Sophos UTM-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Sophos UTM-Logs mit einem Google Security Operations-Forwarder erfassen können.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label SOPHOS_UTM.
Sophos UTM-Punkt konfigurieren
- Melden Sie sich mit Administratoranmeldedaten in der Sophos UTM-Konsole an.
- Wählen Sie Logging & Reporting > Log-Einstellungen aus. Der Tab Lokale Protokollierung ist standardmäßig aktiviert.
- Klicken Sie auf den Tab Remote-Syslog-Server.
- Klicken Sie auf die Ein/Aus-Schaltfläche, um den Tab Remote-Syslog-Server zu aktivieren.
Fügen Sie im Abschnitt Remote-Syslog-Einstellungen im Feld Syslog-Server die Syslog-Servereinstellungen hinzu oder ändern Sie sie:
Wenn Sie die Einstellungen für Syslog-Server hinzufügen möchten, klicken Sie auf + Syslog-Server hinzufügen.
Führen Sie im Dialogfeld Syslog-Server hinzufügen die folgenden Schritte aus:
- Geben Sie im Feld Name den Namen des Syslog-Servers ein.
- Geben Sie im Feld Server die Details zum Syslog-Server ein.
- Geben Sie im Feld Port die Portdetails des Syslog-Servers ein.
- Klicken Sie auf Speichern.
Wenn Sie die Einstellungen für den Syslog-Server ändern möchten, klicken Sie auf Bearbeiten und aktualisieren Sie die Einstellungen.
Geben Sie im Feld Remote syslog buffer (Remote-Syslog-Puffer) den Standardwert ein, z. B. 1000.
Wählen Sie im Abschnitt Auswahl von Remote-Syslog-Logs die folgenden Logs aus, die an den Remote-Syslog-Server gesendet werden müssen:
- Erweiterter Schutz vor Bedrohungen
- Konfigurations-Daemon
- Firewall
- Intrusion Prevention System
- Lokale Anmeldungen
- Logging-Subsystem
- Systemmeldungen
- Daemon für die Nutzerauthentifizierung
- Webfilter
Klicken Sie auf Übernehmen, um die Änderungen zu speichern.
Google Security Operations-Forwarder zum Erfassen von Sophos UTM-Logs konfigurieren
- Rufen Sie die SIEM-Einstellungen > Weiterleitungen auf.
- Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
- Geben Sie im Feld Name des Forwarders einen eindeutigen Namen für den Forwarder ein.
- Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen Namen ein.
- Wählen Sie Sophos UTM als Logtyp aus.
- Wählen Sie Syslog als Collector-Typ aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwenden soll, um auf Syslog-Daten zu warten.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Geben Sie den Zielport an, auf dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen.
Informationen zu den Anforderungen für die einzelnen Forwarder-Typen finden Sie unter Forwarder-Konfiguration nach Typ.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz zur Feldzuordnung
Dieser Sophos UTM-Parser extrahiert Schlüssel/Wert-Paare und andere Felder aus Sophos UTM-Firewall-Logs und konvertiert sie in das UDM-Format. Es verarbeitet verschiedene Protokolltypen, darunter Firewallereignisse, DHCP-Ereignisse und Nutzeran- und -abmeldeereignisse. Dabei werden relevante Felder den entsprechenden UDM-Feldern zugeordnet und die Daten werden mit zusätzlichem Kontext angereichert.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Aktion | security_result.action |
Wenn action „pass“ oder „accept“ ist, ordnen Sie „ALLOW“ zu. Wenn action „drop“ ist, ordnen Sie „BLOCK“ zu. |
| ad_domain | target.administrative_domain |
Direkte Zuordnung |
| Adresse | target.ip, target.asset.ip |
Direkte Zuordnung, die verwendet wird, wenn id „2203“ ist. |
| App | target.application |
Direkte Zuordnung |
| app-id | additional.fields[].key, additional.fields[].value.string_value |
Wurde in app_id umbenannt. Wenn nicht leer, wird der Schlüssel auf „app-id“ und der Wert auf die app-id selbst festgelegt. |
| Anwendung | principal.application |
Direkte Zuordnung |
| aptptime | additional.fields[].key, additional.fields[].value.string_value |
Wenn das Feld nicht leer ist, wird der Schlüssel auf „aptptime“ und der Wert auf die aptptime gesetzt. |
| auth | extensions.auth.auth_details |
Direkte Zuordnung |
| authtime | additional.fields[].key, additional.fields[].value.string_value |
Wenn der Wert nicht leer und nicht „0“ ist, wird der Schlüssel auf „authtime“ gesetzt und der Wert ist der authtime selbst. |
| avscantime | additional.fields[].key, additional.fields[].value.string_value |
Wenn der Wert nicht leer und nicht „0“ ist, wird der Schlüssel auf „avscantime“ gesetzt und der Wert ist der avscantime selbst. |
| Kategorie | security_result.detection_fields[].key, security_result.detection_fields[].value |
Wenn das Feld nicht leer ist, wird der Schlüssel auf „category“ und der Wert auf category gesetzt. Wenn name „portscan“ enthält, wird security_result.category auf „NETWORK_RECON“ gesetzt und ein Erkennungsfeld mit dem Schlüssel „category“ und dem Wert „NETWORK_RECON“ wird hinzugefügt. |
| categoryname | security_result.category_details |
Direkte Zuordnung |
| Verbindung | security_result.rule_name |
Direkte Zuordnung, die verwendet wird, wenn id „2203“ ist. |
| Daten zum Inhaltstyp | (Siehe andere Felder) | Das Feld data enthält Schlüssel/Wert-Paare, die in einzelne Felder aufgeteilt werden. |
| Datum/Uhrzeit | metadata.event_timestamp |
Geparsed und als Sekunden seit der UNIX-Epoche zugeordnet. |
| Gerät | additional.fields[].key, additional.fields[].value.string_value |
Wenn der Wert nicht leer und nicht „0“ ist, wird der Schlüssel auf „device“ und der Wert auf device gesetzt. |
| dnstime | additional.fields[].key, additional.fields[].value.string_value |
Wenn der Wert nicht leer und nicht „0“ ist, wird der Schlüssel auf „dnstime“ gesetzt und der Wert ist der dnstime selbst. |
| dstip | target.ip, target.asset.ip |
Direkte Zuordnung Wird auch aus dem Feld url extrahiert, sofern vorhanden. |
| dstmac | target.mac |
Direkte Zuordnung |
| dstport | target.port |
Direkte Zuordnung, in Ganzzahl konvertiert. |
| Fehlerereignis | security_result.summary |
Direkte Zuordnung, die verwendet wird, wenn id „2201“, „2202“ oder „2203“ ist. |
| exceptions | additional.fields[].key, additional.fields[].value.string_value |
Wenn das Feld nicht leer ist, wird der Schlüssel auf „exceptions“ und der Wert auf exceptions gesetzt. |
| Datei | about.file.full_path |
Direkte Zuordnung |
| filteraction | security_result.rule_name |
Direkte Zuordnung |
| fullreqtime | additional.fields[].key, additional.fields[].value.string_value |
Wenn nicht leer, wird der Schlüssel auf „fullreqtime“ und der Wert auf fullreqtime gesetzt. |
| fwrule | security_result.rule_id |
Direkte Zuordnung |
| Gruppe | target.group.group_display_name |
Direkte Zuordnung |
| id | metadata.product_log_id |
Direkte Zuordnung |
| Info | security_result.description |
Direkte Zuordnung Falls vorhanden, wird metadata.event_type auf „NETWORK_UNCATEGORIZED“ festgelegt. |
| initf-Schnittstelle | security_result.about.labels[].key, security_result.about.labels[].value |
Wenn nicht leer, wird security_result.about.labels ein Label mit dem Schlüssel „Interface“ und dem Wert interface hinzugefügt. |
| ip_address | target.ip, target.asset.ip |
Direkte Zuordnung |
| Länge der Zeile | security_result.summary |
Wird verwendet, wenn id „0003“ ist. Wird auch für das allgemeine Grok-Parsing verwendet. |
| Methode | network.http.method |
Direkte Zuordnung |
| Name | security_result.summary |
Direkte Zuordnung |
| outitf pid | target.process.pid |
Direkte Zuordnung |
| Port | target.port |
Direkte Zuordnung, in Ganzzahl konvertiert. |
| prec-Profil | security_result.rule_name |
Direkte Zuordnung |
| Proto | network.ip_protocol |
Wird mithilfe einer Nachschlagetabelle in den Namen des IP-Protokolls umgewandelt. |
| Grund für die Empfehlung | network.http.referral_url |
Direkte Zuordnung |
| Anfrage | additional.fields[].key, additional.fields[].value.string_value |
Wenn das Feld nicht leer ist, wird der Schlüssel auf „request“ und der Wert auf request gesetzt. |
| Ruf | additional.fields[].key, additional.fields[].value.string_value |
Wenn das Feld nicht leer ist, wird der Schlüssel auf „reputation“ und der Wert auf die reputation selbst gesetzt. |
| rx | network.received_bytes |
Direkte Zuordnung, die verwendet wird, wenn id „2202“ ist (als vorzeichenlose Ganzzahl konvertiert). |
| Schweregrad der Sandbox | security_result.severity |
Wenn severity „info“ ist, ordnen Sie „LOW“ zu. |
| Größe | target.file.size |
Direkte Zuordnung, in eine vorzeichenlose Ganzzahl konvertiert. |
| srcip | principal.ip, principal.asset.ip |
Direkte Zuordnung |
| srcmac | principal.mac |
Direkte Zuordnung |
| srcport | principal.port |
Direkte Zuordnung, in Ganzzahl konvertiert. |
| statuscode | network.http.response_code |
Direkte Zuordnung, in Ganzzahl konvertiert. |
| sub | network.application_protocol |
Wenn sub „http“ ist, wird metadata.event_type auf „NETWORK_HTTP“ und network.application_protocol auf „HTTP“ festgelegt. Wenn sub „packetfilter“ ist, wird metadata.description auf sub festgelegt. Andernfalls wird der Name des Anwendungsprotokolls mithilfe einer Nachschlagetabelle in den Namen des Anwendungsprotokolls konvertiert. Wenn in der Nachschlagetabelle keine Übereinstimmung gefunden wird, wird dstport für die Suche verwendet. |
| sys | metadata.product_event_type |
Direkte Zuordnung |
| tcpflags tos ttl tx | network.sent_bytes |
Direkte Zuordnung, die verwendet wird, wenn id „2202“ ist (als vorzeichenlose Ganzzahl konvertiert). |
| ua | network.http.user_agent |
Direkte Zuordnung |
| URL | network.http.referral_url, target.hostname, target.asset.hostname |
Direkte Zuordnung für network.http.referral_url. Extrahierter Hostname für target.hostname und target.asset.hostname. Wird auch zum Extrahieren von dstip verwendet. |
| Nutzer | target.user.userid |
Direkte Zuordnung |
| Nutzername | target.user.userid |
Direkte Zuordnung, die verwendet wird, wenn id „2201“ oder „2202“ ist. |
| Variante | Nicht im endgültigen UDM enthalten, aber in der Beschreibung verwendet | Wird in Verbindung mit sub verwendet, um security_result.description zu erstellen, wenn id „2201“, „2202“ oder „2203“ ist. |
| virtual_ip | target.ip, target.asset.ip |
Direkte Zuordnung, die verwendet wird, wenn id „2201“ oder „2202“ ist. |
metadata.event_type |
metadata.event_type |
Auf „GENERIC_EVENT“ initialisiert. Wird basierend auf dem Inhalt des Logs und der Parserlogik auf bestimmte Werte festgelegt. |
metadata.log_type |
metadata.log_type |
Fest codiert auf „SOPHOS_UTM“. |
metadata.product_name |
metadata.product_name |
Fest codiert auf „SOPHOS UTM“. |
metadata.vendor_name |
metadata.vendor_name |
Fest codiert auf „SOPHOS Ltd“. |
intermediary.hostname |
intermediary.hostname |
Aus der Log-Nachricht mit „grok“ extrahiert und umbenannt. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten