이 페이지는 Cloud Translation API를 통해 번역되었습니다.

SonicWall 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 전달자를 사용하여 SonicWall 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 SONIC_FIREWALL 수집 라벨이 있는 파서에 적용됩니다.

SonicWall 보안 어플라이언스 구성

SonicWall 콘솔에 로그인합니다.
로그 > Syslog로 이동합니다.
Syslog 서버 섹션에서 추가를 클릭합니다. syslog 서버 추가 창이 표시됩니다.
이름 또는 IP 주소 필드에 Google Security Operations 포워더 호스트 이름 또는 IP 주소를 입력합니다.
syslog 구성에서 기본 514 포트를 사용하지 않는 경우 포트 번호 필드에 포트 번호를 지정합니다.
확인을 클릭합니다.
수락을 클릭하여 모든 syslog 서버 설정을 저장합니다.

SonicWall 로그를 수집하도록 Google Security Operations 전달자 및 syslog 구성

SIEM 설정 > 포워더로 이동합니다.
새 전달자 추가를 클릭합니다.
전달자 이름 필드에 전달자의 고유한 이름을 입력합니다.
제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
수집기 이름 필드에 이름을 입력합니다.
로그 유형으로 SonicWall을 선택합니다.
수집기 유형으로 Syslog를 선택합니다.
다음 필수 입력 매개변수를 구성합니다.
- 프로토콜: 수집기가 syslog 데이터를 수신하는 데 사용할 연결 프로토콜을 지정합니다.
- 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
- 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
제출을 클릭합니다.

Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations 전달자 문서를 참고하세요.

각 전달자 유형의 요구사항은 유형별 전달자 구성을 참고하세요.

포워더를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 SonicWall 방화벽 syslog 메시지에서 키-값 쌍을 추출하고, 타임스탬프, IP 주소, 포트와 같은 다양한 필드를 정규화하여 UDM 형식에 매핑합니다. IPv4 및 IPv6 주소를 모두 처리하고, 허용된 이벤트와 차단된 이벤트를 구분하며, 규칙 이름 및 설명과 같은 보안 관련 세부정보를 추출합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
에이전트	`event.idm.read_only_udm.network.http.user_agent`	`agent` 필드의 값이 UDM 필드에 할당됩니다.
appcat	`event.idm.read_only_udm.security_result.summary`	`appcat` 필드의 값이 UDM 필드에 할당됩니다. `appcat`에 'PROXY-ACCESS'가 포함된 경우 `event.idm.read_only_udm.security_result.category`은 'POLICY_VIOLATION'으로 설정되고 `event.idm.read_only_udm.security_result.action`은 'BLOCK'으로 설정됩니다.
appid	`event.idm.read_only_udm.security_result.rule_id`	`appid` 필드의 값이 UDM 필드에 할당됩니다.
인수	`event.idm.read_only_udm.target.resource.name`	`arg` 필드의 값이 UDM 필드에 할당됩니다.
avgThroughput	`event.idm.read_only_udm.target.resource.attribute.labels`	'avgThroughput' 키와 `avgThroughput` 필드의 값이 있는 라벨이 UDM 필드에 추가됩니다.
bytesIn	`event.idm.read_only_udm.network.received_bytes`	`bytesIn` 필드 값이 부호 없는 정수로 변환되어 UDM 필드에 할당됩니다.
bytesOut	`event.idm.read_only_udm.network.sent_bytes`	`bytesOut` 필드 값이 부호 없는 정수로 변환되어 UDM 필드에 할당됩니다.
bytesTotal	`event.idm.read_only_udm.target.resource.attribute.labels`	키가 'bytesTotal'이고 값이 `bytesTotal` 필드인 라벨이 UDM 필드에 추가됩니다.
카테고리	`event.idm.read_only_udm.security_result.category_details`	`Category` 필드의 값이 UDM 필드에 할당됩니다.
cdur	`event.idm.read_only_udm.security_result.detection_fields`	키가 'Connection Duration (milli seconds)'이고 값이 `cdur` 필드인 감지 필드가 UDM 필드에 추가됩니다.
dst	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.port`	IP와 포트는 `dst` 필드에서 추출됩니다. `dstV6`가 비어 있지 않으면 IP가 `dstV6`에서 추출됩니다.
dstMac	`event.idm.read_only_udm.target.mac`	`dstMac` 필드의 값이 UDM 필드에 할당됩니다.
dstV6	`event.idm.read_only_udm.target.ip`	IP는 `dstV6` 필드에서 추출됩니다.
dstname	`event.idm.read_only_udm.target.hostname`	`dstname`이 IP 주소가 아니면 값이 UDM 필드에 할당됩니다.
기간	`event.idm.read_only_udm.network.session_duration.seconds`	`duration` 필드 값이 정수로 변환되어 UDM 필드에 할당됩니다.
fw	`event.idm.read_only_udm.principal.ip`	`fw` 필드의 값이 UDM 필드에 할당됩니다. `fw`에 '-'가 포함된 경우 키가 'fw'이고 값이 `fw` 필드에서 가져온 라벨이 `event.idm.read_only_udm.additional.fields`에 추가됩니다.
fw_action	`event.idm.read_only_udm.security_result.action_details`, `event.idm.read_only_udm.security_result.summary`, `event.idm.read_only_udm.security_result.action`	`fw_action` 필드의 값이 `event.idm.read_only_udm.security_result.action_details`에 할당됩니다. `fw_action`이 'drop'인 경우 `event.idm.read_only_udm.security_result.action`은 'BLOCK'으로 설정되고 `event.idm.read_only_udm.security_result.summary`은 `msg` 값으로 설정됩니다.
gw	`event.idm.read_only_udm.intermediary.ip`	IP 주소가 `gw` 필드에서 추출되어 UDM 필드에 할당됩니다.
id	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	`id` 필드 값이 두 UDM 필드에 모두 할당됩니다.
maxThroughput	`event.idm.read_only_udm.target.resource.attribute.labels`	'maxThroughput' 키와 `maxThroughput` 필드의 값이 있는 라벨이 UDM 필드에 추가됩니다.
msg	`event.idm.read_only_udm.security_result.summary`, `event.idm.read_only_udm.metadata.description`	`fw_action`이 'drop'이 아니거나 `appcat`이 비어 있으면 `msg` 필드의 값이 `event.idm.read_only_udm.security_result.summary`에 할당됩니다. 그렇지 않으면 `event.idm.read_only_udm.metadata.description`에 할당됩니다.
natDst	`event.idm.read_only_udm.target.nat_ip`	IP 주소가 `natDst` 필드에서 추출되어 UDM 필드에 할당됩니다.
natSrc	`event.idm.read_only_udm.principal.nat_ip`	IP 주소가 `natSrc` 필드에서 추출되어 UDM 필드에 할당됩니다.
note	`event.idm.read_only_udm.security_result.description`	`dstip`, `srcip`, `gw`, `sec_desc`를 추출한 후 `note` 필드 값이 UDM 필드에 할당됩니다.
packetsIn	`event.idm.read_only_udm.target.resource.attribute.labels`	'packetsIn' 키와 `packetsIn` 필드의 값이 있는 라벨이 UDM 필드에 추가됩니다.
packetsOut	`event.idm.read_only_udm.target.resource.attribute.labels`	'packetsOut' 키와 `packetsOut` 필드의 값이 있는 라벨이 UDM 필드에 추가됩니다.
packetsTotal	`event.idm.read_only_udm.target.resource.attribute.labels`	'packetsTotal' 키와 `packetsTotal` 필드의 값이 있는 라벨이 UDM 필드에 추가됩니다.
pri	`event.idm.read_only_udm.security_result.severity`	`pri` 필드의 값에 따라 UDM 필드의 값이 결정됩니다. 0, 1, 2 -> CRITICAL, 3 -> ERROR, 4 -> MEDIUM, 5, 7 -> LOW, 6 -> INFORMATIONAL
proto	`event.idm.read_only_udm.network.ip_protocol`, `event.idm.read_only_udm.network.application_protocol`, `event.idm.read_only_udm.metadata.event_type`	`proto`에 'udp'가 포함되면 UDM `ip_protocol`이 'UDP'로 설정되고 `event_type`이 'NETWORK_CONNECTION'으로 설정됩니다. `proto`에 'https'가 포함된 경우 UDM `application_protocol`이 'HTTPS'로 설정됩니다.
rcvd	`event.idm.read_only_udm.network.received_bytes`	`rcvd` 필드 값이 부호 없는 정수로 변환되어 UDM 필드에 할당됩니다.
규칙	`event.idm.read_only_udm.security_result.rule_name`	`rule` 필드의 값이 UDM 필드에 할당됩니다.
sec_desc	`event.idm.read_only_udm.security_result.description`	`sec_desc` 필드의 값이 UDM 필드에 할당됩니다.
sent	`event.idm.read_only_udm.network.sent_bytes`	`sent` 필드 값이 부호 없는 정수로 변환되어 UDM 필드에 할당됩니다.
sess	`event.idm.read_only_udm.security_result.detection_fields`	키가 '세션 유형'이고 값이 `sess` 필드에서 가져온 감지 필드가 UDM 필드에 추가됩니다.
sn	`event.idm.read_only_udm.additional.fields`	키가 'SN'이고 값이 `sn` 필드인 라벨이 UDM 필드에 추가됩니다.
spkt	`event.idm.read_only_udm.network.sent_packets`	`spkt` 필드 값이 정수로 변환되어 UDM 필드에 할당됩니다.
src	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.port`	IP와 포트는 `src` 필드에서 추출됩니다. `srcV6`가 비어 있지 않으면 IP가 `srcV6`에서 추출됩니다.
srcMac	`event.idm.read_only_udm.principal.mac`	`srcMac` 필드의 값이 UDM 필드에 할당됩니다.
srcV6	`event.idm.read_only_udm.principal.ip`	IP는 `srcV6` 필드에서 추출됩니다.
srcip	`event.idm.read_only_udm.additional.fields`, `event.idm.read_only_udm.principal.ip`	`srcip`에 '-'가 포함된 경우 키가 'srcip'이고 값이 `srcip` 필드에서 가져온 라벨이 `event.idm.read_only_udm.additional.fields`에 추가됩니다. 그렇지 않으면 `srcip` 값이 `event.idm.read_only_udm.principal.ip`에 할당됩니다.
시간	`event.idm.read_only_udm.metadata.event_timestamp`	`time` 필드의 값이 파싱되어 타임스탬프로 변환된 후 UDM 필드에 할당됩니다.
유형	`event.idm.read_only_udm.network.ip_protocol`	`proto` 필드가 'icmp'인 경우 UDM 필드가 'ICMP'로 설정됩니다.
user/usr	`event.idm.read_only_udm.principal.user.email_addresses`, `event.idm.read_only_udm.principal.user.user_display_name`, `event.idm.read_only_udm.principal.user.userid`	`user`가 비어 있으면 `usr` 값이 대신 사용됩니다. 값에 '@'이 포함되어 있으면 이메일 주소로 처리되어 `email_addresses`에 추가됩니다. 공백이 포함된 경우 표시 이름으로 처리됩니다. 그렇지 않으면 userid로 처리됩니다.
vpnpolicy	`event.idm.read_only_udm.security_result.detection_fields`	키가 'vpnpolicy'이고 값이 `vpnpolicy` 필드에서 가져온 감지 필드가 UDM 필드에 추가됩니다. 'SonicWall'로 하드코딩됩니다. 'Firewall'로 하드코딩됩니다. 'SONIC_FIREWALL'로 하드코딩됩니다. 다른 필드의 값을 기반으로 하는 논리에 따라 결정됩니다. 기본값은 'GENERIC_EVENT'이며 'STATUS_UPDATE', 'NETWORK_CONNECTION' 또는 'NETWORK_HTTP'일 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.