Recolha registos do Sophos UTM
Compatível com:
Google secops
SIEM
Este documento descreve como pode recolher registos do Sophos UTM através de um encaminhador do Google Security Operations.
Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados
para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento SOPHOS_UTM.
Configure o ponto Sophos UTM
- Inicie sessão na consola do Sophos UTM com as credenciais de administrador.
- Selecione Registo e relatórios > Definições de registo. O separador Registo local está ativado por predefinição.
- Clique no separador Servidor syslog remoto.
- Clique no botão de ativação/desativação para ativar o separador Servidor Syslog remoto.
Na secção Definições de syslog remoto, no campo Servidores de syslog, adicione ou modifique as definições do servidor de syslog:
Para adicionar as definições do servidor Syslog, clique em + Adicionar servidor Syslog.
Na caixa de diálogo Adicionar servidor syslog, faça o seguinte:
- No campo Nome, introduza o nome do servidor syslog.
- No campo Servidor, introduza os detalhes do servidor syslog.
- No campo Porta, introduza os detalhes da porta do servidor syslog.
- Clique em Guardar.
Para modificar as definições do servidor Syslog, clique em Editar e, de seguida, atualize as definições.
No campo Buffer de syslog remoto, introduza o valor predefinido, como 1000.
Na secção Seleção de registos de syslog remoto, selecione os seguintes registos que têm de ser enviados para o servidor de syslog remoto:
- Proteção avançada contra ameaças
- Daemon de configuração
- Firewall
- Sistema de prevenção de intrusões
- Inícios de sessão locais
- Subsistema de registo
- Mensagens do sistema
- Daemon de autenticação de utilizadores
- Filtragem da Web
Clique em Aplicar para guardar as alterações.
Configure o encaminhador do Google Security Operations para carregar registos do Sophos UTM
- Aceda a Definições do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
- Clique em Enviar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
- No campo Nome do coletor, introduza um nome.
- Selecione Sophos UTM como o Tipo de registo.
- Selecione Syslog como o tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de ligação que o coletor vai usar para ouvir os dados do syslog.
- Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
- Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
- Clique em Enviar.
Para mais informações sobre os encaminhadores do Google Security Operations, consulte a documentação dos encaminhadores do Google Security Operations.
Para obter informações sobre os requisitos de cada tipo de encaminhador, consulte o artigo Configuração do encaminhador por tipo.
Se tiver problemas ao criar encaminhamentos, contacte o apoio técnico das Operações de segurança da Google.
Referência de mapeamento de campos
Este analisador do Sophos UTM extrai pares de chave-valor e outros campos dos registos da firewall do Sophos UTM, convertendo-os no formato UDM. Processa vários tipos de registos, incluindo eventos de firewall, eventos de DHCP e eventos de início/fim de sessão de utilizadores, mapeando os campos relevantes para as respetivas contrapartes da UDM e enriquecendo os dados com contexto adicional.
Tabela de mapeamento da UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| ação | security_result.action |
Se action for "pass" ou "accept", mapeie para "ALLOW". Se action for "drop", mapeie para "BLOCK". |
| ad_domain | target.administrative_domain |
Mapeamento direto. |
| morada | target.ip, target.asset.ip |
Mapeamento direto, usado quando id é "2203". |
| app | target.application |
Mapeamento direto. |
| app-id | additional.fields[].key, additional.fields[].value.string_value |
O nome foi alterado para app_id. Se não estiver vazio, a chave é definida como "app-id" e o valor é o próprio app-id. |
| aplicação | principal.application |
Mapeamento direto. |
| aptptime | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio, a chave é definida como "aptptime" e o valor é o próprio aptptime. |
| auth | extensions.auth.auth_details |
Mapeamento direto. |
| authtime | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio e não for "0", a chave é definida como "authtime" e o valor é o próprio authtime. |
| avscantime | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio e não for "0", a chave é definida como "avscantime" e o valor é o próprio avscantime. |
| categoria | security_result.detection_fields[].key, security_result.detection_fields[].value |
Se não estiver vazio, a chave é definida como "category" e o valor é o próprio category. Se name contiver "portscan", security_result.category é definido como "NETWORK_RECON" e é adicionado um campo de deteção com a chave "category" e o valor "NETWORK_RECON". |
| categoryname | security_result.category_details |
Mapeamento direto. |
| ligação | security_result.rule_name |
Mapeamento direto, usado quando id é "2203". |
| Dados de content-type | (Ver outros campos) | O campo data contém pares de chave-valor que são analisados em campos individuais. |
| datetime | metadata.event_timestamp |
Analisado e mapeado como segundos desde epoch. |
| dispositivo | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio e não for "0", a chave é definida como "device" e o valor é o próprio device. |
| dnstime | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio e não for "0", a chave é definida como "dnstime" e o valor é o próprio dnstime. |
| dstip | target.ip, target.asset.ip |
Mapeamento direto. Também é extraído do campo url, se estiver presente. |
| dstmac | target.mac |
Mapeamento direto. |
| dstport | target.port |
Mapeamento direto, convertido em número inteiro. |
| evento de erro | security_result.summary |
Mapeamento direto, usado quando id é "2201", "2202" ou "2203". |
| exceções | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio, a chave é definida como "exceptions" e o valor é o próprio exceptions. |
| ficheiro | about.file.full_path |
Mapeamento direto. |
| filteraction | security_result.rule_name |
Mapeamento direto. |
| fullreqtime | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio, a chave é definida como "fullreqtime" e o valor é o próprio fullreqtime. |
| fwrule | security_result.rule_id |
Mapeamento direto. |
| grupo | target.group.group_display_name |
Mapeamento direto. |
| id | metadata.product_log_id |
Mapeamento direto. |
| informação | security_result.description |
Mapeamento direto. Se estiver presente, metadata.event_type é definido como "NETWORK_UNCATEGORIZED". |
| interface initf | security_result.about.labels[].key, security_result.about.labels[].value |
Se não estiver vazio, é adicionada uma etiqueta com a chave "Interface" e o valor interface a security_result.about.labels. |
| ip_address | target.ip, target.asset.ip |
Mapeamento direto. |
| mensagem de linha de comprimento | security_result.summary |
Usado quando id é "0003". Também usado para a análise geral de grok. |
| método | network.http.method |
Mapeamento direto. |
| nome | security_result.summary |
Mapeamento direto. |
| outitf pid | target.process.pid |
Mapeamento direto. |
| porta | target.port |
Mapeamento direto, convertido em número inteiro. |
| prec profile | security_result.rule_name |
Mapeamento direto. |
| proto | network.ip_protocol |
Convertido no nome do protocolo IP através de uma tabela de consulta. |
| reason referer | network.http.referral_url |
Mapeamento direto. |
| pedido | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio, a chave é definida como "request" e o valor é o próprio request. |
| reputação | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio, a chave é definida como "reputation" e o valor é o próprio reputation. |
| rx | network.received_bytes |
Mapeamento direto, usado quando id é "2202", convertido em número inteiro não assinado. |
| gravidade da sandbox | security_result.severity |
Se severity for "info", mapeie para "LOW". |
| tamanho | target.file.size |
Mapeamento direto, convertido em número inteiro não assinado. |
| srcip | principal.ip, principal.asset.ip |
Mapeamento direto. |
| srcmac | principal.mac |
Mapeamento direto. |
| srcport | principal.port |
Mapeamento direto, convertido em número inteiro. |
| statuscode | network.http.response_code |
Mapeamento direto, convertido em número inteiro. |
| sub | network.application_protocol |
Se sub for "http", metadata.event_type é definido como "NETWORK_HTTP" e network.application_protocol é definido como "HTTP". Se sub for "packetfilter", metadata.description é definido como sub. Caso contrário, é convertido no nome do protocolo de aplicação através de uma tabela de consulta. Se não for encontrada nenhuma correspondência na tabela de pesquisa, é usado o dstport para a pesquisa. |
| sys | metadata.product_event_type |
Mapeamento direto. |
| tcpflags tos ttl tx | network.sent_bytes |
Mapeamento direto, usado quando id é "2202", convertido em número inteiro não assinado. |
| ua | network.http.user_agent |
Mapeamento direto. |
| url | network.http.referral_url, target.hostname, target.asset.hostname |
Mapeamento direto para network.http.referral_url. Nome de anfitrião extraído para target.hostname e target.asset.hostname. Também é usado para extrair dstip. |
| utilizador | target.user.userid |
Mapeamento direto. |
| nome de utilizador | target.user.userid |
Mapeamento direto, usado quando id é "2201" ou "2202". |
| variante | Não incluído no UDM final, mas usado na descrição | Usado em conjunto com sub para criar o security_result.description quando id é "2201", "2202" ou "2203". |
| virtual_ip | target.ip, target.asset.ip |
Mapeamento direto, usado quando id é "2201" ou "2202". |
metadata.event_type |
metadata.event_type |
Inicializado para "GENERIC_EVENT". Definido para valores específicos com base no conteúdo do registo e na lógica do analisador. |
metadata.log_type |
metadata.log_type |
Codificado de forma rígida para "SOPHOS_UTM". |
metadata.product_name |
metadata.product_name |
Codificado de forma rígida como "SOPHOS UTM". |
metadata.vendor_name |
metadata.vendor_name |
Codificado como "SOPHOS Ltd". |
intermediary.hostname |
intermediary.hostname |
Extraído da mensagem de registo através do grok e renomeado. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.