Raccogliere i log di Sophos UTM

Supportato in:

Questo documento descrive come raccogliere i log di Sophos UTM utilizzando un forwarder Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione SOPHOS_UTM.

Configura il punto UTM Sophos

  1. Accedi alla console Sophos UTM utilizzando le credenziali di amministratore.
  2. Seleziona Logging e report > Impostazioni log. La scheda Registrazione locale è abilitata per impostazione predefinita.
  3. Fai clic sulla scheda Server syslog remoto.
  4. Fai clic sul pulsante di attivazione/disattivazione per abilitare la scheda Server syslog remoto.

  5. Nella sezione Impostazioni syslog remoto, nel campo Server syslog, aggiungi o modifica le impostazioni del server syslog:

    • Per aggiungere le impostazioni del server Syslog, fai clic su + Aggiungi server Syslog.

      Nella finestra di dialogo Aggiungi server syslog, procedi nel seguente modo:

      1. Nel campo Nome, inserisci il nome del server syslog.
      2. Nel campo Server, inserisci i dettagli del server syslog.
      3. Nel campo Porta, inserisci i dettagli della porta del server syslog.
      4. Fai clic su Salva.

    • Per modificare le impostazioni del server Syslog, fai clic su Modifica e poi aggiorna le impostazioni.

  6. Nel campo Remote syslog buffer (Buffer syslog remoto), inserisci il valore predefinito, ad esempio 1000.

  7. Nella sezione Selezione log syslog remoto, seleziona i seguenti log che devono essere inviati al server syslog remoto:

    • Protezione dalle minacce avanzata
    • Configuration daemon
    • Firewall
    • Sistema di prevenzione delle intrusioni
    • Accessi locali
    • Sottosistema di logging
    • Messaggi di sistema
    • Daemon di autenticazione utente
    • Filtri web

  8. Fai clic su Applica per salvare le modifiche.

Configura il forwarder di Google Security Operations per l'importazione dei log di Sophos UTM

  1. Vai a Impostazioni SIEM > Forwarder.
  2. Fai clic su Aggiungi nuovo inoltro.
  3. Nel campo Nome forwarder, inserisci un nome univoco per il forwarder.
  4. Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
  5. Nel campo Nome del raccoglitore, digita un nome.
  6. Seleziona Sophos UTM come Tipo di log.
  7. Seleziona Syslog come Tipo di raccoglitore.
  8. Configura i seguenti parametri di input obbligatori:
    • Protocollo: specifica il protocollo di connessione che il raccoglitore utilizzerà per ascoltare i dati syslog.
    • Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui si trova il raccoglitore e in cui ascolta i dati syslog.
    • Porta: specifica la porta di destinazione in cui risiede il raccoglitore e rimane in ascolto dei dati syslog.
  9. Fai clic su Invia.

Per saperne di più sui forwarder di Google Security Operations, consulta la documentazione sui forwarder di Google Security Operations.

Per informazioni sui requisiti per ciascun tipo di forwarder, consulta Configurazione del forwarder per tipo.

Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo analizzatore sintattico di Sophos UTM estrae coppie chiave-valore e altri campi dai log del firewall Sophos UTM, convertendoli nel formato UDM. Gestisce vari tipi di log, tra cui eventi firewall, eventi DHCP ed eventi di accesso/disconnessione degli utenti, mappando i campi pertinenti con le relative controparti UDM e arricchendo i dati con un contesto aggiuntivo.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
azione security_result.action Se action è "pass" o "accept", mappalo su "ALLOW". Se action è "drop", mappalo su "BLOCK".
ad_domain target.administrative_domain Mappatura diretta.
indirizzo target.ip, target.asset.ip Mappatura diretta, utilizzata quando id è "2203".
app target.application Mappatura diretta.
app-id additional.fields[].key, additional.fields[].value.string_value Rinominato in app_id. Se non è vuota, la chiave è impostata su "app-id" e il valore è lo stesso app-id.
applicazione principal.application Mappatura diretta.
aptptime additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "aptptime" e il valore è aptptime stesso.
auth extensions.auth.auth_details Mappatura diretta.
authtime additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave è impostata su "authtime" e il valore è authtime stesso.
avscantime additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave è impostata su "avscantime" e il valore è avscantime stesso.
categoria security_result.detection_fields[].key, security_result.detection_fields[].value Se non è vuota, la chiave è impostata su "category" e il valore è category stesso. Se name contiene "portscan", security_result.category è impostato su "NETWORK_RECON" e viene aggiunto un campo di rilevamento con chiave "category" e valore "NETWORK_RECON".
categoryname security_result.category_details Mappatura diretta.
connessione security_result.rule_name Mappatura diretta, utilizzata quando id è "2203".
dati content-type (Vedi altri campi) Il campo data contiene coppie chiave-valore analizzate in singoli campi.
dataora metadata.event_timestamp Analizzato e mappato come secondi dall'epoca.
dispositivo additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave è impostata su "device" e il valore è lo stesso device.
dnstime additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave è impostata su "dnstime" e il valore è dnstime stesso.
dstip target.ip, target.asset.ip Mappatura diretta. Se presente, viene estratto anche dal campo url.
dstmac target.mac Mappatura diretta.
dstport target.port Mappatura diretta, convertita in numero intero.
evento di errore security_result.summary Mappatura diretta, utilizzata quando id è "2201", "2202" o "2203".
eccezioni additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "exceptions" e il valore è exceptions stesso.
file about.file.full_path Mappatura diretta.
filteraction security_result.rule_name Mappatura diretta.
fullreqtime additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "fullreqtime" e il valore è fullreqtime stesso.
fwrule security_result.rule_id Mappatura diretta.
gruppo target.group.group_display_name Mappatura diretta.
ID metadata.product_log_id Mappatura diretta.
info security_result.description Mappatura diretta. Se presente, metadata.event_type è impostato su "NETWORK_UNCATEGORIZED".
Interfaccia initf security_result.about.labels[].key, security_result.about.labels[].value Se non è vuoto, a security_result.about.labels viene aggiunta un'etichetta con la chiave "Interface" e il valore interface.
ip_address target.ip, target.asset.ip Mappatura diretta.
messaggio della linea di lunghezza security_result.summary Utilizzato quando id è "0003". Utilizzato anche per l'analisi grok generale.
metodo network.http.method Mappatura diretta.
nome security_result.summary Mappatura diretta.
outitf pid target.process.pid Mappatura diretta.
porta target.port Mappatura diretta, convertita in numero intero.
prec profile security_result.rule_name Mappatura diretta.
proto network.ip_protocol Convertito nel nome del protocollo IP utilizzando una tabella di ricerca.
reason referer network.http.referral_url Mappatura diretta.
richiesta additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "request" e il valore è la request stessa.
reputation additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "reputation" e il valore è reputation stesso.
rx network.received_bytes Mappatura diretta, utilizzata quando id è "2202", convertito in numero intero senza segno.
gravità della sandbox security_result.severity Se severity è "info", mappalo su "LOW".
dimensioni target.file.size Mappatura diretta, convertita in numero intero senza segno.
srcip principal.ip, principal.asset.ip Mappatura diretta.
srcmac principal.mac Mappatura diretta.
srcport principal.port Mappatura diretta, convertita in numero intero.
statuscode network.http.response_code Mappatura diretta, convertita in numero intero.
Pub/Sub. network.application_protocol Se sub è "http", metadata.event_type è impostato su "NETWORK_HTTP" e network.application_protocol è impostato su "HTTP". Se sub è "packetfilter", metadata.description è impostato su sub. In caso contrario, viene convertito nel nome del protocollo dell'applicazione utilizzando una tabella di ricerca. Se non viene trovata alcuna corrispondenza nella tabella di ricerca, viene utilizzato dstport per la ricerca.
sys metadata.product_event_type Mappatura diretta.
tcpflags tos ttl tx network.sent_bytes Mappatura diretta, utilizzata quando id è "2202", convertito in numero intero senza segno.
ua network.http.user_agent Mappatura diretta.
url network.http.referral_url, target.hostname, target.asset.hostname Mappatura diretta per network.http.referral_url. Nome host estratto per target.hostname e target.asset.hostname. Utilizzato anche per estrarre dstip.
utente target.user.userid Mappatura diretta.
nome utente target.user.userid Mappatura diretta, utilizzata quando id è "2201" o "2202".
segmento con variazioni Non incluso nell'UDM finale, ma utilizzato nella descrizione Utilizzato in combinazione con sub per creare security_result.description quando id è "2201", "2202" o "2203".
virtual_ip target.ip, target.asset.ip Mappatura diretta, utilizzata quando id è "2201" o "2202".
metadata.event_type metadata.event_type Inizializzato su "GENERIC_EVENT". Impostato su valori specifici in base ai contenuti dei log e alla logica del parser.
metadata.log_type metadata.log_type Codificato in modo permanente su "SOPHOS_UTM".
metadata.product_name metadata.product_name Codificato come "SOPHOS UTM".
metadata.vendor_name metadata.vendor_name Codificato in modo permanente su "SOPHOS Ltd".
intermediary.hostname intermediary.hostname Estratto dal messaggio di log utilizzando grok e rinominato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.