Coletar registros do Sophos UTM

Compatível com:

Este documento descreve como coletar registros do Sophos UTM usando um forwarder de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência SOPHOS_UTM.

Configurar o ponto UTM do Sophos

  1. Faça login no console do Sophos UTM usando as credenciais de administrador.
  2. Selecione Registro e relatórios > Configurações de registro. A guia Gerar registros locais é ativada por padrão.
  3. Clique na guia Servidor syslog remoto.
  4. Clique no botão para ativar a guia Servidor syslog remoto.

  5. Na seção Configurações de syslog remoto, no campo Servidor syslog, adicione ou modifique as configurações do servidor syslog:

    • Para adicionar as configurações do Servidor de syslog, clique em + Adicionar servidor de syslog.

      Na caixa de diálogo Adicionar servidor syslog, faça o seguinte:

      1. No campo Nome, insira o nome do servidor do syslog.
      2. No campo Servidor, insira os detalhes do servidor syslog.
      3. No campo Port, insira os detalhes da porta do servidor syslog.
      4. Clique em Salvar.

    • Para modificar as configurações do Servidor Syslog, clique em Editar e atualize as configurações.

  6. No campo Buffer syslog remoto, insira o valor padrão, como 1000.

  7. Na seção Seleção de registro de syslog remoto, selecione os seguintes registros que precisam ser enviados ao servidor syslog remoto:

    • Proteção contra ameaças avançadas
    • Daemon de configuração
    • Firewall
    • Sistema de prevenção de intrusões
    • Logins locais
    • Subsistema de geração de registros
    • Mensagens do sistema
    • Daemon de autenticação do usuário
    • Filtros da Web

  8. Clique em Aplicar para salvar as mudanças.

Configurar o forwarder do Google Security Operations para processar registros do Sophos UTM

  1. Acesse Configurações do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, insira um nome exclusivo.
  4. Clique em Enviar. O encaminhador é adicionado, e a janela Add collector configuration é exibida.
  5. No campo Nome do coletor, digite um nome.
  6. Selecione Sophos UTM como o Tipo de registro.
  7. Selecione Syslog como o Tipo de coletor.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo de conexão que o coletor vai usar para detectar dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e detecta dados do syslog.
    • Porta: especifica a porta de destino em que o coletor reside e detecta dados do syslog.
  9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte a documentação sobre encaminhadores do Google Security Operations.

Para informações sobre os requisitos de cada tipo de encaminhador, consulte Configuração do encaminhador por tipo.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte da Google Security Operations.

Referência do mapeamento de campo

Esse analisador do Sophos UTM extrai pares de chave-valor e outros campos dos registros do firewall do Sophos UTM, convertendo-os para o formato UDM. Ele processa vários tipos de registro, incluindo eventos de firewall, DHCP e de login/deslogout do usuário, mapeando campos relevantes para as contrapartes correspondentes do UDM e enriquecendo os dados com mais contexto.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
ação security_result.action Se action for "pass" ou "accept", mapeie para "ALLOW". Se action for "drop", mapeie para "BLOCK".
ad_domain target.administrative_domain Mapeamento direto.
address target.ip, target.asset.ip Mapeamento direto, usado quando id é "2203".
app target.application Mapeamento direto.
app-id additional.fields[].key, additional.fields[].value.string_value Renomeada como app_id. Se não estiver vazia, a chave será definida como "app-id" e o valor será o próprio app-id.
aplicativo principal.application Mapeamento direto.
aptptime additional.fields[].key, additional.fields[].value.string_value Se não estiver vazia, a chave será definida como "aptptime" e o valor será o próprio aptptime.
autenticação extensions.auth.auth_details Mapeamento direto.
authtime additional.fields[].key, additional.fields[].value.string_value Se não estiver vazio e não for "0", a chave será definida como "authtime" e o valor será o próprio authtime.
avscantime additional.fields[].key, additional.fields[].value.string_value Se não estiver vazio e não for "0", a chave será definida como "avscantime" e o valor será o próprio avscantime.
categoria security_result.detection_fields[].key, security_result.detection_fields[].value Se não estiver vazia, a chave será definida como "categoria" e o valor será o próprio category. Se name contiver "portscan", security_result.category será definido como "NETWORK_RECON" e um campo de detecção com a chave "category" e o valor "NETWORK_RECON" será adicionado.
categoryname security_result.category_details Mapeamento direto.
conexão security_result.rule_name Mapeamento direto, usado quando id é "2203".
dados de content-type (Consulte outros campos) O campo data contém pares de chave-valor que são analisados em campos individuais.
datetime metadata.event_timestamp Analisado e mapeado como segundos desde a época.
dispositivo additional.fields[].key, additional.fields[].value.string_value Se não estiver vazio e não for "0", a chave será definida como "device" e o valor será o próprio device.
dnstime additional.fields[].key, additional.fields[].value.string_value Se não estiver vazio e não for "0", a chave será definida como "dnstime" e o valor será o próprio dnstime.
dstip target.ip, target.asset.ip Mapeamento direto. Também extraído do campo url, se presente.
dstmac target.mac Mapeamento direto.
dstport target.port Mapeamento direto, convertido em número inteiro.
evento de erro security_result.summary Mapeamento direto, usado quando id é "2201", "2202" ou "2203".
exceptions additional.fields[].key, additional.fields[].value.string_value Se não estiver vazia, a chave será definida como "exceptions" e o valor será o próprio exceptions.
arquivo about.file.full_path Mapeamento direto.
filteraction security_result.rule_name Mapeamento direto.
fullreqtime additional.fields[].key, additional.fields[].value.string_value Se não estiver vazia, a chave será definida como "fullreqtime" e o valor será o próprio fullreqtime.
fwrule security_result.rule_id Mapeamento direto.
grupo target.group.group_display_name Mapeamento direto.
id metadata.product_log_id Mapeamento direto.
info security_result.description Mapeamento direto. Se presente, metadata.event_type é definido como "NETWORK_UNCATEGORIZED".
Interface initf security_result.about.labels[].key, security_result.about.labels[].value Se não estiver vazio, um rótulo com a chave "Interface" e o valor interface será adicionado a security_result.about.labels.
ip_address target.ip, target.asset.ip Mapeamento direto.
mensagem de linha de comprimento security_result.summary Usado quando id é "0003". Também é usado para análise geral de grok.
método network.http.method Mapeamento direto.
nome security_result.summary Mapeamento direto.
outitf pid target.process.pid Mapeamento direto.
porta target.port Mapeamento direto, convertido em número inteiro.
perfil prec security_result.rule_name Mapeamento direto.
proto network.ip_protocol Conversão para o nome do protocolo IP usando uma tabela de pesquisa.
razão da referência network.http.referral_url Mapeamento direto.
solicitação additional.fields[].key, additional.fields[].value.string_value Se não estiver vazia, a chave será definida como "request" e o valor será o próprio request.
reputação additional.fields[].key, additional.fields[].value.string_value Se não estiver vazia, a chave será definida como "reputação" e o valor será o próprio reputation.
rx network.received_bytes Mapeamento direto, usado quando id é "2202", convertido em número inteiro sem sinal.
gravidade do sandbox security_result.severity Se severity for "info", mapeie para "LOW".
tamanho target.file.size Mapeamento direto, convertido em número inteiro não assinado.
srcip principal.ip, principal.asset.ip Mapeamento direto.
srcmac principal.mac Mapeamento direto.
srcport principal.port Mapeamento direto, convertido em número inteiro.
statuscode network.http.response_code Mapeamento direto, convertido em número inteiro.
o Pub/Sub. network.application_protocol Se sub for "http", metadata.event_type será definido como "NETWORK_HTTP" e network.application_protocol será definido como "HTTP". Se sub for "packetfilter", metadata.description será definido como sub. Caso contrário, é convertido para o nome do protocolo do aplicativo usando uma tabela de pesquisa. Se nenhuma correspondência for encontrada na tabela de pesquisa, o dstport será usado para a pesquisa.
sys metadata.product_event_type Mapeamento direto.
tcpflags tos ttl tx network.sent_bytes Mapeamento direto, usado quando id é "2202", convertido em número inteiro sem sinal.
ua network.http.user_agent Mapeamento direto.
url network.http.referral_url, target.hostname, target.asset.hostname Mapeamento direto para network.http.referral_url. Nome do host extraído para target.hostname e target.asset.hostname. Também usado para extrair dstip.
usuário target.user.userid Mapeamento direto.
nome de usuário target.user.userid Mapeamento direto, usado quando id é "2201" ou "2202".
variante Não incluído na UDM final, mas usado na descrição Usado com sub para criar o security_result.description quando id é "2201", "2202" ou "2203".
virtual_ip target.ip, target.asset.ip Mapeamento direto, usado quando id é "2201" ou "2202".
metadata.event_type metadata.event_type Inicializado como "GENERIC_EVENT". Definir valores específicos com base no conteúdo do registro e na lógica do analisador.
metadata.log_type metadata.log_type Fixado em "SOPHOS_UTM".
metadata.product_name metadata.product_name Fixado em "SOPHOS UTM".
metadata.vendor_name metadata.vendor_name Fixado em "SOPHOS Ltd".
intermediary.hostname intermediary.hostname Extraídos da mensagem de registro usando grok e renomeados.

Alterações

2024-05-29

  • Melhoria:
  • Mapeamos "url" para "target.hostname" e "target.asset.hostname".

2022-06-30

  • Melhoria:
  • "size" foi mapeado para "additional.fields".
  • "fullreqtime" foi mapeado para "additional.fields".
  • "category" foi mapeado para "security_result.detection_fields".
  • Mapeamos "device" para "additional.fields".
  • Mapeamos "exceptions" para "additional.fields".
  • Quando "action" é igual a "DROP", "security_result.action" é mapeado para "BLOCK".
  • "inter_host" foi mapeado para "intermediary.hostname".

2022-04-13

  • Melhoria: foram adicionados mapeamentos para os seguintes campos:
  • "categoryname" para "security_result.category_details".
  • "user" para "target.user.userid"
  • "ad_domain" para "target.administrative_domain"
  • "group" para "target.group.group_display_name"
  • "sys" para "metadata.product_event_type"
  • "application" para "principal.application"
  • "auth" para "extensions.auth.auth_details"
  • "profile" para "security_result1.rule_name"
  • "app-id", "reputation", "request", "authtime", "dnstime", "aptptime", "cattime", "avscantime" para "additional.fields"