SonicWall ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して SonicWall のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル SONIC_FIREWALL が付加されたパーサーに適用されます。
SonicWall セキュリティ アプライアンスを構成する
- SonicWall コンソールにログインします。
- [ログ] > [Syslog] に移動します。
- [Syslog サーバ] セクションで、[追加] をクリックします。[Add syslog server] ウィンドウが表示されます。
- [名前] または [IP アドレス] フィールドに、Google Security Operations 転送元のホスト名または IP アドレスを指定します。
- syslog 構成でデフォルトの 514 ポートを使用していない場合は、[ポート番号] フィールドにポート番号を指定します。
- [OK] をクリックします。
- [承認] をクリックして、すべての syslog サーバー設定を保存します。
SonicWall ログを取り込むように Google Security Operations フォワーダーと Syslog を構成する
- [SIEM 設定] > [転送元] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダー名] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [ログタイプ] として [SonicWall] を選択します。
- [Collector type] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- プロトコル: コレクタが syslog データのリッスンに使用する接続プロトコルを指定します。
- Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。
各フォワーダ タイプの要件については、タイプ別のフォワーダの構成をご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、SonicWall ファイアウォールの syslog メッセージから Key-Value ペアを抽出し、タイムスタンプ、IP アドレス、ポートなどのさまざまなフィールドを正規化して UDM 形式にマッピングします。IPv4 アドレスと IPv6 アドレスの両方を処理し、許可されたイベントとブロックされたイベントを区別し、ルール名や説明など、セキュリティに関連する詳細情報を抽出します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| エージェント | event.idm.read_only_udm.network.http.user_agent |
agent フィールドの値が UDM フィールドに割り当てられます。 |
| appcat | event.idm.read_only_udm.security_result.summary |
appcat フィールドの値が UDM フィールドに割り当てられます。appcat に「PROXY-ACCESS」が含まれている場合、event.idm.read_only_udm.security_result.category は「POLICY_VIOLATION」に設定され、event.idm.read_only_udm.security_result.action は「BLOCK」に設定されます。 |
| appid | event.idm.read_only_udm.security_result.rule_id |
appid フィールドの値が UDM フィールドに割り当てられます。 |
| 引数 | event.idm.read_only_udm.target.resource.name |
arg フィールドの値が UDM フィールドに割り当てられます。 |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
キーが「avgThroughput」で、値が avgThroughput フィールドの値のラベルが UDM フィールドに追加されます。 |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
bytesIn フィールドの値は符号なし整数に変換され、UDM フィールドに割り当てられます。 |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
bytesOut フィールドの値は符号なし整数に変換され、UDM フィールドに割り当てられます。 |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
キーが「bytesTotal」で、値が bytesTotal フィールドの値のラベルが UDM フィールドに追加されます。 |
| カテゴリ | event.idm.read_only_udm.security_result.category_details |
Category フィールドの値が UDM フィールドに割り当てられます。 |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
キーが「Connection Duration (milli seconds)」、値が cdur フィールドの値の検出フィールドが UDM フィールドに追加されます。 |
| dst | event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.port |
IP とポートは dst フィールドから抽出されます。dstV6 が空でない場合、IP は dstV6 から抽出されます。 |
| dstMac | event.idm.read_only_udm.target.mac |
dstMac フィールドの値が UDM フィールドに割り当てられます。 |
| dstV6 | event.idm.read_only_udm.target.ip |
IP は dstV6 フィールドから抽出されます。 |
| dstname | event.idm.read_only_udm.target.hostname |
dstname が IP アドレスでない場合、その値は UDM フィールドに割り当てられます。 |
| duration | event.idm.read_only_udm.network.session_duration.seconds |
duration フィールドの値は整数に変換され、UDM フィールドに割り当てられます。 |
| fw | event.idm.read_only_udm.principal.ip |
fw フィールドの値が UDM フィールドに割り当てられます。fw に「-」が含まれている場合、キーが「fw」で値が fw フィールドの値のラベルが event.idm.read_only_udm.additional.fields に追加されます。 |
| fw_action | event.idm.read_only_udm.security_result.action_details、event.idm.read_only_udm.security_result.summary、event.idm.read_only_udm.security_result.action |
fw_action フィールドの値は event.idm.read_only_udm.security_result.action_details に割り当てられます。fw_action が「drop」の場合、event.idm.read_only_udm.security_result.action は「BLOCK」に設定され、event.idm.read_only_udm.security_result.summary は msg の値に設定されます。 |
| gw | event.idm.read_only_udm.intermediary.ip |
IP アドレスは gw フィールドから抽出され、UDM フィールドに割り当てられます。 |
| id | event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname |
id フィールドの値は、両方の UDM フィールドに割り当てられます。 |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
キーが「maxThroughput」で、値が maxThroughput フィールドの値のラベルが UDM フィールドに追加されます。 |
| msg | event.idm.read_only_udm.security_result.summary、event.idm.read_only_udm.metadata.description |
fw_action が「drop」でない場合、または appcat が空の場合、msg フィールドの値が event.idm.read_only_udm.security_result.summary に割り当てられます。それ以外の場合は event.idm.read_only_udm.metadata.description に割り当てられます。 |
| natDst | event.idm.read_only_udm.target.nat_ip |
IP アドレスは natDst フィールドから抽出され、UDM フィールドに割り当てられます。 |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
IP アドレスは natSrc フィールドから抽出され、UDM フィールドに割り当てられます。 |
| 注意事項 | event.idm.read_only_udm.security_result.description |
dstip、srcip、gw、sec_desc を抽出した後、note フィールドの値が UDM フィールドに割り当てられます。 |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
キーが「packetsIn」で、値が packetsIn フィールドの値のラベルが UDM フィールドに追加されます。 |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
キーが「packetsOut」で、値が packetsOut フィールドの値のラベルが UDM フィールドに追加されます。 |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
キーが「packetsTotal」で、値が packetsTotal フィールドの値のラベルが UDM フィールドに追加されます。 |
| pri | event.idm.read_only_udm.security_result.severity |
pri フィールドの値によって UDM フィールドの値が決まります。0、1、2 -> CRITICAL、3 -> ERROR、4 -> MEDIUM、5、7 -> LOW、6 -> INFORMATIONAL。 |
| proto | event.idm.read_only_udm.network.ip_protocol、event.idm.read_only_udm.network.application_protocol、event.idm.read_only_udm.metadata.event_type |
proto に「udp」が含まれている場合、UDM ip_protocol は「UDP」に設定され、event_type は「NETWORK_CONNECTION」に設定されます。proto に「https」が含まれている場合、UDM application_protocol は「HTTPS」に設定されます。 |
| rcvd | event.idm.read_only_udm.network.received_bytes |
rcvd フィールドの値は符号なし整数に変換され、UDM フィールドに割り当てられます。 |
| ルール | event.idm.read_only_udm.security_result.rule_name |
rule フィールドの値が UDM フィールドに割り当てられます。 |
| sec_desc | event.idm.read_only_udm.security_result.description |
sec_desc フィールドの値が UDM フィールドに割り当てられます。 |
| 送信済み | event.idm.read_only_udm.network.sent_bytes |
sent フィールドの値は符号なし整数に変換され、UDM フィールドに割り当てられます。 |
| sess | event.idm.read_only_udm.security_result.detection_fields |
キーが「Session Type」で、値が sess フィールドの値である検出フィールドが UDM フィールドに追加されます。 |
| sn | event.idm.read_only_udm.additional.fields |
キーが「SN」で、値が sn フィールドの値のラベルが UDM フィールドに追加されます。 |
| spkt | event.idm.read_only_udm.network.sent_packets |
spkt フィールドの値は整数に変換され、UDM フィールドに割り当てられます。 |
| src | event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.port |
IP とポートは src フィールドから抽出されます。srcV6 が空でない場合、IP は srcV6 から抽出されます。 |
| srcMac | event.idm.read_only_udm.principal.mac |
srcMac フィールドの値が UDM フィールドに割り当てられます。 |
| srcV6 | event.idm.read_only_udm.principal.ip |
IP は srcV6 フィールドから抽出されます。 |
| srcip | event.idm.read_only_udm.additional.fields、event.idm.read_only_udm.principal.ip |
srcip に「-」が含まれている場合、キーが「srcip」で値が srcip フィールドの値のラベルが event.idm.read_only_udm.additional.fields に追加されます。それ以外の場合、srcip の値が event.idm.read_only_udm.principal.ip に割り当てられます。 |
| 時間 | event.idm.read_only_udm.metadata.event_timestamp |
time フィールドの値が解析され、タイムスタンプに変換されて UDM フィールドに割り当てられます。 |
| type | event.idm.read_only_udm.network.ip_protocol |
proto フィールドが「icmp」の場合、UDM フィールドは「ICMP」に設定されます。 |
| ユーザー/usr | event.idm.read_only_udm.principal.user.email_addresses、event.idm.read_only_udm.principal.user.user_display_name、event.idm.read_only_udm.principal.user.userid |
user が空の場合、代わりに usr の値が使用されます。値に「@」が含まれている場合は、メールアドレスとして扱われ、email_addresses に追加されます。スペースが含まれている場合は、表示名として扱われます。それ以外の場合は、ユーザー ID として扱われます。 |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
キーが「vpnpolicy」で、値が vpnpolicy フィールドの値である検出フィールドが UDM フィールドに追加されます。「SonicWall」にハードコードされています。「ファイアウォール」にハードコードされています。「SONIC_FIREWALL」にハードコードされています。他のフィールドの値に基づくロジックによって決定されます。デフォルトは「GENERIC_EVENT」です。「STATUS_UPDATE」、「NETWORK_CONNECTION」、「NETWORK_HTTP」に設定できます。 |
変更点
2024-06-04
- 「principal.asset.ip」と「target.asset.ip」の調整を削除しました。
- IP 値が範囲形式の場合、「src」と「dst」は「additional.fields」にマッピングされます。
- 「gw」を「intermediary.ip」にマッピングしました。
2024-05-29
- フィールド「sn」を解析するように grok を変更しました。
- 「sn」を「intermediary.asset_id」にマッピングしました。
2024-05-29
- 「firewall_hostname」を「intermediary.hostname」にマッピングしました。
- フィールド「sn」を解析するように Grok パターンを変更しました。
- 「sn」を「intermediary.asset_id」にマッピングしました。
2024-04-18
- 「fw」のマッピングを「observer.ip」から「principal.ip」に変更しました。
- 「id」のマッピングを「resource.id」から「principal.hostname」に変更しました。
2023-05-26
- 機能強化 -
- 「fw_action」を「security_result.action_details」にマッピングしました。
- 「spkt」を「network.sent_packets」にマッピングしました。
2023-03-08
- 機能強化 -
- 適切なフィールド(principal.user.email_addresses、principal.user.user_display_name、principal.user.userid など)を解析するための条件チェックを [ユーザー] フィールドに追加しました。
- 「security_result.detection_fields」から「pri」を削除し、「security_result.severity」にマッピングしました。
- 「usr」を「principal.user.email_addresses」にマッピングしました。
- 「vpnpolicy」フィールドを「security_result.detection_fields」にマッピングしました。
- 「cdur」フィールドを「security_result.detection_fields」にマッピングしました。
- 「sess」フィールドを「security_result.detection_fields」にマッピングしました。
2023-03-06
- 機能強化 -
- 「fw」を target.ip ではなく「observer.ip」にマッピングしました。
2023-02-22
- 機能強化 -
- プロトコルが HTTP でない場合に、イベントがトラフィックを解析し、「NETWORK_HTTP」が「NETWORK_CONNECTION」にマッピングされる。
- 「fw_action」が「drop」の場合に「msg」を「security_result.summary」にマッピングしました。「BLOCK」を「security_result.action」にマッピングしました。
- 「fw」を「observer.ip」に、「src」を「principal.ip」にマッピングしました。
2022-06-24
- 機能強化 -
- 「msg」を「security_result.summary」にマッピングしました。
- 「fw_action」が「drop」の場合、「BLOCK」を「security_result.action」にマッピングしました。
- 「sent」を「network.sent_bytes」にマッピングしました。
- 「rcvd」を「network.received_bytes」にマッピングしました。
- 「usr」を「principal.user.userid」にマッピングしました。
- 「pri」を「additional.fields」にマッピングしました。
- 「sn」を「additional.fields」にマッピングしました。
- 「id」を「target.resource.id」にマッピングしました。
2022-05-26
- バグの修正 -
- 時間は network.session_duration.seconds にマッピングされました。
- user を principal.user.userid にマッピングしました。
- エージェントを network.http.user_agent にマッピングしました。
- avgThroughput を target.resource.attribute.labels にマッピングしました。
- bytesIn を network.sent_bytes にマッピングしました。
- bytesOut を network.received_bytes にマッピングしました。
- bytesTotal を target.resource.attribute.labels にマッピングしました。
- maxThroughput を target.resource.attribute.labels にマッピングしました。
- dst を target.ip にマッピングしました。
- fw を principal.ip にマッピングしました。
- pri を event.idm.read_only_udm.additional.fields にマッピングしました。
2022-05-19
- 機能強化 - パーサーを SDM から UDM に変換しました(webproxy フィールドからイベント フィールドへのマッピングを変更しました)。