Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Sophos XG Firewall

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log Firewall Sophos Next Gen (XG) menggunakan Bindplane. Parser mengekstrak log, menormalisasi pasangan nilai kunci, dan memetakan ke UDM. Log Analyzer menangani berbagai format log, mengonversi stempel waktu, memperkaya data jaringan, dan mengategorikan peristiwa berdasarkan ID log dan aktivitas jaringan.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses dengan hak istimewa ke Sophos XG Firewall.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses file konfigurasi:
1. Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: sophos_firewall
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi server syslog Sophos Firewall

Login ke Sophos XG Firewall.
Buka Konfigurasi > Layanan sistem > Setelan log.
Di bagian Server syslog, klik Tambahkan.
Berikan detail konfigurasi berikut:
- Name: masukkan nama unik untuk kolektor Google SecOps.
- Alamat IP/Domain: masukkan alamat IP Bindplane.
- Port: masukkan nomor port Bindplane.
- Fasilitas: pilih DAEMON.
- Tingkat keparahan: pilih Informasi.
- Format: pilih Format standar perangkat.
Klik Simpan.
Kembali ke halaman Setelan Log dan pilih jenis log tertentu yang akan diteruskan ke server syslog.

Mengonfigurasi Setelan Log Firewall Sophos XG

Pilih log Firewall dasar (log kebijakan keamanan) berikut:
- Aturan kebijakan
- Traffic tidak valid
- ACL Lokal
- Serangan DoS
- Paket pengalihan ICMP yang dihapus
- Paket yang dihapus dari perutean sumber
- Traffic terfragmentasi yang dihapus
- MAC filtering
- Pemfilteran pasangan IP-MAC
- Pencegahan spoofing IP
- Tunnel VPN SSL
- Server aplikasi yang dilindungi
- Heartbeat
Pilih log Perlindungan web (log pemfilteran web dan log pemfilteran aplikasi) berikut:
- Filter web
- Filter aplikasi
Pilih log Perlindungan jaringan (log IPS) berikut:
- Anomali
- Tanda Tangan
Pilih log Log sistem berikut:
- Peristiwa sistem

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`activityname`	`security_result.detection_fields.activityname`	Nilai dari kolom `activityname`.
`app_category`	`security_result.detection_fields.Application Category`, `application_category`	Nilai dari kolom `app_category`.
`app_filter_policy_id`	`security_result.detection_fields.app_filter_policy_id`	Nilai dari kolom `app_filter_policy_id`.
`app_is_cloud`	`security_result.detection_fields.app_is_cloud`	Nilai dari kolom `app_is_cloud`.
`app_name`	`principal.application`	Nilai dari kolom `app_name`.
`app_resolved_by`	`security_result.detection_fields.app_resolved_by`	Nilai dari kolom `app_resolved_by`.
`app_risk`	`security_result.detection_fields.Application Risk`, `application_risk`	Nilai dari kolom `app_risk`.
`app_technology`	`application_technology`	Nilai dari kolom `app_technology`.
`application`	`principal.application`	Nilai dari kolom `application`.
`application_category`	`security_result.detection_fields.Application Category`	Nilai dari kolom `application_category`.
`application_risk`	`security_result.detection_fields.Application Risk`	Nilai dari kolom `application_risk`.
`application_technology`	`security_result.detection_fields.Application Technology`	Nilai dari kolom `application_technology`.
`bytes_received`	`network.received_bytes`	Nilai dari kolom `bytes_received`.
`bytes_sent`	`network.sent_bytes`	Nilai dari kolom `bytes_sent`.
`category`	`application_category`	Nilai dari kolom `category`.
`category_type`	`security_result.detection_fields.category_type`	Nilai dari kolom `category_type`.
`client_host_name`	`network.dhcp.client_hostname`	Nilai dari kolom `client_host_name`.
`client_physical_address`	`network.dhcp.chaddr`	Nilai dari kolom `client_physical_address`.
`con_event`	`security_result.detection_fields.con_event`	Nilai dari kolom `con_event`.
`con_id`	`security_result.detection_fields.con_id`	Nilai dari kolom `con_id`.
`connevent`	`security_result.detection_fields.connevent`	Nilai dari kolom `connevent`.
`connid`	`security_result.detection_fields.connid`	Nilai dari kolom `connid`.
`date`	`event.timestamp`	Diurai dari kolom `date` dan `time`, disesuaikan untuk zona waktu.
`device_id`	`intermediary.asset.asset_id`	Nilai dari kolom `device_id`, diawali dengan `ID:`.
`device_model`	`intermediary.hostname`	Nilai dari kolom `device_model`.
`device_name`	`intermediary.hostname`	Nilai dari kolom `device_name`.
`device_serial_id`	`intermediary.asset.asset_id`	Nilai dari kolom `device_serial_id`, diawali dengan `ID:`.
`domain`	`principal.administrative_domain`, `target.hostname`	Nilai dari kolom `domain`.
`dst_country`	`target.location.country_or_region`	Nilai dari kolom `dst_country`.
`dst_country_code`	`target.location.country_or_region`	Nilai dari kolom `dst_country_code`.
`dst_ip`	`target.ip`	Nilai dari kolom `dst_ip`.
`dst_mac`	`target.mac`	Nilai dari kolom `dst_mac`.
`dst_port`	`target.port`	Nilai dari kolom `dst_port`.
`dst_trans_ip`	`target.nat_ip`	Nilai dari kolom `dst_trans_ip`.
`dst_trans_port`	`target.nat_port`	Nilai dari kolom `dst_trans_port`.
`dst_zone`	`security_result.detection_fields.dst_zone`	Nilai dari kolom `dst_zone`.
`dstzone`	`security_result.detection_fields.dstzone`	Nilai dari kolom `dstzone`.
`dstzonetype`	`security_result.detection_fields.dstzonetype`	Nilai dari kolom `dstzonetype`.
`duration`	`network.session_duration.seconds`	Nilai dari kolom `duration`.
`ether_type`	`security_result.detection_fields.ether_type`	Nilai dari kolom `ether_type`.
`exceptions`	`security_result.detection_fields.exceptions`	Nilai dari kolom `exceptions`.
`fw_rule_id`	`security_result.rule_id`	Nilai dari kolom `fw_rule_id`.
`fw_rule_name`	`security_result.rule_name`	Nilai dari kolom `fw_rule_name`.
`fw_rule_section`	`security_result.rule_set`	Nilai dari kolom `fw_rule_section`.
`fw_rule_type`	`security_result.rule_type`	Nilai dari kolom `fw_rule_type`.
`gw_id_request`	`security_result.detection_fields.gw_id_request`	Nilai dari kolom `gw_id_request`.
`gw_name_request`	`security_result.detection_fields.gw_name_request`	Nilai dari kolom `gw_name_request`.
`hb_health`	`security_result.detection_fields.hb_health`	Nilai dari kolom `hb_health`.
`hb_status`	`security_result.detection_fields.hb_status`	Nilai dari kolom `hb_status`.
`http_category`	`security_result.detection_fields.http_category`	Nilai dari kolom `http_category`.
`http_category_type`	`security_result.detection_fields.http_category_type`	Nilai dari kolom `http_category_type`.
`http_status`	`network.http.response_code`	Nilai dari kolom `http_status`.
`in_display_interface`	`security_result.detection_fields.in_display_interface`	Nilai dari kolom `in_display_interface`.
`in_interface`	`security_result.detection_fields.in_interface`	Nilai dari kolom `in_interface`.
`ipaddress`	`principal.ip`, `network.dhcp.ciaddr`	Nilai dari kolom `ipaddress`.
`log_component`	`metadata.product_event_type`, `security_result.detection_fields.log_component`	Nilai dari kolom `log_component`.
`log_id`	`metadata.product_log_id`	Nilai dari kolom `log_id`.
`log_msg`	`metadata.description`	Nilai dari kolom `message` setelah menghapus `message=`.
`log_occurrence`	`security_result.detection_fields.log_occurrence`	Nilai dari kolom `log_occurrence`.
`log_subtype`	`security_result.detection_fields.log_subtype`, `security_result.action`	Nilai dari kolom `log_subtype`.
`log_type`	`security_result.detection_fields.log_type`	Nilai dari kolom `log_type`.
`log_version`	`security_result.detection_fields.log_version`	Nilai dari kolom `log_version`.
`message`	`metadata.description`	Nilai dari kolom `message`.
`nat_rule_id`	`security_result.detection_fields.nat_rule_id`	Nilai dari kolom `nat_rule_id`.
`nat_rule_name`	`security_result.detection_fields.nat_rule_name`	Nilai dari kolom `nat_rule_name`.
`out_display_interface`	`security_result.detection_fields.out_display_interface`	Nilai dari kolom `out_display_interface`.
`out_interface`	`security_result.detection_fields.out_interface`	Nilai dari kolom `out_interface`.
`packets_received`	`network.received_packets`	Nilai dari kolom `packets_received`.
`packets_sent`	`network.sent_packets`	Nilai dari kolom `packets_sent`.
`priority`	`security_result.severity`	Dipetakan dari kolom `priority` atau `severity` berdasarkan tabel pencarian.
`protocol`	`network.ip_protocol`	Diurai dari kolom `protocol` menggunakan tabel pemeta.
`reason`	`security_result.detection_fields.reason`, `security_result.summary`	Nilai dari kolom `reason`.
`recv_bytes`	`network.received_bytes`	Nilai dari kolom `recv_bytes`.
`recv_pkts`	`network.received_packets`	Nilai dari kolom `recv_pkts`.
`referer`	`network.http.referral_url`	Nilai dari kolom `referer`.
`rule_id`	`security_result.rule_id`	Nilai dari kolom `rule_id`.
`rule_name`	`security_result.rule_name`	Nilai dari kolom `rule_name`.
`sent_bytes`	`network.sent_bytes`	Nilai dari kolom `sent_bytes`.
`sent_pkts`	`network.sent_packets`	Nilai dari kolom `sent_pkts`.
`severity`	`priority`	Nilai dari kolom `severity`.
`src_country`	`principal.location.country_or_region`	Nilai dari kolom `src_country`.
`src_country_code`	`principal.location.country_or_region`	Nilai dari kolom `src_country_code`.
`src_ip`	`principal.ip`	Nilai dari kolom `src_ip`.
`src_mac`	`principal.mac`	Nilai dari kolom `src_mac`.
`src_port`	`principal.port`	Nilai dari kolom `src_port`.
`src_trans_ip`	`principal.nat_ip`	Nilai dari kolom `src_trans_ip`.
`src_trans_port`	`principal.nat_port`	Nilai dari kolom `src_trans_port`.
`src_zone`	`security_result.detection_fields.src_zone`	Nilai dari kolom `src_zone`.
`srczone`	`security_result.detection_fields.srczone`	Nilai dari kolom `srczone`.
`srczonetype`	`security_result.detection_fields.srczonetype`	Nilai dari kolom `srczonetype`.
`status`	`security_result.action_details`, `security_result.action`	Nilai dari kolom `status`.
`status_code`	`network.http.response_code`	Nilai dari kolom `status_code`.
`target.url`	`target.url`	Nilai dari kolom `url`.
`time`	`event.timestamp`	Diurai dari kolom `date` dan `time`, disesuaikan untuk zona waktu.
`timestamp`	`event.timestamp`	Diurai dari kolom `timestamp`.
`tran_dst_ip`	`target.nat_ip`	Nilai dari kolom `tran_dst_ip`.
`tran_dst_port`	`target.nat_port`	Nilai dari kolom `tran_dst_port`.
`tran_src_ip`	`principal.nat_ip`	Nilai dari kolom `tran_src_ip`.
`tran_src_port`	`principal.nat_port`	Nilai dari kolom `tran_src_port`.
`url`	`target.url`	Nilai dari kolom `url`.
`used_quota`	`security_result.detection_fields.used_quota`	Nilai dari kolom `used_quota`.
`user_agent`	`network.http.user_agent`, `network.http.parsed_user_agent`	Nilai dari kolom `user_agent`. Versi yang diuraikan juga dibuat.
`user_gp`	`extensions.auth.type`	Jika `user_gp` adalah `vpn`, tetapkan `extensions.auth.type` ke `VPN`.
`user_name`	`principal.user.userid`, `principal.user.email_addresses`	Nilai dari kolom `user_name`. Jika berisi `@`, juga ditambahkan ke `email_addresses`.
`web_policy_id`	`security_result.detection_fields.web_policy_id`	Nilai dari kolom `web_policy_id`.
T/A	`event.idm.read_only_udm.metadata.event_timestamp`	Disalin dari `event.timestamp`.
T/A	`event.idm.read_only_udm.metadata.log_type`	Skema penyerapan Chronicle menentukan jenis log sebagai `SOPHOS_FIREWALL`.
T/A	`event.idm.read_only_udm.metadata.vendor_name`	Nilai konstan `SOPHOS`.
T/A	`event.idm.read_only_udm.metadata.product_name`	Nilai konstan `SOPHOS Firewall`.
T/A	`event.idm.read_only_udm.network.application_protocol`	Tetapkan ke `DHCP` jika kolom `ipaddress` ada. Jika tidak, berasal dari kolom `protocol`.
T/A	`event.idm.read_only_udm.metadata.event_type`	Ditentukan oleh logika berdasarkan keberadaan kolom lain (misalnya, `NETWORK_HTTP`, `NETWORK_CONNECTION`, `NETWORK_DHCP`, `STATUS_UPDATE`, `GENERIC_EVENT`).
T/A	`event.idm.read_only_udm.security_result.action`	Berasal dari kolom `status` atau `log_subtype`.

Perubahan

2024-08-26

Peningkatan:

Log yang diuraikan untuk zona waktu=WAT.

2023-11-20

Peningkatan:

Memetakan packets_sent ke network.sent_packets.
Memetakan packets_received ke network.received_packets.
Memetakan src_trans_ip ke principal.nat_ip.
Memetakan src_trans_port ke principal.nat_port.
Memetakan dst_trans_ip ke target.nat_ip.
Memetakan dst_trans_port ke target.nat_port.
Memetakan bytes_sent ke network.sent_bytes.
Memetakan bytes_received ke network.received_bytes.
Memetakan duration ke network.session_duration.
Memetakan referer ke network.http.referer_url.
Memetakan ipaddress ke principal.ip dan network.dhcp.ciaddr.
Memetakan client_physical_address ke network.dhcp.chaddr.
Memetakan client_host_name ke network.dhcp.client_hostname.
Memetakan reason ke security_result.summary.
Memetakan http_status ke network.http.response_code.
Memetakan app_name ke principal.application.
Memetakan out_display_interface, web_policy_id, http_category, http_category_type, exceptions, con_id, used_quota, src_zone_type, src_zone, dst_zone_type, dst_zone, app_risk, app_category, nat_rule_name, gw_id_request, gw_name_request, app_filter_policy_id, app_technology, in_interface, out_interface, con_event, srczonetype, dstzonetype, connevent, connid, hb_health, category_type, activityname ke security_result.detection_fields.

2023-11-10

Peningkatan:

Memetakan fw_rule_type ke security_result.rule_type.
Memetakan severity ke security_result.severity.
Memetakan device_serial_id ke principal.asset.asset_id.
Memetakan log_type, log_component, log_subtype, log_version, nat_rule_id, ether_type, hb_status, app_resolved_by, app_is_cloud, qualifier, log_occurrence, in_display_interface ke security_result.detection_fields.

2023-04-03

Peningkatan:

Pemetaan device_name diubah dari principal.hostname menjadi intermediary.hostname.
Pemetaan device_id diubah dari principal.asset.asset_id menjadi intermediary.asset.asset_id.
Pemetaan metadata.vendor_name diubah dari SOPHOS Ltd. menjadi SOPHOS.
Memetakan sent_pkts ke network.sent_packets.
Memetakan recv_pkts ke network.received_packets.
Memetakan tran_src_ip ke principal.nat_ip.
Memetakan tran_src_port ke principal.nat_port.
Memetakan tran_dst_ip ke target.nat_ip.
Memetakan tran_dst_port ke target.nat_port.

2022-12-01

Peningkatan:

Log yang diuraikan untuk zona waktu=IST.
Memetakan application_category, application_risk and application_technology ke security_result.detection_fields.
Memetakan fw_rule_name ke security_result.rule_name.
Memetakan fw_rule_section ke security_result.rule_set.

18-08-2022

Peningkatan:

Log yang diuraikan untuk zona waktu=CEST.
Persentase Peristiwa Umum yang dikurangi
Memetakan user_name ke event.idm.read_only_udm.principal.user.userid
Memetakan device_id ke event.idm.read_only_udm.principal.asset.asset_id

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.