Collecter les journaux Sophos UTM
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux Sophos UTM à l'aide d'un transmetteur Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion SOPHOS_UTM.
Configurer le point Sophos UTM
- Connectez-vous à la console Sophos UTM à l'aide d'identifiants d'administrateur.
- Sélectionnez Journalisation et rapports > Paramètres de journalisation. L'onglet Journalisation locale est activé par défaut.
- Cliquez sur l'onglet Serveur syslog distant.
- Cliquez sur le bouton bascule pour activer l'onglet Serveur syslog distant.
Dans la section Paramètres syslog à distance, dans le champ Serveurs syslog, ajoutez ou modifiez les paramètres du serveur syslog :
Pour ajouter les paramètres du serveur Syslog, cliquez sur + Ajouter un serveur Syslog.
Dans la boîte de dialogue Ajouter un serveur Syslog, procédez comme suit :
- Dans le champ Nom, saisissez le nom du serveur syslog.
- Dans le champ Serveur, saisissez les informations du serveur Syslog.
- Dans le champ Port, saisissez les informations du port du serveur syslog.
- Cliquez sur Enregistrer.
Pour modifier les paramètres du serveur Syslog, cliquez sur Modifier, puis mettez à jour les paramètres.
Dans le champ Mémoire tampon Syslog distante, saisissez la valeur par défaut, par exemple 1 000.
Dans la section Sélection des journaux syslog à distance, sélectionnez les journaux suivants qui doivent être envoyés au serveur syslog à distance :
- Protection avancée contre les menaces
- Daemon de configuration
- Pare-feu
- Système de prévention d'intrusion
- Connexions locales
- Sous-système de journalisation
- Messages système
- Daemon d'authentification des utilisateurs
- Filtrage Web
Cliquez sur Appliquer pour enregistrer les modifications.
Configurer le redirecteur Google Security Operations pour ingérer les journaux Sophos UTM
- Accédez à Paramètres SIEM > Transférateurs.
- Cliquez sur Ajouter un nouveau transfert.
- Dans le champ Nom du transitaire, saisissez un nom unique pour le transitaire.
- Cliquez sur Envoyer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom.
- Sélectionnez Sophos UTM comme Type de journal.
- Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée obligatoires suivants :
- Protocole : spécifiez le protocole de connexion que le collecteur utilisera pour écouter les données Syslog.
- Adresse : spécifiez l'adresse IP ou le nom d'hôte de la cible où réside le collecteur et où il écoute les données syslog.
- Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les redirecteurs Google Security Operations, consultez la documentation sur les redirecteurs Google Security Operations.
Pour en savoir plus sur les exigences de chaque type de redirecteur, consultez Configuration des redirecteurs par type.
Si vous rencontrez des problèmes lors de la création de transferts, contactez l'assistance Google Security Operations.
Référence du mappage de champs
Cet analyseur Sophos UTM extrait les paires clé/valeur et d'autres champs des journaux de pare-feu Sophos UTM, et les convertit au format UDM. Il gère différents types de journaux, y compris les événements de pare-feu, les événements DHCP et les événements de connexion/déconnexion des utilisateurs. Il mappe les champs pertinents à leurs homologues UDM correspondants et enrichit les données avec un contexte supplémentaire.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| action | security_result.action |
Si action est défini sur "pass" ou "accept", mappez-le sur "ALLOW". Si action est défini sur "drop", mappez-le sur "BLOCK". |
| ad_domain | target.administrative_domain |
Mappage direct. |
| address | target.ip, target.asset.ip |
Mappage direct, utilisé lorsque id est défini sur "2203". |
| application | target.application |
Mappage direct. |
| app-id | additional.fields[].key, additional.fields[].value.string_value |
Renommé en app_id. Si elle n'est pas vide, la clé est définie sur "app-id" et la valeur correspond à l'app-id lui-même. |
| application | principal.application |
Mappage direct. |
| aptptime | additional.fields[].key, additional.fields[].value.string_value |
Si elle n'est pas vide, la clé est définie sur "aptptime" et la valeur correspond à aptptime. |
| auth | extensions.auth.auth_details |
Mappage direct. |
| authtime | additional.fields[].key, additional.fields[].value.string_value |
Si elle n'est pas vide et n'est pas définie sur "0", la clé est définie sur "authtime" et la valeur correspond à authtime. |
| avscantime | additional.fields[].key, additional.fields[].value.string_value |
Si elle n'est pas vide et n'est pas définie sur "0", la clé est définie sur "avscantime" et la valeur correspond à avscantime. |
| category | security_result.detection_fields[].key, security_result.detection_fields[].value |
Si elle n'est pas vide, la clé est définie sur "category" et la valeur correspond à category. Si name contient "portscan", security_result.category est défini sur "NETWORK_RECON" et un champ de détection avec la clé "category" et la valeur "NETWORK_RECON" est ajouté. |
| categoryname | security_result.category_details |
Mappage direct. |
| connexion | security_result.rule_name |
Mappage direct, utilisé lorsque id est défini sur "2203". |
| Données de type de contenu | (Voir les autres champs) | Le champ data contient des paires clé/valeur qui sont analysées en champs individuels. |
| Date/Heure | metadata.event_timestamp |
Analysé et mappé en secondes depuis l'epoch. |
| appareil | additional.fields[].key, additional.fields[].value.string_value |
Si elle n'est pas vide et n'est pas définie sur "0", la clé est définie sur "device" et la valeur correspond à device. |
| dnstime | additional.fields[].key, additional.fields[].value.string_value |
Si elle n'est pas vide et n'est pas définie sur "0", la clé est définie sur "dnstime" et la valeur correspond à dnstime. |
| dstip | target.ip, target.asset.ip |
Mappage direct. Également extrait du champ url, le cas échéant. |
| dstmac | target.mac |
Mappage direct. |
| dstport | target.port |
Mappage direct, converti en entier. |
| événement d'erreur | security_result.summary |
Mappage direct, utilisé lorsque id est "2201", "2202" ou "2203". |
| exceptions | additional.fields[].key, additional.fields[].value.string_value |
Si elle n'est pas vide, la clé est définie sur "exceptions" et la valeur correspond à exceptions. |
| fichier | about.file.full_path |
Mappage direct. |
| filteraction | security_result.rule_name |
Mappage direct. |
| fullreqtime | additional.fields[].key, additional.fields[].value.string_value |
Si elle n'est pas vide, la clé est définie sur "fullreqtime" et la valeur correspond à fullreqtime. |
| fwrule | security_result.rule_id |
Mappage direct. |
| groupe | target.group.group_display_name |
Mappage direct. |
| id | metadata.product_log_id |
Mappage direct. |
| info | security_result.description |
Mappage direct. Si elle est présente, metadata.event_type est définie sur "NETWORK_UNCATEGORIZED". |
| Interface initf | security_result.about.labels[].key, security_result.about.labels[].value |
Si elle n'est pas vide, un libellé avec la clé "Interface" et la valeur interface est ajouté à security_result.about.labels. |
| ip_address | target.ip, target.asset.ip |
Mappage direct. |
| message de longueur de ligne | security_result.summary |
Utilisé lorsque id est "0003". Également utilisé pour l'analyse Grok générale. |
| méthode | network.http.method |
Mappage direct. |
| nom | security_result.summary |
Mappage direct. |
| outitf pid | target.process.pid |
Mappage direct. |
| port | target.port |
Mappage direct, converti en entier. |
| profil prec | security_result.rule_name |
Mappage direct. |
| proto | network.ip_protocol |
Converti en nom de protocole IP à l'aide d'une table de recherche. |
| URL de provenance du motif | network.http.referral_url |
Mappage direct. |
| request | additional.fields[].key, additional.fields[].value.string_value |
Si elle n'est pas vide, la clé est définie sur "request" et la valeur correspond à request. |
| réputation | additional.fields[].key, additional.fields[].value.string_value |
Si elle n'est pas vide, la clé est définie sur "reputation" et la valeur correspond à reputation. |
| rx | network.received_bytes |
Mappage direct, utilisé lorsque id est "2202", converti en entier non signé. |
| Gravité du bac à sable | security_result.severity |
Si severity est "info", mappez-le sur "LOW". |
| taille | target.file.size |
Mappage direct, converti en entier non signé. |
| srcip | principal.ip, principal.asset.ip |
Mappage direct. |
| srcmac | principal.mac |
Mappage direct. |
| srcport | principal.port |
Mappage direct, converti en entier. |
| statuscode | network.http.response_code |
Mappage direct, converti en entier. |
| Pub/Sub. | network.application_protocol |
Si sub est défini sur "http", metadata.event_type est défini sur "NETWORK_HTTP" et network.application_protocol est défini sur "HTTP". Si sub est défini sur "packetfilter", metadata.description est défini sur sub. Sinon, il est converti en nom de protocole d'application à l'aide d'une table de correspondance. Si aucune correspondance n'est trouvée dans la table de référence, la valeur dstport est utilisée pour la recherche. |
| sys | metadata.product_event_type |
Mappage direct. |
| tcpflags tos ttl tx | network.sent_bytes |
Mappage direct, utilisé lorsque id est "2202", converti en entier non signé. |
| ua | network.http.user_agent |
Mappage direct. |
| url | network.http.referral_url, target.hostname, target.asset.hostname |
Mappage direct pour network.http.referral_url. Nom d'hôte extrait pour target.hostname et target.asset.hostname. Également utilisé pour extraire dstip. |
| utilisateur | target.user.userid |
Mappage direct. |
| nom d'utilisateur | target.user.userid |
Mappage direct, utilisé lorsque id est "2201" ou "2202". |
| variante | Non inclus dans le dernier UDM, mais utilisé dans la description | Utilisé conjointement avec sub pour créer security_result.description lorsque id est "2201", "2202" ou "2203". |
| virtual_ip | target.ip, target.asset.ip |
Mappage direct, utilisé lorsque id est "2201" ou "2202". |
metadata.event_type |
metadata.event_type |
Initialisé sur "GENERIC_EVENT". Définissez des valeurs spécifiques en fonction du contenu du journal et de la logique de l'analyseur. |
metadata.log_type |
metadata.log_type |
Codé en dur sur "SOPHOS_UTM". |
metadata.product_name |
metadata.product_name |
Codé en dur sur "SOPHOS UTM". |
metadata.vendor_name |
metadata.vendor_name |
Codé en dur sur "SOPHOS Ltd". |
intermediary.hostname |
intermediary.hostname |
Extrait du message de journal à l'aide de grok et renommé. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.