SonicWall のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して SonicWall ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル SONIC_FIREWALL が付加されたパーサーに適用されます。
SonicWall セキュリティ アプライアンスを構成する
- SonicWall コンソールにログインします。
- [Log] > [Syslog] に移動します。
- [Syslog サーバー] セクションで、[追加] をクリックします。[syslog サーバーを追加] ウィンドウが表示されます。
- [名前] フィールドまたは [IP アドレス] フィールドに、Google Security Operations フォワーダーのホスト名または IP アドレスを指定します。
- syslog 構成でデフォルトの 514 ポートを使用しない場合は、[ポート番号] フィールドにポート番号を指定します。
- [OK] をクリックします。
- [承諾] をクリックして、すべての syslog サーバー設定を保存します。
SonicWall のログを取り込むように Google Security Operations フォワーダーと syslog を構成する
- [SIEM 設定] > [フォワーダー] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [ログタイプ] として [SonicWall] を選択します。
- [コレクタ タイプ] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- Protocol: コレクタが syslog データのリッスンに使用する接続プロトコルを指定します。
- アドレス: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。
各フォワーダ タイプの要件については、タイプ別のフォワーダー構成をご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、SonicWall ファイアウォール Syslog メッセージから Key-Value ペアを抽出し、タイムスタンプ、IP アドレス、ポートなどのさまざまなフィールドを正規化して、UDM 形式にマッピングします。IPv4 アドレスと IPv6 アドレスの両方を処理し、許可されたイベントとブロックされたイベントを区別して、ルール名や説明などのセキュリティ関連の詳細を抽出します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| エージェント | event.idm.read_only_udm.network.http.user_agent |
agent フィールドの値が UDM フィールドに割り当てられます。 |
| appcat | event.idm.read_only_udm.security_result.summary |
appcat フィールドの値が UDM フィールドに割り当てられます。appcat に「PROXY-ACCESS」が含まれている場合、event.idm.read_only_udm.security_result.category は「POLICY_VIOLATION」に設定され、event.idm.read_only_udm.security_result.action は「BLOCK」に設定されます。 |
| appid | event.idm.read_only_udm.security_result.rule_id |
appid フィールドの値が UDM フィールドに割り当てられます。 |
| 引数 | event.idm.read_only_udm.target.resource.name |
arg フィールドの値が UDM フィールドに割り当てられます。 |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
キー「avgThroughput」と avgThroughput フィールドの値を持つラベルが UDM フィールドに追加されます。 |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
bytesIn フィールドの値は符号なし整数に変換され、UDM フィールドに割り当てられます。 |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
bytesOut フィールドの値は符号なし整数に変換され、UDM フィールドに割り当てられます。 |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
キーが「bytesTotal」、値が bytesTotal フィールドのラベルが UDM フィールドに追加されます。 |
| カテゴリ | event.idm.read_only_udm.security_result.category_details |
Category フィールドの値が UDM フィールドに割り当てられます。 |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
キーが「Connection Duration (milli seconds)」、値が cdur フィールドの検出フィールドが UDM フィールドに追加されます。 |
| dst | event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.port |
IP とポートは dst フィールドから抽出されます。dstV6 が空でない場合は、代わりに dstV6 から IP が抽出されます。 |
| dstMac | event.idm.read_only_udm.target.mac |
dstMac フィールドの値が UDM フィールドに割り当てられます。 |
| dstV6 | event.idm.read_only_udm.target.ip |
IP は dstV6 フィールドから抽出されます。 |
| dstname | event.idm.read_only_udm.target.hostname |
dstname が IP アドレスでない場合、その値が UDM フィールドに割り当てられます。 |
| duration | event.idm.read_only_udm.network.session_duration.seconds |
duration フィールドの値は整数に変換され、UDM フィールドに割り当てられます。 |
| fw | event.idm.read_only_udm.principal.ip |
fw フィールドの値が UDM フィールドに割り当てられます。fw に「-」が含まれている場合、キーが「fw」で値が fw フィールドのラベルが event.idm.read_only_udm.additional.fields に追加されます。 |
| fw_action | event.idm.read_only_udm.security_result.action_details、event.idm.read_only_udm.security_result.summary、event.idm.read_only_udm.security_result.action |
fw_action フィールドの値が event.idm.read_only_udm.security_result.action_details に割り当てられます。fw_action が「drop」の場合、event.idm.read_only_udm.security_result.action は「BLOCK」に設定され、event.idm.read_only_udm.security_result.summary は msg の値に設定されます。 |
| gw | event.idm.read_only_udm.intermediary.ip |
IP アドレスは gw フィールドから抽出され、UDM フィールドに割り当てられます。 |
| id | event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname |
id フィールドの値は、両方の UDM フィールドに割り当てられます。 |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
キー「maxThroughput」と maxThroughput フィールドの値を持つラベルが UDM フィールドに追加されます。 |
| msg | event.idm.read_only_udm.security_result.summary、event.idm.read_only_udm.metadata.description |
fw_action が「drop」でないか、appcat が空の場合、msg フィールドの値が event.idm.read_only_udm.security_result.summary に割り当てられます。それ以外の場合は、event.idm.read_only_udm.metadata.description に割り当てられます。 |
| natDst | event.idm.read_only_udm.target.nat_ip |
IP アドレスは natDst フィールドから抽出され、UDM フィールドに割り当てられます。 |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
IP アドレスは natSrc フィールドから抽出され、UDM フィールドに割り当てられます。 |
| 注意事項 | event.idm.read_only_udm.security_result.description |
dstip、srcip、gw、sec_desc を抽出した後の note フィールドの値が UDM フィールドに割り当てられます。 |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
キー「packetsIn」と packetsIn フィールドの値を含むラベルが UDM フィールドに追加されます。 |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
キー「packetsOut」と packetsOut フィールドの値を持つラベルが UDM フィールドに追加されます。 |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
キー「packetsTotal」と packetsTotal フィールドの値を持つラベルが UDM フィールドに追加されます。 |
| pri | event.idm.read_only_udm.security_result.severity |
pri フィールドの値によって、UDM フィールドの値が決まります。0、1、2 -> CRITICAL、3 -> ERROR、4 -> MEDIUM、5、7 -> LOW、6 -> INFORMATIONAL。 |
| proto | event.idm.read_only_udm.network.ip_protocol、event.idm.read_only_udm.network.application_protocol、event.idm.read_only_udm.metadata.event_type |
proto に「udp」が含まれている場合、UDM ip_protocol は「UDP」に設定され、event_type は「NETWORK_CONNECTION」に設定されます。proto に「https」が含まれている場合、UDM application_protocol は「HTTPS」に設定されます。 |
| rcvd | event.idm.read_only_udm.network.received_bytes |
rcvd フィールドの値は符号なし整数に変換され、UDM フィールドに割り当てられます。 |
| ルール | event.idm.read_only_udm.security_result.rule_name |
rule フィールドの値が UDM フィールドに割り当てられます。 |
| sec_desc | event.idm.read_only_udm.security_result.description |
sec_desc フィールドの値が UDM フィールドに割り当てられます。 |
| 送信済み | event.idm.read_only_udm.network.sent_bytes |
sent フィールドの値は符号なし整数に変換され、UDM フィールドに割り当てられます。 |
| sess | event.idm.read_only_udm.security_result.detection_fields |
キーが「Session Type」、値が sess フィールドの検出フィールドが UDM フィールドに追加されます。 |
| sn | event.idm.read_only_udm.additional.fields |
キー「SN」と sn フィールドの値を含むラベルが UDM フィールドに追加されます。 |
| spkt | event.idm.read_only_udm.network.sent_packets |
spkt フィールドの値は整数に変換され、UDM フィールドに割り当てられます。 |
| src | event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.port |
IP とポートは src フィールドから抽出されます。srcV6 が空でない場合は、代わりに srcV6 から IP が抽出されます。 |
| srcMac | event.idm.read_only_udm.principal.mac |
srcMac フィールドの値が UDM フィールドに割り当てられます。 |
| srcV6 | event.idm.read_only_udm.principal.ip |
IP は srcV6 フィールドから抽出されます。 |
| srcip | event.idm.read_only_udm.additional.fields、event.idm.read_only_udm.principal.ip |
srcip に「-」が含まれている場合、キーが「srcip」で値が srcip フィールドのラベルが event.idm.read_only_udm.additional.fields に追加されます。それ以外の場合は、srcip の値が event.idm.read_only_udm.principal.ip に割り当てられます。 |
| 時間 | event.idm.read_only_udm.metadata.event_timestamp |
time フィールドの値が解析されてタイムスタンプに変換され、UDM フィールドに割り当てられます。 |
| type | event.idm.read_only_udm.network.ip_protocol |
proto フィールドが「icmp」の場合、UDM フィールドは「ICMP」に設定されます。 |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses、event.idm.read_only_udm.principal.user.user_display_name、event.idm.read_only_udm.principal.user.userid |
user が空の場合、代わりに usr の値が使用されます。値に「@」が含まれている場合は、メールアドレスとして扱われ、email_addresses に追加されます。スペースが含まれている場合は、表示名として扱われます。それ以外の場合は、userid として扱われます。 |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
キーが「vpnpolicy」で、値が vpnpolicy フィールドの検出フィールドが UDM フィールドに追加されます。「SonicWall」にハードコードされています。「Firewall」にハードコードされています。「SONIC_FIREWALL」にハードコードされます。他のフィールドの値に基づくロジックによって決定されます。デフォルトは「GENERIC_EVENT」です。「STATUS_UPDATE」、「NETWORK_CONNECTION」、「NETWORK_HTTP」にすることもできます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。