Raccogliere i log di Sophos UTM
Questo documento descrive come raccogliere i log di Sophos UTM utilizzando un forwarder di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione SOPHOS_UTM
.
Configura il punto Sophos UTM
- Accedi alla console Sophos UTM utilizzando le credenziali di amministratore.
- Seleziona Logging e report > Impostazioni log. La scheda Registrazione locale è attiva per impostazione predefinita.
- Fai clic sulla scheda Server syslog remoto.
- Fai clic sul pulsante di attivazione/disattivazione per attivare la scheda Server syslog remoto.
Nella sezione Impostazioni syslog remote, nel campo Server syslog, aggiungi o modifica le impostazioni del server syslog:
Per aggiungere le impostazioni del server syslog, fai clic su + Aggiungi server syslog.
Nella finestra di dialogo Aggiungi server syslog, procedi nel seguente modo:
- Nel campo Nome, inserisci il nome del server syslog.
- Nel campo Server, inserisci i dettagli del server syslog.
- Nel campo Porta, inserisci i dettagli della porta del server syslog.
- Fai clic su Salva.
Per modificare le impostazioni del server Syslog, fai clic su Modifica e poi aggiornale.
Nel campo Buffer syslog remoto, inserisci il valore predefinito, ad esempio 1000.
Nella sezione Selezione dei log syslog remoti, seleziona i seguenti log da inviare al server syslog remoto:
- Protezione dalle minacce avanzate
- Daemon di configurazione
- Firewall
- Sistema di prevenzione delle intrusioni
- Accessi locali
- Sottosistema di logging
- Messaggi di sistema
- Daemon di autenticazione utente
- Filtri web
Fai clic su Applica per salvare le modifiche.
Configura il forwarder di Google Security Operations per importare i log di Sophos UTM
- Vai a Impostazioni SIEM > Inoltratori.
- Fai clic su Aggiungi nuovo mittente.
- Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Digita un nome nel campo Nome del raccoglitore.
- Seleziona Sophos UTM come Tipo di log.
- Seleziona Syslog come Tipo di collettore.
- Configura i seguenti parametri di input obbligatori:
- Protocollo: specifica il protocollo di connessione che il collector utilizzerà per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui risiede il raccoglitore e che ascolta i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google Security Operations, consulta la documentazione sui forwarder di Google Security Operations.
Per informazioni sui requisiti per ciascun tipo di inoltro, consulta Configurazione degli inoltratori per tipo.
Se riscontri problemi durante la creazione dei reindirizzamenti, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo analizzatore sintattico Sophos UTM estrae coppie chiave-valore e altri campi dai log del firewall Sophos UTM, convertendoli in formato UDM. Gestisce vari tipi di log, tra cui eventi del firewall, eventi DHCP ed eventi di accesso/uscita degli utenti, mappando i campi pertinenti alle relative controparti UDM e arricchendo i dati con un contesto aggiuntivo.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
azione | security_result.action |
Se action è "pass" o "accept", mappa a "ALLOW". Se action è "drop", mappa a "BLOCK". |
ad_domain | target.administrative_domain |
Mappatura diretta. |
indirizzo | target.ip , target.asset.ip |
Mappatura diretta, utilizzata quando id è "2203". |
app | target.application |
Mappatura diretta. |
app-id | additional.fields[].key , additional.fields[].value.string_value |
Rinominato in app_id . Se non è vuota, la chiave è impostata su "app-id" e il valore è l'app-id stesso. |
applicazione | principal.application |
Mappatura diretta. |
aptptime | additional.fields[].key , additional.fields[].value.string_value |
Se non è vuota, la chiave è impostata su "aptptime" e il valore è il valore aptptime stesso. |
auth | extensions.auth.auth_details |
Mappatura diretta. |
authtime | additional.fields[].key , additional.fields[].value.string_value |
Se non è vuota e non è "0", la chiave viene impostata su "authtime" e il valore è authtime stesso. |
avscantime | additional.fields[].key , additional.fields[].value.string_value |
Se non è vuota e non è "0", la chiave è impostata su "avscantime" e il valore è avscantime stesso. |
categoria | security_result.detection_fields[].key , security_result.detection_fields[].value |
Se non è vuota, la chiave è impostata su "category" e il valore è il valore category stesso. Se name contiene "portscan", security_result.category viene impostato su "NETWORK_RECON" e viene aggiunto un campo di rilevamento con chiave "category" e valore "NETWORK_RECON". |
categoryname | security_result.category_details |
Mappatura diretta. |
connessione | security_result.rule_name |
Mappatura diretta, utilizzata quando id è "2203". |
Dati content-type | (vedi altri campi) | Il campo data contiene coppie chiave-valore analizzate in singoli campi. |
dataora | metadata.event_timestamp |
Analizzati e mappati come secondi dall'epoca. |
dispositivo | additional.fields[].key , additional.fields[].value.string_value |
Se non è vuota e non è "0", la chiave è impostata su "device" e il valore è device stesso. |
dnstime | additional.fields[].key , additional.fields[].value.string_value |
Se non è vuota e non è "0", la chiave viene impostata su "dnstime" e il valore è il valore dnstime stesso. |
dstip | target.ip , target.asset.ip |
Mappatura diretta. Estratte anche dal campo url , se presente. |
dstmac | target.mac |
Mappatura diretta. |
dstport | target.port |
Mappatura diretta, convertita in numero intero. |
evento di errore | security_result.summary |
Mappatura diretta, utilizzata quando id è "2201", "2202" o "2203". |
eccezioni | additional.fields[].key , additional.fields[].value.string_value |
Se non è vuota, la chiave è impostata su "eccezioni" e il valore è exceptions stesso. |
file | about.file.full_path |
Mappatura diretta. |
filteraction | security_result.rule_name |
Mappatura diretta. |
fullreqtime | additional.fields[].key , additional.fields[].value.string_value |
Se non è vuota, la chiave viene impostata su "fullreqtime" e il valore è fullreqtime stesso. |
fwrule | security_result.rule_id |
Mappatura diretta. |
gruppo | target.group.group_display_name |
Mappatura diretta. |
ID | metadata.product_log_id |
Mappatura diretta. |
info | security_result.description |
Mappatura diretta. Se presente, metadata.event_type viene impostato su "NETWORK_UNCATEGORIZED". |
Interfaccia initf | security_result.about.labels[].key , security_result.about.labels[].value |
Se non è vuota, a security_result.about.labels viene aggiunta un'etichetta con chiave "Interfaccia" e valore interface . |
ip_address | target.ip , target.asset.ip |
Mappatura diretta. |
lunghezza riga messaggio | security_result.summary |
Da utilizzare quando id è "0003". Viene utilizzato anche per l'analisi generale di Grok. |
metodo | network.http.method |
Mappatura diretta. |
nome | security_result.summary |
Mappatura diretta. |
outitf pid | target.process.pid |
Mappatura diretta. |
porta | target.port |
Mappatura diretta, convertita in numero intero. |
prec profile | security_result.rule_name |
Mappatura diretta. |
proto | network.ip_protocol |
Convertito in nome di protocollo IP utilizzando una tabella di ricerca. |
reason referer | network.http.referral_url |
Mappatura diretta. |
richiesta | additional.fields[].key , additional.fields[].value.string_value |
Se non è vuota, la chiave viene impostata su "request" e il valore è il request stesso. |
reputazione | additional.fields[].key , additional.fields[].value.string_value |
Se non è vuota, la chiave è impostata su "reputation" e il valore è reputation stesso. |
rx | network.received_bytes |
Mappatura diretta, utilizzata quando id è "2202", convertito in numero intero non firmato. |
gravità della sandbox | security_result.severity |
Se severity è "info", mappa a "LOW". |
dimensioni | target.file.size |
Mappatura diretta, convertita in numero intero non firmato. |
srcip | principal.ip , principal.asset.ip |
Mappatura diretta. |
srcmac | principal.mac |
Mappatura diretta. |
srcport | principal.port |
Mappatura diretta, convertita in numero intero. |
statuscode | network.http.response_code |
Mappatura diretta, convertita in numero intero. |
Pub/Sub. | network.application_protocol |
Se sub è "http", metadata.event_type viene impostato su "NETWORK_HTTP" e network.application_protocol su "HTTP". Se sub è "packetfilter", metadata.description viene impostato su sub . In caso contrario, viene convertito in nome del protocollo dell'applicazione utilizzando una tabella di ricerca. Se nella tabella di ricerca non viene trovata alcuna corrispondenza, viene utilizzato dstport per la ricerca. |
sys | metadata.product_event_type |
Mappatura diretta. |
tcpflags tos ttl tx | network.sent_bytes |
Mappatura diretta, utilizzata quando id è "2202", convertito in numero intero senza segno. |
ua | network.http.user_agent |
Mappatura diretta. |
url | network.http.referral_url , target.hostname , target.asset.hostname |
Mappatura diretta per network.http.referral_url . Nome host estratto per target.hostname e target.asset.hostname . Viene utilizzato anche per estrarre dstip . |
utente | target.user.userid |
Mappatura diretta. |
nome utente | target.user.userid |
Mappatura diretta, utilizzata quando id è "2201" o "2202". |
segmento con variazioni | Non incluso nell'UDM finale, ma utilizzato nella descrizione | Utilizzato in combinazione con sub per creare security_result.description quando id è "2201", "2202" o "2203". |
virtual_ip | target.ip , target.asset.ip |
Mappatura diretta, utilizzata quando id è "2201" o "2202". |
metadata.event_type |
metadata.event_type |
Inizializzato su "GENERIC_EVENT". Impostato su valori specifici in base ai contenuti dei log e alla logica del parser. |
metadata.log_type |
metadata.log_type |
Hardcoded to "SOPHOS_UTM". |
metadata.product_name |
metadata.product_name |
Hardcoded su "SOPHOS UTM". |
metadata.vendor_name |
metadata.vendor_name |
Hardcoded su "SOPHOS Ltd". |
intermediary.hostname |
intermediary.hostname |
Estratto dal messaggio di log utilizzando grok e rinominato. |
Modifiche
2024-05-29
- Miglioramento:
- "url" è stato mappato a "target.hostname" e "target.asset.hostname".
2022-06-30
- Miglioramento:
- "size" è stato mappato a "additional.fields".
- "fullreqtime" è stato mappato a "additional.fields".
- "category" è stato mappato a "security_result.detection_fields".
- "device" è stato mappato a "additional.fields".
- "exceptions" è stato mappato a "additional.fields".
- Quando "action" è uguale a "DROP", "security_result.action" viene mappato a "BLOCK".
- "inter_host" è stato mappato a "intermediary.hostname".
2022-04-13
- Miglioramento: sono state aggiunte mappature per i seguenti campi:
- 'categoryname' in 'security_result.category_details'.
- "user" in "target.user.userid"
- 'ad_domain' a 'target.administrative_domain'
- 'group' in 'target.group.group_display_name'
- 'sys' a 'metadata.product_event_type'
- "application" a "principal.application"
- "auth" in "extensions.auth.auth_details"
- 'profile' a 'security_result1.rule_name'
- 'app-id', 'reputation', 'request', 'authtime', 'dnstime', 'aptptime', 'cattime', 'avscantime' in 'additional.fields'