收集 SonicWall 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Security Operations 轉送器收集 SonicWall 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 SONIC_FIREWALL 攝入標籤的剖析器。
設定 SonicWall 安全設備
- 登入 SonicWall 控制台。
- 依序前往「記錄」>「系統記錄」。
- 在「Syslog servers」(系統記錄伺服器) 部分中,按一下「Add」(新增)。系統會顯示「新增系統記錄伺服器」視窗。
- 在「名稱」或「IP 位址」欄位中,提供 Google Security Operations 轉寄程式主機名稱或 IP 位址。
- 如果系統記錄設定未使用預設的 514 連接埠,請在「連接埠號碼」欄位中指定連接埠號碼。
- 按一下 [確定]。
- 按一下「接受」,儲存所有系統記錄檔伺服器設定。
設定 Google Security Operations 轉送器和系統記錄,以便擷取 SonicWall 記錄
- 依序前往「SIEM 設定」>「轉送器」。
- 按一下「新增轉寄者」。
- 在「轉送器名稱」欄位中,輸入轉送器的專屬名稱。
- 按一下「提交」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
- 在「收集器名稱」欄位中輸入名稱。
- 選取「SonicWall」做為「記錄類型」。
- 選取「Syslog」做為「收集器類型」。
- 設定下列必要輸入參數:
- 通訊協定:指定收集器用來監聽系統記錄資料的連線通訊協定。
- 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
- 通訊埠:指定收集器所在位置的目標通訊埠,並監聽系統記錄檔資料。
- 按一下「提交」。
如要進一步瞭解 Google Security Operations 轉送器,請參閱 Google Security Operations 轉送器說明文件。
如要瞭解各轉送器類型的相關規定,請參閱「依類型設定轉送器」。
如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。
欄位對應參考資料
這個剖析器會從 SonicWall 防火牆系統記錄訊息中擷取鍵/值配對,將時間戳記、IP 位址和連接埠等各種欄位標準化,並對應至 UDM 格式。這個外掛程式可處理 IPv4 和 IPv6 位址,區分允許和封鎖的事件,並擷取規則名稱和說明等安全性相關詳細資料。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| 代理程式 | event.idm.read_only_udm.network.http.user_agent |
agent 欄位的值會指派給 UDM 欄位。 |
| appcat | event.idm.read_only_udm.security_result.summary |
appcat 欄位的值會指派給 UDM 欄位。如果 appcat 包含「PROXY-ACCESS」,event.idm.read_only_udm.security_result.category 會設為「POLICY_VIOLATION」,event.idm.read_only_udm.security_result.action 則會設為「BLOCK」。 |
| appid | event.idm.read_only_udm.security_result.rule_id |
appid 欄位的值會指派給 UDM 欄位。 |
| arg | event.idm.read_only_udm.target.resource.name |
arg 欄位的值會指派給 UDM 欄位。 |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
系統會將鍵為「avgThroughput」且值來自 avgThroughput 欄位的標籤,新增至 UDM 欄位。 |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
bytesIn 欄位的值會轉換為無正負號整數,並指派給 UDM 欄位。 |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
bytesOut 欄位的值會轉換為無正負號整數,並指派給 UDM 欄位。 |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
系統會將鍵為「bytesTotal」且值來自 bytesTotal 欄位的標籤,新增至 UDM 欄位。 |
| 類別 | event.idm.read_only_udm.security_result.category_details |
Category 欄位的值會指派給 UDM 欄位。 |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
系統會將含有「連線時間長度 (毫秒)」鍵和 cdur 欄位值的偵測欄位,新增至 UDM 欄位。 |
| dst | event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.port |
系統會從 dst 欄位擷取 IP 和通訊埠。如果 dstV6 不是空白,系統會改為從 dstV6 擷取 IP。 |
| dstMac | event.idm.read_only_udm.target.mac |
dstMac 欄位的值會指派給 UDM 欄位。 |
| dstV6 | event.idm.read_only_udm.target.ip |
系統會從 dstV6 欄位擷取 IP。 |
| dstname | event.idm.read_only_udm.target.hostname |
如果 dstname 不是 IP 位址,系統會將其值指派給 UDM 欄位。 |
| 持續時間 | event.idm.read_only_udm.network.session_duration.seconds |
duration 欄位的值會轉換為整數,並指派給 UDM 欄位。 |
| fw | event.idm.read_only_udm.principal.ip |
fw 欄位的值會指派給 UDM 欄位。如果 fw 包含「-」,系統會將鍵為「fw」且值來自 fw 欄位的標籤新增至 event.idm.read_only_udm.additional.fields。 |
| fw_action | event.idm.read_only_udm.security_result.action_details、event.idm.read_only_udm.security_result.summary、event.idm.read_only_udm.security_result.action |
fw_action 欄位的值會指派給 event.idm.read_only_udm.security_result.action_details。如果 fw_action 為「drop」,event.idm.read_only_udm.security_result.action 會設為「BLOCK」,而 event.idm.read_only_udm.security_result.summary 會設為 msg 的值。 |
| gw | event.idm.read_only_udm.intermediary.ip |
系統會從 gw 欄位擷取 IP 位址,並指派給 UDM 欄位。 |
| id | event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname |
id 欄位的值會指派給這兩個 UDM 欄位。 |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
系統會將鍵為「maxThroughput」且值來自 maxThroughput 欄位的標籤,新增至 UDM 欄位。 |
| msg | event.idm.read_only_udm.security_result.summary、event.idm.read_only_udm.metadata.description |
如果 fw_action 不是「drop」或 appcat 為空,系統會將 msg 欄位的值指派給 event.idm.read_only_udm.security_result.summary。否則會指派給 event.idm.read_only_udm.metadata.description。 |
| natDst | event.idm.read_only_udm.target.nat_ip |
系統會從 natDst 欄位擷取 IP 位址,並指派給 UDM 欄位。 |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
系統會從 natSrc 欄位擷取 IP 位址,並指派給 UDM 欄位。 |
| 附註 | event.idm.read_only_udm.security_result.description |
擷取 dstip、srcip、gw 和 sec_desc 後,note 欄位的值會指派給 UDM 欄位。 |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
系統會將鍵為「packetsIn」且值來自 packetsIn 欄位的標籤,新增至 UDM 欄位。 |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
系統會將鍵為「packetsOut」且值來自 packetsOut 欄位的標籤,新增至 UDM 欄位。 |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
系統會將鍵為「packetsTotal」且值來自 packetsTotal 欄位的標籤,新增至 UDM 欄位。 |
| pri | event.idm.read_only_udm.security_result.severity |
pri 欄位的值會決定 UDM 欄位的值:0、1、2 -> CRITICAL;3 -> ERROR;4 -> MEDIUM;5、7 -> LOW;6 -> INFORMATIONAL。 |
| proto | event.idm.read_only_udm.network.ip_protocol、event.idm.read_only_udm.network.application_protocol、event.idm.read_only_udm.metadata.event_type |
如果 proto 包含「udp」,UDM ip_protocol 會設為「UDP」,而 event_type 會設為「NETWORK_CONNECTION」。如果 proto 包含「https」,UDM application_protocol 會設為「HTTPS」。 |
| rcvd | event.idm.read_only_udm.network.received_bytes |
rcvd 欄位的值會轉換為無正負號整數,並指派給 UDM 欄位。 |
| 規則 | event.idm.read_only_udm.security_result.rule_name |
rule 欄位的值會指派給 UDM 欄位。 |
| sec_desc | event.idm.read_only_udm.security_result.description |
sec_desc 欄位的值會指派給 UDM 欄位。 |
| 已傳送 | event.idm.read_only_udm.network.sent_bytes |
sent 欄位的值會轉換為無正負號整數,並指派給 UDM 欄位。 |
| sess | event.idm.read_only_udm.security_result.detection_fields |
系統會將鍵為「Session Type」且值來自 sess 欄位的偵測欄位,新增至 UDM 欄位。 |
| sn | event.idm.read_only_udm.additional.fields |
系統會將鍵為「SN」且值來自 sn 欄位的標籤新增至 UDM 欄位。 |
| spkt | event.idm.read_only_udm.network.sent_packets |
spkt 欄位的值會轉換為整數,並指派給 UDM 欄位。 |
| src | event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.port |
系統會從 src 欄位擷取 IP 和通訊埠。如果 srcV6 不是空白,系統會改為從 srcV6 擷取 IP。 |
| srcMac | event.idm.read_only_udm.principal.mac |
srcMac 欄位的值會指派給 UDM 欄位。 |
| srcV6 | event.idm.read_only_udm.principal.ip |
系統會從 srcV6 欄位擷取 IP。 |
| srcip | event.idm.read_only_udm.additional.fields、event.idm.read_only_udm.principal.ip |
如果 srcip 包含「-」,系統會將鍵為「srcip」且值來自 srcip 欄位的標籤新增至 event.idm.read_only_udm.additional.fields。否則,系統會將 srcip 的值指派給 event.idm.read_only_udm.principal.ip。 |
| 時間 | event.idm.read_only_udm.metadata.event_timestamp |
系統會剖析 time 欄位的值並轉換為時間戳記,然後指派給 UDM 欄位。 |
| 類型 | event.idm.read_only_udm.network.ip_protocol |
如果 proto 欄位為「icmp」,UDM 欄位會設為「ICMP」。 |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses、event.idm.read_only_udm.principal.user.user_display_name、event.idm.read_only_udm.principal.user.userid |
如果 user 空白,系統會改用 usr 的值。如果值包含「@」,系統會將其視為電子郵件地址,並新增至 email_addresses。如果含有空格,系統會將其視為顯示名稱。否則會視為使用者 ID。 |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
系統會將鍵為「vpnpolicy」且值來自 vpnpolicy 欄位的偵測欄位,新增至 UDM 欄位。硬式編碼為「SonicWall」。硬式編碼為「Firewall」。硬式編碼為「SONIC_FIREWALL」。系統會根據其他欄位的值,透過邏輯判斷這個欄位的值。預設值為「GENERIC_EVENT」,可以是「STATUS_UPDATE」、「NETWORK_CONNECTION」或「NETWORK_HTTP」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。