Recolha registos do SonicWall
Compatível com:
Google secops
SIEM
Este documento descreve como pode recolher registos do SonicWall através de um encaminhador do Google Security Operations.
Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados
para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento SONIC_FIREWALL.
Configure o dispositivo de segurança SonicWall
- Inicie sessão na consola SonicWall.
- Aceda a Registo > Syslog.
- Na secção Servidores Syslog, clique em Adicionar. É apresentada a janela Adicionar servidor Syslog.
- No campo Nome ou Endereço IP, indique o nome de anfitrião ou o endereço IP do encaminhador do Google Security Operations.
- Se a configuração do syslog não usar a porta 514 predefinida, especifique o número da porta no campo Número da porta.
- Clique em OK.
- Clique em Aceitar para guardar todas as definições do servidor syslog.
Configure o encaminhador e o syslog do Google Security Operations para carregar registos do SonicWall
- Aceda a Definições do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
- Clique em Enviar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
- No campo Nome do coletor, introduza um nome.
- Selecione SonicWall como o Tipo de registo.
- Selecione Syslog como o tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de ligação que o coletor vai usar para ouvir os dados do syslog.
- Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
- Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
- Clique em Enviar.
Para mais informações sobre os encaminhadores do Google Security Operations, consulte a documentação dos encaminhadores do Google Security Operations.
Para obter informações sobre os requisitos de cada tipo de encaminhador, consulte o artigo Configuração do encaminhador por tipo.
Se tiver problemas ao criar encaminhamentos, contacte o apoio técnico das Operações de segurança da Google.
Referência de mapeamento de campos
Este analisador extrai pares de chaves-valores de mensagens syslog da firewall SonicWall, normaliza vários campos, como indicações de tempo, endereços IP e portas, e mapeia-os para o formato UDM. Processa endereços IPv4 e IPv6, distingue entre eventos permitidos e bloqueados, e extrai detalhes relevantes para a segurança, como nomes e descrições de regras.
Tabela de mapeamento da UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| agente | event.idm.read_only_udm.network.http.user_agent |
O valor do campo agent é atribuído ao campo UDM. |
| appcat | event.idm.read_only_udm.security_result.summary |
O valor do campo appcat é atribuído ao campo UDM. Se appcat contiver "PROXY-ACCESS", event.idm.read_only_udm.security_result.category é definido como "POLICY_VIOLATION" e event.idm.read_only_udm.security_result.action é definido como "BLOCK". |
| appid | event.idm.read_only_udm.security_result.rule_id |
O valor do campo appid é atribuído ao campo UDM. |
| arg | event.idm.read_only_udm.target.resource.name |
O valor do campo arg é atribuído ao campo UDM. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
É adicionada uma etiqueta com a chave "avgThroughput" e o valor do campo avgThroughput ao campo UDM. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
O valor do campo bytesIn é convertido num número inteiro sem sinal e atribuído ao campo UDM. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
O valor do campo bytesOut é convertido num número inteiro sem sinal e atribuído ao campo UDM. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
É adicionada uma etiqueta com a chave "bytesTotal" e o valor do campo bytesTotal ao campo UDM. |
| Categoria | event.idm.read_only_udm.security_result.category_details |
O valor do campo Category é atribuído ao campo UDM. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
É adicionado um campo de deteção com a chave "Duração da ligação (milissegundos)" e o valor do campo cdur ao campo UDM. |
| dst | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
O IP e a porta são extraídos do campo dst. Se dstV6 não estiver vazio, o IP é extraído de dstV6. |
| dstMac | event.idm.read_only_udm.target.mac |
O valor do campo dstMac é atribuído ao campo UDM. |
| dstV6 | event.idm.read_only_udm.target.ip |
O IP é extraído do campo dstV6. |
| dstname | event.idm.read_only_udm.target.hostname |
Se dstname não for um endereço IP, o respetivo valor é atribuído ao campo UDM. |
| duração | event.idm.read_only_udm.network.session_duration.seconds |
O valor do campo duration é convertido num número inteiro e atribuído ao campo UDM. |
| fw | event.idm.read_only_udm.principal.ip |
O valor do campo fw é atribuído ao campo UDM. Se fw contiver "-", é adicionada uma etiqueta com a chave "fw" e o valor do campo fw a event.idm.read_only_udm.additional.fields. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
O valor do campo fw_action é atribuído a event.idm.read_only_udm.security_result.action_details. Se fw_action for "drop", event.idm.read_only_udm.security_result.action é definido como "BLOCK" e event.idm.read_only_udm.security_result.summary é definido como o valor de msg. |
| gw | event.idm.read_only_udm.intermediary.ip |
O endereço IP é extraído do campo gw e atribuído ao campo UDM. |
| id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
O valor do campo id é atribuído a ambos os campos UDM. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
É adicionada uma etiqueta com a chave "maxThroughput" e o valor do campo maxThroughput ao campo UDM. |
| msg | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Se fw_action não for "drop" ou appcat estiver vazio, o valor do campo msg é atribuído a event.idm.read_only_udm.security_result.summary. Caso contrário, é atribuído a event.idm.read_only_udm.metadata.description. |
| natDst | event.idm.read_only_udm.target.nat_ip |
O endereço IP é extraído do campo natDst e atribuído ao campo UDM. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
O endereço IP é extraído do campo natSrc e atribuído ao campo UDM. |
| nota | event.idm.read_only_udm.security_result.description |
O valor do campo note, após a extração de dstip, srcip, gw e sec_desc, é atribuído ao campo UDM. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
É adicionada uma etiqueta com a chave "packetsIn" e o valor do campo packetsIn ao campo UDM. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
É adicionada uma etiqueta com a chave "packetsOut" e o valor do campo packetsOut ao campo UDM. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
É adicionada uma etiqueta com a chave "packetsTotal" e o valor do campo packetsTotal ao campo UDM. |
| pri | event.idm.read_only_udm.security_result.severity |
O valor do campo pri determina o valor do campo UDM: 0, 1, 2 -> CRÍTICO; 3 -> ERRO; 4 -> MÉDIO; 5, 7 -> BAIXO; 6 -> INFORMATIVO. |
| proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Se proto contiver "udp", o UDM ip_protocol é definido como "UDP" e event_type é definido como "NETWORK_CONNECTION". Se proto contiver "https", o UDM application_protocol é definido como "HTTPS". |
| rcvd | event.idm.read_only_udm.network.received_bytes |
O valor do campo rcvd é convertido num número inteiro sem sinal e atribuído ao campo UDM. |
| regra | event.idm.read_only_udm.security_result.rule_name |
O valor do campo rule é atribuído ao campo UDM. |
| sec_desc | event.idm.read_only_udm.security_result.description |
O valor do campo sec_desc é atribuído ao campo UDM. |
| enviadas | event.idm.read_only_udm.network.sent_bytes |
O valor do campo sent é convertido num número inteiro sem sinal e atribuído ao campo UDM. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
É adicionado um campo de deteção com a chave "Tipo de sessão" e o valor do campo sess ao campo UDM. |
| sn | event.idm.read_only_udm.additional.fields |
É adicionada uma etiqueta com a chave "SN" e o valor do campo sn ao campo UDM. |
| spkt | event.idm.read_only_udm.network.sent_packets |
O valor do campo spkt é convertido num número inteiro e atribuído ao campo UDM. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
O IP e a porta são extraídos do campo src. Se srcV6 não estiver vazio, o IP é extraído de srcV6. |
| srcMac | event.idm.read_only_udm.principal.mac |
O valor do campo srcMac é atribuído ao campo UDM. |
| srcV6 | event.idm.read_only_udm.principal.ip |
O IP é extraído do campo srcV6. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Se srcip contiver "-", é adicionada uma etiqueta com a chave "srcip" e o valor do campo srcip a event.idm.read_only_udm.additional.fields. Caso contrário, o valor de srcip é atribuído a event.idm.read_only_udm.principal.ip. |
| tempo | event.idm.read_only_udm.metadata.event_timestamp |
O valor do campo time é analisado e convertido numa indicação de tempo, que é depois atribuída ao campo UDM. |
| escrever | event.idm.read_only_udm.network.ip_protocol |
Se o campo proto for "icmp", o campo UDM é definido como "ICMP". |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Se user estiver vazio, é usado o valor de usr. Se o valor contiver "@", é tratado como um endereço de email e adicionado a email_addresses. Se contiver um espaço, é tratado como um nome a apresentar. Caso contrário, é tratado como um ID do utilizador. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
É adicionado um campo de deteção com a chave "vpnpolicy" e o valor do campo vpnpolicy ao campo UDM. Codificado de forma rígida para "SonicWall". Codificado de forma rígida para "Firewall". Codificado de forma rígida para "SONIC_FIREWALL". Determinado pela lógica com base nos valores de outros campos. A predefinição é "GENERIC_EVENT", mas pode ser "STATUS_UPDATE", "NETWORK_CONNECTION" ou "NETWORK_HTTP". |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.