Coletar registros do Sophos UTM
Compatível com:
Google SecOps
SIEM
Este documento descreve como coletar registros do Sophos UTM usando um encaminhador do Google Security Operations.
Para mais informações, consulte Ingestão de dados no Google Security Operations.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão SOPHOS_UTM.
Configurar o ponto do Sophos UTM
- Faça login no console do Sophos UTM usando credenciais de administrador.
- Selecione Geração de registros e relatórios > Configurações de registros. A guia Registro local está ativada por padrão.
- Clique na guia Servidor syslog remoto.
- Clique no botão de alternância para ativar a guia Servidor syslog remoto.
Na seção Configurações de syslog remoto, no campo Servidores syslog, adicione ou modifique as configurações do servidor syslog:
Para adicionar as configurações do servidor Syslog, clique em + Adicionar servidor Syslog.
Na caixa de diálogo Adicionar servidor syslog, faça o seguinte:
- No campo Nome, insira o nome do servidor syslog.
- No campo Servidor, insira os detalhes do servidor syslog.
- No campo Porta, insira os detalhes da porta do servidor syslog.
- Clique em Salvar.
Para modificar as configurações do servidor Syslog, clique em Editar e atualize as configurações.
No campo Buffer de syslog remoto, insira o valor padrão, como 1000.
Na seção Seleção de registros do syslog remoto, selecione os seguintes registros que precisam ser enviados ao servidor syslog remoto:
- Proteção contra ameaças avançadas
- Daemon de configuração
- Firewall
- Sistema de prevenção de intrusões
- Logins locais
- Subsistema de geração de registros
- Mensagens do sistema
- Daemon de autenticação de usuário
- Filtros da Web
Clique em Aplicar para salvar as mudanças.
Configurar o encaminhador do Google Security Operations para ingerir registros do Sophos UTM
- Acesse Configurações do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, insira um nome exclusivo para ele.
- Clique em Enviar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
- No campo Nome do coletor, digite um nome.
- Selecione Sophos UTM como o Tipo de registro.
- Selecione Syslog como o Tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de conexão que o coletor vai usar para detectar dados do syslog.
- Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e aguarda dados do syslog.
- Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
- Clique em Enviar.
Para mais informações sobre encaminhadores do Google Security Operations, consulte a documentação sobre encaminhadores do Google Security Operations.
Para informações sobre os requisitos de cada tipo de encaminhador, consulte Configuração do encaminhador por tipo.
Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google Security Operations.
Referência de mapeamento de campos
Esse analisador do Sophos UTM extrai pares de chave-valor e outros campos dos registros do firewall do Sophos UTM, convertendo-os para o formato UDM. Ele processa vários tipos de registros, incluindo eventos de firewall, DHCP e de login/logout do usuário, mapeando campos relevantes para os equivalentes correspondentes da UDM e enriquecendo os dados com contexto adicional.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| ação | security_result.action |
Se action for "pass" ou "accept", mapeie para "ALLOW". Se action for "drop", mapeie para "BLOCK". |
| ad_domain | target.administrative_domain |
Mapeamento direto. |
| address | target.ip, target.asset.ip |
Mapeamento direto, usado quando id é "2203". |
| app | target.application |
Mapeamento direto. |
| app-id | additional.fields[].key, additional.fields[].value.string_value |
Renomeada como app_id. Se não estiver vazio, a chave será definida como "app-id" e o valor será o próprio app-id. |
| aplicativo | principal.application |
Mapeamento direto. |
| aptptime | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio, a chave será definida como "aptptime" e o valor será o próprio aptptime. |
| auth | extensions.auth.auth_details |
Mapeamento direto. |
| authtime | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio e não for "0", a chave será definida como "authtime" e o valor será o próprio authtime. |
| avscantime | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio e não for "0", a chave será definida como "avscantime", e o valor será o próprio avscantime. |
| categoria | security_result.detection_fields[].key, security_result.detection_fields[].value |
Se não estiver vazio, a chave será definida como "category" e o valor será o próprio category. Se name contiver "portscan", security_result.category será definido como "NETWORK_RECON", e um campo de detecção com a chave "category" e o valor "NETWORK_RECON" será adicionado. |
| categoryname | security_result.category_details |
Mapeamento direto. |
| conexão | security_result.rule_name |
Mapeamento direto, usado quando id é "2203". |
| Dados de tipo de conteúdo | (Consulte outros campos) | O campo data contém pares de chave-valor que são analisados em campos individuais. |
| datetime | metadata.event_timestamp |
Analisado e mapeado como segundos desde a época. |
| device | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio e não for "0", a chave será definida como "device" e o valor será o próprio device. |
| dnstime | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio e não for "0", a chave será definida como "dnstime" e o valor será o próprio dnstime. |
| dstip | target.ip, target.asset.ip |
Mapeamento direto. Também extraído do campo url, se presente. |
| dstmac | target.mac |
Mapeamento direto. |
| dstport | target.port |
Mapeamento direto, convertido para número inteiro. |
| evento de erro | security_result.summary |
Mapeamento direto, usado quando id é "2201", "2202" ou "2203". |
| exceptions | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazia, a chave será definida como "exceptions" e o valor será o próprio exceptions. |
| arquivo | about.file.full_path |
Mapeamento direto. |
| filteraction | security_result.rule_name |
Mapeamento direto. |
| fullreqtime | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio, a chave será definida como "fullreqtime" e o valor será o próprio fullreqtime. |
| fwrule | security_result.rule_id |
Mapeamento direto. |
| grupo | target.group.group_display_name |
Mapeamento direto. |
| ID | metadata.product_log_id |
Mapeamento direto. |
| informações | security_result.description |
Mapeamento direto. Se presente, metadata.event_type será definido como "NETWORK_UNCATEGORIZED". |
| Interface initf | security_result.about.labels[].key, security_result.about.labels[].value |
Se não estiver vazio, um rótulo com a chave "Interface" e o valor interface será adicionado a security_result.about.labels. |
| ip_address | target.ip, target.asset.ip |
Mapeamento direto. |
| mensagem de linha de comprimento | security_result.summary |
Usado quando id é "0003". Também usado para análise geral do grok. |
| método | network.http.method |
Mapeamento direto. |
| nome | security_result.summary |
Mapeamento direto. |
| outitf pid | target.process.pid |
Mapeamento direto. |
| porta | target.port |
Mapeamento direto, convertido para número inteiro. |
| prec profile | security_result.rule_name |
Mapeamento direto. |
| proto | network.ip_protocol |
Convertido para o nome do protocolo IP usando uma tabela de pesquisa. |
| referenciador de motivo | network.http.referral_url |
Mapeamento direto. |
| solicitação | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio, a chave será definida como "request" e o valor será o próprio request. |
| reputação | additional.fields[].key, additional.fields[].value.string_value |
Se não estiver vazio, a chave será definida como "reputation" e o valor será o próprio reputation. |
| rx | network.received_bytes |
Mapeamento direto, usado quando id é "2202", convertido em um número inteiro sem sinal. |
| gravidade do sandbox | security_result.severity |
Se severity for "info", mapeie para "LOW". |
| tamanho | target.file.size |
Mapeamento direto, convertido em número inteiro sem sinal. |
| srcip | principal.ip, principal.asset.ip |
Mapeamento direto. |
| srcmac | principal.mac |
Mapeamento direto. |
| srcport | principal.port |
Mapeamento direto, convertido para número inteiro. |
| statuscode | network.http.response_code |
Mapeamento direto, convertido para número inteiro. |
| o Pub/Sub. | network.application_protocol |
Se sub for "http", metadata.event_type será definido como "NETWORK_HTTP" e network.application_protocol será definido como "HTTP". Se sub for "packetfilter", metadata.description será definido como sub. Caso contrário, convertido para o nome do protocolo do aplicativo usando uma tabela de pesquisa. Se nenhuma correspondência for encontrada na tabela de pesquisa, o dstport será usado para a pesquisa. |
| sys | metadata.product_event_type |
Mapeamento direto. |
| tcpflags tos ttl tx | network.sent_bytes |
Mapeamento direto, usado quando id é "2202", convertido em um número inteiro sem sinal. |
| ua | network.http.user_agent |
Mapeamento direto. |
| url | network.http.referral_url, target.hostname, target.asset.hostname |
Mapeamento direto para network.http.referral_url. Nome do host extraído para target.hostname e target.asset.hostname. Também usado para extrair dstip. |
| usuário | target.user.userid |
Mapeamento direto. |
| nome de usuário | target.user.userid |
Mapeamento direto, usado quando id é "2201" ou "2202". |
| variante | Não incluído na UDM final, mas usado na descrição | Usado em conjunto com sub para criar o security_result.description quando id é "2201", "2202" ou "2203". |
| virtual_ip | target.ip, target.asset.ip |
Mapeamento direto, usado quando id é "2201" ou "2202". |
metadata.event_type |
metadata.event_type |
Inicializado como "GENERIC_EVENT". Definido como valores específicos com base no conteúdo do registro e na lógica do analisador. |
metadata.log_type |
metadata.log_type |
Codificado como "SOPHOS_UTM". |
metadata.product_name |
metadata.product_name |
Codificado como "SOPHOS UTM". |
metadata.vendor_name |
metadata.vendor_name |
Codificado como "SOPHOS Ltd". |
intermediary.hostname |
intermediary.hostname |
Extraído da mensagem de registro usando grok e renomeado. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.