Recopila registros de la AUA de Sophos
Se admite en los siguientes países:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de la AUA de Sophos con un reenviador de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia SOPHOS_UTM.
Configura el punto de la AUA de Sophos
- Accede a la consola de Sophos UTM con las credenciales de administrador.
- Selecciona Registros y generación de informes > Configuración de registros. La pestaña Registro local está habilitada de forma predeterminada.
- Haz clic en la pestaña Servidor syslog remoto.
- Haz clic en el botón de activación para habilitar la pestaña Servidor syslog remoto.
En la sección Configuración de syslog remoto, en el campo Servidores de syslog, agrega o modifica la configuración del servidor de syslog:
Para agregar la configuración del servidor de Syslog, haz clic en + Agregar servidor de syslog.
En el diálogo Agregar servidor de syslog, haz lo siguiente:
- En el campo Nombre, ingresa el nombre del servidor de syslog.
- En el campo Server, ingresa los detalles del servidor syslog.
- En el campo Puerto, ingresa los detalles del puerto del servidor syslog.
- Haz clic en Guardar.
Para modificar la configuración del servidor Syslog, haz clic en Editar y, luego, actualiza la configuración.
En el campo Remote syslog buffer, ingresa el valor predeterminado, como 1000.
En la sección Selección de registro de syslog remoto, selecciona los siguientes registros que se deben enviar al servidor de syslog remoto:
- Protección avanzada contra amenazas
- Daemon de configuración
- Firewall
- Sistema de prevención contra intrusiones
- Accesos locales
- Subsistema de registro
- Mensajes del sistema
- Daemon de autenticación de usuarios
- Filtrado web
Haz clic en Aplicar para guardar los cambios.
Configura el reenviador de Google Security Operations para transferir registros de la AUA de Sophos
- Ve a Configuración de SIEM > Redireccionamientos.
- Haz clic en Agregar nuevo remitente.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre.
- Selecciona Sophos UTM como el Tipo de registro.
- Selecciona Syslog como el tipo de recopilador.
- Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo de conexión que usará el recopilador para escuchar los datos de syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvío de Google Security Operations, consulta la documentación de reenvío de Google Security Operations.
Para obtener información sobre los requisitos de cada tipo de reenviador, consulta Configuración del reenviador por tipo.
Si tienes problemas cuando creas reenvío de mensajes, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador de la AUA de Sophos extrae pares clave-valor y otros campos de los registros del firewall de la AUA de Sophos y los convierte al formato de la AUA. Controla varios tipos de registros, incluidos los eventos de firewall, los eventos de DHCP y los eventos de acceso y salida de los usuarios, asignando campos relevantes a sus contrapartes de la AUA correspondientes y enriqueciendo los datos con contexto adicional.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| acción | security_result.action |
Si action es "pass" o "accept", asigna a "ALLOW". Si action es "drop", asigna "BLOCK". |
| ad_domain | target.administrative_domain |
Asignación directa |
| de la página web. | target.ip, target.asset.ip |
Asignación directa, que se usa cuando id es "2203". |
| app | target.application |
Asignación directa |
| app-id | additional.fields[].key, additional.fields[].value.string_value |
Se cambió el nombre a app_id. Si no está vacía, la clave se establece en "app-id" y el valor es el app-id. |
| aplicación | principal.application |
Asignación directa |
| aptptime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacía, la clave se establece en "aptptime" y el valor es el aptptime. |
| auth | extensions.auth.auth_details |
Asignación directa |
| authtime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío ni es “0”, la clave se establece en “authtime” y el valor es el authtime. |
| avscantime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío ni es “0”, la clave se establece en “avscantime” y el valor es el avscantime. |
| category | security_result.detection_fields[].key, security_result.detection_fields[].value |
Si no está vacía, la clave se establece en "category" y el valor es el category. Si name contiene "portscan", security_result.category se establece en "NETWORK_RECON" y se agrega un campo de detección con la clave "category" y el valor "NETWORK_RECON". |
| categoryname | security_result.category_details |
Asignación directa |
| connection | security_result.rule_name |
Asignación directa, que se usa cuando id es "2203". |
| datos de tipo de contenido | (consulta otros campos) | El campo data contiene pares clave-valor que se analizan en campos individuales. |
| fecha y hora | metadata.event_timestamp |
Se analiza y asigna como segundos desde la época. |
| dispositivo | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío ni es "0", la clave se establece en "device" y el valor es el device. |
| dnstime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacío ni es “0”, la clave se establece en “dnstime” y el valor es el dnstime. |
| dstip | target.ip, target.asset.ip |
Asignación directa También se extrae del campo url si está presente. |
| dstmac | target.mac |
Asignación directa |
| dstport | target.port |
Asignación directa, convertida a número entero. |
| evento de error | security_result.summary |
Asignación directa, que se usa cuando id es "2201", "2202" o "2203". |
| exceptions | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacía, la clave se establece en "exceptions" y el valor es el exceptions. |
| archivo | about.file.full_path |
Asignación directa |
| filteraction | security_result.rule_name |
Asignación directa |
| fullreqtime | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacía, la clave se establece en "fullreqtime" y el valor es el fullreqtime. |
| fwrule | security_result.rule_id |
Asignación directa |
| grupo | target.group.group_display_name |
Asignación directa |
| id | metadata.product_log_id |
Asignación directa |
| información | security_result.description |
Asignación directa Si está presente, metadata.event_type se establece en "NETWORK_UNCATEGORIZED". |
| Interfaz initf | security_result.about.labels[].key, security_result.about.labels[].value |
Si no está vacía, se agrega una etiqueta con la clave "Interface" y el valor interface a security_result.about.labels. |
| ip_address | target.ip, target.asset.ip |
Asignación directa |
| longitud del mensaje de línea | security_result.summary |
Se usa cuando id es "0003". También se usa para el análisis general de Grok. |
| método | network.http.method |
Asignación directa |
| name | security_result.summary |
Asignación directa |
| pid de outitf | target.process.pid |
Asignación directa |
| puerto | target.port |
Asignación directa, convertida a número entero. |
| perfil de prec | security_result.rule_name |
Asignación directa |
| protocolo | network.ip_protocol |
Se convierte en el nombre del protocolo IP con una tabla de búsqueda. |
| motivo de la URL de referencia | network.http.referral_url |
Asignación directa |
| solicitud | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacía, la clave se establece en "request" y el valor es el request. |
| reputación | additional.fields[].key, additional.fields[].value.string_value |
Si no está vacía, la clave se establece en "reputation" y el valor es el reputation en sí. |
| rx | network.received_bytes |
Asignación directa, que se usa cuando id es "2202", convertido a número entero sin signo. |
| gravedad de la zona de pruebas | security_result.severity |
Si severity es "info", asigna el valor "LOW". |
| tamaño | target.file.size |
Asignación directa, convertida a número entero sin signo. |
| srcip | principal.ip, principal.asset.ip |
Asignación directa |
| srcmac | principal.mac |
Asignación directa |
| srcport | principal.port |
Asignación directa, convertida a número entero. |
| statuscode | network.http.response_code |
Asignación directa, convertida a número entero. |
| sub | network.application_protocol |
Si sub es "http", metadata.event_type se establece en "NETWORK_HTTP" y network.application_protocol se establece en "HTTP". Si sub es "packetfilter", metadata.description se establece en sub. De lo contrario, se convierte en el nombre del protocolo de la aplicación con una tabla de búsqueda. Si no se encuentra ninguna coincidencia en la tabla de búsqueda, se usa dstport para la búsqueda. |
| sys | metadata.product_event_type |
Asignación directa |
| tcpflags tos ttl tx | network.sent_bytes |
Asignación directa, que se usa cuando id es "2202", convertido a número entero sin signo. |
| ua | network.http.user_agent |
Asignación directa |
| url | network.http.referral_url, target.hostname, target.asset.hostname |
Asignación directa para network.http.referral_url. Se extrajo el nombre de host para target.hostname y target.asset.hostname. También se usa para extraer dstip. |
| usuario | target.user.userid |
Asignación directa |
| nombre de usuario | target.user.userid |
Asignación directa, que se usa cuando id es "2201" o "2202". |
| variante | No se incluye en la UDM final, pero se usa en la descripción | Se usa junto con sub para crear security_result.description cuando id es "2201", "2202" o "2203". |
| virtual_ip | target.ip, target.asset.ip |
Asignación directa, que se usa cuando id es "2201" o "2202". |
metadata.event_type |
metadata.event_type |
Se inicializa en "GENERIC_EVENT". Se establecen en valores específicos según el contenido del registro y la lógica del analizador. |
metadata.log_type |
metadata.log_type |
Se codifica de forma fija en "SOPHOS_UTM". |
metadata.product_name |
metadata.product_name |
Se codifica de forma fija en "SOPHOS UTM". |
metadata.vendor_name |
metadata.vendor_name |
Se codifica de forma fija en "SOPHOS Ltd". |
intermediary.hostname |
intermediary.hostname |
Se extrae del mensaje de registro con grok y se le cambia el nombre. |
Cambios
2024-05-29
- Mejora:
- Se asignó "url" a "target.hostname" y "target.asset.hostname".
2022-06-30
- Mejora:
- Se asignó "size" a "additional.fields".
- Se asignó "fullreqtime" a "additional.fields".
- Se asignó "category" a "security_result.detection_fields".
- Se asignó "device" a "additional.fields".
- Se asignó "exceptions" a "additional.fields".
- Cuando "action" es igual a "DROP", se asigna "security_result.action" a "BLOCK".
- Se asignó "inter_host" a "intermediary.hostname".
13-4-2022
- Mejora: Se agregaron asignaciones para los siguientes campos:
- 'categoryname' a 'security_result.category_details'.
- "user" a "target.user.userid"
- De "ad_domain" a "target.administrative_domain"
- "group" a "target.group.group_display_name"
- De "sys" a "metadata.product_event_type"
- "application" a "principal.application"
- De "auth" a "extensions.auth.auth_details"
- "profile" a "security_result1.rule_name"
- 'app-id', 'reputation', 'request', 'authtime', 'dnstime', 'aptptime', 'cattime', 'avscantime' a 'additional.fields'