SonicWall-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie SonicWall-Logs mit einem Google Security Operations-Weiterleiter erfassen.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel SONIC_FIREWALL.
SonicWall-Sicherheits-Appliance konfigurieren
- Melden Sie sich in der SonicWall-Konsole an.
- Klicken Sie auf Protokoll > Syslog.
- Klicken Sie im Bereich Syslog-Server auf Hinzufügen. Das Fenster Syslog-Server hinzufügen wird angezeigt.
- Geben Sie im Feld Name oder IP-Adresse den Hostnamen oder die IP-Adresse des Google Security Operations-Weiterleitungsservers an.
- Wenn in Ihrer syslog-Konfiguration nicht der Standardport 514 verwendet wird, geben Sie im Feld Portnummer die Portnummer an.
- Klicken Sie auf OK.
- Klicken Sie auf Akzeptieren, um alle syslog-Servereinstellungen zu speichern.
Google Security Operations-Weiterleitung und syslog für die Aufnahme von SonicWall-Protokollen konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Weiterleitungen.
- Klicken Sie auf Neuen Weiterleiter hinzufügen.
- Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
- Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Datensammlers einen Namen ein.
- Wählen Sie SonicWall als Logtyp aus.
- Wählen Sie Syslog als Typ des Collectors aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector zum Abhören von syslog-Daten verwendet.
- Address (Adresse): Geben Sie die Ziel-IP-Adresse oder den Ziel-Hostnamen an, an dem sich der Collector befindet und auf syslog-Daten wartet.
- Port: Gibt den Zielport an, an dem sich der Collector befindet und auf syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen.
Informationen zu den Anforderungen für die einzelnen Weiterleitungstypen finden Sie unter Weiterleitungskonfiguration nach Typ.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parser extrahiert Schlüssel/Wert-Paare aus SonicWall-Firewall-Syslog-Nachrichten, normalisiert verschiedene Felder wie Zeitstempel, IP-Adressen und Ports und ordnet sie dem UDM-Format zu. Es verarbeitet sowohl IPv4- als auch IPv6-Adressen, unterscheidet zwischen zulässigen und blockierten Ereignissen und extrahiert sicherheitsrelevante Details wie Regelnamen und ‑beschreibungen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Agent | event.idm.read_only_udm.network.http.user_agent |
Der Wert des Felds agent wird dem UDM-Feld zugewiesen. |
| appcat | event.idm.read_only_udm.security_result.summary |
Der Wert des Felds appcat wird dem UDM-Feld zugewiesen. Wenn appcat „PROXY-ACCESS“ enthält, wird event.idm.read_only_udm.security_result.category auf „POLICY_VIOLATION“ und event.idm.read_only_udm.security_result.action auf „BLOCK“ festgelegt. |
| appid | event.idm.read_only_udm.security_result.rule_id |
Der Wert des Felds appid wird dem UDM-Feld zugewiesen. |
| arg | event.idm.read_only_udm.target.resource.name |
Der Wert des Felds arg wird dem UDM-Feld zugewiesen. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „avgThroughput“ und dem Wert aus dem Feld avgThroughput hinzugefügt. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
Der Wert des Felds bytesIn wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
Der Wert des Felds bytesOut wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „bytesTotal“ und dem Wert aus dem Feld bytesTotal hinzugefügt. |
| Kategorie | event.idm.read_only_udm.security_result.category_details |
Der Wert des Felds Category wird dem UDM-Feld zugewiesen. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Dem UDM-Feld wird ein Erkennungsfeld mit dem Schlüssel „Verbindungsdauer (Millisekunden)“ und dem Wert aus dem Feld cdur hinzugefügt. |
| dst | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
IP und Port werden aus dem Feld dst extrahiert. Wenn dstV6 nicht leer ist, wird die IP-Adresse stattdessen aus dstV6 extrahiert. |
| dstMac | event.idm.read_only_udm.target.mac |
Der Wert des Felds dstMac wird dem UDM-Feld zugewiesen. |
| dstV6 | event.idm.read_only_udm.target.ip |
Die IP-Adresse wird aus dem Feld dstV6 extrahiert. |
| dstname | event.idm.read_only_udm.target.hostname |
Wenn dstname keine IP-Adresse ist, wird ihr Wert dem UDM-Feld zugewiesen. |
| Dauer | event.idm.read_only_udm.network.session_duration.seconds |
Der Wert des Felds duration wird in eine Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| fw | event.idm.read_only_udm.principal.ip |
Der Wert des Felds fw wird dem UDM-Feld zugewiesen. Wenn fw „-“ enthält, wird event.idm.read_only_udm.additional.fields ein Label mit dem Schlüssel „fw“ und dem Wert aus dem Feld fw hinzugefügt. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
Der Wert des Felds fw_action wird event.idm.read_only_udm.security_result.action_details zugewiesen. Wenn fw_action „drop“ ist, wird event.idm.read_only_udm.security_result.action auf „BLOCK“ und event.idm.read_only_udm.security_result.summary auf den Wert von msg gesetzt. |
| gw | event.idm.read_only_udm.intermediary.ip |
Die IP-Adresse wird aus dem Feld gw extrahiert und dem UDM-Feld zugewiesen. |
| id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Der Wert des Felds id wird beiden UDM-Feldern zugewiesen. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „maxThroughput“ und dem Wert aus dem Feld maxThroughput hinzugefügt. |
| msg | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Wenn fw_action nicht „drop“ ist oder appcat leer ist, wird der Wert des Felds msg event.idm.read_only_udm.security_result.summary zugewiesen. Andernfalls wird er event.idm.read_only_udm.metadata.description zugewiesen. |
| natDst | event.idm.read_only_udm.target.nat_ip |
Die IP-Adresse wird aus dem Feld natDst extrahiert und dem UDM-Feld zugewiesen. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
Die IP-Adresse wird aus dem Feld natSrc extrahiert und dem UDM-Feld zugewiesen. |
| Hinweis | event.idm.read_only_udm.security_result.description |
Der Wert des Felds note wird dem UDM-Feld zugewiesen, nachdem dstip, srcip, gw und sec_desc extrahiert wurden. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „packetsIn“ und dem Wert aus dem Feld packetsIn hinzugefügt. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „packetsOut“ und dem Wert aus dem Feld packetsOut hinzugefügt. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „packetsTotal“ und dem Wert aus dem Feld packetsTotal hinzugefügt. |
| pri | event.idm.read_only_udm.security_result.severity |
Der Wert des Felds pri bestimmt den Wert des UDM-Felds: 0, 1, 2 = KRITISCH; 3 = FEHLER; 4 = MITTEL; 5, 7 = GERING; 6 = INFORMATIONSMELDUNG. |
| Proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Wenn proto „udp“ enthält, ist die UDM ip_protocol auf „UDP“ und event_type auf „NETWORK_CONNECTION“ festgelegt. Wenn proto „https“ enthält, wird die UDM application_protocol auf „HTTPS“ festgelegt. |
| rcvd | event.idm.read_only_udm.network.received_bytes |
Der Wert des Felds rcvd wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| Regel | event.idm.read_only_udm.security_result.rule_name |
Der Wert des Felds rule wird dem UDM-Feld zugewiesen. |
| sec_desc | event.idm.read_only_udm.security_result.description |
Der Wert des Felds sec_desc wird dem UDM-Feld zugewiesen. |
| sent | event.idm.read_only_udm.network.sent_bytes |
Der Wert des Felds sent wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
Dem UDM-Feld wird ein Erkennungsfeld mit dem Schlüssel „Sitzungstyp“ und dem Wert aus dem Feld sess hinzugefügt. |
| sn | event.idm.read_only_udm.additional.fields |
Dem UDM-Feld wird ein Label mit dem Schlüssel „SN“ und dem Wert aus dem Feld sn hinzugefügt. |
| spkt | event.idm.read_only_udm.network.sent_packets |
Der Wert des Felds spkt wird in eine Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
IP und Port werden aus dem Feld src extrahiert. Wenn srcV6 nicht leer ist, wird die IP-Adresse stattdessen aus srcV6 extrahiert. |
| srcMac | event.idm.read_only_udm.principal.mac |
Der Wert des Felds srcMac wird dem UDM-Feld zugewiesen. |
| srcV6 | event.idm.read_only_udm.principal.ip |
Die IP-Adresse wird aus dem Feld srcV6 extrahiert. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Wenn srcip „-“ enthält, wird event.idm.read_only_udm.additional.fields ein Label mit dem Schlüssel „srcip“ und dem Wert aus dem Feld srcip hinzugefügt. Andernfalls wird event.idm.read_only_udm.principal.ip der Wert srcip zugewiesen. |
| Zeit | event.idm.read_only_udm.metadata.event_timestamp |
Der Wert des Felds time wird analysiert und in einen Zeitstempel konvertiert, der dann dem UDM-Feld zugewiesen wird. |
| Typ | event.idm.read_only_udm.network.ip_protocol |
Wenn das Feld proto „icmp“ ist, wird das UDM-Feld auf „ICMP“ gesetzt. |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Wenn user leer ist, wird stattdessen der Wert von usr verwendet. Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse behandelt und zu email_addresses hinzugefügt. Wenn er ein Leerzeichen enthält, wird er als Anzeigename behandelt. Andernfalls wird sie als User-ID behandelt. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Dem UDM-Feld wird ein Erkennungsfeld mit dem Schlüssel „vpnpolicy“ und dem Wert aus dem Feld vpnpolicy hinzugefügt. „SonicWall“ ist hartcodiert. „Firewall“ ist hartcodiert. Hartcodiert auf „SONIC_FIREWALL“. Wird anhand einer Logik basierend auf den Werten anderer Felder bestimmt. Standardmäßig ist „GENERIC_EVENT“ festgelegt. Es kann auch „STATUS_UPDATE“, „NETWORK_CONNECTION“ oder „NETWORK_HTTP“ sein. |
Änderungen
2024-06-04
- Die Ausrichtung von „principal.asset.ip“ und „target.asset.ip“ wurde entfernt.
- Wenn der IP-Wert im Bereichsformat ist, werden „src“ und „dst“ zu „additional.fields“ zugeordnet.
- „gw“ wurde „intermediary.ip“ zugeordnet.
2024-05-29
- Der Grok-Filter wurde so geändert, dass das Feld „sn“ geparst wird.
- „sn“ wurde „intermediary.asset_id“ zugeordnet.
2024-05-29
- „firewall_hostname“ wurde „intermediary.hostname“ zugeordnet.
- Das Grok-Muster wurde geändert, um das Feld „sn“ zu parsen.
- „sn“ wurde „intermediary.asset_id“ zugeordnet.
2024-04-18
- Die Zuordnung von „fw“ von „observer.ip“ zu „principal.ip“ geändert.
- Die Zuordnung von „id“ wurde von „resource.id“ zu „principal.hostname“ geändert.
2023-05-26
- Verbesserung –
- „fw_action“ wurde „security_result.action_details“ zugeordnet.
- „spkt“ wurde in „network.sent_packets“ umgewandelt.
2023-03-08
- Verbesserung –
- Dem Feld „Nutzer“ wurde eine Bedingungsüberprüfung hinzugefügt, um das entsprechende Feld zu parsen (z.B. principal.user.email_addresses oder principal.user.user_display_name oder principal.user.userid).
- „pri“ wurde aus „security_result.detection_fields“ entfernt und „security_result.severity“ zugeordnet.
- „usr“ wurde „principal.user.email_addresses“ zugeordnet.
- Das Feld „vpnpolicy“ wurde in „security_result.detection_fields“ geändert.
- Das Feld „cdur“ wurde in „security_result.detection_fields“ geändert.
- Das Feld „sess“ wurde „security_result.detection_fields“ zugeordnet.
2023-03-06
- Verbesserung –
- „fw“ wurde „observer.ip“ statt „target.ip“ zugeordnet.
2023-02-22
- Verbesserung –
- Bei Ereignissen wird der Traffic als „NETWORK_HTTP“ geparst und stattdessen „NETWORK_CONNECTION“ zugeordnet, wenn das Protokoll nicht HTTP ist.
- „msg“ wurde „security_result.summary“ zugeordnet, wenn „fw_action“ mit „drop“ übereinstimmt. „BLOCK“ wurde „security_result.action“ zugeordnet.
- „fw“ wurde „observer.ip“ und „src“ „principal.ip“ zugeordnet.
2022-06-24
- Verbesserung –
- „msg“ wurde „security_result.summary“ zugeordnet.
- Wenn „fw_action“ mit „drop“ übereinstimmt, wird „BLOCK“ zu „security_result.action“ zugeordnet.
- „sent“ wurde in „network.sent_bytes“ geändert.
- „rcvd“ wurde in „network.received_bytes“ umgewandelt.
- „usr“ wurde „principal.user.userid“ zugeordnet.
- „pri“ wurde „additional.fields“ zugeordnet.
- „sn“ wurde „additional.fields“ zugeordnet.
- „id“ wurde „target.resource.id“ zugeordnet.
2022-05-26
- Fehlerkorrektur:
- Dauer wurde auf „network.session_duration.seconds“ zugeordnet.
- Nutzer wurde principal.user.userid zugeordnet.
- Agent wurde network.http.user_agent zugeordnet.
- „avgThroughput“ wurde „target.resource.attribute.labels“ zugeordnet.
- „bytesIn“ wurde in „network.sent_bytes“ zugeordnet.
- „bytesOut“ wurde in „network.received_bytes“ umgewandelt.
- „bytesTotal“ wurde auf „target.resource.attribute.labels“ zugeordnet.
- „maxThroughput“ wurde „target.resource.attribute.labels“ zugeordnet.
- dst wurde auf target.ip zugeordnet.
- fw wurde principal.ip zugeordnet.
- „pri“ wurde auf „event.idm.read_only_udm.additional.fields“ zugeordnet.
2022-05-19
- Verbesserung: Der Parser wurde von SDM zu UDM konvertiert (Zuordnung von Webproxy-Feldern zu Ereignisfeldern geändert).
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten