Sophos-UTM-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Sophos UTM-Logs mit einem Google Security Operations-Weiterleiter erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel SOPHOS_UTM.

Sophos-UTM-Punkt konfigurieren

  1. Melden Sie sich mit Administratoranmeldedaten in der Sophos UTM-Konsole an.
  2. Wählen Sie Logging und Berichte > Protokolleinstellungen aus. Der Tab Lokales Logging ist standardmäßig aktiviert.
  3. Klicken Sie auf den Tab Remote syslog-Server.
  4. Klicken Sie auf die Ein/Aus-Schaltfläche, um den Tab Remote syslog server (Remote-Syslog-Server) zu aktivieren.

  5. Fügen Sie im Bereich Remote-Syslog-Einstellungen im Feld Syslog-Server die Syslog-Servereinstellungen hinzu oder ändern Sie sie:

    • Klicken Sie auf + Syslog-Server hinzufügen, um die Einstellungen für den Syslog-Server hinzuzufügen.

      Führen Sie im Dialogfeld Syslog-Server hinzufügen die folgenden Schritte aus:

      1. Geben Sie im Feld Name den Namen des syslog-Servers ein.
      2. Geben Sie im Feld Server die Details zum syslog-Server ein.
      3. Geben Sie im Feld Port die Details zum syslog-Serverport ein.
      4. Klicken Sie auf Speichern.

    • Wenn Sie die Einstellungen für den Syslog-Server ändern möchten, klicken Sie auf Bearbeiten und aktualisieren Sie die Einstellungen.

  6. Geben Sie im Feld Remote syslog buffer den Standardwert ein, z. B. 1.000.

  7. Wählen Sie im Bereich Auswahl der Remote-Syslog-Protokolle die folgenden Protokolle aus, die an den Remote-Syslog-Server gesendet werden müssen:

    • Erweitertes Sicherheitssystem
    • Konfigurations-Daemon
    • Firewall
    • Intrusion Prevention System
    • Lokale Anmeldungen
    • Logging-Subsystem
    • Systemmeldungen
    • User Authentication Daemon
    • Webfilter

  8. Klicken Sie auf Übernehmen, um die Änderungen zu speichern.

Google Security Operations-Weiterleiter für die Aufnahme von Sophos UTM-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Weiterleitungen.
  2. Klicken Sie auf Neuen Weiterleiter hinzufügen.
  3. Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
  4. Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
  5. Geben Sie im Feld Name des Datensammlers einen Namen ein.
  6. Wählen Sie Sophos UTM als Logtyp aus.
  7. Wählen Sie Syslog als Typ des Collectors aus.
  8. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector zum Abhören von syslog-Daten verwendet.
    • Adresse: Geben Sie die Ziel-IP-Adresse oder den Ziel-Hostnamen an, an dem sich der Collector befindet und auf syslog-Daten wartet.
    • Port: Geben Sie den Zielport an, an dem sich der Collector befindet und auf syslog-Daten wartet.
  9. Klicken Sie auf Senden.

Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen.

Informationen zu den Anforderungen für die einzelnen Weiterleitungstypen finden Sie unter Weiterleitungskonfiguration nach Typ.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Sophos UTM-Parser extrahiert Schlüssel/Wert-Paare und andere Felder aus Sophos UTM-Firewall-Logs und konvertiert sie in das UDM-Format. Es werden verschiedene Protokolltypen verarbeitet, darunter Firewall-, DHCP- und Nutzeranmelde-/-abmeldeereignisse. Dabei werden relevante Felder den entsprechenden UDM-Entsprechungen zugeordnet und die Daten mit zusätzlichem Kontext angereichert.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Aktion security_result.action Wenn action „Pass“ oder „Accept“ ist, ordnen Sie „ALLOW“ zu. Wenn action „drop“ ist, ordnen Sie „BLOCK“ zu.
ad_domain target.administrative_domain Direkte Zuordnung.
Adresse target.ip, target.asset.ip Direkte Zuordnung, verwendet, wenn id „2203“ ist.
App target.application Direkte Zuordnung.
app-id additional.fields[].key, additional.fields[].value.string_value Wurde in app_id umbenannt. Wenn der Schlüssel nicht leer ist, wird er auf „app-id“ gesetzt und der Wert ist die app-id selbst.
Anwendung principal.application Direkte Zuordnung.
aptptime additional.fields[].key, additional.fields[].value.string_value Ist der Schlüssel nicht leer, wird er auf „aptptime“ gesetzt und der Wert ist aptptime selbst.
auth extensions.auth.auth_details Direkte Zuordnung.
authtime additional.fields[].key, additional.fields[].value.string_value Wenn der Wert nicht leer und nicht „0“ ist, wird der Schlüssel auf „authtime“ und der Wert auf authtime selbst festgelegt.
avscantime additional.fields[].key, additional.fields[].value.string_value Wenn der Wert nicht leer und nicht „0“ ist, wird der Schlüssel auf „avscantime“ und der Wert auf avscantime selbst festgelegt.
Kategorie security_result.detection_fields[].key, security_result.detection_fields[].value Ist das Feld nicht leer, wird der Schlüssel auf „category“ und der Wert auf die category selbst festgelegt. Wenn name „portscan“ enthält, wird security_result.category auf „NETWORK_RECON“ gesetzt und ein Erkennungsfeld mit dem Schlüssel „category“ und dem Wert „NETWORK_RECON“ wird hinzugefügt.
categoryname security_result.category_details Direkte Zuordnung.
Verbindung security_result.rule_name Direkte Zuordnung, verwendet, wenn id „2203“ ist.
Daten zum Inhaltstyp (Siehe andere Felder) Das Feld data enthält Schlüssel/Wert-Paare, die in einzelne Felder analysiert werden.
Datum/Uhrzeit metadata.event_timestamp Wird geparst und als Sekunden seit der Epoche zugeordnet.
Gerät additional.fields[].key, additional.fields[].value.string_value Wenn der Wert nicht leer und nicht „0“ ist, wird der Schlüssel auf „device“ gesetzt und der Wert ist die device selbst.
dnstime additional.fields[].key, additional.fields[].value.string_value Wenn der Wert nicht leer und nicht „0“ ist, wird der Schlüssel auf „dnstime“ und der Wert auf dnstime selbst festgelegt.
dstip target.ip, target.asset.ip Direkte Zuordnung. Wird auch aus dem Feld url extrahiert, sofern vorhanden.
dstmac target.mac Direkte Zuordnung.
dstport target.port Direkte Zuordnung, in Ganzzahl umgewandelt.
Fehlerereignis security_result.summary Direkte Zuordnung, verwendet, wenn id „2201“, „2202“ oder „2203“ ist.
Exceptions additional.fields[].key, additional.fields[].value.string_value Ist das Feld nicht leer, wird der Schlüssel auf „ausnahmen“ und der Wert auf exceptions selbst festgelegt.
Datei about.file.full_path Direkte Zuordnung.
filteraction security_result.rule_name Direkte Zuordnung.
fullreqtime additional.fields[].key, additional.fields[].value.string_value Ist der Schlüssel nicht leer, wird er auf „fullreqtime“ gesetzt und der Wert ist fullreqtime selbst.
fwrule security_result.rule_id Direkte Zuordnung.
Gruppe target.group.group_display_name Direkte Zuordnung.
id metadata.product_log_id Direkte Zuordnung.
info security_result.description Direkte Zuordnung. Sofern vorhanden, ist metadata.event_type auf „NETWORK_UNCATEGORIZED“ festgelegt.
initf-Schnittstelle security_result.about.labels[].key, security_result.about.labels[].value Wenn das Feld nicht leer ist, wird security_result.about.labels das Label „Interface“ mit dem Wert interface hinzugefügt.
ip_address target.ip, target.asset.ip Direkte Zuordnung.
Länge der Zeilennachricht security_result.summary Wird verwendet, wenn id „0003“ ist. Wird auch für das allgemeine Grok-Parsing verwendet.
Methode network.http.method Direkte Zuordnung.
name security_result.summary Direkte Zuordnung.
outitf pid target.process.pid Direkte Zuordnung.
Port target.port Direkte Zuordnung, in Ganzzahl umgewandelt.
prec-Profil security_result.rule_name Direkte Zuordnung.
Proto network.ip_protocol Mithilfe einer Suchtabelle in den Namen des IP-Protokolls umgewandelt.
Grund für Verweis network.http.referral_url Direkte Zuordnung.
Anfrage additional.fields[].key, additional.fields[].value.string_value Ist das Feld nicht leer, wird der Schlüssel auf „request“ und der Wert auf request festgelegt.
Ruf additional.fields[].key, additional.fields[].value.string_value Ist das Feld nicht leer, wird der Schlüssel auf „reputation“ gesetzt und der Wert ist die reputation selbst.
rx network.received_bytes Direkte Zuordnung, verwendet, wenn id „2202“ ist, in eine Ganzzahl ohne Vorzeichen umgewandelt.
Sandbox-Schweregrad security_result.severity Wenn severity „info“ ist, ordnen Sie „LOW“ zu.
Größe target.file.size Direkte Zuordnung, in einen ungesignierten Ganzzahlwert umgewandelt.
srcip principal.ip, principal.asset.ip Direkte Zuordnung.
srcmac principal.mac Direkte Zuordnung.
srcport principal.port Direkte Zuordnung, in Ganzzahl umgewandelt.
statuscode network.http.response_code Direkte Zuordnung, in Ganzzahl umgewandelt.
sub network.application_protocol Wenn sub „http“ ist, wird metadata.event_type auf „NETWORK_HTTP“ und network.application_protocol auf „HTTP“ festgelegt. Wenn sub „packetfilter“ ist, wird metadata.description auf sub festgelegt. Andernfalls wird er mithilfe einer Suchtabelle in den Namen des Anwendungsprotokolls umgewandelt. Wenn in der Suchtabelle keine Übereinstimmung gefunden wird, wird dstport für die Suche verwendet.
SYS metadata.product_event_type Direkte Zuordnung.
tcpflags tos ttl tx network.sent_bytes Direkte Zuordnung, verwendet, wenn id „2202“ ist, in eine Ganzzahl ohne Vorzeichen umgewandelt.
ua network.http.user_agent Direkte Zuordnung.
url network.http.referral_url, target.hostname, target.asset.hostname Direkte Zuordnung für network.http.referral_url. Extrahierter Hostname für target.hostname und target.asset.hostname. Wird auch zum Extrahieren von dstip verwendet.
Nutzer target.user.userid Direkte Zuordnung.
Nutzername target.user.userid Direkte Zuordnung, verwendet, wenn id „2201“ oder „2202“ ist.
Variante Nicht in der endgültigen UDM enthalten, aber in der Beschreibung verwendet Wird in Verbindung mit sub verwendet, um security_result.description zu erstellen, wenn id „2201“, „2202“ oder „2203“ ist.
virtual_ip target.ip, target.asset.ip Direkte Zuordnung, verwendet, wenn id „2201“ oder „2202“ ist.
metadata.event_type metadata.event_type Wird auf „GENERIC_EVENT“ initialisiert. Sie können auf Grundlage des Loginhalts und der Parserlogik auf bestimmte Werte festgelegt werden.
metadata.log_type metadata.log_type Hartcodiert auf „SOPHOS_UTM“.
metadata.product_name metadata.product_name Hartcodiert auf „SOPHOS UTM“.
metadata.vendor_name metadata.vendor_name Hartcodiert auf „SOPHOS Ltd“.
intermediary.hostname intermediary.hostname Mit Grok aus der Protokollnachricht extrahiert und umbenannt.

Änderungen

2024-05-29

  • Verbesserung –
  • „url“ wurde „target.hostname“ und „target.asset.hostname“ zugeordnet.

2022-06-30

  • Verbesserung –
  • „size“ wurde „additional.fields“ zugeordnet.
  • „fullreqtime“ wurde „additional.fields“ zugeordnet.
  • „category“ wurde in „security_result.detection_fields“ geändert.
  • „device“ wurde „additional.fields“ zugeordnet.
  • „Ausnahmen“ wurde „additional.fields“ zugeordnet.
  • Wenn „action“ mit „DROP“ übereinstimmt, wird „security_result.action“ mit „BLOCK“ abgeglichen.
  • „inter_host“ wurde „intermediary.hostname“ zugeordnet.

2022-04-13

  • Verbesserung: Zuordnungen für die folgenden Felder hinzugefügt:
  • „categoryname“ in „security_result.category_details“
  • „user“ zu „target.user.userid“
  • „ad_domain“ zu „target.administrative_domain“
  • „group“ zu „target.group.group_display_name“
  • „sys“ zu „metadata.product_event_type“
  • „application“ in „principal.application“
  • „auth“ zu „extensions.auth.auth_details“
  • „profile“ in „security_result1.rule_name“
  • „app-id“, „reputation“, „request“, „authtime“, „dnstime“, „aptptime“, „cattime“, „avscantime“ zu „additional.fields“