此页面由 Cloud Translation API 翻译。

收集 SonicWall 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Google 安全运营转发器收集 SonicWall 日志。

如需了解详情，请参阅将数据提取到 Google 安全运营中心。

提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 SONIC_FIREWALL 注入标签的解析器。

配置 SonicWall 安全设备

登录 SonicWall 控制台。
依次前往日志 > Syslog。
在 Syslog 服务器部分，点击添加。系统随即会显示添加 syslog 服务器窗口。
在名称或 IP 地址字段中，提供 Google 安全运营转发器的主机名或 IP 地址。
如果您的 syslog 配置不使用默认的 514 端口，请在端口号字段中指定端口号。
点击确定。
点击接受以保存所有 Syslog 服务器设置。

配置 Google Security Operations 转发器和 syslog 以注入 SonicWall 日志

依次前往 SIEM 设置 > 转发器。
点击添加新转发器。
在转发器名称字段中，为转发器输入一个唯一的名称。
点击提交。系统会添加转发器，并显示添加收集器配置窗口。
在收集器名称字段中，输入名称。
选择 SonicWall 作为日志类型。
选择 Syslog 作为收集器类型。
配置以下必需的输入参数：
- 协议：指定收集器将用于监听 syslog 数据的连接协议。
- 地址：指定收集器所在的位置并监听 syslog 数据的目标 IP 地址或主机名。
- 端口：指定收集器所在的目标端口，以及收集器监听 syslog 数据的端口。
点击提交。

如需详细了解 Google Security Operations 转发器，请参阅 Google Security Operations 转发器文档。

如需了解每种转发器类型的要求，请参阅按类型配置转发器。

如果您在创建转发器时遇到问题，请与 Google 安全运营支持团队联系。

字段映射参考文档

此解析器会从 SonicWall 防火墙 syslog 消息中提取键值对，对时间戳、IP 地址和端口等各种字段进行标准化处理，并将其映射到 UDM 格式。它可以处理 IPv4 和 IPv6 地址，区分允许的事件和被屏蔽的事件，并提取与安全相关的详细信息，例如规则名称和说明。

UDM 映射表

日志字段	UDM 映射	逻辑
代理	`event.idm.read_only_udm.network.http.user_agent`	`agent` 字段的值会分配给 UDM 字段。
appcat	`event.idm.read_only_udm.security_result.summary`	`appcat` 字段的值会分配给 UDM 字段。如果 `appcat` 包含“PROXY-ACCESS”，则 `event.idm.read_only_udm.security_result.category` 设置为“POLICY_VIOLATION”，`event.idm.read_only_udm.security_result.action` 设置为“BLOCK”。
appid	`event.idm.read_only_udm.security_result.rule_id`	`appid` 字段的值会分配给 UDM 字段。
参数	`event.idm.read_only_udm.target.resource.name`	`arg` 字段的值会分配给 UDM 字段。
avgThroughput	`event.idm.read_only_udm.target.resource.attribute.labels`	系统会将键为“avgThroughput”且值来自 `avgThroughput` 字段的标签添加到 UDM 字段。
bytesIn	`event.idm.read_only_udm.network.received_bytes`	`bytesIn` 字段的值会转换为无符号整数并分配给 UDM 字段。
bytesOut	`event.idm.read_only_udm.network.sent_bytes`	`bytesOut` 字段的值会转换为无符号整数并分配给 UDM 字段。
bytesTotal	`event.idm.read_only_udm.target.resource.attribute.labels`	系统会将键为“bytesTotal”且值来自 `bytesTotal` 字段的标签添加到 UDM 字段。
类别	`event.idm.read_only_udm.security_result.category_details`	`Category` 字段的值会分配给 UDM 字段。
cdur	`event.idm.read_only_udm.security_result.detection_fields`	系统会向 UDM 字段添加一个键为“连接时长（毫秒）”且值来自 `cdur` 字段的检测字段。
dst	`event.idm.read_only_udm.target.ip`，`event.idm.read_only_udm.target.port`	IP 地址和端口是从 `dst` 字段中提取的。如果 `dstV6` 不为空，则系统会改为从 `dstV6` 中提取 IP。
dstMac	`event.idm.read_only_udm.target.mac`	`dstMac` 字段的值会分配给 UDM 字段。
dstV6	`event.idm.read_only_udm.target.ip`	IP 会从 `dstV6` 字段中提取。
dstname	`event.idm.read_only_udm.target.hostname`	如果 `dstname` 不是 IP 地址，则其值会分配给 UDM 字段。
时长	`event.idm.read_only_udm.network.session_duration.seconds`	`duration` 字段的值会转换为整数，并分配给 UDM 字段。
fw	`event.idm.read_only_udm.principal.ip`	`fw` 字段的值会分配给 UDM 字段。如果 `fw` 包含“-”，系统会向 `event.idm.read_only_udm.additional.fields` 添加一个键为“fw”且值来自 `fw` 字段的标签。
fw_action	`event.idm.read_only_udm.security_result.action_details`、`event.idm.read_only_udm.security_result.summary`、`event.idm.read_only_udm.security_result.action`	`fw_action` 字段的值被分配给 `event.idm.read_only_udm.security_result.action_details`。如果 `fw_action` 为“drop”，则 `event.idm.read_only_udm.security_result.action` 设为“BLOCK”，`event.idm.read_only_udm.security_result.summary` 设为 `msg` 的值。
gw	`event.idm.read_only_udm.intermediary.ip`	系统会从 `gw` 字段中提取 IP 地址，并将其分配给 UDM 字段。
id	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	`id` 字段的值会分配给这两个 UDM 字段。
maxThroughput	`event.idm.read_only_udm.target.resource.attribute.labels`	系统会将键为“maxThroughput”且值来自 `maxThroughput` 字段的标签添加到 UDM 字段。
msg	`event.idm.read_only_udm.security_result.summary`，`event.idm.read_only_udm.metadata.description`	如果 `fw_action` 不是“drop”或 `appcat` 为空，则 `msg` 字段的值会分配给 `event.idm.read_only_udm.security_result.summary`。否则，系统会将其分配给 `event.idm.read_only_udm.metadata.description`。
natDst	`event.idm.read_only_udm.target.nat_ip`	系统会从 `natDst` 字段中提取 IP 地址，并将其分配给 UDM 字段。
natSrc	`event.idm.read_only_udm.principal.nat_ip`	系统会从 `natSrc` 字段中提取 IP 地址，并将其分配给 UDM 字段。
note	`event.idm.read_only_udm.security_result.description`	提取 `dstip`、`srcip`、`gw` 和 `sec_desc` 后，`note` 字段的值会分配给 UDM 字段。
packetsIn	`event.idm.read_only_udm.target.resource.attribute.labels`	系统会将键为“packetsIn”且值来自 `packetsIn` 字段的标签添加到 UDM 字段。
packetsOut	`event.idm.read_only_udm.target.resource.attribute.labels`	系统会将键为“packetsOut”且值来自 `packetsOut` 字段的标签添加到 UDM 字段。
packetsTotal	`event.idm.read_only_udm.target.resource.attribute.labels`	系统会将键为“packetsTotal”且值来自 `packetsTotal` 字段的标签添加到 UDM 字段。
pri	`event.idm.read_only_udm.security_result.severity`	`pri` 字段的值决定了 UDM 字段的值：0、1、2 -> 严重；3 -> 错误；4 -> 中等；5、7 -> 低；6 -> 信息。
proto	`event.idm.read_only_udm.network.ip_protocol`、`event.idm.read_only_udm.network.application_protocol`、`event.idm.read_only_udm.metadata.event_type`	如果 `proto` 包含“udp”，则 UDM `ip_protocol` 设置为“UDP”，`event_type` 设置为“NETWORK_CONNECTION”。如果 `proto` 包含“https”，则 UDM `application_protocol` 会设置为“HTTPS”。
rcvd	`event.idm.read_only_udm.network.received_bytes`	`rcvd` 字段的值会转换为无符号整数并分配给 UDM 字段。
规则	`event.idm.read_only_udm.security_result.rule_name`	`rule` 字段的值会分配给 UDM 字段。
sec_desc	`event.idm.read_only_udm.security_result.description`	`sec_desc` 字段的值会分配给 UDM 字段。
sent	`event.idm.read_only_udm.network.sent_bytes`	`sent` 字段的值会转换为无符号整数并分配给 UDM 字段。
sess	`event.idm.read_only_udm.security_result.detection_fields`	系统会向 UDM 字段添加一个键为“会话类型”且值来自 `sess` 字段的检测字段。
sn	`event.idm.read_only_udm.additional.fields`	系统会将键为“SN”且值来自 `sn` 字段的标签添加到 UDM 字段。
spkt	`event.idm.read_only_udm.network.sent_packets`	`spkt` 字段的值会转换为整数并分配给 UDM 字段。
src	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.port`	IP 地址和端口是从 `src` 字段中提取的。如果 `srcV6` 不为空，则系统会改为从 `srcV6` 中提取 IP。
srcMac	`event.idm.read_only_udm.principal.mac`	`srcMac` 字段的值会分配给 UDM 字段。
srcV6	`event.idm.read_only_udm.principal.ip`	IP 会从 `srcV6` 字段中提取。
srcip	`event.idm.read_only_udm.additional.fields`，`event.idm.read_only_udm.principal.ip`	如果 `srcip` 包含“-”，系统会向 `event.idm.read_only_udm.additional.fields` 添加一个键为“srcip”且值来自 `srcip` 字段的标签。否则，系统会将 `srcip` 的值分配给 `event.idm.read_only_udm.principal.ip`。
时间	`event.idm.read_only_udm.metadata.event_timestamp`	系统会解析 `time` 字段的值并将其转换为时间戳，然后将该时间戳分配给 UDM 字段。
类型	`event.idm.read_only_udm.network.ip_protocol`	如果 `proto` 字段为“icmp”，则 UDM 字段设置为“ICMP”。
user/usr	`event.idm.read_only_udm.principal.user.email_addresses`、`event.idm.read_only_udm.principal.user.user_display_name`、`event.idm.read_only_udm.principal.user.userid`	如果 `user` 为空，则系统会改用 `usr` 的值。如果该值包含“@”，则会被视为电子邮件地址并添加到 `email_addresses`。如果包含空格，则系统会将其视为显示名称。否则，系统会将其视为用户 ID。
vpnpolicy	`event.idm.read_only_udm.security_result.detection_fields`	系统会将键为“vpnpolicy”且值来自 `vpnpolicy` 字段的检测字段添加到 UDM 字段。已硬编码为“SonicWall”。已硬编码为“防火墙”。已硬编码为“SONIC_FIREWALL”。由逻辑根据其他字段的值确定。默认为“GENERIC_EVENT”，可以是“STATUS_UPDATE”“NETWORK_CONNECTION”或“NETWORK_HTTP”。

变化

2024-06-04

移除了“principal.asset.ip”和“target.asset.ip”的对齐。
如果 IP 地址值采用范围格式，则“src”和“dst”会映射到“additional.fields”。
将“gw”映射到“intermediary.ip”。

2024-05-29

修改了 Grok 以解析“sn”字段。
将“sn”映射到“intermediary.asset_id”。

2024-05-29

将“firewall_hostname”映射到“intermediary.hostname”。
修改了 Grok 模式，以解析字段“sn”。
将“sn”映射到“intermediary.asset_id”。

2024-04-18

将“fw”的映射从“observer.ip”更改为“principal.ip”。
将“id”的映射从“resource.id”更改为“principal.hostname”。

2023-05-26

增强功能 -
将“fw_action”映射到“security_result.action_details”。
将“spkt”映射到“network.sent_packets”。

2023-03-08

增强功能 -
向“用户”字段添加了条件检查，以解析适当的字段（即 principal.user.email_addresses 或 principal.user.user_display_name 或 principal.user.userid）。
从“security_result.detection_fields”中移除了“pri”，并将其映射到“security_result.severity”。
将“usr”映射到“principal.user.email_addresses”。
将“vpnpolicy”字段映射到“security_result.detection_fields”。
将“cdur”字段映射到“security_result.detection_fields”。
将“sess”字段映射到“security_result.detection_fields”。

2023-03-06

增强功能 -
将“fw”映射到“observer.ip”，而不是 target.ip。

2023-02-22

增强功能 -
当协议不是 HTTP 时，事件会将解析为“NETWORK_HTTP”的流量映射到“NETWORK_CONNECTION”。
将“msg”映射到“security_result.summary”，其中“fw_action”等于“drop”；将“BLOCK”映射到“security_result.action”。
将“fw”映射到“observer.ip”，将“src”映射到“principal.ip”。

2022-06-24

增强功能 -
将“msg”映射到“security_result.summary”。
其中“fw_action”等于“drop”已将“BLOCK”映射到“security_result.action”。
将“sent”映射到“network.sent_bytes”。
将“rcvd”映射到“network.received_bytes”。
将“usr”映射到“principal.user.userid”。
将“pri”映射到“additional.fields”。
将“sn”映射到“additional.fields”。
将“id”映射到“target.resource.id”。

2022-05-26

bug 修复 -
将时长映射到 network.session_duration.seconds。
将用户映射到 principal.user.userid。
将代理映射到 network.http.user_agent。
将 avgThroughput 映射到 target.resource.attribute.labels。
将 bytesIn 映射到 network.sent_bytes。
将 bytesOut 映射到 network.received_bytes。
将 bytesTotal 映射到 target.resource.attribute.labels。
将 maxThroughput 映射到 target.resource.attribute.labels。
将 dst 映射到 target.ip。
将 fw 映射到 principal.ip。
将主要键映射到 event.idm.read_only_udm.additional.fields。

2022-05-19

增强功能 - 将解析器从 SDM 转换为 UDM（将映射从 webproxy 字段更改为事件字段）。