此页面由 Cloud Translation API 翻译。

收集 Sophos UTM 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Google Security Operations 转发器收集 Sophos UTM 日志。

如需了解详情，请参阅将数据注入 Google Security Operations。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 SOPHOS_UTM 注入标签的解析器。

配置 Sophos UTM 点

使用管理员凭据登录 Sophos UTM 控制台。
依次选择日志记录和报告 > 日志设置。本地日志记录标签页默认处于启用状态。
点击远程 syslog 服务器标签页。
点击切换按钮以启用远程 syslog 服务器标签页。
在远程 syslog 设置部分中的 Syslog 服务器字段中，添加或修改 syslog 服务器设置：
- 如需添加 Syslog 服务器设置，请点击 + 添加 Syslog 服务器。
  
  在添加 Syslog 服务器对话框中，执行以下操作：
  1. 在名称字段中，输入 syslog 服务器名称。
  2. 在服务器字段中，输入 syslog 服务器的详细信息。
  3. 在端口字段中，输入 syslog 服务器端口详细信息。
  4. 点击保存。
- 如需修改 Syslog 服务器设置，请点击修改，然后更新相应设置。
在远程 syslog 缓冲区字段中，输入默认值，例如 1000。
在远程 syslog 日志选择部分，选择必须发送到远程 syslog 服务器的以下日志：
- 高级威胁防范
- 配置守护程序
- 防火墙
- 入侵防御系统
- 本地登录
- 日志记录子系统
- 系统消息
- 用户身份验证守护程序
- 网络过滤
点击应用以保存更改。

配置 Google Security Operations 转发器以注入 Sophos UTM 日志

依次前往 SIEM 设置 > 转发器。
点击添加新转发器。
在 Forwarder Name（转发器名称）字段中，输入转发器的唯一名称。
点击提交。系统会添加转发器，并显示添加收集器配置窗口。
在收集器名称字段中，输入一个名称。
选择 Sophos UTM 作为日志类型。
选择 Syslog 作为收集器类型。
配置以下必需的输入参数：
- 协议：指定收集器将用于监听 syslog 数据的连接协议。
- 地址：指定收集器所在的目标 IP 地址或主机名，收集器会在此地址监听 syslog 数据。
- 端口：指定收集器所在的目标端口，并监听 syslog 数据。
点击提交。

如需详细了解 Google Security Operations 转发器，请参阅 Google Security Operations 转发器文档。

如需了解每种转发器类型的要求，请参阅按类型划分的转发器配置。

如果您在创建转发器时遇到问题，请与 Google 安全运营支持团队联系。

字段映射参考

此 Sophos UTM 解析器可从 Sophos UTM 防火墙日志中提取键值对和其他字段，并将其转换为 UDM 格式。它可处理各种日志类型，包括防火墙事件、DHCP 事件和用户登录/退出事件，将相关字段映射到相应的 UDM 对等字段，并使用其他上下文信息丰富数据。

UDM 映射表

日志字段	UDM 映射	逻辑
操作	`security_result.action`	如果 `action` 为“pass”或“accept”，则映射为“ALLOW”。如果 `action` 为“drop”，则映射到“BLOCK”。
ad_domain	`target.administrative_domain`	直接映射。
地址	`target.ip`，`target.asset.ip`	直接映射，当 `id` 为“2203”时使用。
应用	`target.application`	直接映射。
app-id	`additional.fields[].key`，`additional.fields[].value.string_value`	已重命名为 `app_id`。如果不为空，则键设置为“app-id”，值设置为 `app-id` 本身。
应用	`principal.application`	直接映射。
aptptime	`additional.fields[].key`，`additional.fields[].value.string_value`	如果不为空，则键设置为“aptptime”，值为 `aptptime` 本身。
auth	`extensions.auth.auth_details`	直接映射。
authtime	`additional.fields[].key`，`additional.fields[].value.string_value`	如果不为空且不为“0”，则将键设置为“authtime”，并将值设置为 `authtime` 本身。
avscantime	`additional.fields[].key`，`additional.fields[].value.string_value`	如果不为空且不为“0”，则将键设置为“avscantime”，并将值设置为 `avscantime` 本身。
类别	`security_result.detection_fields[].key`，`security_result.detection_fields[].value`	如果不为空，则键设置为“category”，值设置为 `category` 本身。如果 `name` 包含“portscan”，则将 `security_result.category` 设置为“NETWORK_RECON”，并添加一个检测字段，该字段的键为“category”，值为“NETWORK_RECON”。
categoryname	`security_result.category_details`	直接映射。
连接	`security_result.rule_name`	直接映射，当 `id` 为“2203”时使用。
内容类型数据	（请参阅其他字段）	`data` 字段包含解析为各个字段的键值对。
datetime	`metadata.event_timestamp`	解析并映射为自纪元开始以来的秒数。
device	`additional.fields[].key`，`additional.fields[].value.string_value`	如果不为空且不为“0”，则将键设置为“device”，并将值设置为 `device` 本身。
dnstime	`additional.fields[].key`，`additional.fields[].value.string_value`	如果不为空且不为“0”，则将键设置为“dnstime”，并将值设置为 `dnstime` 本身。
dstip	`target.ip`，`target.asset.ip`	直接映射。如果存在，也会从 `url` 字段中提取。
dstmac	`target.mac`	直接映射。
dstport	`target.port`	直接映射，转换为整数。
错误事件	`security_result.summary`	直接映射，当 `id` 为“2201”“2202”或“2203”时使用。
exceptions	`additional.fields[].key`，`additional.fields[].value.string_value`	如果不为空，则键设置为“exceptions”，值为 `exceptions` 本身。
文件	`about.file.full_path`	直接映射。
filteraction	`security_result.rule_name`	直接映射。
fullreqtime	`additional.fields[].key`，`additional.fields[].value.string_value`	如果不为空，则键设置为“fullreqtime”，值为 `fullreqtime` 本身。
fwrule	`security_result.rule_id`	直接映射。
群组	`target.group.group_display_name`	直接映射。
id	`metadata.product_log_id`	直接映射。
信息	`security_result.description`	直接映射。如果存在，则 `metadata.event_type` 会设置为“NETWORK_UNCATEGORIZED”。
initf 接口	`security_result.about.labels[].key`，`security_result.about.labels[].value`	如果不为空，则向 `security_result.about.labels` 添加一个键为“Interface”、值为 `interface` 的标签。
ip_address	`target.ip`，`target.asset.ip`	直接映射。
长度线消息	`security_result.summary`	当 `id` 为“0003”时使用。也用于常规 grok 解析。
方法	`network.http.method`	直接映射。
name	`security_result.summary`	直接映射。
outitf pid	`target.process.pid`	直接映射。
端口	`target.port`	直接映射，转换为整数。
prec 配置文件	`security_result.rule_name`	直接映射。
proto	`network.ip_protocol`	使用查找表转换为 IP 协议名称。
原因引荐来源	`network.http.referral_url`	直接映射。
请求	`additional.fields[].key`，`additional.fields[].value.string_value`	如果不为空，则键设置为“request”，值为 `request` 本身。
声誉	`additional.fields[].key`，`additional.fields[].value.string_value`	如果不为空，则键设置为“reputation”，值为 `reputation` 本身。
rx	`network.received_bytes`	直接映射，当 `id` 为“2202”时使用，转换为无符号整数。
沙盒严重程度	`security_result.severity`	如果 `severity` 为“info”，则映射到“LOW”。
大小	`target.file.size`	直接映射，转换为无符号整数。
srcip	`principal.ip`，`principal.asset.ip`	直接映射。
srcmac	`principal.mac`	直接映射。
srcport	`principal.port`	直接映射，转换为整数。
statuscode	`network.http.response_code`	直接映射，转换为整数。
sub	`network.application_protocol`	如果 `sub` 为“http”，则 `metadata.event_type` 设置为“NETWORK_HTTP”，`network.application_protocol` 设置为“HTTP”。如果 `sub` 为“packetfilter”，则将 `metadata.description` 设置为 `sub`。否则，使用查找表转换为应用协议名称。如果在查找表中未找到匹配项，则使用 `dstport` 进行查找。
sys	`metadata.product_event_type`	直接映射。
tcpflags tos ttl tx	`network.sent_bytes`	直接映射，当 `id` 为“2202”时使用，转换为无符号整数。
ua	`network.http.user_agent`	直接映射。
网址	`network.http.referral_url`、`target.hostname`、`target.asset.hostname`	针对 `network.http.referral_url` 的直接映射。为 `target.hostname` 和 `target.asset.hostname` 提取了主机名。还用于提取 `dstip`。
用户	`target.user.userid`	直接映射。
用户名	`target.user.userid`	直接映射，当 `id` 为“2201”或“2202”时使用。
variant	未包含在最终 UDM 中，但用于说明中	与 `sub` 结合使用，在 `id` 为“2201”“2202”或“2203”时创建 `security_result.description`。
virtual_ip	`target.ip`，`target.asset.ip`	直接映射，当 `id` 为“2201”或“2202”时使用。
`metadata.event_type`	`metadata.event_type`	初始化为“GENERIC_EVENT”。根据日志内容和解析器逻辑设置为特定值。
`metadata.log_type`	`metadata.log_type`	硬编码为“SOPHOS_UTM”。
`metadata.product_name`	`metadata.product_name`	硬编码为“SOPHOS UTM”。
`metadata.vendor_name`	`metadata.vendor_name`	硬编码为“SOPHOS Ltd”。
`intermediary.hostname`	`intermediary.hostname`	使用 grok 从日志消息中提取并重命名。