Recopila registros de SonicWall
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de SonicWall con un reenviador de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia SONIC_FIREWALL.
Configura el dispositivo de seguridad SonicWall
- Accede a la consola de SonicWall.
- Ve a Registro > Syslog.
- En la sección Servidores de Syslog, haz clic en Agregar. Aparecerá la ventana Add syslog server.
- En el campo Nombre o Dirección IP, proporciona el nombre de host o la dirección IP del reenviador de Operaciones de seguridad de Google.
- Si tu configuración de syslog no usa el puerto predeterminado 514, especifica el número de puerto en el campo Número de puerto.
- Haz clic en Aceptar.
- Haz clic en Aceptar para guardar toda la configuración del servidor de syslog.
Configura el reenviador de Google Security Operations y el syslog para transferir registros de SonicWall
- Ve a Configuración de SIEM > Redireccionamientos.
- Haz clic en Agregar nuevo remitente.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre.
- Selecciona SonicWall como el Tipo de registro.
- Selecciona Syslog como el tipo de recopilador.
- Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo de conexión que usará el recopilador para escuchar los datos de syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvío de Google Security Operations, consulta la documentación de reenvío de Google Security Operations.
Para obtener información sobre los requisitos de cada tipo de reenviador, consulta Configuración del reenviador por tipo.
Si tienes problemas para crear reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador extrae pares clave-valor de los mensajes de syslog del firewall de SonicWall, normaliza varios campos, como marcas de tiempo, direcciones IP y puertos, y los asigna al formato UDM. Controla las direcciones IPv4 e IPv6, distingue entre eventos permitidos y bloqueados, y extrae detalles relevantes para la seguridad, como los nombres y las descripciones de las reglas.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| agente | event.idm.read_only_udm.network.http.user_agent |
El valor del campo agent se asigna al campo UDM. |
| appcat | event.idm.read_only_udm.security_result.summary |
El valor del campo appcat se asigna al campo UDM. Si appcat contiene "PROXY-ACCESS", event.idm.read_only_udm.security_result.category se establece en "POLICY_VIOLATION" y event.idm.read_only_udm.security_result.action se establece en "BLOCK". |
| appid | event.idm.read_only_udm.security_result.rule_id |
El valor del campo appid se asigna al campo UDM. |
| argumento | event.idm.read_only_udm.target.resource.name |
El valor del campo arg se asigna al campo UDM. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "avgThroughput" y el valor del campo avgThroughput al campo UDM. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
El valor del campo bytesIn se convierte en un número entero sin firma y se asigna al campo UDM. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
El valor del campo bytesOut se convierte en un número entero sin firma y se asigna al campo UDM. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "bytesTotal" y el valor del campo bytesTotal al campo de la AUA. |
| Categoría | event.idm.read_only_udm.security_result.category_details |
El valor del campo Category se asigna al campo UDM. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Se agrega un campo de detección con la clave "Duración de la conexión (milisegundos)" y el valor del campo cdur al campo de la AUA. |
| DST | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
La IP y el puerto se extraen del campo dst. Si dstV6 no está vacío, la IP se extrae de dstV6. |
| dstMac | event.idm.read_only_udm.target.mac |
El valor del campo dstMac se asigna al campo UDM. |
| dstV6 | event.idm.read_only_udm.target.ip |
La IP se extrae del campo dstV6. |
| dstname | event.idm.read_only_udm.target.hostname |
Si dstname no es una dirección IP, su valor se asigna al campo UDM. |
| duración | event.idm.read_only_udm.network.session_duration.seconds |
El valor del campo duration se convierte en un número entero y se asigna al campo UDM. |
| fw | event.idm.read_only_udm.principal.ip |
El valor del campo fw se asigna al campo UDM. Si fw contiene "-", se agrega a event.idm.read_only_udm.additional.fields una etiqueta con la clave "fw" y el valor del campo fw. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
El valor del campo fw_action se asigna a event.idm.read_only_udm.security_result.action_details. Si fw_action es “drop”, event.idm.read_only_udm.security_result.action se establece en “BLOCK” y event.idm.read_only_udm.security_result.summary se establece en el valor de msg. |
| GW | event.idm.read_only_udm.intermediary.ip |
La dirección IP se extrae del campo gw y se asigna al campo UDM. |
| id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
El valor del campo id se asigna a ambos campos de la AUA. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "maxThroughput" y el valor del campo maxThroughput al campo UDM. |
| msg | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Si fw_action no es "drop" o appcat está vacío, el valor del campo msg se asigna a event.idm.read_only_udm.security_result.summary. De lo contrario, se asigna a event.idm.read_only_udm.metadata.description. |
| natDst | event.idm.read_only_udm.target.nat_ip |
La dirección IP se extrae del campo natDst y se asigna al campo UDM. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
La dirección IP se extrae del campo natSrc y se asigna al campo UDM. |
| nota | event.idm.read_only_udm.security_result.description |
El valor del campo note, después de extraer dstip, srcip, gw y sec_desc, se asigna al campo de la AUA. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "packetsIn" y el valor del campo packetsIn al campo de la AUA. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "packetsOut" y el valor del campo packetsOut al campo de la AUA. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Se agrega una etiqueta con la clave "packetsTotal" y el valor del campo packetsTotal al campo UDM. |
| pri | event.idm.read_only_udm.security_result.severity |
El valor del campo pri determina el valor del campo UDM: 0, 1, 2 -> CRÍTICO; 3 -> ERROR; 4 -> MEDIO; 5, 7 -> BAJO; 6 -> INFORMATIVO. |
| proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Si proto contiene "udp", el ip_protocol de la UDM se establece en "UDP" y event_type se establece en "NETWORK_CONNECTION". Si proto contiene "https", el application_protocol de la UDM se establece en "HTTPS". |
| rcvd | event.idm.read_only_udm.network.received_bytes |
El valor del campo rcvd se convierte en un número entero sin firma y se asigna al campo UDM. |
| regla | event.idm.read_only_udm.security_result.rule_name |
El valor del campo rule se asigna al campo UDM. |
| sec_desc | event.idm.read_only_udm.security_result.description |
El valor del campo sec_desc se asigna al campo UDM. |
| enviados | event.idm.read_only_udm.network.sent_bytes |
El valor del campo sent se convierte en un número entero sin firma y se asigna al campo UDM. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
Se agrega un campo de detección con la clave "Session Type" y el valor del campo sess al campo de la AUA. |
| sn | event.idm.read_only_udm.additional.fields |
Se agrega una etiqueta con la clave "SN" y el valor del campo sn al campo UDM. |
| spkt | event.idm.read_only_udm.network.sent_packets |
El valor del campo spkt se convierte en un número entero y se asigna al campo UDM. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
La IP y el puerto se extraen del campo src. Si srcV6 no está vacío, la IP se extrae de srcV6. |
| srcMac | event.idm.read_only_udm.principal.mac |
El valor del campo srcMac se asigna al campo UDM. |
| srcV6 | event.idm.read_only_udm.principal.ip |
La IP se extrae del campo srcV6. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Si srcip contiene "-", se agrega a event.idm.read_only_udm.additional.fields una etiqueta con la clave "srcip" y el valor del campo srcip. De lo contrario, el valor de srcip se asigna a event.idm.read_only_udm.principal.ip. |
| hora | event.idm.read_only_udm.metadata.event_timestamp |
El valor del campo time se analiza y se convierte en una marca de tiempo, que luego se asigna al campo UDM. |
| tipo | event.idm.read_only_udm.network.ip_protocol |
Si el campo proto es “icmp”, el campo UDM se establece en “ICMP”. |
| usuario/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Si user está vacío, se usa el valor de usr. Si el valor contiene "@", se trata como una dirección de correo electrónico y se agrega a email_addresses. Si contiene un espacio, se considera un nombre visible. De lo contrario, se considera un ID de usuario. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Se agrega un campo de detección con la clave "vpnpolicy" y el valor del campo vpnpolicy al campo de la AUA. Se codifica de forma fija en “SonicWall”. Está codificado de forma fija en “Firewall”. Está codificado de forma fija en "SONIC_FIREWALL". Se determina mediante una lógica basada en los valores de otros campos. El valor predeterminado es "GENERIC_EVENT", puede ser "STATUS_UPDATE", "NETWORK_CONNECTION" o "NETWORK_HTTP". |
Cambios
2024-06-04
- Se quitó la alineación de "principal.asset.ip" y "target.asset.ip".
- Si el valor de IP está en formato de rango, "src" y "dst" se asignan a "additional.fields".
- Se asignó "gw" a "intermediary.ip".
2024-05-29
- Se modificó la expresión grok para analizar el campo "sn".
- Se asignó "sn" a "intermediary.asset_id".
2024-05-29
- Se asignó "firewall_hostname" a "intermediary.hostname".
- Se modificó el patrón Grok para analizar el campo "sn".
- Se asignó "sn" a "intermediary.asset_id".
2024-04-18
- Se cambió la asignación de "fw" de "observer.ip" a "principal.ip".
- Se cambió la asignación de "id" de "resource.id" a "principal.hostname".
2023-05-26
- Mejora:
- Se asignó "fw_action" a "security_result.action_details".
- Se asignó "spkt" a "network.sent_packets".
2023-03-08
- Mejora:
- Se agregó una verificación de condición al campo "Usuario" para analizar el campo apropiado (es decir, principal.user.email_addresses o principal.user.user_display_name o principal.user.userid).
- Se quitó "pri" de "security_result.detection_fields" y se asignó a "security_result.severity".
- Se asignó "usr" a "principal.user.email_addresses".
- Se asignó el campo "vpnpolicy" a "security_result.detection_fields".
- Se asignó el campo "cdur" a "security_result.detection_fields".
- Se asignó el campo "sess" a "security_result.detection_fields".
2023-03-06
- Mejora:
- Se asignó "fw" a "observer.ip" en lugar de target.ip.
2023-02-22
- Mejora:
- Los eventos analizan el tráfico como "NETWORK_HTTP", que se asigna a "NETWORK_CONNECTION" cuando el protocolo no es HTTP.
- Se asignó "msg" a "security_result.summary", donde "fw_action" es igual a "drop". Se asignó "BLOCK" a "security_result.action".
- Se asignó "fw" a "observer.ip" y "src" a "principal.ip".
2022-06-24
- Mejora:
- Se asignó "msg" a "security_result.summary".
- Donde "fw_action" es igual a "drop", se asignó "BLOCK" a "security_result.action".
- Se asignó "enviado" a "network.sent_bytes".
- Se asignó "rcvd" a "network.received_bytes".
- Se asignó "usr" a "principal.user.userid".
- Se asignó "pri" a "additional.fields".
- Se asignó "sn" a "additional.fields".
- Se asignó "id" a "target.resource.id".
2022-05-26
- Corrección de errores:
- Se asignó la duración a network.session_duration.seconds.
- Se asignó el usuario a principal.user.userid.
- Se asignó el agente a network.http.user_agent.
- Se asignó avgThroughput a target.resource.attribute.labels.
- Se asignó bytesIn a network.sent_bytes.
- Se asignó bytesOut a network.received_bytes.
- Se asignó bytesTotal a target.resource.attribute.labels.
- Se asignó maxThroughput a target.resource.attribute.labels.
- Se asignó dst a target.ip.
- Se asignó fw a principal.ip.
- Se asignó pri a event.idm.read_only_udm.additional.fields.
2022-05-19
- Mejora: Se convirtió el analizador de SDM a UDM (se cambió la asignación de campos de webproxy a campos de evento).