收集 Sophos UTM 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google 安全运营转发器收集 Sophos UTM 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 SOPHOS_UTM 注入标签的解析器。
配置 Sophos UTM 点
- 使用管理员凭据登录 Sophos UTM 控制台。
- 依次选择日志记录和报告 > 日志设置。本地日志记录标签页默认处于启用状态。
- 点击远程 syslog 服务器标签页。
- 点击切换按钮以启用远程 syslog 服务器标签页。
在远程 syslog 设置部分的 Syslog 服务器字段中,添加或修改 syslog 服务器设置:
如需添加 Syslog 服务器设置,请点击 + 添加 Syslog 服务器。
在添加 syslog 服务器对话框中,执行以下操作:
- 在名称字段中,输入 syslog 服务器名称。
- 在 Server 字段中,输入 syslog 服务器的详细信息。
- 在端口字段中,输入 syslog 服务器端口详细信息。
- 点击保存。
如需修改 Syslog 服务器设置,请点击修改,然后更新设置。
在远程 syslog 缓冲区字段中,输入默认值,例如 1000。
在远程 syslog 日志选择部分,选择必须发送到远程 syslog 服务器的以下日志:
- 高级威胁防范
- 配置守护程序
- 防火墙
- 入侵防御系统
- 本地登录
- 日志记录子系统
- 系统消息
- 用户身份验证守护程序
- 网络过滤
点击应用保存更改。
配置 Google Security Operations 转发器以注入 Sophos UTM 日志
- 依次前往 SIEM 设置 > 转发器。
- 点击添加新转发器。
- 在转发器名称字段中,为转发器输入一个唯一名称。
- 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
- 在收集器名称字段中,输入名称。
- 选择 Sophos UTM 作为日志类型。
- 选择 Syslog 作为收集器类型。
- 配置以下必需的输入参数:
- 协议:指定收集器将用于监听 syslog 数据的连接协议。
- 地址:指定收集器所在的位置并监听 syslog 数据的目标 IP 地址或主机名。
- 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
- 点击提交。
如需详细了解 Google Security Operations 转发器,请参阅 Google Security Operations 转发器文档。
如需了解每种转发器类型的要求,请参阅按类型配置转发器。
如果您在创建转发器时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此 Sophos UTM 解析器会从 Sophos UTM 防火墙日志中提取键值对和其他字段,并将其转换为 UDM 格式。它可处理各种日志类型,包括防火墙事件、DHCP 事件和用户登录/退出事件,将相关字段映射到其对应的 UDM 字段,并使用其他上下文丰富数据。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 操作 | security_result.action |
如果 action 为“pass”或“accept”,则映射为“ALLOW”。如果 action 为“drop”,则映射为“BLOCK”。 |
| ad_domain | target.administrative_domain |
直接映射。 |
| 地址 | target.ip,target.asset.ip |
直接映射,当 id 为“2203”时使用。 |
| 应用 | target.application |
直接映射。 |
| app-id | additional.fields[].key,additional.fields[].value.string_value |
已重命名为 app_id。如果不为空,则键会设为“app-id”,值为 app-id 本身。 |
| 应用 | principal.application |
直接映射。 |
| aptptime | additional.fields[].key,additional.fields[].value.string_value |
如果不为空,则将键设置为“aptptime”,值为 aptptime 本身。 |
| auth | extensions.auth.auth_details |
直接映射。 |
| authtime | additional.fields[].key,additional.fields[].value.string_value |
如果不为空且不为“0”,则将键设置为“authtime”,值为 authtime 本身。 |
| avscantime | additional.fields[].key,additional.fields[].value.string_value |
如果不为空且不为“0”,则键设置为“avscantime”,值为 avscantime 本身。 |
| 类别 | security_result.detection_fields[].key,security_result.detection_fields[].value |
如果不为空,则键会设为“category”,值为 category 本身。如果 name 包含“portscan”,则 security_result.category 会设置为“NETWORK_RECON”,并添加一个键为“category”且值为“NETWORK_RECON”的检测字段。 |
| categoryname | security_result.category_details |
直接映射。 |
| 连接 | security_result.rule_name |
直接映射,适用于 id 为“2203”时。 |
| content-type 数据 | (请参阅其他字段) | data 字段包含会解析为各个字段的键值对。 |
| 日期时间 | metadata.event_timestamp |
解析并映射为自公元纪年以来的秒数。 |
| device | additional.fields[].key,additional.fields[].value.string_value |
如果不为空且不为“0”,则将键设置为“device”,值为 device 本身。 |
| dnstime | additional.fields[].key,additional.fields[].value.string_value |
如果不为空且不为“0”,则键设置为“dnstime”,值为 dnstime 本身。 |
| dstip | target.ip,target.asset.ip |
直接映射。还会从 url 字段(如果存在)中提取。 |
| dstmac | target.mac |
直接映射。 |
| dstport | target.port |
直接映射,转换为整数。 |
| 错误事件 | security_result.summary |
直接映射,适用于 id 为“2201”“2202”或“2203”时。 |
| exceptions | additional.fields[].key,additional.fields[].value.string_value |
如果不为空,则将键设置为“exceptions”,值为 exceptions 本身。 |
| 文件 | about.file.full_path |
直接映射。 |
| filteraction | security_result.rule_name |
直接映射。 |
| fullreqtime | additional.fields[].key,additional.fields[].value.string_value |
如果不为空,则键会设置为“fullreqtime”,值为 fullreqtime 本身。 |
| fwrule | security_result.rule_id |
直接映射。 |
| 群组 | target.group.group_display_name |
直接映射。 |
| id | metadata.product_log_id |
直接映射。 |
| 信息 | security_result.description |
直接映射。如果存在,metadata.event_type 会设置为“NETWORK_UNCATEGORIZED”。 |
| initf 接口 | security_result.about.labels[].key,security_result.about.labels[].value |
如果不为空,系统会向 security_result.about.labels 添加键为“Interface”且值为 interface 的标签。 |
| ip_address | target.ip,target.asset.ip |
直接映射。 |
| 长度行消息 | security_result.summary |
当 id 为“0003”时使用。也用于常规 Grok 解析。 |
| method | network.http.method |
直接映射。 |
| name | security_result.summary |
直接映射。 |
| outitf pid | target.process.pid |
直接映射。 |
| 端口 | target.port |
直接映射,转换为整数。 |
| prec 配置文件 | security_result.rule_name |
直接映射。 |
| proto | network.ip_protocol |
使用查找表转换为 IP 协议名称。 |
| reason referer | network.http.referral_url |
直接映射。 |
| 请求 | additional.fields[].key,additional.fields[].value.string_value |
如果不为空,则键会设置为“request”,值为 request 本身。 |
| 声誉 | additional.fields[].key,additional.fields[].value.string_value |
如果不为空,则将键设置为“reputation”,值为 reputation 本身。 |
| rx | network.received_bytes |
直接映射,当 id 为“2202”时使用,转换为无符号整数。 |
| 沙盒严重程度 | security_result.severity |
如果 severity 为“info”,则映射为“LOW”。 |
| 大小 | target.file.size |
直接映射,转换为无符号整数。 |
| srcip | principal.ip,principal.asset.ip |
直接映射。 |
| srcmac | principal.mac |
直接映射。 |
| srcport | principal.port |
直接映射,转换为整数。 |
| statuscode | network.http.response_code |
直接映射,转换为整数。 |
| sub | network.application_protocol |
如果 sub 为“http”,则 metadata.event_type 设置为“NETWORK_HTTP”,network.application_protocol 设置为“HTTP”。如果 sub 为“packetfilter”,则 metadata.description 会设置为 sub。否则,使用查找表转换为应用协议名称。如果在查找表中未找到匹配项,则系统会使用 dstport 进行查找。 |
| sys | metadata.product_event_type |
直接映射。 |
| tcpflags tos ttl tx | network.sent_bytes |
直接映射,当 id 为“2202”时使用,转换为无符号整数。 |
| ua | network.http.user_agent |
直接映射。 |
| 网址 | network.http.referral_url、target.hostname、target.asset.hostname |
network.http.referral_url 的直接映射。提取了 target.hostname 和 target.asset.hostname 的主机名。也用于提取 dstip。 |
| 用户 | target.user.userid |
直接映射。 |
| 用户名 | target.user.userid |
直接映射,适用于 id 为“2201”或“2202”时。 |
| variant | 未包含在最终 UDM 中,但在说明中使用 | 与 sub 结合使用,在 id 为“2201”“2202”或“2203”时创建 security_result.description。 |
| virtual_ip | target.ip,target.asset.ip |
直接映射,适用于 id 为“2201”或“2202”时。 |
metadata.event_type |
metadata.event_type |
初始化为“GENERIC_EVENT”。根据日志内容和解析器逻辑设置为特定值。 |
metadata.log_type |
metadata.log_type |
已硬编码为“SOPHOS_UTM”。 |
metadata.product_name |
metadata.product_name |
已硬编码为“SOPHOS UTM”。 |
metadata.vendor_name |
metadata.vendor_name |
已硬编码为“SOPHOS Ltd”。 |
intermediary.hostname |
intermediary.hostname |
使用 grok 从日志消息中提取并重命名。 |
变化
2024-05-29
- 增强功能 -
- 将“url”映射到“target.hostname”和“target.asset.hostname”。
2022-06-30
- 增强功能 -
- 将“size”映射到“additional.fields”。
- 将“fullreqtime”映射到“additional.fields”。
- 将“category”映射到“security_result.detection_fields”。
- 将“device”映射到“additional.fields”。
- 将“exceptions”映射到“additional.fields”。
- 如果“action”等于“DROP”,则将“security_result.action”映射到“BLOCK”。
- 将“inter_host”映射到“intermediary.hostname”。
2022-04-13
- 增强功能 - 添加了以下字段的映射:
- 'categoryname' 更改为 'security_result.category_details'。
- “user”更改为“target.user.userid”
- 将“ad_domain”更改为“target.administrative_domain”
- 将“group”更改为“target.group.group_display_name”
- 将“sys”更改为“metadata.product_event_type”
- 'application' 更改为 'principal.application'
- 将“auth”更改为“extensions.auth.auth_details”
- 将“profile”更改为“security_result1.rule_name”
- 将“app-id”“reputation”“request”“authtime”“dnstime”“aptptime”“cattime”“avscantime”移至“additional.fields”