Sophos UTM のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して Sophos UTM ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル SOPHOS_UTM が付加されたパーサーに適用されます。
Sophos UTM ポイントを構成する
- 管理者認証情報を使用して Sophos UTM コンソールにログインします。
- [ロギングとレポート] > [ログ設定] を選択します。[ローカル ロギング] タブはデフォルトで有効になっています。
- [Remote syslog server] タブをクリックします。
- 切り替えボタンをクリックして、[リモート syslog サーバー] タブを有効にします。
[リモート syslog の設定] セクションの [Syslog サーバー] フィールドで、syslog サーバーの設定を追加または変更します。
Syslog サーバーの設定を追加するには、[+ Syslog サーバーを追加] をクリックします。
[syslog サーバーを追加] ダイアログで、次の操作を行います。
- [名前] フィールドに、syslog サーバーの名前を入力します。
- [Server] フィールドに、syslog サーバーの詳細を入力します。
- [Port] フィールドに、syslog サーバーポートの詳細を入力します。
- [保存] をクリックします。
Syslog サーバーの設定を変更するには、[編集] をクリックして設定を更新します。
[Remote syslog buffer] フィールドに、デフォルト値(1000 など)を入力します。
[リモート syslog ログの選択] セクションで、リモート syslog サーバーに送信する必要がある次のログを選択します。
- 高度な脅威対策
- 構成デーモン
- ファイアウォール
- 侵入防止システム
- ローカル ログイン
- ロギング サブシステム
- システム メッセージ
- ユーザー認証デーモン
- ウェブ フィルタリング
[適用] をクリックして変更を保存します。
Sophos UTM のログを取り込むように Google Security Operations フォワーダーを構成する
- [SIEM 設定] > [フォワーダー] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [Log type] として [Sophos UTM] を選択します。
- [コレクタ タイプ] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- Protocol: コレクタが syslog データのリッスンに使用する接続プロトコルを指定します。
- アドレス: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。
各フォワーダ タイプの要件については、タイプ別のフォワーダー構成をご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
この Sophos UTM パーサーは、Sophos UTM ファイアウォール ログから Key-Value ペアなどのフィールドを抽出し、UDM 形式に変換します。ファイアウォール イベント、DHCP イベント、ユーザーのログイン/ログアウト イベントなど、さまざまなログタイプを処理し、関連するフィールドを対応する UDM にマッピングして、追加のコンテキストでデータを拡充します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| アクション | security_result.action |
action が「pass」または「accept」の場合は「ALLOW」にマッピングします。action が「drop」の場合は「BLOCK」にマッピングします。 |
| ad_domain | target.administrative_domain |
直接マッピング。 |
| 住所 | target.ip、target.asset.ip |
直接マッピング。id が「2203」の場合に使用されます。 |
| アプリ | target.application |
直接マッピング。 |
| app-id | additional.fields[].key、additional.fields[].value.string_value |
名前が app_id に変わりました。空でない場合、キーは「app-id」に設定され、値は app-id 自体になります。 |
| アプリケーション | principal.application |
直接マッピング。 |
| aptptime | additional.fields[].key、additional.fields[].value.string_value |
空でない場合、キーは「aptptime」に設定され、値は aptptime 自体になります。 |
| auth | extensions.auth.auth_details |
直接マッピング。 |
| authtime | additional.fields[].key、additional.fields[].value.string_value |
空でも「0」でもない場合、キーは「authtime」に設定され、値は authtime 自体になります。 |
| avscantime | additional.fields[].key、additional.fields[].value.string_value |
空でも「0」でもない場合、キーは「avscantime」に設定され、値は avscantime 自体になります。 |
| category | security_result.detection_fields[].key、security_result.detection_fields[].value |
空でない場合、キーは「category」に設定され、値は category 自体になります。name に「portscan」が含まれている場合、security_result.category は「NETWORK_RECON」に設定され、キーが「category」で値が「NETWORK_RECON」の検出フィールドが追加されます。 |
| categoryname | security_result.category_details |
直接マッピング。 |
| connection | security_result.rule_name |
直接マッピング。id が「2203」の場合に使用されます。 |
| コンテンツ タイプのデータ | (他のフィールドを参照) | data フィールドには、個々のフィールドに解析される Key-Value ペアが含まれています。 |
| datetime | metadata.event_timestamp |
エポックからの秒数として解析され、マッピングされます。 |
| device | additional.fields[].key、additional.fields[].value.string_value |
空でも「0」でもない場合、キーは「device」に設定され、値は device 自体になります。 |
| dnstime | additional.fields[].key、additional.fields[].value.string_value |
空でも「0」でもない場合、キーは「dnstime」に設定され、値は dnstime 自体になります。 |
| dstip | target.ip、target.asset.ip |
直接マッピング。存在する場合は、url フィールドからも抽出されます。 |
| dstmac | target.mac |
直接マッピング。 |
| dstport | target.port |
直接マッピングされ、整数に変換されます。 |
| エラーイベント | security_result.summary |
直接マッピング。id が「2201」、「2202」、「2203」の場合に使用されます。 |
| exceptions | additional.fields[].key、additional.fields[].value.string_value |
空でない場合、キーは「exceptions」に設定され、値は exceptions 自体になります。 |
| ファイル | about.file.full_path |
直接マッピング。 |
| filteraction | security_result.rule_name |
直接マッピング。 |
| fullreqtime | additional.fields[].key、additional.fields[].value.string_value |
空でない場合、キーは「fullreqtime」に設定され、値は fullreqtime 自体になります。 |
| fwrule | security_result.rule_id |
直接マッピング。 |
| グループ | target.group.group_display_name |
直接マッピング。 |
| id | metadata.product_log_id |
直接マッピング。 |
| 情報 | security_result.description |
直接マッピング。存在する場合は、metadata.event_type が「NETWORK_UNCATEGORIZED」に設定されます。 |
| initf インターフェース | security_result.about.labels[].key、security_result.about.labels[].value |
空でない場合は、キーが「Interface」で値が interface のラベルが security_result.about.labels に追加されます。 |
| ip_address | target.ip、target.asset.ip |
直接マッピング。 |
| 長さの行のメッセージ | security_result.summary |
id が「0003」の場合に使用されます。一般的な grok 解析にも使用されます。 |
| method | network.http.method |
直接マッピング。 |
| name | security_result.summary |
直接マッピング。 |
| outitf pid | target.process.pid |
直接マッピング。 |
| ポート | target.port |
直接マッピングされ、整数に変換されます。 |
| prec プロファイル | security_result.rule_name |
直接マッピング。 |
| proto | network.ip_protocol |
ルックアップ テーブルを使用して IP プロトコル名に変換されます。 |
| 理由リファラー | network.http.referral_url |
直接マッピング。 |
| リクエスト | additional.fields[].key、additional.fields[].value.string_value |
空でない場合、キーは「request」に設定され、値は request 自体になります。 |
| 評判 | additional.fields[].key、additional.fields[].value.string_value |
空でない場合、キーは「reputation」に設定され、値は reputation 自体になります。 |
| rx | network.received_bytes |
直接マッピング。id が「2202」の場合に使用され、符号なし整数に変換されます。 |
| サンドボックスの重大度 | security_result.severity |
severity が「info」の場合は「LOW」にマッピングします。 |
| サイズ | target.file.size |
直接マッピングされ、符号なし整数に変換されます。 |
| srcip | principal.ip、principal.asset.ip |
直接マッピング。 |
| srcmac | principal.mac |
直接マッピング。 |
| srcport | principal.port |
直接マッピングされ、整数に変換されます。 |
| statuscode | network.http.response_code |
直接マッピングされ、整数に変換されます。 |
| Pub/Subです | network.application_protocol |
sub が「http」の場合、metadata.event_type は「NETWORK_HTTP」に設定され、network.application_protocol は「HTTP」に設定されます。sub が「packetfilter」の場合、metadata.description は sub に設定されます。それ以外の場合は、ルックアップ テーブルを使用してアプリケーション プロトコル名に変換されます。ルックアップ テーブルに一致するものが見つからない場合は、dstport がルックアップに使用されます。 |
| sys | metadata.product_event_type |
直接マッピング。 |
| tcpflags tos ttl tx | network.sent_bytes |
直接マッピング。id が「2202」の場合に使用され、符号なし整数に変換されます。 |
| ua | network.http.user_agent |
直接マッピング。 |
| URL | network.http.referral_url、target.hostname、target.asset.hostname |
network.http.referral_url の直接マッピング。target.hostname と target.asset.hostname のホスト名を抽出しました。dstip の抽出にも使用されます。 |
| ユーザー | target.user.userid |
直接マッピング。 |
| ユーザー名 | target.user.userid |
直接マッピング。id が「2201」または「2202」の場合に使用されます。 |
| variant | 最終的な UDM には含まれませんが、説明で使用されます | id が「2201」、「2202」、「2203」の場合に、sub と組み合わせて security_result.description を作成するために使用されます。 |
| virtual_ip | target.ip、target.asset.ip |
直接マッピング。id が「2201」または「2202」の場合に使用されます。 |
metadata.event_type |
metadata.event_type |
「GENERIC_EVENT」に初期化されます。ログの内容とパーサー ロジックに基づいて特定の値に設定されます。 |
metadata.log_type |
metadata.log_type |
「SOPHOS_UTM」にハードコードされています。 |
metadata.product_name |
metadata.product_name |
「SOPHOS UTM」にハードコードされています。 |
metadata.vendor_name |
metadata.vendor_name |
「SOPHOS Ltd」にハードコードされています。 |
intermediary.hostname |
intermediary.hostname |
Grok を使用してログ メッセージから抽出され、名前が変更されます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。