本頁面由 Cloud Translation API 翻譯而成。

收集 Sophos UTM 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Google Security Operations 轉送器收集 Sophos UTM 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 SOPHOS_UTM 攝入標籤的剖析器。

設定 Sophos UTM 點

使用管理員憑證登入 Sophos UTM 控制台。
依序選取「記錄與報表」>「記錄設定」。「本機記錄」分頁預設為啟用。
按一下「Remote syslog server」(遠端系統記錄伺服器) 分頁標籤。
按一下切換按鈕，啟用「遠端系統記錄伺服器」分頁標籤。
在「遠端系統記錄檔設定」部分，於「系統記錄檔伺服器」欄位中新增或修改系統記錄檔伺服器設定：
- 如要新增 Syslog 伺服器設定，請按一下「+ 新增 Syslog 伺服器」。
  
  在「Add syslog server」(新增系統記錄伺服器) 對話方塊中，執行下列操作：
  1. 在「Name」(名稱) 欄位中，輸入系統記錄伺服器名稱。
  2. 在「Server」(伺服器) 欄位中，輸入系統記錄伺服器的詳細資料。
  3. 在「Port」(通訊埠) 欄位中，輸入系統記錄伺服器通訊埠詳細資料。
  4. 按一下 [儲存]。
- 如要修改 Syslog 伺服器設定，請按一下「編輯」，然後更新設定。
在「Remote syslog buffer」(遠端系統記錄緩衝區) 欄位中，輸入預設值 (例如 1000)。
在「遠端系統記錄檔記錄選取」部分，選取必須傳送至遠端系統記錄檔伺服器的記錄檔：
- 進階威脅防護
- 設定精靈
- 防火牆
- 入侵防禦系統
- 本機登入
- 記錄子系統
- 系統訊息
- 使用者驗證精靈
- 網路篩選
按一下「套用」儲存變更。

設定 Google Security Operations 轉送器，以便擷取 Sophos UTM 記錄

依序前往「SIEM 設定」>「轉送器」。
按一下「新增轉寄者」。
在「轉送器名稱」欄位中，輸入轉送器的專屬名稱。
按一下「提交」。轉送器新增完成後，系統會顯示「新增收集器設定」視窗。
在「收集器名稱」欄位中輸入名稱。
選取「Sophos UTM」做為「記錄類型」。
選取「Syslog」做為「收集器類型」。
設定下列必要輸入參數：
- 通訊協定：指定收集器用來監聽系統記錄資料的連線通訊協定。
- 地址：指定收集器所在位置的目標 IP 位址或主機名稱，並監聽系統記錄資料。
- 通訊埠：指定收集器所在位置的目標通訊埠，並監聽系統記錄檔資料。
按一下「提交」。

如要進一步瞭解 Google Security Operations 轉送器，請參閱 Google Security Operations 轉送器說明文件。

如要瞭解各轉送器類型的相關規定，請參閱「依類型設定轉送器」。

如果在建立轉寄者時遇到問題，請與 Google Security Operations 支援團隊聯絡。

欄位對應參考資料

這個 Sophos UTM 剖析器會從 Sophos UTM 防火牆記錄中擷取鍵/值組合和其他欄位，並轉換為 UDM 格式。這項服務會處理各種記錄類型，包括防火牆事件、DHCP 事件和使用者登入/登出事件，將相關欄位對應至相應的 UDM 對應項目，並提供額外情境資訊來擴充資料。

UDM 對應表

記錄欄位	UDM 對應	邏輯
動作	`security_result.action`	如果 `action` 是「pass」或「accept」，則對應至「ALLOW」。如果 `action` 是「drop」，請對應至「BLOCK」。
ad_domain	`target.administrative_domain`	直接對應。
地址	`target.ip`、`target.asset.ip`	直接對應，用於 `id` 為「2203」時。
應用程式	`target.application`	直接對應。
app-id	`additional.fields[].key`、`additional.fields[].value.string_value`	已重新命名為 `app_id`。如果不是空白，則鍵會設為「app-id」，值則為 `app-id` 本身。
調度應用程式資源	`principal.application`	直接對應。
aptptime	`additional.fields[].key`、`additional.fields[].value.string_value`	如果不是空白，則鍵會設為「aptptime」，值則為 `aptptime` 本身。
auth	`extensions.auth.auth_details`	直接對應。
authtime	`additional.fields[].key`、`additional.fields[].value.string_value`	如果不是空白或「0」，則鍵會設為「authtime」，值則為 `authtime` 本身。
avscantime	`additional.fields[].key`、`additional.fields[].value.string_value`	如果不是空白且不是「0」，則鍵會設為「avscantime」，值則為 `avscantime` 本身。
category	`security_result.detection_fields[].key`、`security_result.detection_fields[].value`	如果不是空白，則鍵會設為「category」，值則為 `category` 本身。如果 `name` 包含「portscan」，`security_result.category` 會設為「NETWORK_RECON」，並新增鍵為「category」、值為「NETWORK_RECON」的偵測欄位。
categoryname	`security_result.category_details`	直接對應。
連結	`security_result.rule_name`	直接對應，用於 `id` 為「2203」時。
內容類型資料	(請參閱其他欄位)	`data` 欄位包含會剖析為個別欄位的鍵/值組合。
日期時間	`metadata.event_timestamp`	剖析並對應為自 Epoch 起算的秒數。
裝置	`additional.fields[].key`、`additional.fields[].value.string_value`	如果不是空白且不是「0」，則鍵會設為「device」，值則為 `device` 本身。
dnstime	`additional.fields[].key`、`additional.fields[].value.string_value`	如果不是空白或「0」，則鍵會設為「dnstime」，值則為 `dnstime` 本身。
dstip	`target.ip`、`target.asset.ip`	直接對應。如果有的話，也會從 `url` 欄位擷取。
dstmac	`target.mac`	直接對應。
dstport	`target.port`	直接對應，轉換為整數。
錯誤事件	`security_result.summary`	直接對應，適用於 `id` 為「2201」、「2202」或「2203」的情況。
exceptions	`additional.fields[].key`、`additional.fields[].value.string_value`	如果不是空白，則鍵會設為「exceptions」，值則為 `exceptions` 本身。
檔案	`about.file.full_path`	直接對應。
filteraction	`security_result.rule_name`	直接對應。
fullreqtime	`additional.fields[].key`、`additional.fields[].value.string_value`	如果不是空白，則鍵會設為「fullreqtime」，值則為 `fullreqtime` 本身。
fwrule	`security_result.rule_id`	直接對應。
群組	`target.group.group_display_name`	直接對應。
id	`metadata.product_log_id`	直接對應。
資訊	`security_result.description`	直接對應。如果存在，`metadata.event_type` 會設為「NETWORK_UNCATEGORIZED」。
initf 介面	`security_result.about.labels[].key`、`security_result.about.labels[].value`	如果不是空白，系統會將鍵為「介面」、值為 `interface` 的標籤新增至 `security_result.about.labels`。
ip_address	`target.ip`、`target.asset.ip`	直接對應。
長度線訊息	`security_result.summary`	用於 `id` 為「0003」的情況。也可用於一般 grok 剖析。
方法	`network.http.method`	直接對應。
名稱	`security_result.summary`	直接對應。
outitf pid	`target.process.pid`	直接對應。
通訊埠	`target.port`	直接對應，轉換為整數。
prec profile	`security_result.rule_name`	直接對應。
proto	`network.ip_protocol`	使用查閱表轉換為 IP 協定名稱。
原因參照網址	`network.http.referral_url`	直接對應。
要求	`additional.fields[].key`、`additional.fields[].value.string_value`	如果不是空白，則鍵會設為「request」，值則是 `request` 本身。
信譽	`additional.fields[].key`、`additional.fields[].value.string_value`	如果不是空白，則鍵會設為「reputation」，值則為 `reputation` 本身。
rx	`network.received_bytes`	直接對應，用於 `id` 為「2202」的情況，並轉換為不帶正負號的整數。
沙箱嚴重性	`security_result.severity`	如果 `severity` 是「info」，請對應至「LOW」。
大小	`target.file.size`	直接對應，轉換為無正負號整數。
srcip	`principal.ip`、`principal.asset.ip`	直接對應。
srcmac	`principal.mac`	直接對應。
srcport	`principal.port`	直接對應，轉換為整數。
statuscode	`network.http.response_code`	直接對應，轉換為整數。
sub	`network.application_protocol`	如果 `sub` 為「http」，則 `metadata.event_type` 會設為「NETWORK_HTTP」，而 `network.application_protocol` 會設為「HTTP」。如果 `sub` 為「packetfilter」，`metadata.description` 會設為 `sub`。否則，會使用查閱表轉換為應用程式通訊協定名稱。如果查閱表找不到相符項目，系統會使用 `dstport` 進行查閱。
sys	`metadata.product_event_type`	直接對應。
tcpflags tos ttl tx	`network.sent_bytes`	直接對應，用於 `id` 為「2202」的情況，並轉換為不帶正負號的整數。
ua	`network.http.user_agent`	直接對應。
網址	`network.http.referral_url`、`target.hostname`、`target.asset.hostname`	直接對應 `network.http.referral_url`。已擷取 `target.hostname` 和 `target.asset.hostname` 的主機名稱。也用於擷取 `dstip`。
使用者	`target.user.userid`	直接對應。
使用者名稱	`target.user.userid`	直接對應，適用於 `id` 為「2201」或「2202」的情況。
variant	未納入最終 UDM，但用於說明	與 `sub` 搭配使用，在 `id` 為「2201」、「2202」或「2203」時建立 `security_result.description`。
virtual_ip	`target.ip`、`target.asset.ip`	直接對應，適用於 `id` 為「2201」或「2202」的情況。
`metadata.event_type`	`metadata.event_type`	初始化為「GENERIC_EVENT」。根據記錄檔內容和剖析器邏輯設定特定值。
`metadata.log_type`	`metadata.log_type`	硬式編碼為「SOPHOS_UTM」。
`metadata.product_name`	`metadata.product_name`	硬式編碼為「SOPHOS UTM」。
`metadata.vendor_name`	`metadata.vendor_name`	硬式編碼為「SOPHOS Ltd」。
`intermediary.hostname`	`intermediary.hostname`	使用 grok 從記錄訊息中擷取，並重新命名。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。