Raccogliere i log di SonicWall
Supportato in:
Google secops
SIEM
Questo documento descrive come raccogliere i log di SonicWall utilizzando un forwarder Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione SONIC_FIREWALL.
Configura l'appliance di sicurezza SonicWall
- Accedi alla console SonicWall.
- Vai a Log > Syslog.
- Nella sezione Server Syslog, fai clic su Aggiungi. Viene visualizzata la finestra Aggiungi server syslog.
- Nel campo Nome o Indirizzo IP, fornisci il nome host o l'indirizzo IP del forwarder di Google Security Operations.
- Se la configurazione di syslog non utilizza la porta 514 predefinita, specifica il numero di porta nel campo Numero di porta.
- Fai clic su Ok.
- Fai clic su Accetta per salvare tutte le impostazioni del server syslog.
Configura l'inoltro e syslog di Google Security Operations per importare i log di SonicWall
- Vai a Impostazioni SIEM > Forwarder.
- Fai clic su Aggiungi nuovo inoltro.
- Nel campo Nome forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Nel campo Nome del raccoglitore, digita un nome.
- Seleziona SonicWall come Tipo di log.
- Seleziona Syslog come Tipo di raccoglitore.
- Configura i seguenti parametri di input obbligatori:
- Protocollo: specifica il protocollo di connessione che il raccoglitore utilizzerà per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui si trova il raccoglitore e in cui ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui risiede il raccoglitore e rimane in ascolto dei dati syslog.
- Fai clic su Invia.
Per saperne di più sui forwarder di Google Security Operations, consulta la documentazione sui forwarder di Google Security Operations.
Per informazioni sui requisiti per ciascun tipo di forwarder, consulta Configurazione del forwarder per tipo.
Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser estrae coppie chiave-valore dai messaggi syslog del firewall SonicWall, normalizza vari campi come timestamp, indirizzi IP e porte e li mappa al formato UDM. Gestisce sia gli indirizzi IPv4 che IPv6, distingue tra eventi consentiti e bloccati ed estrae dettagli pertinenti alla sicurezza come nomi e descrizioni delle regole.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| agente | event.idm.read_only_udm.network.http.user_agent |
Il valore del campo agent viene assegnato al campo UDM. |
| appcat | event.idm.read_only_udm.security_result.summary |
Il valore del campo appcat viene assegnato al campo UDM. Se appcat contiene "PROXY-ACCESS", event.idm.read_only_udm.security_result.category è impostato su "POLICY_VIOLATION" e event.idm.read_only_udm.security_result.action è impostato su "BLOCK". |
| appid | event.idm.read_only_udm.security_result.rule_id |
Il valore del campo appid viene assegnato al campo UDM. |
| arg | event.idm.read_only_udm.target.resource.name |
Il valore del campo arg viene assegnato al campo UDM. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Al campo UDM viene aggiunta un'etichetta con la chiave "avgThroughput" e il valore del campo avgThroughput. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
Il valore del campo bytesIn viene convertito in un numero intero senza segno e assegnato al campo UDM. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
Il valore del campo bytesOut viene convertito in un numero intero senza segno e assegnato al campo UDM. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Al campo UDM viene aggiunta un'etichetta con la chiave "bytesTotal" e il valore del campo bytesTotal. |
| Categoria | event.idm.read_only_udm.security_result.category_details |
Il valore del campo Category viene assegnato al campo UDM. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Al campo UDM viene aggiunto un campo di rilevamento con la chiave "Durata connessione (millisecondi)" e il valore del campo cdur. |
| dst | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
L'IP e la porta vengono estratti dal campo dst. Se dstV6 non è vuoto, l'IP viene estratto da dstV6. |
| dstMac | event.idm.read_only_udm.target.mac |
Il valore del campo dstMac viene assegnato al campo UDM. |
| dstV6 | event.idm.read_only_udm.target.ip |
L'IP viene estratto dal campo dstV6. |
| dstname | event.idm.read_only_udm.target.hostname |
Se dstname non è un indirizzo IP, il suo valore viene assegnato al campo UDM. |
| duration | event.idm.read_only_udm.network.session_duration.seconds |
Il valore del campo duration viene convertito in un numero intero e assegnato al campo UDM. |
| fw | event.idm.read_only_udm.principal.ip |
Il valore del campo fw viene assegnato al campo UDM. Se fw contiene "-", a event.idm.read_only_udm.additional.fields viene aggiunta un'etichetta con la chiave "fw" e il valore del campo fw. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
Il valore del campo fw_action viene assegnato a event.idm.read_only_udm.security_result.action_details. Se fw_action è "drop", event.idm.read_only_udm.security_result.action è impostato su "BLOCK" e event.idm.read_only_udm.security_result.summary è impostato sul valore di msg. |
| gw | event.idm.read_only_udm.intermediary.ip |
L'indirizzo IP viene estratto dal campo gw e assegnato al campo UDM. |
| ID | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Il valore del campo id viene assegnato a entrambi i campi UDM. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Al campo UDM viene aggiunta un'etichetta con la chiave "maxThroughput" e il valore del campo maxThroughput. |
| msg | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Se fw_action non è "drop" o appcat è vuoto, il valore del campo msg viene assegnato a event.idm.read_only_udm.security_result.summary. In caso contrario, viene assegnato a event.idm.read_only_udm.metadata.description. |
| natDst | event.idm.read_only_udm.target.nat_ip |
L'indirizzo IP viene estratto dal campo natDst e assegnato al campo UDM. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
L'indirizzo IP viene estratto dal campo natSrc e assegnato al campo UDM. |
| nota | event.idm.read_only_udm.security_result.description |
Il valore del campo note, dopo l'estrazione di dstip, srcip, gw e sec_desc, viene assegnato al campo UDM. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Al campo UDM viene aggiunta un'etichetta con la chiave "packetsIn" e il valore del campo packetsIn. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Al campo UDM viene aggiunta un'etichetta con la chiave "packetsOut" e il valore del campo packetsOut. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Al campo UDM viene aggiunta un'etichetta con la chiave "packetsTotal" e il valore del campo packetsTotal. |
| pri | event.idm.read_only_udm.security_result.severity |
Il valore del campo pri determina il valore del campo UDM: 0, 1, 2 -> CRITICAL; 3 -> ERROR; 4 -> MEDIUM; 5, 7 -> LOW; 6 -> INFORMATIONAL. |
| proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Se proto contiene "udp", l'UDM ip_protocol è impostato su "UDP" e event_type è impostato su "NETWORK_CONNECTION". Se proto contiene "https", l'UDM application_protocol è impostato su "HTTPS". |
| rcvd | event.idm.read_only_udm.network.received_bytes |
Il valore del campo rcvd viene convertito in un numero intero senza segno e assegnato al campo UDM. |
| regola | event.idm.read_only_udm.security_result.rule_name |
Il valore del campo rule viene assegnato al campo UDM. |
| sec_desc | event.idm.read_only_udm.security_result.description |
Il valore del campo sec_desc viene assegnato al campo UDM. |
| sent | event.idm.read_only_udm.network.sent_bytes |
Il valore del campo sent viene convertito in un numero intero senza segno e assegnato al campo UDM. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
Al campo UDM viene aggiunto un campo di rilevamento con la chiave "Session Type" (Tipo di sessione) e il valore del campo sess. |
| sn | event.idm.read_only_udm.additional.fields |
Al campo UDM viene aggiunta un'etichetta con la chiave "SN" e il valore del campo sn. |
| spkt | event.idm.read_only_udm.network.sent_packets |
Il valore del campo spkt viene convertito in un numero intero e assegnato al campo UDM. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
L'IP e la porta vengono estratti dal campo src. Se srcV6 non è vuoto, l'IP viene estratto da srcV6. |
| srcMac | event.idm.read_only_udm.principal.mac |
Il valore del campo srcMac viene assegnato al campo UDM. |
| srcV6 | event.idm.read_only_udm.principal.ip |
L'IP viene estratto dal campo srcV6. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Se srcip contiene "-", a event.idm.read_only_udm.additional.fields viene aggiunta un'etichetta con la chiave "srcip" e il valore del campo srcip. In caso contrario, il valore di srcip viene assegnato a event.idm.read_only_udm.principal.ip. |
| tempo | event.idm.read_only_udm.metadata.event_timestamp |
Il valore del campo time viene analizzato e convertito in un timestamp, che viene poi assegnato al campo UDM. |
| tipo | event.idm.read_only_udm.network.ip_protocol |
Se il campo proto è "icmp", il campo UDM è impostato su "ICMP". |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Se user è vuoto, viene utilizzato il valore di usr. Se il valore contiene "@", viene trattato come un indirizzo email e aggiunto a email_addresses. Se contiene uno spazio, viene trattato come nome visualizzato. In caso contrario, viene trattato come un ID utente. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Al campo UDM viene aggiunto un campo di rilevamento con la chiave "vpnpolicy" e il valore del campo vpnpolicy. Codificato in modo permanente su "SonicWall". Codificato su "Firewall". Codificato in modo permanente su "SONIC_FIREWALL". Determinato dalla logica in base ai valori di altri campi. Il valore predefinito è "GENERIC_EVENT", ma può essere "STATUS_UPDATE", "NETWORK_CONNECTION" o "NETWORK_HTTP". |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.