai kolom rcvd dikonversi menjadi bilangan bulat yang tidak bertanda tangan dan ditetapkan ke kolom UDM. |
| aturan | event.idm.read_only_udm.security_result.rule_name |
Nilai kolom rule ditetapkan ke kolom UDM. |
| sec_desc | event.idm.read_only_udm.security_result.description |
Nilai kolom sec_desc ditetapkan ke kolom UDM. |
| sent | event.idm.read_only_udm.network.sent_bytes |
Nilai kolom sent dikonversi menjadi bilangan bulat yang tidak bertanda tangan dan ditetapkan ke kolom UDM. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
Kolom deteksi dengan kunci "Session Type" dan nilai dari kolom sess ditambahkan ke kolom UDM. |
| sn | event.idm.read_only_udm.additional.fields |
Label dengan kunci "SN" dan nilai dari kolom sn ditambahkan ke kolom UDM. |
| spkt | event.idm.read_only_udm.network.sent_packets |
Nilai kolom spkt dikonversi menjadi bilangan bulat dan ditetapkan ke kolom UDM. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
IP dan port diekstrak dari kolom src. Jika srcV6 tidak kosong, IP akan diekstrak dari srcV6. |
| srcMac | event.idm.read_only_udm.principal.mac |
Nilai kolom srcMac ditetapkan ke kolom UDM. |
| srcV6 | event.idm.read_only_udm.principal.ip |
IP diekstrak dari kolom srcV6. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Jika srcip berisi "-", label dengan kunci "srcip" dan nilai dari kolom srcip akan ditambahkan ke event.idm.read_only_udm.additional.fields. Jika tidak, nilai srcip akan ditetapkan ke event.idm.read_only_udm.principal.ip. |
| waktu | event.idm.read_only_udm.metadata.event_timestamp |
Nilai kolom time diuraikan dan dikonversi menjadi stempel waktu, yang kemudian ditetapkan ke kolom UDM. |
| jenis | event.idm.read_only_udm.network.ip_protocol |
Jika kolom proto adalah "icmp", kolom UDM akan ditetapkan ke "ICMP". |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Jika user kosong, nilai usr akan digunakan. Jika nilai berisi "@", nilai tersebut akan diperlakukan sebagai alamat email dan ditambahkan ke email_addresses. Jika berisi spasi, string tersebut akan diperlakukan sebagai nama tampilan. Jika tidak, nilai tersebut akan diperlakukan sebagai userid. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Kolom deteksi dengan kunci "vpnpolicy" dan nilai dari kolom vpnpolicy ditambahkan ke kolom UDM. Dikodekan secara permanen ke "SonicWall". Dikodekan secara permanen ke "Firewall". Dikodekan secara permanen ke "SONIC_FIREWALL". Ditentukan oleh logika berdasarkan nilai kolom lain. Default-nya adalah "GENERIC_EVENT", dapat berupa "STATUS_UPDATE", "NETWORK_CONNECTION", atau "NETWORK_HTTP". |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.