Recoger registros de Sophos UTM
Disponible en:
SecOps de Google
SIEM
En este documento se describe cómo puede recoger registros de Sophos UTM mediante un reenviador de Google Security Operations.
Para obtener más información, consulta Ingestión de datos en Google Security Operations.
Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión SOPHOS_UTM.
Configurar un punto Sophos UTM
- Inicia sesión en la consola de Sophos UTM con las credenciales de administrador.
- Selecciona Registro e informes > Configuración de registro. La pestaña Registro local está habilitada de forma predeterminada.
- Haz clic en la pestaña Servidor syslog remoto.
- Haz clic en el botón para habilitar la pestaña Servidor syslog remoto.
En la sección Configuración de syslog remoto, en el campo Servidores syslog, añade o modifica la configuración del servidor syslog:
Para añadir los ajustes del servidor Syslog, haz clic en + Añadir servidor Syslog.
En el cuadro de diálogo Añadir servidor syslog, haz lo siguiente:
- En el campo Nombre, introduce el nombre del servidor syslog.
- En el campo Servidor, introduce los detalles del servidor syslog.
- En el campo Puerto, introduce los detalles del puerto del servidor syslog.
- Haz clic en Guardar.
Para modificar los ajustes del servidor Syslog, haz clic en Editar y, a continuación, actualiza los ajustes.
En el campo Búfer de syslog remoto, introduce el valor predeterminado, como 1000.
En la sección Selección de registros de syslog remoto, selecciona los siguientes registros que se deben enviar al servidor de syslog remoto:
- Protección avanzada contra amenazas
- Demonio de configuración
- Cortafuegos
- Sistema de prevención de intrusos
- Inicio de sesión local
- Subsistema de registro
- Mensajes del sistema
- Daemon de autenticación de usuarios
- Filtrado web
Haz clic en Aplicar para guardar los cambios.
Configurar el reenviador de Google Security Operations para ingerir registros de Sophos UTM
- Ve a Configuración de SIEM > Reenviadores.
- Haz clic en Añadir nuevo remitente.
- En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
- Haz clic en Enviar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
- En el campo Nombre del recolector, escribe un nombre.
- Seleccione Sophos UTM como Tipo de registro.
- Seleccione Syslog como Tipo de recogida.
- Configure los siguientes parámetros de entrada obligatorios:
- Protocolo: especifica el protocolo de conexión que usará el recopilador para detectar datos de syslog.
- Dirección: especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: especifica el puerto de destino en el que reside el recolector y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenviadores de Google Security Operations, consulta la documentación de los reenviadores de Google Security Operations.
Para obtener información sobre los requisitos de cada tipo de reenviador, consulta Configuración de reenviadores por tipo.
Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de Google Security Operations.
Referencia de asignación de campos
Este analizador de Sophos UTM extrae pares clave-valor y otros campos de los registros del cortafuegos de Sophos UTM y los convierte al formato UDM. Gestiona varios tipos de registros, incluidos los eventos de cortafuegos, los eventos DHCP y los eventos de inicio y cierre de sesión de usuario, asignando los campos relevantes a sus correspondientes de UDM y enriqueciendo los datos con contexto adicional.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| acción | security_result.action |
Si action es "pass" o "accept", asigna el valor "ALLOW". Si action es "drop", asigna el valor "BLOCK". |
| ad_domain | target.administrative_domain |
Asignación directa. |
| Dirección | target.ip, target.asset.ip |
Asignación directa, que se usa cuando id es "2203". |
| aplicación | target.application |
Asignación directa. |
| app-id | additional.fields[].key, additional.fields[].value.string_value |
Se ha cambiado el nombre a app_id. Si no está vacío, la clave se define como "app-id" y el valor es el propio app-id. |
| página | principal.application |
Asignación directa. |
| aptptime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío, la clave se define como "aptptime" y el valor es el propio aptptime. |
| auth | extensions.auth.auth_details |
Asignación directa. |
| authtime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío y no es "0", la clave se define como "authtime" y el valor es el propio authtime. |
| avscantime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío y no es "0", la clave se define como "avscantime" y el valor es el propio avscantime. |
| categoría | security_result.detection_fields[].key, security_result.detection_fields[].value |
Si no está vacío, la clave se define como "category" y el valor es el propio category. Si name contiene "portscan", security_result.category se define como "NETWORK_RECON" y se añade un campo de detección con la clave "category" y el valor "NETWORK_RECON". |
| categoryname | security_result.category_details |
Asignación directa. |
| conexión | security_result.rule_name |
Asignación directa, que se usa cuando id es "2203". |
| datos de tipo de contenido | (Ver otros campos) | El campo data contiene pares clave-valor que se analizan en campos individuales. |
| datetime | metadata.event_timestamp |
Se analiza y se asigna como segundos desde el inicio del registro de tiempo. |
| dispositivo | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío y no es "0", la clave se define como "device" y el valor es el propio device. |
| dnstime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío y no es "0", la clave se define como "dnstime" y el valor es el propio dnstime. |
| dstip | target.ip, target.asset.ip |
Asignación directa. También se extrae del campo url si está presente. |
| dstmac | target.mac |
Asignación directa. |
| dstport | target.port |
Asignación directa, convertida en un número entero. |
| Evento de error | security_result.summary |
Asignación directa, que se usa cuando id es "2201", "2202" o "2203". |
| exceptions | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío, la clave se define como "exceptions" y el valor es el propio exceptions. |
| file | about.file.full_path |
Asignación directa. |
| filteraction | security_result.rule_name |
Asignación directa. |
| fullreqtime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío, la clave se define como "fullreqtime" y el valor es el propio fullreqtime. |
| fwrule | security_result.rule_id |
Asignación directa. |
| grupo | target.group.group_display_name |
Asignación directa. |
| id | metadata.product_log_id |
Asignación directa. |
| información | security_result.description |
Asignación directa. Si está presente, metadata.event_type se define como "NETWORK_UNCATEGORIZED". |
| Interfaz initf | security_result.about.labels[].key, security_result.about.labels[].value |
Si no está vacío, se añade a security_result.about.labels una etiqueta con la clave "Interface" y el valor interface. |
| ip_address | target.ip, target.asset.ip |
Asignación directa. |
| length line message | security_result.summary |
Se usa cuando id es "0003". También se usa para el análisis general de grok. |
| método | network.http.method |
Asignación directa. |
| name | security_result.summary |
Asignación directa. |
| outitf pid | target.process.pid |
Asignación directa. |
| puerto | target.port |
Asignación directa, convertida en un número entero. |
| prec profile | security_result.rule_name |
Asignación directa. |
| proto | network.ip_protocol |
Se ha convertido en el nombre del protocolo IP mediante una tabla de búsqueda. |
| Motivo de la referencia | network.http.referral_url |
Asignación directa. |
| solicitud | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío, la clave se define como "request" y el valor es el propio request. |
| reputación | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío, la clave se define como "reputation" y el valor es el propio reputation. |
| rx | network.received_bytes |
Mapeo directo, que se usa cuando id es "2202", convertido a un entero sin signo. |
| gravedad del entorno aislado | security_result.severity |
Si severity es "info", asigna el valor "LOW". |
| size | target.file.size |
Asignación directa, convertida en un entero sin signo. |
| srcip | principal.ip, principal.asset.ip |
Asignación directa. |
| srcmac | principal.mac |
Asignación directa. |
| srcport | principal.port |
Asignación directa, convertida en un número entero. |
| statuscode | network.http.response_code |
Asignación directa, convertida en un número entero. |
| sub | network.application_protocol |
Si sub es "http", metadata.event_type se define como "NETWORK_HTTP" y network.application_protocol se define como "HTTP". Si sub es "packetfilter", metadata.description se asigna a sub. De lo contrario, se convierte al nombre del protocolo de aplicación mediante una tabla de consulta. Si no se encuentra ninguna coincidencia en la tabla de consulta, se usa el dstport para la consulta. |
| sys | metadata.product_event_type |
Asignación directa. |
| tcpflags tos ttl tx | network.sent_bytes |
Mapeo directo, que se usa cuando id es "2202", convertido a un entero sin signo. |
| ua | network.http.user_agent |
Asignación directa. |
| url | network.http.referral_url, target.hostname, target.asset.hostname |
Asignación directa de network.http.referral_url. Se ha extraído el nombre de host de target.hostname y target.asset.hostname. También se usa para extraer dstip. |
| usuario | target.user.userid |
Asignación directa. |
| nombre de usuario | target.user.userid |
Asignación directa, que se usa cuando id es "2201" o "2202". |
| variante | No se incluye en la UDM final, pero se usa en la descripción | Se usa junto con sub para crear el security_result.description cuando id es "2201", "2202" o "2203". |
| virtual_ip | target.ip, target.asset.ip |
Asignación directa, que se usa cuando id es "2201" o "2202". |
metadata.event_type |
metadata.event_type |
Se ha inicializado como "GENERIC_EVENT". Se asignan valores específicos en función del contenido del registro y de la lógica del analizador. |
metadata.log_type |
metadata.log_type |
Codificado como "SOPHOS_UTM". |
metadata.product_name |
metadata.product_name |
Codificado como "SOPHOS UTM". |
metadata.vendor_name |
metadata.vendor_name |
Codificado como "SOPHOS Ltd". |
intermediary.hostname |
intermediary.hostname |
Se extrae del mensaje de registro mediante grok y se le cambia el nombre. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.