Raccogliere i log di Sophos UTM

Supportato in:

Questo documento descrive come raccogliere i log di Sophos UTM utilizzando un forwarder di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione SOPHOS_UTM.

Configura il punto Sophos UTM

  1. Accedi alla console Sophos UTM utilizzando le credenziali di amministratore.
  2. Seleziona Logging e report > Impostazioni log. La scheda Registrazione locale è attiva per impostazione predefinita.
  3. Fai clic sulla scheda Server syslog remoto.
  4. Fai clic sul pulsante di attivazione/disattivazione per attivare la scheda Server syslog remoto.
  5. Nella sezione Impostazioni syslog remote, nel campo Server syslog, aggiungi o modifica le impostazioni del server syslog:

    • Per aggiungere le impostazioni del server syslog, fai clic su + Aggiungi server syslog.

      Nella finestra di dialogo Aggiungi server syslog, procedi nel seguente modo:

      1. Nel campo Nome, inserisci il nome del server syslog.
      2. Nel campo Server, inserisci i dettagli del server syslog.
      3. Nel campo Porta, inserisci i dettagli della porta del server syslog.
      4. Fai clic su Salva.
    • Per modificare le impostazioni del server Syslog, fai clic su Modifica e poi aggiornale.

  6. Nel campo Buffer syslog remoto, inserisci il valore predefinito, ad esempio 1000.

  7. Nella sezione Selezione dei log syslog remoti, seleziona i seguenti log da inviare al server syslog remoto:

    • Protezione dalle minacce avanzate
    • Daemon di configurazione
    • Firewall
    • Sistema di prevenzione delle intrusioni
    • Accessi locali
    • Sottosistema di logging
    • Messaggi di sistema
    • Daemon di autenticazione utente
    • Filtri web
  8. Fai clic su Applica per salvare le modifiche.

Configura il forwarder di Google Security Operations per importare i log di Sophos UTM

  1. Vai a Impostazioni SIEM > Inoltratori.
  2. Fai clic su Aggiungi nuovo mittente.
  3. Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
  4. Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
  5. Digita un nome nel campo Nome del raccoglitore.
  6. Seleziona Sophos UTM come Tipo di log.
  7. Seleziona Syslog come Tipo di collettore.
  8. Configura i seguenti parametri di input obbligatori:
    • Protocollo: specifica il protocollo di connessione che il collector utilizzerà per ascoltare i dati syslog.
    • Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
    • Porta: specifica la porta di destinazione in cui risiede il raccoglitore e che ascolta i dati syslog.
  9. Fai clic su Invia.

Per ulteriori informazioni sui forwarder di Google Security Operations, consulta la documentazione sui forwarder di Google Security Operations.

Per informazioni sui requisiti per ciascun tipo di inoltro, consulta Configurazione degli inoltratori per tipo.

Se riscontri problemi durante la creazione dei reindirizzamenti, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo analizzatore sintattico Sophos UTM estrae coppie chiave-valore e altri campi dai log del firewall Sophos UTM, convertendoli in formato UDM. Gestisce vari tipi di log, tra cui eventi del firewall, eventi DHCP ed eventi di accesso/uscita degli utenti, mappando i campi pertinenti alle relative controparti UDM e arricchendo i dati con un contesto aggiuntivo.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
azione security_result.action Se action è "pass" o "accept", mappa a "ALLOW". Se action è "drop", mappa a "BLOCK".
ad_domain target.administrative_domain Mappatura diretta.
indirizzo target.ip, target.asset.ip Mappatura diretta, utilizzata quando id è "2203".
app target.application Mappatura diretta.
app-id additional.fields[].key, additional.fields[].value.string_value Rinominato in app_id. Se non è vuota, la chiave è impostata su "app-id" e il valore è l'app-id stesso.
applicazione principal.application Mappatura diretta.
aptptime additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "aptptime" e il valore è il valore aptptime stesso.
auth extensions.auth.auth_details Mappatura diretta.
authtime additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave viene impostata su "authtime" e il valore è authtime stesso.
avscantime additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave è impostata su "avscantime" e il valore è avscantime stesso.
categoria security_result.detection_fields[].key, security_result.detection_fields[].value Se non è vuota, la chiave è impostata su "category" e il valore è il valore category stesso. Se name contiene "portscan", security_result.category viene impostato su "NETWORK_RECON" e viene aggiunto un campo di rilevamento con chiave "category" e valore "NETWORK_RECON".
categoryname security_result.category_details Mappatura diretta.
connessione security_result.rule_name Mappatura diretta, utilizzata quando id è "2203".
Dati content-type (vedi altri campi) Il campo data contiene coppie chiave-valore analizzate in singoli campi.
dataora metadata.event_timestamp Analizzati e mappati come secondi dall'epoca.
dispositivo additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave è impostata su "device" e il valore è device stesso.
dnstime additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave viene impostata su "dnstime" e il valore è il valore dnstime stesso.
dstip target.ip, target.asset.ip Mappatura diretta. Estratte anche dal campo url, se presente.
dstmac target.mac Mappatura diretta.
dstport target.port Mappatura diretta, convertita in numero intero.
evento di errore security_result.summary Mappatura diretta, utilizzata quando id è "2201", "2202" o "2203".
eccezioni additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "eccezioni" e il valore è exceptions stesso.
file about.file.full_path Mappatura diretta.
filteraction security_result.rule_name Mappatura diretta.
fullreqtime additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave viene impostata su "fullreqtime" e il valore è fullreqtime stesso.
fwrule security_result.rule_id Mappatura diretta.
gruppo target.group.group_display_name Mappatura diretta.
ID metadata.product_log_id Mappatura diretta.
info security_result.description Mappatura diretta. Se presente, metadata.event_type viene impostato su "NETWORK_UNCATEGORIZED".
Interfaccia initf security_result.about.labels[].key, security_result.about.labels[].value Se non è vuota, a security_result.about.labels viene aggiunta un'etichetta con chiave "Interfaccia" e valore interface.
ip_address target.ip, target.asset.ip Mappatura diretta.
lunghezza riga messaggio security_result.summary Da utilizzare quando id è "0003". Viene utilizzato anche per l'analisi generale di Grok.
metodo network.http.method Mappatura diretta.
nome security_result.summary Mappatura diretta.
outitf pid target.process.pid Mappatura diretta.
porta target.port Mappatura diretta, convertita in numero intero.
prec profile security_result.rule_name Mappatura diretta.
proto network.ip_protocol Convertito in nome di protocollo IP utilizzando una tabella di ricerca.
reason referer network.http.referral_url Mappatura diretta.
richiesta additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave viene impostata su "request" e il valore è il request stesso.
reputazione additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "reputation" e il valore è reputation stesso.
rx network.received_bytes Mappatura diretta, utilizzata quando id è "2202", convertito in numero intero non firmato.
gravità della sandbox security_result.severity Se severity è "info", mappa a "LOW".
dimensioni target.file.size Mappatura diretta, convertita in numero intero non firmato.
srcip principal.ip, principal.asset.ip Mappatura diretta.
srcmac principal.mac Mappatura diretta.
srcport principal.port Mappatura diretta, convertita in numero intero.
statuscode network.http.response_code Mappatura diretta, convertita in numero intero.
Pub/Sub. network.application_protocol Se sub è "http", metadata.event_type viene impostato su "NETWORK_HTTP" e network.application_protocol su "HTTP". Se sub è "packetfilter", metadata.description viene impostato su sub. In caso contrario, viene convertito in nome del protocollo dell'applicazione utilizzando una tabella di ricerca. Se nella tabella di ricerca non viene trovata alcuna corrispondenza, viene utilizzato dstport per la ricerca.
sys metadata.product_event_type Mappatura diretta.
tcpflags tos ttl tx network.sent_bytes Mappatura diretta, utilizzata quando id è "2202", convertito in numero intero senza segno.
ua network.http.user_agent Mappatura diretta.
url network.http.referral_url, target.hostname, target.asset.hostname Mappatura diretta per network.http.referral_url. Nome host estratto per target.hostname e target.asset.hostname. Viene utilizzato anche per estrarre dstip.
utente target.user.userid Mappatura diretta.
nome utente target.user.userid Mappatura diretta, utilizzata quando id è "2201" o "2202".
segmento con variazioni Non incluso nell'UDM finale, ma utilizzato nella descrizione Utilizzato in combinazione con sub per creare security_result.description quando id è "2201", "2202" o "2203".
virtual_ip target.ip, target.asset.ip Mappatura diretta, utilizzata quando id è "2201" o "2202".
metadata.event_type metadata.event_type Inizializzato su "GENERIC_EVENT". Impostato su valori specifici in base ai contenuti dei log e alla logica del parser.
metadata.log_type metadata.log_type Hardcoded to "SOPHOS_UTM".
metadata.product_name metadata.product_name Hardcoded su "SOPHOS UTM".
metadata.vendor_name metadata.vendor_name Hardcoded su "SOPHOS Ltd".
intermediary.hostname intermediary.hostname Estratto dal messaggio di log utilizzando grok e rinominato.

Modifiche

2024-05-29

  • Miglioramento:
  • "url" è stato mappato a "target.hostname" e "target.asset.hostname".

2022-06-30

  • Miglioramento:
  • "size" è stato mappato a "additional.fields".
  • "fullreqtime" è stato mappato a "additional.fields".
  • "category" è stato mappato a "security_result.detection_fields".
  • "device" è stato mappato a "additional.fields".
  • "exceptions" è stato mappato a "additional.fields".
  • Quando "action" è uguale a "DROP", "security_result.action" viene mappato a "BLOCK".
  • "inter_host" è stato mappato a "intermediary.hostname".

2022-04-13

  • Miglioramento: sono state aggiunte mappature per i seguenti campi:
  • 'categoryname' in 'security_result.category_details'.
  • "user" in "target.user.userid"
  • 'ad_domain' a 'target.administrative_domain'
  • 'group' in 'target.group.group_display_name'
  • 'sys' a 'metadata.product_event_type'
  • "application" a "principal.application"
  • "auth" in "extensions.auth.auth_details"
  • 'profile' a 'security_result1.rule_name'
  • 'app-id', 'reputation', 'request', 'authtime', 'dnstime', 'aptptime', 'cattime', 'avscantime' in 'additional.fields'