Collecter les journaux SonicWall
Compatible avec:
Google SecOps
SIEM
Ce document explique comment collecter des journaux SonicWall à l'aide d'un transfert Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion SONIC_FIREWALL.
Configurer un appareil de sécurité SonicWall
- Connectez-vous à la console SonicWall.
- Accédez à Journal > Syslog.
- Dans la section Syslog servers (Serveurs Syslog), cliquez sur Add (Ajouter). La fenêtre Ajouter un serveur syslog s'affiche.
- Dans le champ Nom ou Adresse IP, indiquez le nom d'hôte ou l'adresse IP du forwarder Google Security Operations.
- Si votre configuration syslog n'utilise pas le port 514 par défaut, spécifiez le numéro de port dans le champ Numéro de port.
- Cliquez sur OK.
- Cliquez sur Accepter pour enregistrer tous les paramètres du serveur Syslog.
Configurer le transfert Google Security Operations et le syslog pour ingérer les journaux SonicWall
- Accédez à Paramètres du SIEM > Transferts.
- Cliquez sur Ajouter un forwarder.
- Dans le champ Nom du transmettant, saisissez un nom unique pour le transmettant.
- Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom.
- Sélectionnez SonicWall comme Type de journal.
- Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée obligatoires suivants :
- Protocole: spécifiez le protocole de connexion que le collecteur utilisera pour écouter les données syslog.
- Address (Adresse) : spécifiez l'adresse IP ou le nom d'hôte cible où se trouve le collecteur et où il écoute les données syslog.
- Port: spécifiez le port cible sur lequel le collecteur se trouve et écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les transferts Google Security Operations, consultez la documentation sur les transferts Google Security Operations.
Pour en savoir plus sur les exigences de chaque type de forwarder, consultez la section Configuration des forwarders par type.
Si vous rencontrez des problèmes lorsque vous créez des transferts, contactez l'assistance Google Security Operations.
Référence de mappage de champs
Cet analyseur extrait des paires clé-valeur des messages syslog du pare-feu SonicWall, normalise divers champs tels que les horodatages, les adresses IP et les ports, et les met en correspondance avec le format UDM. Il gère les adresses IPv4 et IPv6, fait la distinction entre les événements autorisés et bloqués, et extrait des informations pertinentes pour la sécurité, comme les noms et les descriptions des règles.
Tableau de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| agent | event.idm.read_only_udm.network.http.user_agent |
La valeur du champ agent est attribuée au champ UDM. |
| appcat | event.idm.read_only_udm.security_result.summary |
La valeur du champ appcat est attribuée au champ UDM. Si appcat contient "PROXY-ACCESS", event.idm.read_only_udm.security_result.category est défini sur "POLICY_VIOLATION" et event.idm.read_only_udm.security_result.action sur "BLOCK". |
| appid | event.idm.read_only_udm.security_result.rule_id |
La valeur du champ appid est attribuée au champ UDM. |
| arg | event.idm.read_only_udm.target.resource.name |
La valeur du champ arg est attribuée au champ UDM. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "avgThroughput" et la valeur du champ avgThroughput est ajouté au champ UDM. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
La valeur du champ bytesIn est convertie en entier sans signature et attribuée au champ UDM. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
La valeur du champ bytesOut est convertie en entier sans signature et attribuée au champ UDM. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "bytesTotal" et la valeur du champ bytesTotal est ajouté au champ UDM. |
| Catégorie | event.idm.read_only_udm.security_result.category_details |
La valeur du champ Category est attribuée au champ UDM. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Un champ de détection avec la clé "Durée de la connexion (millisecondes)" et la valeur du champ cdur est ajouté au champ UDM. |
| dst | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
L'adresse IP et le port sont extraits du champ dst. Si dstV6 n'est pas vide, l'adresse IP est extraite de dstV6 à la place. |
| dstMac | event.idm.read_only_udm.target.mac |
La valeur du champ dstMac est attribuée au champ UDM. |
| dstV6 | event.idm.read_only_udm.target.ip |
L'adresse IP est extraite du champ dstV6. |
| dstname | event.idm.read_only_udm.target.hostname |
Si dstname n'est pas une adresse IP, sa valeur est attribuée au champ UDM. |
| duration | event.idm.read_only_udm.network.session_duration.seconds |
La valeur du champ duration est convertie en entier et attribuée au champ UDM. |
| fw | event.idm.read_only_udm.principal.ip |
La valeur du champ fw est attribuée au champ UDM. Si fw contient "-", un libellé avec la clé "fw" et la valeur du champ fw est ajouté à event.idm.read_only_udm.additional.fields. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
La valeur du champ fw_action est attribuée à event.idm.read_only_udm.security_result.action_details. Si fw_action est "drop", event.idm.read_only_udm.security_result.action est défini sur "BLOCK" et event.idm.read_only_udm.security_result.summary est défini sur la valeur de msg. |
| gw | event.idm.read_only_udm.intermediary.ip |
L'adresse IP est extraite du champ gw et attribuée au champ UDM. |
| id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
La valeur du champ id est attribuée aux deux champs UDM. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "maxThroughput" et la valeur du champ maxThroughput est ajouté au champ UDM. |
| Message | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Si fw_action n'est pas "drop" ou si appcat est vide, la valeur du champ msg est attribuée à event.idm.read_only_udm.security_result.summary. Sinon, il est attribué à event.idm.read_only_udm.metadata.description. |
| natDst | event.idm.read_only_udm.target.nat_ip |
L'adresse IP est extraite du champ natDst et attribuée au champ UDM. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
L'adresse IP est extraite du champ natSrc et attribuée au champ UDM. |
| note | event.idm.read_only_udm.security_result.description |
La valeur du champ note, après l'extraction de dstip, srcip, gw et sec_desc, est attribuée au champ UDM. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "packetsIn" et la valeur du champ packetsIn est ajouté au champ UDM. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "packetsOut" et la valeur du champ packetsOut est ajouté au champ UDM. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Un libellé avec la clé "packetsTotal" et la valeur du champ packetsTotal est ajouté au champ UDM. |
| pri | event.idm.read_only_udm.security_result.severity |
La valeur du champ pri détermine la valeur du champ UDM: 0, 1, 2 -> CRITICAL ; 3 -> ERROR ; 4 -> MEDIUM ; 5, 7 -> LOW ; 6 -> INFORMATIONAL. |
| proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Si proto contient "udp", le ip_protocol de l'UDM est défini sur "UDP" et event_type sur "NETWORK_CONNECTION". Si proto contient "https", l'application_protocol de l'UDM est défini sur "HTTPS". |
| rcvd | event.idm.read_only_udm.network.received_bytes |
La valeur du champ rcvd est convertie en entier sans signature et attribuée au champ UDM. |
| règle | event.idm.read_only_udm.security_result.rule_name |
La valeur du champ rule est attribuée au champ UDM. |
| sec_desc | event.idm.read_only_udm.security_result.description |
La valeur du champ sec_desc est attribuée au champ UDM. |
| envoyés | event.idm.read_only_udm.network.sent_bytes |
La valeur du champ sent est convertie en entier sans signature et attribuée au champ UDM. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
Un champ de détection avec la clé "Session Type" (Type de session) et la valeur du champ sess est ajouté au champ UDM. |
| sn | event.idm.read_only_udm.additional.fields |
Un libellé avec la clé "SN" et la valeur du champ sn est ajouté au champ UDM. |
| spkt | event.idm.read_only_udm.network.sent_packets |
La valeur du champ spkt est convertie en entier et attribuée au champ UDM. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
L'adresse IP et le port sont extraits du champ src. Si srcV6 n'est pas vide, l'adresse IP est extraite de srcV6 à la place. |
| srcMac | event.idm.read_only_udm.principal.mac |
La valeur du champ srcMac est attribuée au champ UDM. |
| srcV6 | event.idm.read_only_udm.principal.ip |
L'adresse IP est extraite du champ srcV6. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Si srcip contient "-", un libellé avec la clé "srcip" et la valeur du champ srcip est ajouté à event.idm.read_only_udm.additional.fields. Sinon, la valeur de srcip est attribuée à event.idm.read_only_udm.principal.ip. |
| temps | event.idm.read_only_udm.metadata.event_timestamp |
La valeur du champ time est analysée et convertie en code temporel, qui est ensuite attribué au champ UDM. |
| type | event.idm.read_only_udm.network.ip_protocol |
Si le champ proto est "icmp", le champ UDM est défini sur "ICMP". |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Si user est vide, la valeur de usr est utilisée à la place. Si la valeur contient "@", elle est traitée comme une adresse e-mail et ajoutée à email_addresses. S'il contient un espace, il est traité comme un nom à afficher. Sinon, il est traité comme un userid. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Un champ de détection avec la clé "vpnpolicy" et la valeur du champ vpnpolicy est ajouté au champ UDM. Code en dur sur "SonicWall". Code dur "Firewall". Code codé en dur sur "SONIC_FIREWALL". Déterminé par une logique basée sur les valeurs d'autres champs. La valeur par défaut est "GENERIC_EVENT". Elle peut être "STATUS_UPDATE", "NETWORK_CONNECTION" ou "NETWORK_HTTP". |
Modifications
2024-06-04
- Suppression de l'alignement de "principal.asset.ip" et "target.asset.ip".
- Si la valeur IP est au format plage, "src" et "dst" sont mappés sur "additional.fields".
- Mappage de "gw" sur "intermediary.ip".
2024-05-29
- Modification du grok pour analyser le champ "sn".
- Mappage de "sn" sur "intermediary.asset_id".
2024-05-29
- "firewall_hostname" a été mappé sur "intermediary.hostname".
- Modification du format Grok pour analyser le champ "sn".
- Mappage de "sn" sur "intermediary.asset_id".
2024-04-18
- Modification de la mise en correspondance de "fw" de "observer.ip" à "principal.ip".
- Modification du mappage de l'attribut "id" de "resource.id" à "principal.hostname".
2023-05-26
- Amélioration :
- Mappage de "fw_action" sur "security_result.action_details".
- Mappage de "spkt" sur "network.sent_packets".
2023-03-08
- Amélioration :
- Ajout d'une vérification de condition au champ "Utilisateur" pour analyser le champ approprié (par exemple, principal.user.email_addresses ou principal.user.user_display_name ou principal.user.userid).
- Suppression de "pri" de "security_result.detection_fields" et mappage sur "security_result.severity".
- Mappage de "usr" sur "principal.user.email_addresses".
- Champ "vpnpolicy" mappé sur "security_result.detection_fields".
- Champ "cdur" mappé sur "security_result.detection_fields".
- Champ "sess" mappé sur "security_result.detection_fields".
2023-03-06
- Amélioration :
- Mappage de "fw" sur "observer.ip" au lieu de "target.ip".
2023-02-22
- Amélioration :
- Les événements analysent le trafic, car "NETWORK_HTTP" est mappé sur "NETWORK_CONNECTION", lorsque le protocole n'est pas HTTP.
- "msg" a été mappé sur "security_result.summary", où "fw_action" est égal à "drop". "BLOCK" a été mappé sur "security_result.action".
- Mappage de "fw" sur "observer.ip" et de "src" sur "principal.ip".
2022-06-24
- Amélioration :
- Mappage de "msg" sur "security_result.summary".
- Lorsque "fw_action" est égal à "drop", "BLOCK" est mappé sur "security_result.action".
- "envoyé" a été mappé sur "network.sent_bytes".
- "rcvd" a été mappé sur "network.received_bytes".
- Mappage de "usr" sur "principal.user.userid".
- Mappage de "pri" sur "additional.fields".
- Mappage de "sn" sur "additional.fields".
- "id" a été mappé sur "target.resource.id".
2022-05-26
- Correction de bug :
- Durée mappée sur network.session_duration.seconds.
- Utilisateur mappé sur principal.user.userid.
- Agent mappé sur network.http.user_agent.
- Mappage de avgThroughput sur target.resource.attribute.labels.
- Mappage de bytesIn sur network.sent_bytes.
- Mappage de bytesOut sur network.received_bytes.
- Mappage de bytesTotal sur target.resource.attribute.labels.
- Mappage de maxThroughput sur target.resource.attribute.labels.
- Mappé dst à target.ip.
- Mappage de fw sur principal.ip.
- Pri mappé sur event.idm.read_only_udm.additional.fields.
2022-05-19
- Amélioration : conversion de l'analyseur de SDM en UDM (modification du mappage des champs webproxy en champs d'événements).