Coletar registros do SonicWall
Compatível com:
Google SecOps
SIEM
Este documento descreve como coletar registros do SonicWall usando um forwarder do Google Security Operations.
Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos
para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência SONIC_FIREWALL.
Configurar o dispositivo de segurança SonicWall
- Faça login no console do SonicWall.
- Acesse Registro > Syslog.
- Na seção Syslog servers, clique em Add. A janela Add syslog server vai aparecer.
- Nos campos Nome ou Endereço IP, informe o nome de host ou o endereço IP do encaminhador das operações de segurança do Google.
- Se a configuração do syslog não usar a porta 514 padrão, especifique o número da porta no campo Número da porta.
- Clique em OK.
- Clique em Aceitar para salvar todas as configurações do servidor de syslog.
Configurar o forwarder e o syslog do Google Security Operations para processar os registros do SonicWall
- Acesse Configurações do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, insira um nome exclusivo.
- Clique em Enviar. O encaminhador é adicionado, e a janela Add collector configuration é exibida.
- No campo Nome do coletor, digite um nome.
- Selecione SonicWall como o Tipo de registro.
- Selecione Syslog como o Tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de conexão que o coletor vai usar para detectar dados do syslog.
- Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e detecta dados do syslog.
- Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
- Clique em Enviar.
Para mais informações sobre os encaminhadores do Google Security Operations, consulte a documentação sobre encaminhadores do Google Security Operations.
Para informações sobre os requisitos de cada tipo de encaminhador, consulte Configuração do encaminhador por tipo.
Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte da Google Security Operations.
Referência do mapeamento de campo
Esse analisador extrai pares de chave-valor das mensagens syslog do SonicWall, normaliza vários campos, como carimbos de data/hora, endereços IP e portas, e os mapeia para o formato UDM. Ele processa endereços IPv4 e IPv6, distingue entre eventos permitidos e bloqueados e extrai detalhes relevantes para a segurança, como nomes e descrições de regras.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| agente | event.idm.read_only_udm.network.http.user_agent |
O valor do campo agent é atribuído ao campo UDM. |
| appcat | event.idm.read_only_udm.security_result.summary |
O valor do campo appcat é atribuído ao campo UDM. Se appcat contiver "PROXY-ACCESS", event.idm.read_only_udm.security_result.category será definido como "POLICY_VIOLATION" e event.idm.read_only_udm.security_result.action será definido como "BLOCK". |
| appid | event.idm.read_only_udm.security_result.rule_id |
O valor do campo appid é atribuído ao campo UDM. |
| arg | event.idm.read_only_udm.target.resource.name |
O valor do campo arg é atribuído ao campo UDM. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Um rótulo com a chave "avgThroughput" e o valor do campo avgThroughput é adicionado ao campo UDM. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
O valor do campo bytesIn é convertido em um número inteiro sem sinal e atribuído ao campo UDM. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
O valor do campo bytesOut é convertido em um número inteiro sem sinal e atribuído ao campo UDM. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Um rótulo com a chave "bytesTotal" e o valor do campo bytesTotal é adicionado ao campo UDM. |
| Categoria | event.idm.read_only_udm.security_result.category_details |
O valor do campo Category é atribuído ao campo UDM. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Um campo de detecção com a chave "Duração da conexão (milissegundos)" e o valor do campo cdur é adicionado ao campo do UDM. |
| dst | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
O IP e a porta são extraídos do campo dst. Se dstV6 não estiver vazio, o IP será extraído de dstV6. |
| dstMac | event.idm.read_only_udm.target.mac |
O valor do campo dstMac é atribuído ao campo UDM. |
| dstV6 | event.idm.read_only_udm.target.ip |
O IP é extraído do campo dstV6. |
| dstname | event.idm.read_only_udm.target.hostname |
Se dstname não for um endereço IP, o valor dele será atribuído ao campo UDM. |
| duration | event.idm.read_only_udm.network.session_duration.seconds |
O valor do campo duration é convertido em um número inteiro e atribuído ao campo UDM. |
| fw | event.idm.read_only_udm.principal.ip |
O valor do campo fw é atribuído ao campo UDM. Se fw contiver "-", um rótulo com a chave "fw" e o valor do campo fw será adicionado a event.idm.read_only_udm.additional.fields. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
O valor do campo fw_action é atribuído a event.idm.read_only_udm.security_result.action_details. Se fw_action for "drop", event.idm.read_only_udm.security_result.action será definido como "BLOCK" e event.idm.read_only_udm.security_result.summary será definido como o valor de msg. |
| gw | event.idm.read_only_udm.intermediary.ip |
O endereço IP é extraído do campo gw e atribuído ao campo UDM. |
| id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
O valor do campo id é atribuído aos dois campos do UDM. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Um rótulo com a chave "maxThroughput" e o valor do campo maxThroughput é adicionado ao campo UDM. |
| msg | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Se fw_action não for "drop" ou appcat estiver vazio, o valor do campo msg será atribuído a event.idm.read_only_udm.security_result.summary. Caso contrário, será atribuído a event.idm.read_only_udm.metadata.description. |
| natDst | event.idm.read_only_udm.target.nat_ip |
O endereço IP é extraído do campo natDst e atribuído ao campo UDM. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
O endereço IP é extraído do campo natSrc e atribuído ao campo UDM. |
| nota | event.idm.read_only_udm.security_result.description |
O valor do campo note, depois de extrair dstip, srcip, gw e sec_desc, é atribuído ao campo UDM. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Um rótulo com a chave "packetsIn" e o valor do campo packetsIn é adicionado ao campo UDM. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Um rótulo com a chave "packetsOut" e o valor do campo packetsOut é adicionado ao campo UDM. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Um rótulo com a chave "packetsTotal" e o valor do campo packetsTotal é adicionado ao campo UDM. |
| pri | event.idm.read_only_udm.security_result.severity |
O valor do campo pri determina o valor do campo UDM: 0, 1, 2 -> CRITICAL; 3 -> ERROR; 4 -> MEDIUM; 5, 7 -> LOW; 6 -> INFORMATIONAL. |
| proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Se proto contiver "udp", o ip_protocol do UDM será definido como "UDP" e event_type será definido como "NETWORK_CONNECTION". Se proto contiver "https", o application_protocol do UDM será definido como "HTTPS". |
| rcvd | event.idm.read_only_udm.network.received_bytes |
O valor do campo rcvd é convertido em um número inteiro sem sinal e atribuído ao campo UDM. |
| regra | event.idm.read_only_udm.security_result.rule_name |
O valor do campo rule é atribuído ao campo UDM. |
| sec_desc | event.idm.read_only_udm.security_result.description |
O valor do campo sec_desc é atribuído ao campo UDM. |
| enviado | event.idm.read_only_udm.network.sent_bytes |
O valor do campo sent é convertido em um número inteiro sem sinal e atribuído ao campo UDM. |
| sess | event.idm.read_only_udm.security_result.detection_fields |
Um campo de detecção com a chave "Tipo de sessão" e o valor do campo sess é adicionado ao campo UDM. |
| sn | event.idm.read_only_udm.additional.fields |
Um rótulo com a chave "SN" e o valor do campo sn é adicionado ao campo UDM. |
| spkt | event.idm.read_only_udm.network.sent_packets |
O valor do campo spkt é convertido em um número inteiro e atribuído ao campo UDM. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
O IP e a porta são extraídos do campo src. Se srcV6 não estiver vazio, o IP será extraído de srcV6. |
| srcMac | event.idm.read_only_udm.principal.mac |
O valor do campo srcMac é atribuído ao campo UDM. |
| srcV6 | event.idm.read_only_udm.principal.ip |
O IP é extraído do campo srcV6. |
| srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Se srcip contiver "-", um rótulo com a chave "srcip" e o valor do campo srcip será adicionado a event.idm.read_only_udm.additional.fields. Caso contrário, o valor de srcip será atribuído a event.idm.read_only_udm.principal.ip. |
| tempo | event.idm.read_only_udm.metadata.event_timestamp |
O valor do campo time é analisado e convertido em um carimbo de data/hora, que é atribuído ao campo UDM. |
| tipo | event.idm.read_only_udm.network.ip_protocol |
Se o campo proto for "icmp", o campo UDM será definido como "ICMP". |
| user/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Se user estiver vazio, o valor de usr será usado. Se o valor contiver "@", ele será tratado como um endereço de e-mail e adicionado a email_addresses. Se ele contiver um espaço, será tratado como um nome de exibição. Caso contrário, ele é tratado como um userid. |
| vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Um campo de detecção com a chave "vpnpolicy" e o valor do campo vpnpolicy é adicionado ao campo do UDM. Fixado em "SonicWall". Fixado em "Firewall". Fixado em "SONIC_FIREWALL". Determinado pela lógica com base nos valores de outros campos. O padrão é "GENERIC_EVENT", pode ser "STATUS_UPDATE", "NETWORK_CONNECTION" ou "NETWORK_HTTP". |
Alterações
2024-06-04
- O alinhamento de "principal.asset.ip" e "target.asset.ip" foi removido.
- Se o valor do IP estiver no formato de intervalo, "src" e "dst" serão mapeados para "additional.fields".
- "gw" foi mapeado para "intermediary.ip".
2024-05-29
- O grok foi modificado para analisar o campo "sn".
- "Sn" foi mapeado para "intermediary.asset_id".
2024-05-29
- "firewall_hostname" foi mapeado para "intermediary.hostname".
- O padrão Grok foi modificado para analisar o campo "sn".
- "Sn" foi mapeado para "intermediary.asset_id".
2024-04-18
- O mapeamento de "fw" foi alterado de "observer.ip" para "principal.ip".
- O mapeamento de "id" mudou de "resource.id" para "principal.hostname".
2023-05-26
- Melhoria:
- Mapeamos "fw_action" para "security_result.action_details".
- "spkt" foi mapeado para "network.sent_packets".
2023-03-08
- Melhoria:
- Adicionamos uma verificação de condição ao campo "Usuário" para analisar o campo apropriado (por exemplo, principal.user.email_addresses ou principal.user.user_display_name ou principal.user.userid).
- "pri" foi removido de "security_result.detection_fields" e mapeado para "security_result.severity".
- "usr" foi associado a "principal.user.email_addresses".
- O campo "vpnpolicy" foi mapeado para "security_result.detection_fields".
- O campo "cdur" foi mapeado para "security_result.detection_fields".
- O campo "sess" foi mapeado para "security_result.detection_fields".
2023-03-06
- Melhoria:
- O "fw" foi mapeado para "observer.ip" em vez de target.ip.
2023-02-22
- Melhoria:
- Os eventos estão analisando o tráfego como "NETWORK_HTTP", que são mapeados para "NETWORK_CONNECTION", quando o protocolo não é HTTP.
- "Msg" foi mapeado para "security_result.summary", em que "fw_action" é igual a "drop". "BLOCK" foi mapeado para "security_result.action".
- Mapeamos "fw" para "observer.ip" e "src" para "principal.ip".
2022-06-24
- Melhoria:
- Mapeamos "msg" para "security_result.summary".
- Onde "fw_action" é igual a "drop". "BLOCK" foi mapeado para "security_result.action".
- "Sent" foi mapeado para "network.sent_bytes".
- "rcvd" foi associado a "network.received_bytes".
- Mapeamos "usr" para "principal.user.userid".
- Mapeamos "pri" para "additional.fields".
- Mapeamos "sn" para "additional.fields".
- O "id" foi mapeado para "target.resource.id".
2022-05-26
- Correção de bugs:
- Duração mapeada para network.session_duration.seconds.
- O usuário foi mapeado para principal.user.userid.
- O agente foi mapeado para network.http.user_agent.
- Mapeamos avgThroughput para target.resource.attribute.labels.
- BytesIn mapeados para network.sent_bytes.
- bytesOut mapeado para network.received_bytes.
- Mapeou bytesTotal para target.resource.attribute.labels.
- Mapeamos maxThroughput para target.resource.attribute.labels.
- dst mapeado para target.ip.
- fw foi associado a principal.ip.
- O mapeamento de pri para event.idm.read_only_udm.additional.fields.
2022-05-19
- Melhoria: o analisador foi convertido de SDM para UDM (mudança de mapeamento de campos de webproxy para campos de evento).