Mengumpulkan log Sophos UTM
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Sophos UTM dengan menggunakan forwarder Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer SOPHOS_UTM.
Mengonfigurasi titik UTM Sophos
- Login ke konsol Sophos UTM menggunakan kredensial administrator.
- Pilih Logging & reporting > Log settings. Tab Logging lokal diaktifkan secara default.
- Klik tab Remote syslog server.
- Klik tombol untuk mengaktifkan tab Remote syslog server.
Di bagian Remote syslog settings, di kolom Syslog servers, tambahkan atau ubah setelan server syslog:
Untuk menambahkan setelan Server syslog, klik + Tambahkan server syslog.
Pada dialog Add syslog server, lakukan hal berikut:
- Di kolom Name, masukkan nama server syslog.
- Di kolom Server, masukkan detail server syslog.
- Di kolom Port, masukkan detail port server syslog.
- Klik Simpan.
Untuk mengubah setelan Server syslog, klik Edit, lalu perbarui setelan.
Di kolom Remote syslog buffer, masukkan nilai default, seperti 1000.
Di bagian Remote syslog log selection, pilih log berikut yang harus dikirim ke server syslog jarak jauh:
- Perlindungan ancaman lanjutan
- Daemon konfigurasi
- Firewall
- Intrusion prevention system
- Login lokal
- Subsistem logging
- Pesan sistem
- Daemon autentikasi pengguna
- Pemfilteran web
Klik Terapkan untuk menyimpan perubahan.
Mengonfigurasi penerusan Google Security Operations untuk menyerap log Sophos UTM
- Buka Setelan SIEM > Penerima.
- Klik Tambahkan penerusan baru.
- Di kolom Forwarder Name, masukkan nama unik untuk pengirim.
- Klik Kirim. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
- Di kolom Nama kolektor, ketik nama.
- Pilih Sophos UTM sebagai Log type.
- Pilih Syslog sebagai Jenis kolektor.
- Konfigurasikan parameter input wajib berikut:
- Protokol: menentukan protokol koneksi yang akan digunakan kolektor untuk memproses data syslog.
- Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
- Port: menentukan port target tempat kolektor berada dan memproses data syslog.
- Klik Kirim.
Untuk informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations.
Untuk mengetahui informasi tentang persyaratan untuk setiap jenis forwarder, lihat Konfigurasi forwarder menurut jenis.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser Sophos UTM ini mengekstrak pasangan nilai kunci dan kolom lainnya dari log firewall Sophos UTM, yang mengonversinya menjadi format UDM. Fitur ini menangani berbagai jenis log, termasuk peristiwa firewall, peristiwa DHCP, dan peristiwa login/logout pengguna, memetakan kolom yang relevan ke kolom UDM yang sesuai, dan memperkaya data dengan konteks tambahan.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| action | security_result.action |
Jika action adalah "pass" atau "accept", petakan ke "ALLOW". Jika action adalah "drop", petakan ke "BLOCK". |
| ad_domain | target.administrative_domain |
Pemetaan langsung. |
| alamat | target.ip, target.asset.ip |
Pemetaan langsung, digunakan saat id adalah "2203". |
| aplikasi | target.application |
Pemetaan langsung. |
| app-id | additional.fields[].key, additional.fields[].value.string_value |
Diganti namanya menjadi app_id. Jika tidak kosong, kunci ditetapkan ke "app-id" dan nilainya adalah app-id itu sendiri. |
| application | principal.application |
Pemetaan langsung. |
| aptptime | additional.fields[].key, additional.fields[].value.string_value |
Jika tidak kosong, kunci ditetapkan ke "aptptime" dan nilainya adalah aptptime itu sendiri. |
| auth | extensions.auth.auth_details |
Pemetaan langsung. |
| authtime | additional.fields[].key, additional.fields[].value.string_value |
Jika tidak kosong dan bukan "0", kunci akan ditetapkan ke "authtime" dan nilainya adalah authtime itu sendiri. |
| avscantime | additional.fields[].key, additional.fields[].value.string_value |
Jika tidak kosong dan bukan "0", kunci akan ditetapkan ke "avscantime" dan nilainya adalah avscantime itu sendiri. |
| category | security_result.detection_fields[].key, security_result.detection_fields[].value |
Jika tidak kosong, kunci ditetapkan ke "kategori" dan nilainya adalah category itu sendiri. Jika name berisi "portscan", security_result.category ditetapkan ke "NETWORK_RECON" dan kolom deteksi dengan kunci "category" dan nilai "NETWORK_RECON" ditambahkan. |
| categoryname | security_result.category_details |
Pemetaan langsung. |
| koneksi | security_result.rule_name |
Pemetaan langsung, digunakan saat id adalah "2203". |
| data content-type | (Lihat kolom lainnya) | Kolom data berisi pasangan nilai kunci yang diuraikan ke dalam setiap kolom. |
| datetime | metadata.event_timestamp |
Diurai dan dipetakan sebagai detik sejak epoch. |
| device | additional.fields[].key, additional.fields[].value.string_value |
Jika tidak kosong dan bukan "0", kunci akan ditetapkan ke "device" dan nilainya adalah device itu sendiri. |
| dnstime | additional.fields[].key, additional.fields[].value.string_value |
Jika tidak kosong dan bukan "0", kunci akan ditetapkan ke "dnstime" dan nilainya adalah dnstime itu sendiri. |
| dstip | target.ip, target.asset.ip |
Pemetaan langsung. Juga diekstrak dari kolom url jika ada. |
| dstmac | target.mac |
Pemetaan langsung. |
| dstport | target.port |
Pemetaan langsung, dikonversi menjadi bilangan bulat. |
| peristiwa error | security_result.summary |
Pemetaan langsung, digunakan saat id adalah "2201", "2202", atau "2203". |
| exceptions | additional.fields[].key, additional.fields[].value.string_value |
Jika tidak kosong, kunci ditetapkan ke "exceptions" dan nilainya adalah exceptions itu sendiri. |
| file | about.file.full_path |
Pemetaan langsung. |
| filteraction | security_result.rule_name |
Pemetaan langsung. |
| fullreqtime | additional.fields[].key, additional.fields[].value.string_value |
Jika tidak kosong, kunci ditetapkan ke "fullreqtime" dan nilainya adalah fullreqtime itu sendiri. |
| fwrule | security_result.rule_id |
Pemetaan langsung. |
| grup | target.group.group_display_name |
Pemetaan langsung. |
| id | metadata.product_log_id |
Pemetaan langsung. |
| info | security_result.description |
Pemetaan langsung. Jika ada, metadata.event_type ditetapkan ke "NETWORK_UNCATEGORIZED". |
| antarmuka initf | security_result.about.labels[].key, security_result.about.labels[].value |
Jika tidak kosong, label dengan kunci "Interface" dan nilai interface akan ditambahkan ke security_result.about.labels. |
| ip_address | target.ip, target.asset.ip |
Pemetaan langsung. |
| pesan baris panjang | security_result.summary |
Digunakan saat id adalah "0003". Juga digunakan untuk penguraian grok umum. |
| method | network.http.method |
Pemetaan langsung. |
| nama | security_result.summary |
Pemetaan langsung. |
| pid outitf | target.process.pid |
Pemetaan langsung. |
| port | target.port |
Pemetaan langsung, dikonversi menjadi bilangan bulat. |
| profil prec | security_result.rule_name |
Pemetaan langsung. |
| proto | network.ip_protocol |
Dikonversi menjadi nama protokol IP menggunakan tabel pencarian. |
| alasan perujuk | network.http.referral_url |
Pemetaan langsung. |
| permintaan | additional.fields[].key, additional.fields[].value.string_value |
Jika tidak kosong, kunci ditetapkan ke "request" dan nilainya adalah request itu sendiri. |
| reputasi | additional.fields[].key, additional.fields[].value.string_value |
Jika tidak kosong, kunci akan disetel ke "reputasi" dan nilainya adalah reputation itu sendiri. |
| rx | network.received_bytes |
Pemetaan langsung, digunakan saat id adalah "2202", dikonversi menjadi bilangan bulat tanpa tanda tangan. |
| tingkat keparahan sandbox | security_result.severity |
Jika severity adalah "info", petakan ke "LOW". |
| ukuran | target.file.size |
Pemetaan langsung, dikonversi menjadi bilangan bulat tanpa tanda tangan. |
| srcip | principal.ip, principal.asset.ip |
Pemetaan langsung. |
| srcmac | principal.mac |
Pemetaan langsung. |
| srcport | principal.port |
Pemetaan langsung, dikonversi menjadi bilangan bulat. |
| statuscode | network.http.response_code |
Pemetaan langsung, dikonversi menjadi bilangan bulat. |
| sub | network.application_protocol |
Jika sub adalah "http", metadata.event_type ditetapkan ke "NETWORK_HTTP" dan network.application_protocol ditetapkan ke "HTTP". Jika sub adalah "packetfilter", metadata.description ditetapkan ke sub. Jika tidak, dikonversi menjadi nama protokol aplikasi menggunakan tabel pencarian. Jika tidak ada kecocokan yang ditemukan dalam tabel pencarian, dstport akan digunakan untuk pencarian. |
| sys | metadata.product_event_type |
Pemetaan langsung. |
| tcpflags tos ttl tx | network.sent_bytes |
Pemetaan langsung, digunakan saat id adalah "2202", dikonversi menjadi bilangan bulat tanpa tanda tangan. |
| ua | network.http.user_agent |
Pemetaan langsung. |
| url | network.http.referral_url, target.hostname, target.asset.hostname |
Pemetaan langsung untuk network.http.referral_url. Mengekstrak nama host untuk target.hostname dan target.asset.hostname. Juga digunakan untuk mengekstrak dstip. |
| pengguna | target.user.userid |
Pemetaan langsung. |
| nama pengguna | target.user.userid |
Pemetaan langsung, digunakan saat id adalah "2201" atau "2202". |
| varian | Tidak disertakan dalam UDM akhir, tetapi digunakan dalam deskripsi | Digunakan bersama dengan sub untuk membuat security_result.description saat id adalah "2201", "2202", atau "2203". |
| virtual_ip | target.ip, target.asset.ip |
Pemetaan langsung, digunakan saat id adalah "2201" atau "2202". |
metadata.event_type |
metadata.event_type |
Diinisialisasi ke "GENERIC_EVENT". Tetapkan ke nilai tertentu berdasarkan konten log dan logika parser. |
metadata.log_type |
metadata.log_type |
Di-hardcode ke "SOPHOS_UTM". |
metadata.product_name |
metadata.product_name |
Di-hardcode ke "SOPHOS UTM". |
metadata.vendor_name |
metadata.vendor_name |
Di-hardcode ke "SOPHOS Ltd". |
intermediary.hostname |
intermediary.hostname |
Diekstrak dari pesan log menggunakan grok dan diganti namanya. |
Perubahan
2024-05-29
- Peningkatan -
- Memetakan "url" ke "target.hostname" dan "target.asset.hostname".
2022-06-30
- Peningkatan -
- Memetakan "size" ke "additional.fields".
- Memetakan "fullreqtime" ke "additional.fields".
- Memetakan "category" ke "security_result.detection_fields".
- Memetakan "device" ke "additional.fields".
- Memetakan "exceptions" ke "additional.fields".
- Jika "action" sama dengan "DROP", maka Petakan "security_result.action" ke "BLOCK".
- Memetakan "inter_host" ke "intermediary.hostname".
13-04-2022
- Peningkatan - Menambahkan pemetaan untuk kolom berikut:
- 'categoryname' ke 'security_result.category_details'.
- 'user' ke 'target.user.userid'
- 'ad_domain' menjadi 'target.administrative_domain'
- 'group' menjadi 'target.group.group_display_name'
- 'sys' ke 'metadata.product_event_type'
- 'application' menjadi 'principal.application'
- 'auth' menjadi 'extensions.auth.auth_details'
- 'profile' ke 'security_result1.rule_name'
- 'app-id', 'reputation', 'request', 'authtime', 'dnstime', 'aptptime', 'cattime', 'avscantime' ke 'additional.fields'