Recopila registros de Sophos UTM
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de Sophos UTM con un retransmisor de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia SOPHOS_UTM.
Configura el punto de UTM de Sophos
- Accede a la consola de Sophos UTM con credenciales de administrador.
- Selecciona Logging & reporting > Log settings. La pestaña Registro local está habilitada de forma predeterminada.
- Haz clic en la pestaña Servidor syslog remoto.
- Haz clic en el botón de activación para habilitar la pestaña Servidor syslog remoto.
En la sección Configuración de syslog remoto, en el campo Servidores de syslog, agrega o modifica la configuración del servidor de syslog:
Para agregar la configuración del servidor Syslog, haz clic en + Agregar servidor Syslog.
En el cuadro de diálogo Agregar servidor syslog, haz lo siguiente:
- En el campo Nombre, ingresa el nombre del servidor syslog.
- En el campo Servidor, ingresa los detalles del servidor syslog.
- En el campo Puerto, ingresa los detalles del puerto del servidor syslog.
- Haz clic en Guardar.
Para modificar la configuración del servidor Syslog, haz clic en Editar y, luego, actualiza la configuración.
En el campo Búfer de syslog remoto, ingresa el valor predeterminado, como 1,000.
En la sección Selección de registros de syslog remoto, selecciona los siguientes registros que se deben enviar al servidor de syslog remoto:
- Protección avanzada contra amenazas
- Daemon de configuración
- Firewall
- Sistema de prevención contra intrusiones
- Acceso local
- Subsistema de registro
- Mensajes del sistema
- Daemon de autenticación de usuarios
- Filtrado web
Haz clic en Aplicar para guardar los cambios.
Configura el reenvío de Google Security Operations para transferir registros de Sophos UTM
- Ve a Configuración del SIEM > Reenviadores.
- Haz clic en Agregar un nuevo reenvío.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre.
- Selecciona Sophos UTM como el Tipo de registro.
- Selecciona Syslog como el Tipo de recopilador.
- Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo de conexión que usará el recopilador para escuchar los datos de syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los retransmisores de Google Security Operations, consulta la documentación de los retransmisores de Google Security Operations.
Para obtener información sobre los requisitos de cada tipo de reenvío, consulta Configuración del reenvío por tipo.
Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador de UTM de Sophos extrae pares clave-valor y otros campos de los registros del firewall de UTM de Sophos, y los convierte al formato de UDM. Maneja varios tipos de registros, incluidos los eventos de firewall, los eventos de DHCP y los eventos de inicio y cierre de sesión del usuario, asignando los campos pertinentes a sus contrapartes correspondientes en el UDM y enriqueciendo los datos con contexto adicional.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| acción | security_result.action |
Si action es "pass" o "accept", se asigna a "ALLOW". Si action es "drop", se asigna a "BLOCK". |
| ad_domain | target.administrative_domain |
Asignación directa |
| address | target.ip, target.asset.ip |
Es la asignación directa, que se usa cuando id es "2203". |
| app | target.application |
Asignación directa |
| app-id | additional.fields[].key, additional.fields[].value.string_value |
Se cambió el nombre a app_id. Si no está vacío, la clave se establece en "app-id" y el valor es el propio app-id. |
| aplicación | principal.application |
Asignación directa |
| aptptime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío, la clave se establece en "aptptime" y el valor es el aptptime en sí. |
| auth | extensions.auth.auth_details |
Asignación directa |
| authtime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío y no es "0", la clave se establece en "authtime" y el valor es el authtime en sí. |
| avscantime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío y no es "0", la clave se establece en "avscantime" y el valor es el propio avscantime. |
| category | security_result.detection_fields[].key, security_result.detection_fields[].value |
Si no está vacío, la clave se establece en "category" y el valor es el category en sí. Si name contiene "portscan", security_result.category se establece en "NETWORK_RECON" y se agrega un campo de detección con la clave "category" y el valor "NETWORK_RECON". |
| categoryname | security_result.category_details |
Asignación directa |
| connection | security_result.rule_name |
Es la asignación directa, que se usa cuando id es "2203". |
| Datos de tipo de contenido | (Ver otros campos) | El campo data contiene pares clave-valor que se analizan en campos individuales. |
| fecha y hora | metadata.event_timestamp |
Se analizó y se asignó como segundos desde la época. |
| dispositivo | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío y no es "0", la clave se establece en "device" y el valor es el device en sí. |
| dnstime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío y no es "0", la clave se establece en "dnstime" y el valor es el propio dnstime. |
| dstip | target.ip, target.asset.ip |
Asignación directa También se extrae del campo url si está presente. |
| dstmac | target.mac |
Asignación directa |
| dstport | target.port |
Es el mapeo directo, convertido a número entero. |
| Evento de error | security_result.summary |
Asignación directa, que se usa cuando id es "2201", "2202" o "2203". |
| exceptions | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío, la clave se establece en "exceptions" y el valor es el propio exceptions. |
| archivo | about.file.full_path |
Asignación directa |
| filteraction | security_result.rule_name |
Asignación directa |
| fullreqtime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío, la clave se establece en "fullreqtime" y el valor es el fullreqtime en sí. |
| fwrule | security_result.rule_id |
Asignación directa |
| grupo | target.group.group_display_name |
Asignación directa |
| id | metadata.product_log_id |
Asignación directa |
| información | security_result.description |
Asignación directa Si está presente, metadata.event_type se establece en "NETWORK_UNCATEGORIZED". |
| Interfaz initf | security_result.about.labels[].key, security_result.about.labels[].value |
Si no está vacío, se agrega una etiqueta con la clave "Interface" y el valor interface a security_result.about.labels. |
| ip_address | target.ip, target.asset.ip |
Asignación directa |
| Mensaje de línea de longitud | security_result.summary |
Se usa cuando id es "0003". También se usa para el análisis general de grok. |
| método | network.http.method |
Asignación directa |
| nombre | security_result.summary |
Asignación directa |
| outitf pid | target.process.pid |
Asignación directa |
| puerto | target.port |
Es el mapeo directo, convertido a número entero. |
| prec profile | security_result.rule_name |
Asignación directa |
| protocolo | network.ip_protocol |
Se convierte al nombre del protocolo IP con una tabla de búsqueda. |
| Referencia del motivo | network.http.referral_url |
Asignación directa |
| solicitud | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío, la clave se establece en "request" y el valor es el request en sí. |
| reputación | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío, la clave se establece en "reputation" y el valor es el reputation en sí. |
| rx | network.received_bytes |
Asignación directa, que se usa cuando id es "2202" y se convierte en un número entero sin signo. |
| gravedad de la zona de pruebas | security_result.severity |
Si severity es "info", asigna "LOW". |
| tamaño | target.file.size |
Es una asignación directa, convertida en un número entero sin signo. |
| srcip | principal.ip, principal.asset.ip |
Asignación directa |
| srcmac | principal.mac |
Asignación directa |
| srcport | principal.port |
Es el mapeo directo, convertido a número entero. |
| statuscode | network.http.response_code |
Es el mapeo directo, convertido a número entero. |
| sub | network.application_protocol |
Si sub es "http", metadata.event_type se establece en "NETWORK_HTTP" y network.application_protocol se establece en "HTTP". Si sub es "packetfilter", metadata.description se establece en sub. De lo contrario, se convierte al nombre del protocolo de la aplicación con una tabla de búsqueda. Si no se encuentra ninguna coincidencia en la tabla de búsqueda, se usa dstport para la búsqueda. |
| sys | metadata.product_event_type |
Asignación directa |
| tcpflags tos ttl tx | network.sent_bytes |
Asignación directa, que se usa cuando id es "2202" y se convierte en un número entero sin signo. |
| ua | network.http.user_agent |
Asignación directa |
| url | network.http.referral_url, target.hostname, target.asset.hostname |
Es la asignación directa para network.http.referral_url. Se extrajo el nombre de host para target.hostname y target.asset.hostname. También se usa para extraer dstip. |
| usuario | target.user.userid |
Asignación directa |
| nombre de usuario | target.user.userid |
Asignación directa, que se usa cuando id es "2201" o "2202". |
| variante | No se incluye en el UDM final, pero se usa en la descripción | Se usa junto con sub para crear el objeto security_result.description cuando id es "2201", "2202" o "2203". |
| virtual_ip | target.ip, target.asset.ip |
Asignación directa, que se usa cuando id es "2201" o "2202". |
metadata.event_type |
metadata.event_type |
Se inicializa como "GENERIC_EVENT". Se establecen en valores específicos según el contenido del registro y la lógica del analizador. |
metadata.log_type |
metadata.log_type |
Se codifica de forma rígida como "SOPHOS_UTM". |
metadata.product_name |
metadata.product_name |
Se codificó de forma rígida como "SOPHOS UTM". |
metadata.vendor_name |
metadata.vendor_name |
Está codificado como "SOPHOS Ltd". |
intermediary.hostname |
intermediary.hostname |
Se extrae del mensaje de registro con grok y se cambia el nombre. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.