Collecter les journaux UTM Sophos

Compatible avec:

Ce document explique comment collecter les journaux UTM Sophos à l'aide d'un transfert Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion SOPHOS_UTM.

Configurer le point UTM Sophos

  1. Connectez-vous à la console Sophos UTM à l'aide d'identifiants administrateur.
  2. Sélectionnez Journalisation et création de rapports > Paramètres des journaux. L'onglet Journalisation locale est activé par défaut.
  3. Cliquez sur l'onglet Serveur syslog distant.
  4. Cliquez sur le bouton d'activation pour activer l'onglet Serveur syslog distant.

  5. Dans la section Remote syslog settings (Paramètres syslog distants), dans le champ Syslog servers (Serveurs Syslog), ajoutez ou modifiez les paramètres du serveur syslog:

    • Pour ajouter les paramètres du serveur Syslog, cliquez sur + Ajouter un serveur Syslog.

      Dans la boîte de dialogue Ajouter un serveur Syslog, procédez comme suit:

      1. Dans le champ Nom, saisissez le nom du serveur syslog.
      2. Dans le champ Server (Serveur), saisissez les détails du serveur Syslog.
      3. Dans le champ Port, saisissez les informations sur le port du serveur syslog.
      4. Cliquez sur Enregistrer.

    • Pour modifier les paramètres du serveur Syslog, cliquez sur Modifier, puis modifiez les paramètres.

  6. Dans le champ Tampon syslog distant, saisissez la valeur par défaut, par exemple 1 000.

  7. Dans la section Sélection des journaux syslog distants, sélectionnez les journaux suivants qui doivent être envoyés au serveur syslog distant:

    • Protection avancée contre les menaces
    • Daemon de configuration
    • Pare-feu
    • Système de prévention des intrusions
    • Connexions locales
    • Sous-système de journalisation
    • Messages système
    • Daemon d'authentification des utilisateurs
    • Filtrage Web

  8. Cliquez sur Appliquer pour enregistrer les modifications.

Configurer le transfert Google Security Operations pour ingérer les journaux UTM Sophos

  1. Accédez à Paramètres du SIEM > Transferts.
  2. Cliquez sur Ajouter un forwarder.
  3. Dans le champ Nom du transmettant, saisissez un nom unique pour le transmettant.
  4. Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
  5. Dans le champ Nom du collecteur, saisissez un nom.
  6. Sélectionnez Sophos UTM comme Type de journal.
  7. Sélectionnez Syslog comme type de collecteur.
  8. Configurez les paramètres d'entrée obligatoires suivants :
    • Protocole: spécifiez le protocole de connexion que le collecteur utilisera pour écouter les données syslog.
    • Address (Adresse) : spécifiez l'adresse IP ou le nom d'hôte cible où le collecteur réside et écoute les données syslog.
    • Port: spécifiez le port cible sur lequel le collecteur se trouve et écoute les données syslog.
  9. Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google Security Operations, consultez la documentation sur les transferts Google Security Operations.

Pour en savoir plus sur les exigences de chaque type de forwarder, consultez la section Configuration des forwarders par type.

Si vous rencontrez des problèmes lorsque vous créez des transferts, contactez l'assistance Google Security Operations.

Référence du mappage de champs

Cet analyseur Sophos UTM extrait des paires clé-valeur et d'autres champs des journaux du pare-feu Sophos UTM, et les convertit au format UDM. Il gère différents types de journaux, y compris les événements de pare-feu, les événements DHCP et les événements de connexion/déconnexion des utilisateurs, en mappant les champs pertinents sur leurs homologues UDM correspondants et en enrichissant les données avec un contexte supplémentaire.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
action security_result.action Si action est "pass" ou "accept", mappez-le sur "ALLOW". Si action est "drop", mappez-le sur "BLOCK".
ad_domain target.administrative_domain Mappage direct.
address target.ip, target.asset.ip Mappage direct, utilisé lorsque id est "2203".
application target.application Mappage direct.
app-id additional.fields[].key, additional.fields[].value.string_value Renommé en app_id. Si elle n'est pas vide, la clé est définie sur "app-id" et la valeur est le app-id lui-même.
application principal.application Mappage direct.
aptptime additional.fields[].key, additional.fields[].value.string_value Si elle n'est pas vide, la clé est définie sur "aptptime" et la valeur est la aptptime elle-même.
auth extensions.auth.auth_details Mappage direct.
authtime additional.fields[].key, additional.fields[].value.string_value Si la valeur n'est pas vide et n'est pas égale à "0", la clé est définie sur "authtime" et la valeur est l'authtime elle-même.
avscantime additional.fields[].key, additional.fields[].value.string_value Si la valeur n'est pas vide et n'est pas égale à "0", la clé est définie sur "avscantime" et la valeur est l'avscantime elle-même.
category security_result.detection_fields[].key, security_result.detection_fields[].value Si elle n'est pas vide, la clé est définie sur "category" et la valeur est category elle-même. Si name contient "portscan", security_result.category est défini sur "NETWORK_RECON" et un champ de détection avec la clé "category" et la valeur "NETWORK_RECON" est ajouté.
categoryname security_result.category_details Mappage direct.
connexion security_result.rule_name Mappage direct, utilisé lorsque id est "2203".
Données content-type (Voir les autres champs) Le champ data contient des paires clé-valeur qui sont analysées dans des champs individuels.
Date/Heure metadata.event_timestamp Analysé et mappé en secondes depuis l'epoch.
appareil additional.fields[].key, additional.fields[].value.string_value Si la valeur n'est pas vide et n'est pas égale à "0", la clé est définie sur "device" et la valeur est device elle-même.
dnstime additional.fields[].key, additional.fields[].value.string_value Si la valeur n'est pas vide et n'est pas égale à "0", la clé est définie sur "dnstime" et la valeur est l'dnstime elle-même.
dstip target.ip, target.asset.ip Mappage direct. Également extrait du champ url, le cas échéant.
dstmac target.mac Mappage direct.
dstport target.port Mappage direct, converti en entier.
événement d'erreur security_result.summary Mappage direct, utilisé lorsque id est "2201", "2202" ou "2203".
exceptions additional.fields[].key, additional.fields[].value.string_value Si elle n'est pas vide, la clé est définie sur "exceptions" et la valeur est la exceptions elle-même.
fichier about.file.full_path Mappage direct.
filteraction security_result.rule_name Mappage direct.
fullreqtime additional.fields[].key, additional.fields[].value.string_value Si elle n'est pas vide, la clé est définie sur "fullreqtime" et la valeur est fullreqtime elle-même.
fwrule security_result.rule_id Mappage direct.
groupe target.group.group_display_name Mappage direct.
id metadata.product_log_id Mappage direct.
info security_result.description Mappage direct. Si elle est présente, metadata.event_type est définie sur "NETWORK_UNCATEGORIZED".
Interface initf security_result.about.labels[].key, security_result.about.labels[].value Si ce n'est pas le cas, un libellé avec la clé "Interface" et la valeur interface est ajouté à security_result.about.labels.
ip_address target.ip, target.asset.ip Mappage direct.
message de ligne de longueur security_result.summary Utilisé lorsque id est "0003". Utilisé également pour l'analyse grok générale.
méthode network.http.method Mappage direct.
nom security_result.summary Mappage direct.
pid outitf target.process.pid Mappage direct.
port target.port Mappage direct, converti en entier.
profil prec security_result.rule_name Mappage direct.
proto network.ip_protocol Converti en nom de protocole IP à l'aide d'une table de recherche.
reason referer network.http.referral_url Mappage direct.
request additional.fields[].key, additional.fields[].value.string_value Si elle n'est pas vide, la clé est définie sur "request" et la valeur est le request lui-même.
réputation additional.fields[].key, additional.fields[].value.string_value Si elle n'est pas vide, la clé est définie sur "reputation" et la valeur est l'reputation elle-même.
rx network.received_bytes Mappage direct, utilisé lorsque id est "2202", converti en entier non signé.
gravité du bac à sable security_result.severity Si severity est "info", mappez-le sur "LOW".
taille target.file.size Mappage direct, converti en entier non signé.
srcip principal.ip, principal.asset.ip Mappage direct.
srcmac principal.mac Mappage direct.
srcport principal.port Mappage direct, converti en entier.
statuscode network.http.response_code Mappage direct, converti en entier.
Pub/Sub. network.application_protocol Si sub est "http", metadata.event_type est défini sur "NETWORK_HTTP" et network.application_protocol sur "HTTP". Si sub est "packetfilter", metadata.description est défini sur sub. Sinon, converti en nom de protocole d'application à l'aide d'une table de recherche. Si aucune correspondance n'est trouvée dans la table de recherche, dstport est utilisé pour la recherche.
sys metadata.product_event_type Mappage direct.
tcpflags tos ttl tx network.sent_bytes Mappage direct, utilisé lorsque id est "2202", converti en entier non signé.
ua network.http.user_agent Mappage direct.
url network.http.referral_url, target.hostname, target.asset.hostname Mappage direct pour network.http.referral_url. Nom d'hôte extrait pour target.hostname et target.asset.hostname. Permet également d'extraire dstip.
utilisateur target.user.userid Mappage direct.
nom d'utilisateur target.user.userid Mappage direct, utilisé lorsque id est "2201" ou "2202".
variante Non inclus dans la version finale de l'UDM, mais utilisé dans la description Utilisé avec sub pour créer security_result.description lorsque id est "2201", "2202" ou "2203".
virtual_ip target.ip, target.asset.ip Mappage direct, utilisé lorsque id est "2201" ou "2202".
metadata.event_type metadata.event_type Initialisé sur "GENERIC_EVENT". Défini sur des valeurs spécifiques en fonction du contenu du journal et de la logique de l'analyseur.
metadata.log_type metadata.log_type Code codé en dur sur "SOPHOS_UTM".
metadata.product_name metadata.product_name Code codé en dur sur "SOPHOS UTM".
metadata.vendor_name metadata.vendor_name Code dur "SOPHOS Ltd".
intermediary.hostname intermediary.hostname Extrait du message de journal à l'aide de grok et renommé.

Modifications

2024-05-29

  • Amélioration :
  • Mappage de "url" sur "target.hostname" et "target.asset.hostname".

2022-06-30

  • Amélioration :
  • Mappage de "size" sur "additional.fields".
  • Mappage de "fullreqtime" sur "additional.fields".
  • Mappage de "category" sur "security_result.detection_fields".
  • Mappage de "device" sur "additional.fields".
  • Mappage de "exceptions" sur "additional.fields".
  • Lorsque "action" est égal à "DROP", "security_result.action" est mappé sur "BLOCK".
  • Mappage de "inter_host" sur "intermediary.hostname".

2022-04-13

  • Amélioration : ajout de mappages pour les champs suivants :
  • 'categoryname' à 'security_result.category_details'.
  • "user" à "target.user.userid"
  • "ad_domain" à "target.administrative_domain"
  • "group" à "target.group.group_display_name"
  • "sys" à "metadata.product_event_type"
  • "application" à "principal.application"
  • "auth" à "extensions.auth.auth_details"
  • "profile" à "security_result1.rule_name"
  • 'app-id', 'reputation', 'request', 'authtime', 'dnstime', 'aptptime', 'cattime', 'avscantime' à 'additional.fields'

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.