Sophos UTM のログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して Sophos UTM のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル SOPHOS_UTM が付加されたパーサーに適用されます。
Sophos UTM ポイントを構成する
- 管理者認証情報を使用して Sophos UTM コンソールにログインします。
- [Logging & reporting] > [Log settings] を選択します。[ローカル ロギング] タブはデフォルトで有効になっています。
- [リモート syslog サーバー] タブをクリックします。
- 切り替えボタンをクリックして [リモート syslog サーバー] タブを有効にします。
[リモート syslog 設定] セクションの [Syslog サーバ] フィールドで、syslog サーバー設定を追加または変更します。
Syslog サーバーの設定を追加するには、[+ syslog サーバーを追加] をクリックします。
[Syslog サーバーを追加] ダイアログで、次の操作を行います。
- [名前] フィールドに、Syslog サーバー名を入力します。
- [Server] フィールドに、Syslog サーバーの詳細を入力します。
- [Port] フィールドに、syslog サーバー ポートの詳細を入力します。
- [保存] をクリックします。
Syslog サーバーの設定を変更するには、[編集] をクリックして設定を更新します。
[リモート syslog バッファ] フィールドにデフォルト値(1,000 など)を入力します。
[リモート syslog ログの選択] セクションで、リモート syslog サーバーに送信する必要がある次のログを選択します。
- 高度な脅威対策
- 構成デーモン
- ファイアウォール
- 侵入防止システム
- ローカル ログイン
- ロギング サブシステム
- システム メッセージ
- ユーザー認証デーモン
- ウェブ フィルタリング
[適用] をクリックして変更を保存します。
Sophos UTM ログを取り込むように Google Security Operations フォワーダーを構成する
- [SIEM 設定] > [転送元] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダー名] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [Log type] で [Sophos UTM] を選択します。
- [Collector type] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- プロトコル: コレクタが syslog データのリッスンに使用する接続プロトコルを指定します。
- Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。
各フォワーダ タイプの要件については、タイプ別のフォワーダ構成をご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
この Sophos UTM パーサーは、Sophos UTM ファイアウォール ログから Key-Value ペアなどのフィールドを抽出し、UDM 形式に変換します。ファイアウォール イベント、DHCP イベント、ユーザーのログイン/ログアウト イベントなど、さまざまなログタイプを処理し、関連するフィールドを対応する UDM のフィールドにマッピングし、追加のコンテキストでデータを拡充します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| アクション | security_result.action |
action が「pass」または「accept」の場合は、「ALLOW」にマッピングします。action が「drop」の場合は、「BLOCK」にマッピングします。 |
| ad_domain | target.administrative_domain |
直接マッピング。 |
| address | target.ip、target.asset.ip |
直接マッピング。id が「2203」の場合に使用されます。 |
| app | target.application |
直接マッピング。 |
| app-id | additional.fields[].key、additional.fields[].value.string_value |
名前が app_id に変わりました。空でない場合、キーは「app-id」に設定され、値は app-id 自体になります。 |
| アプリケーション | principal.application |
直接マッピング。 |
| aptptime | additional.fields[].key、additional.fields[].value.string_value |
空でない場合、キーは「aptptime」に設定され、値は aptptime 自体になります。 |
| auth | extensions.auth.auth_details |
直接マッピング。 |
| authtime | additional.fields[].key、additional.fields[].value.string_value |
空でないか「0」でない場合、キーは「authtime」に設定され、値は authtime 自体になります。 |
| avscantime | additional.fields[].key、additional.fields[].value.string_value |
空でなければ、また「0」でなければ、キーは「avscantime」に設定され、値は avscantime 自体になります。 |
| category | security_result.detection_fields[].key、security_result.detection_fields[].value |
空でない場合、キーは「category」に設定され、値は category 自体になります。name に「portscan」が含まれている場合、security_result.category は「NETWORK_RECON」に設定され、キーが「category」、値が「NETWORK_RECON」の検出フィールドが追加されます。 |
| categoryname | security_result.category_details |
直接マッピング。 |
| connection | security_result.rule_name |
直接マッピング。id が「2203」の場合に使用されます。 |
| コンテンツ タイプ データ | (他のフィールドを参照) | data フィールドには、個々のフィールドに解析される Key-Value ペアが格納されます。 |
| datetime | metadata.event_timestamp |
エポックからの秒数として解析され、マッピングされます。 |
| device | additional.fields[].key、additional.fields[].value.string_value |
空でなければ、また「0」でなければ、キーは「device」に設定され、値は device 自体になります。 |
| dnstime | additional.fields[].key、additional.fields[].value.string_value |
空でないか「0」でない場合、キーは「dnstime」に設定され、値は dnstime 自体になります。 |
| dstip | target.ip、target.asset.ip |
直接マッピング。url フィールド(存在する場合)からも抽出されます。 |
| dstmac | target.mac |
直接マッピング。 |
| dstport | target.port |
直接マッピング、整数に変換。 |
| エラーイベント | security_result.summary |
直接マッピング。id が「2201」、「2202」、「2203」の場合に使用されます。 |
| exceptions | additional.fields[].key、additional.fields[].value.string_value |
空でない場合、キーは「例外」に設定され、値は exceptions 自体になります。 |
| ファイル | about.file.full_path |
直接マッピング。 |
| filteraction | security_result.rule_name |
直接マッピング。 |
| fullreqtime | additional.fields[].key、additional.fields[].value.string_value |
空でない場合、キーは「fullreqtime」に設定され、値は fullreqtime 自体になります。 |
| fwrule | security_result.rule_id |
直接マッピング。 |
| グループ | target.group.group_display_name |
直接マッピング。 |
| id | metadata.product_log_id |
直接マッピング。 |
| 情報 | security_result.description |
直接マッピング。存在する場合、metadata.event_type は「NETWORK_UNCATEGORIZED」に設定されます。 |
| initf インターフェース | security_result.about.labels[].key、security_result.about.labels[].value |
空でない場合、キー「Interface」と値 interface のラベルが security_result.about.labels に追加されます。 |
| ip_address | target.ip、target.asset.ip |
直接マッピング。 |
| 長さの行メッセージ | security_result.summary |
id が「0003」の場合に使用されます。一般的な grok 解析にも使用されます。 |
| method | network.http.method |
直接マッピング。 |
| name | security_result.summary |
直接マッピング。 |
| outitf pid | target.process.pid |
直接マッピング。 |
| ポート | target.port |
直接マッピング、整数に変換。 |
| prec profile | security_result.rule_name |
直接マッピング。 |
| proto | network.ip_protocol |
ルックアップ テーブルを使用して IP プロトコル名に変換されます。 |
| reason referer | network.http.referral_url |
直接マッピング。 |
| リクエスト | additional.fields[].key、additional.fields[].value.string_value |
空でない場合、キーは「request」に設定され、値は request 自体になります。 |
| 評価 | additional.fields[].key、additional.fields[].value.string_value |
空でない場合、キーは「reputation」に設定され、値は reputation 自体になります。 |
| rx | network.received_bytes |
直接マッピング。id が「2202」で、符号なし整数に変換された場合に使用されます。 |
| サンドボックスの重大度 | security_result.severity |
severity が「info」の場合は、「LOW」にマッピングします。 |
| サイズ | target.file.size |
直接マッピング。符号なし整数に変換されます。 |
| srcip | principal.ip、principal.asset.ip |
直接マッピング。 |
| srcmac | principal.mac |
直接マッピング。 |
| srcport | principal.port |
直接マッピング、整数に変換。 |
| statuscode | network.http.response_code |
直接マッピング、整数に変換。 |
| Pub/Subです | network.application_protocol |
sub が「http」の場合、metadata.event_type は「NETWORK_HTTP」に設定され、network.application_protocol は「HTTP」に設定されます。sub が「packetfilter」の場合、metadata.description は sub に設定されます。それ以外の場合は、ルックアップ テーブルを使用してアプリケーション プロトコル名に変換されます。ルックアップ テーブルに一致するものが見つからない場合、dstport がルックアップに使用されます。 |
| sys | metadata.product_event_type |
直接マッピング。 |
| tcpflags tos ttl tx | network.sent_bytes |
直接マッピング。id が「2202」で、符号なし整数に変換された場合に使用されます。 |
| ua | network.http.user_agent |
直接マッピング。 |
| URL | network.http.referral_url、target.hostname、target.asset.hostname |
network.http.referral_url の直接マッピング。target.hostname と target.asset.hostname のホスト名を抽出しました。dstip の抽出にも使用されます。 |
| ユーザー | target.user.userid |
直接マッピング。 |
| ユーザー名 | target.user.userid |
直接マッピング。id が「2201」または「2202」の場合に使用されます。 |
| variant | 最終的な UDM には含まれないが、説明で使用 | id が「2201」、「2202」、「2203」の場合に、sub と組み合わせて security_result.description を作成します。 |
| virtual_ip | target.ip、target.asset.ip |
直接マッピング。id が「2201」または「2202」の場合に使用されます。 |
metadata.event_type |
metadata.event_type |
「GENERIC_EVENT」に初期化されます。ログの内容とパーサー ロジックに基づいて特定の値に設定します。 |
metadata.log_type |
metadata.log_type |
「SOPHOS_UTM」にハードコードされています。 |
metadata.product_name |
metadata.product_name |
「SOPHOS UTM」にハードコードされています。 |
metadata.vendor_name |
metadata.vendor_name |
「SOPHOS Ltd」にハードコードされています。 |
intermediary.hostname |
intermediary.hostname |
grok を使用してログ メッセージから抽出され、名前が変更されています。 |
変更点
2024-05-29
- 機能強化 -
- 「url」を「target.hostname」と「target.asset.hostname」にマッピングしました。
2022-06-30
- 機能強化 -
- 「size」を「additional.fields」にマッピングしました。
- 「fullreqtime」を「additional.fields」にマッピングしました。
- 「category」を「security_result.detection_fields」にマッピングしました。
- 「device」を「additional.fields」にマッピングしました。
- 「exceptions」を「additional.fields」にマッピングしました。
- 「action」が「DROP」の場合、「security_result.action」を「BLOCK」にマッピングしました。
- 「inter_host」を「intermediary.hostname」にマッピングしました。
2022-04-13
- 機能強化 - 次のフィールドのマッピングを追加しました。
- 'categoryname' を 'security_result.category_details' に変更しました。
- 「user」を「target.user.userid」に変更
- 'ad_domain' を 'target.administrative_domain' に変更
- 「group」を「target.group.group_display_name」に変更
- 「sys」を「metadata.product_event_type」に変更
- 'application' を 'principal.application' に変更
- 「auth」を「extensions.auth.auth_details」に変更
- 'profile' を 'security_result1.rule_name' に変更
- 'app-id'、'reputation'、'request'、'authtime'、'dnstime'、'aptptime'、'cattime'、'avscantime' を 'additional.fields' に移動