Mengumpulkan log SonicWall
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log SonicWall dengan menggunakan forwarder Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer SONIC_FIREWALL.
Mengonfigurasi appliance keamanan SonicWall
- Login ke konsol SonicWall.
- Buka Log > Syslog.
- Di bagian Server syslog, klik Tambahkan. Jendela Tambahkan server syslog akan muncul.
- Di kolom Nama atau Alamat IP, berikan nama host atau alamat IP penerusan Google Security Operations.
- Jika konfigurasi syslog Anda tidak menggunakan port 514 default, tentukan nomor port di kolom Nomor port.
- Klik Ok.
- Klik Accept untuk menyimpan semua setelan server syslog.
Mengonfigurasi forwarder dan syslog Google Security Operations untuk menyerap log SonicWall
- Buka Setelan SIEM > Penerima.
- Klik Tambahkan penerusan baru.
- Di kolom Forwarder Name, masukkan nama unik untuk pengirim.
- Klik Kirim. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
- Di kolom Nama kolektor, ketik nama.
- Pilih SonicWall sebagai Jenis log.
- Pilih Syslog sebagai Jenis kolektor.
- Konfigurasikan parameter input wajib berikut:
- Protokol: menentukan protokol koneksi yang akan digunakan kolektor untuk memproses data syslog.
- Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
- Port: menentukan port target tempat kolektor berada dan memproses data syslog.
- Klik Kirim.
Untuk informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations.
Untuk mengetahui informasi tentang persyaratan untuk setiap jenis forwarder, lihat Konfigurasi forwarder menurut jenis.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini mengekstrak pasangan nilai kunci dari pesan syslog firewall SonicWall, menormalisasi berbagai kolom seperti stempel waktu, alamat IP, dan port, serta memetakan ke format UDM. Alat ini menangani alamat IPv4 dan IPv6, membedakan antara peristiwa yang diizinkan dan diblokir, serta mengekstrak detail yang relevan dengan keamanan seperti nama dan deskripsi aturan.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| agen | event.idm.read_only_udm.network.http.user_agent |
Nilai kolom agent ditetapkan ke kolom UDM. |
| appcat | event.idm.read_only_udm.security_result.summary |
Nilai kolom appcat ditetapkan ke kolom UDM. Jika appcat berisi "PROXY-ACCESS", event.idm.read_only_udm.security_result.category ditetapkan ke "POLICY_VIOLATION" dan event.idm.read_only_udm.security_result.action ditetapkan ke "BLOCK". |
| idapp | event.idm.read_only_udm.security_result.rule_id |
Nilai kolom appid ditetapkan ke kolom UDM. |
| arg | event.idm.read_only_udm.target.resource.name |
Nilai kolom arg ditetapkan ke kolom UDM. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "avgThroughput" dan nilai dari kolom avgThroughput ditambahkan ke kolom UDM. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
Nilai kolom bytesIn dikonversi menjadi bilangan bulat tanpa tanda tangan dan ditetapkan ke kolom UDM. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
Nilai kolom bytesOut dikonversi menjadi bilangan bulat tanpa tanda tangan dan ditetapkan ke kolom UDM. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "bytesTotal" dan nilai dari kolom bytesTotal ditambahkan ke kolom UDM. |
| Kategori | event.idm.read_only_udm.security_result.category_details |
Nilai kolom Category ditetapkan ke kolom UDM. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Kolom deteksi dengan kunci "Durasi Koneksi (milidetik)" dan nilai dari kolom cdur ditambahkan ke kolom UDM. |
| dst | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
IP dan port diekstrak dari kolom dst. Jika dstV6 tidak kosong, IP akan diekstrak dari dstV6. |
| dstMac | event.idm.read_only_udm.target.mac |
Nilai kolom dstMac ditetapkan ke kolom UDM. |
| dstV6 | event.idm.read_only_udm.target.ip |
IP diekstrak dari kolom dstV6. |
| dstname | event.idm.read_only_udm.target.hostname |
Jika dstname bukan alamat IP, nilainya ditetapkan ke kolom UDM. |
| durasi | event.idm.read_only_udm.network.session_duration.seconds |
Nilai kolom duration dikonversi menjadi bilangan bulat dan ditetapkan ke kolom UDM. |
| fw | event.idm.read_only_udm.principal.ip |
Nilai kolom fw ditetapkan ke kolom UDM. Jika fw berisi "-", label dengan kunci "fw" dan nilai dari kolom fw akan ditambahkan ke event.idm.read_only_udm.additional.fields. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
Nilai kolom fw_action ditetapkan ke event.idm.read_only_udm.security_result.action_details. Jika fw_action adalah "drop", event.idm.read_only_udm.security_result.action ditetapkan ke "BLOCK" dan event.idm.read_only_udm.security_result.summary ditetapkan ke nilai msg. |
| gw | event.idm.read_only_udm.intermediary.ip |
Alamat IP diekstrak dari kolom gw dan ditetapkan ke kolom UDM. |
| id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Nilai kolom id ditetapkan ke kedua kolom UDM. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "maxThroughput" dan nilai dari kolom maxThroughput ditambahkan ke kolom UDM. |
| msg | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Jika fw_action bukan "drop" atau appcat kosong, nilai kolom msg akan ditetapkan ke event.idm.read_only_udm.security_result.summary. Jika tidak, nilai ini akan ditetapkan ke event.idm.read_only_udm.metadata.description. |
| natDst | event.idm.read_only_udm.target.nat_ip |
Alamat IP diekstrak dari kolom natDst dan ditetapkan ke kolom UDM. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
Alamat IP diekstrak dari kolom natSrc dan ditetapkan ke kolom UDM. |
| catatan | event.idm.read_only_udm.security_result.description |
Nilai kolom note, setelah mengekstrak dstip, srcip, gw, dan sec_desc, ditetapkan ke kolom UDM. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "packetsIn" dan nilai dari kolom packetsIn ditambahkan ke kolom UDM. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "packetsOut" dan nilai dari kolom packetsOut ditambahkan ke kolom UDM. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Label dengan kunci "packetsTotal" dan nilai dari kolom packetsTotal ditambahkan ke kolom UDM. |
| pri | event.idm.read_only_udm.security_result.severity |
Nilai kolom pri menentukan nilai kolom UDM: 0, 1, 2 -> CRITICAL; 3 -> ERROR; 4 -> MEDIUM; 5, 7 -> LOW; 6 -> INFORMATIONAL. |
| proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Jika proto berisi "udp", ip_protocol UDM ditetapkan ke "UDP" dan event_type ditetapkan ke "NETWORK_CONNECTION". Jika proto berisi "https", application_protocol UDM akan ditetapkan ke "HTTPS". |
| rcvd | event.idm.read_only_udm.network.received_bytes |
Nilai kolom rcvd dikonversi menjadi bilangan bulat tanpa tanda tangan dan ditetapkan ke kolom UDM. |
| aturan | event.idm.read_only_udm.security_result.rule_name |
Nilai kolom rule ditetapkan ke kolom UDM. |
| sec_desc | event.idm.read_only_udm.security_result.description |
Nilai kolom sec_desc ditetapkan ke kolom UDM. |
| sent | event.idm.read_only_udm.network.sent_bytes |
Nilai kolom sent dikonversi menjadi bilangan bulat tanpa tanda tangan dan ditetapkan ke kolom UDM. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
Kolom deteksi dengan kunci "Session Type" dan nilai dari kolom sess ditambahkan ke kolom UDM. |
| sn | event.idm.read_only_udm.additional.fields |
Label dengan kunci "SN" dan nilai dari kolom sn ditambahkan ke kolom UDM. |
| spkt | event.idm.read_only_udm.network.sent_packets |
Nilai kolom spkt dikonversi menjadi bilangan bulat dan ditetapkan ke kolom UDM. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
IP dan port diekstrak dari kolom src. Jika srcV6 tidak kosong, IP akan diekstrak dari srcV6. |
| srcMac | event.idm.read_only_udm.principal.mac |
Nilai kolom srcMac ditetapkan ke kolom UDM. |
| srcV6 | event.idm.read_only_udm.principal.ip |
IP diekstrak dari kolom srcV6. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Jika srcip berisi "-", label dengan kunci "srcip" dan nilai dari kolom srcip akan ditambahkan ke event.idm.read_only_udm.additional.fields. Jika tidak, nilai srcip akan ditetapkan ke event.idm.read_only_udm.principal.ip. |
| waktu | event.idm.read_only_udm.metadata.event_timestamp |
Nilai kolom time diuraikan dan dikonversi menjadi stempel waktu, yang kemudian ditetapkan ke kolom UDM. |
| jenis | event.idm.read_only_udm.network.ip_protocol |
Jika kolom proto adalah "icmp", kolom UDM ditetapkan ke "ICMP". |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Jika user kosong, nilai usr akan digunakan. Jika nilai berisi "@", nilai tersebut akan diperlakukan sebagai alamat email dan ditambahkan ke email_addresses. Jika berisi spasi, nama tersebut akan diperlakukan sebagai nama tampilan. Jika tidak, ID akan diperlakukan sebagai userid. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Kolom deteksi dengan kunci "vpnpolicy" dan nilai dari kolom vpnpolicy ditambahkan ke kolom UDM. Di-hardcode ke "SonicWall". Di-hardcode ke "Firewall". Di-hardcode ke "SONIC_FIREWALL". Ditentukan oleh logika berdasarkan nilai kolom lain. Default-nya adalah "GENERIC_EVENT", dapat berupa "STATUS_UPDATE", "NETWORK_CONNECTION", atau "NETWORK_HTTP". |
Perubahan
2024-06-04
- Menghapus perataan "principal.asset.ip" dan "target.asset.ip".
- Jika nilai IP dalam format rentang, "src" dan "dst" akan dipetakan ke "additional.fields".
- Memetakan "gw" ke "intermediary.ip".
2024-05-29
- Mengubah grok untuk menguraikan kolom "sn".
- Memetakan "sn" ke "intermediary.asset_id".
2024-05-29
- Memetakan "firewall_hostname" ke "intermediary.hostname".
- Mengubah pola Grok untuk mengurai kolom "sn".
- Memetakan "sn" ke "intermediary.asset_id".
2024-04-18
- Mengubah pemetaan "fw" dari "observer.ip" menjadi "principal.ip".
- Mengubah pemetaan "id" dari "resource.id" menjadi "principal.hostname".
2023-05-26
- Peningkatan -
- Memetakan "fw_action" ke "security_result.action_details".
- Memetakan "spkt" ke "network.sent_packets".
2023-03-08
- Peningkatan -
- Menambahkan pemeriksaan kondisi ke kolom "Pengguna" untuk mengurai kolom yang sesuai (yaitu principal.user.email_addresses atau principal.user.user_display_name atau principal.user.userid).
- Menghapus "pri" dari "security_result.detection_fields" dan memetakan ke "security_result.severity".
- Memetakan "usr" ke "principal.user.email_addresses".
- Memetakan kolom "vpnpolicy" ke "security_result.detection_fields".
- Memetakan kolom "cdur" ke "security_result.detection_fields".
- Memetakan kolom "sess" ke "security_result.detection_fields".
2023-03-06
- Peningkatan -
- Memetakan "fw" ke "observer.ip", bukan target.ip.
2023-02-22
- Peningkatan -
- Peristiwa mengurai traffic karena "NETWORK_HTTP" dipetakan ke "NETWORK_CONNECTION", jika protokolnya bukan HTTP.
- Memetakan "msg" ke "security_result.summary" dengan "fw_action" sama dengan "drop" Memetakan "BLOCK" ke "security_result.action".
- Memetakan "fw" ke "observer.ip" dan "src" ke "principal.ip".
2022-06-24
- Peningkatan -
- Memetakan "msg" ke "security_result.summary".
- Jika "fw_action" sama dengan "drop", "BLOCK" akan dipetakan ke "security_result.action".
- Memetakan "sent" ke "network.sent_bytes".
- Memetakan "rcvd" ke "network.received_bytes".
- Memetakan "usr" ke "principal.user.userid".
- Memetakan "pri" ke "additional.fields".
- Memetakan "sn" ke "additional.fields".
- Memetakan "id" ke "target.resource.id".
2022-05-26
- Perbaikan bug-
- Memetakan durasi ke network.session_duration.seconds.
- Pengguna yang dipetakan ke principal.user.userid.
- Memetakan agen ke network.http.user_agent.
- Memetakan avgThroughput ke target.resource.attribute.labels.
- Memetakan bytesIn ke network.sent_bytes.
- Memetakan bytesOut ke network.received_bytes.
- Memetakan bytesTotal ke target.resource.attribute.labels.
- Memetakan maxThroughput ke target.resource.attribute.labels.
- Memetakan dst ke target.ip.
- Memetakan fw ke principal.ip.
- Memetakan pri ke event.idm.read_only_udm.additional.fields.
2022-05-19
- Peningkatan - Mengonversi parser dari SDM ke UDM (mengubah pemetaan dari kolom webproxy ke kolom peristiwa).