SonicWall-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie SonicWall-Logs mit einem Google Security Operations-Weiterleitungsdienst erfassen können.
Weitere Informationen finden Sie unter Daten in Google Security Operations aufnehmen.
Ein Aufnahmelabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel SONIC_FIREWALL.
SonicWall-Sicherheitsappliance konfigurieren
- Melden Sie sich in der SonicWall-Konsole an.
- Rufen Sie Log > Syslog auf.
- Klicken Sie im Bereich Syslog servers (Syslog-Server) auf Add (Hinzufügen). Das Fenster Add syslog server (Syslog-Server hinzufügen) wird angezeigt.
- Geben Sie im Feld Name oder IP address (Name oder IP-Adresse) den Hostnamen oder die IP-Adresse des Google Security Operations-Weiterleitungsdienstes an.
- Wenn Ihre Syslog-Konfiguration nicht den Standardport 514 verwendet, geben Sie im Feld Port number (Portnummer) die Portnummer an.
- Klicken Sie auf OK.
- Klicken Sie auf Accept (Akzeptieren), um alle Einstellungen für den Syslog-Server zu speichern.
Google Security Operations-Weiterleitungsdienst und Syslog für die Aufnahme von SonicWall-Logs konfigurieren
- Rufen Sie SIEM Settings > Forwarders (SIEM-Einstellungen > Weiterleitungsdienste) auf.
- Klicken Sie auf Add new forwarder (Neuen Weiterleitungsdienst hinzufügen).
- Geben Sie im Feld Forwarder Name (Name des Weiterleitungsdienstes) einen eindeutigen Namen für den Weiterleitungsdienst ein.
- Klicken Sie auf Senden. Der Weiterleitungsdienst wird hinzugefügt und das Fenster Add collector configuration (Collector-Konfiguration hinzufügen) wird angezeigt.
- Geben Sie im Feld Collector name (Name des Collectors) einen Namen ein.
- Wählen Sie SonicWall als Log type (Logtyp) aus.
- Wählen Sie Syslog als Collector type (Collectortyp) aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protocol (Protokoll): Geben Sie das Verbindungsprotokoll an, das der Collector verwendet, um auf Syslog-Daten zu warten.
- Address (Adresse): Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port (Port): Geben Sie den Zielport an, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu Google Security Operations-Weiterleitungsdiensten finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungsdiensten.
Informationen zu den Anforderungen für die einzelnen Weiterleitungsdiensttypen finden Sie unter Weiterleitungsdienstkonfiguration nach Typ.
Wenn beim Erstellen von Weiterleitungsdiensten Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz zur Feldzuordnung
Dieser Parser extrahiert Schlüssel-Wert-Paare aus SonicWall-Firewall-Syslog-Nachrichten, normalisiert verschiedene Felder wie Zeitstempel, IP-Adressen und Ports und ordnet sie dem UDM-Format zu. Er verarbeitet sowohl IPv4- als auch IPv6-Adressen, unterscheidet zwischen zulässigen und blockierten Ereignissen und extrahiert sicherheitsrelevante Details wie Regelnamen und -beschreibungen.
Unterstützte SonicWall-Beispiellogs
Standard-Firewallereignis
{ "type": "SONIC_FIREWALL", "log": "<134> id=SONICWALL_FIREWALL\n" " sn=DEADD00D1234\n" " time=\"2020-04-08 13:28:45\"\n" " fw=192.0.2.1\n" " pri=6\n" " c=1024\n" " gcat=2\n" " m=97\n" " msg=\"Web site hit\"\n" " srcMac=00:00:5E:00:53:01\n" " src=192.0.2.10:12345:X0\n" " srcZone=LAN\n" " natSrc=192.0.2.10:12345\n" " dstMac=00:00:5E:00:53:02\n" " dst=198.51.100.20:443:X0\n" " dstZone=WAN\n" " natDst=198.51.100.20:443\n" " proto=tcp/https\n" " sent=1247\n" " rcvd=59996\n" " rule=\"14 (LAN->WAN)\"\n" " app=49175\n" " appName=\"General HTTP\"\n" " op=1\n" " dstname=sanitized-host.com\n" " arg=/sanitized/path/file.cab?id=REDACTED\n" " code=27\n" " Category=\"Information Technology/Computers\"\n" " n=3451648" }SSL-VPN-Sitzungsereignis
{ "type": "SONIC_FIREWALL", "log": "<181>SSLVPN: id=sslvpn\n" " sn=DEADD00D1234\n" " time=\"2020-04-10 10:07:11\"\n" " vp_time=\"2020-04-10 08:07:11 UTC\"\n" " fw=192.0.2.1\n" " pri=5\n" " m=2\n" " c=102\n" " src=203.0.113.50\n" " dst=192.0.2.1\n" " user=\"internal_user@company.com\"\n" " usr=\"internal_user@company.com\"\n" " msg=\"NetExtender disconnected\"\n" " rule=access-policy\n" " duration=731\n" " bytesIn=47360\n" " bytesOut=10\n" " agent=\"SonicWALL NetExtender for Windows (REDACTED)\"" }Erweiterte Bedrohungs-/App-Steuerung
{ "type": "SONIC_FIREWALL", "log": "<129> id=PD_Firewall sn=DEADD00D1234 time=\"2024-03-06 12:33:40\"\n" " fw=192.0.2.1 pri=1 c=0 m=1154 msg=\"Application Control Detection\n" " Alert: PROTOCOLS DNS Protocol -- Standard Query A\" sid=5183\n" " appcat=\"PROTOCOLS DNS Protocol -- Standard Query A\" appid=1283 catid=74\n" " n=3235773 src=192.0.2.15:58482:X0 dst=203.0.113.1:53:X2\n" " srcMac=00:00:5E:00:53:03 dstMac=00:00:5E:00:53:04 proto=udp/dns\n" " fw_action=\"NA\"" }
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Agent | event.idm.read_only_udm.network.http.user_agent |
Der Wert des Felds agent wird dem UDM-Feld zugewiesen. |
| Appcat | event.idm.read_only_udm.security_result.summary |
Der Wert des Felds appcat wird dem UDM-Feld zugewiesen. Wenn appcat „PROXY-ACCESS“ enthält, wird event.idm.read_only_udm.security_result.category auf „POLICY_VIOLATION“ und event.idm.read_only_udm.security_result.action auf „BLOCK“ gesetzt. |
| Appid | event.idm.read_only_udm.security_result.rule_id |
Der Wert des Felds appid wird dem UDM-Feld zugewiesen. |
| arg | event.idm.read_only_udm.target.resource.name |
Der Wert des Felds arg wird dem UDM-Feld zugewiesen. |
| avgThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „avgThroughput“ und dem Wert aus dem Feld avgThroughput hinzugefügt. |
| bytesIn | event.idm.read_only_udm.network.received_bytes |
Der Wert des Felds bytesIn wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| bytesOut | event.idm.read_only_udm.network.sent_bytes |
Der Wert des Felds bytesOut wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| bytesTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „bytesTotal“ und dem Wert aus dem Feld bytesTotal hinzugefügt. |
| Kategorie | event.idm.read_only_udm.security_result.category_details |
Der Wert des Felds Category wird dem UDM-Feld zugewiesen. |
| cdur | event.idm.read_only_udm.security_result.detection_fields |
Dem UDM-Feld wird ein Erkennungsfeld mit dem Schlüssel „Connection Duration (milli seconds)“ (Verbindungsdauer in Millisekunden) und dem Wert aus dem Feld cdur hinzugefügt. |
| Dst | event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.port |
Die IP-Adresse und der Port werden aus dem Feld dst extrahiert. Wenn dstV6 nicht leer ist, wird die IP-Adresse stattdessen aus dstV6 extrahiert. |
| dstMac | event.idm.read_only_udm.target.mac |
Der Wert des Felds dstMac wird dem UDM-Feld zugewiesen. |
| dstV6 | event.idm.read_only_udm.target.ip |
Die IP-Adresse wird aus dem Feld dstV6 extrahiert. |
| dstname | event.idm.read_only_udm.target.hostname |
Wenn dstname keine IP-Adresse ist, wird der Wert dem UDM-Feld zugewiesen. |
| Dauer | event.idm.read_only_udm.network.session_duration.seconds |
Der Wert des Felds duration wird in eine Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| fw | event.idm.read_only_udm.principal.ip |
Der Wert des Felds fw wird dem UDM-Feld zugewiesen. Wenn fw „-“ enthält, wird event.idm.read_only_udm.additional.fields ein Label mit dem Schlüssel „fw“ und dem Wert aus dem Feld fw hinzugefügt. |
| fw_action | event.idm.read_only_udm.security_result.action_details, event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.security_result.action |
Der Wert des Felds fw_action wird event.idm.read_only_udm.security_result.action_details zugewiesen. Wenn fw_action „drop“ ist, wird event.idm.read_only_udm.security_result.action auf „BLOCK“ und event.idm.read_only_udm.security_result.summary auf den Wert von msg gesetzt. |
| Gw | event.idm.read_only_udm.intermediary.ip |
Die IP-Adresse wird aus dem Feld gw extrahiert und dem UDM-Feld zugewiesen. |
| Id | event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Der Wert des Felds id wird beiden UDM-Feldern zugewiesen. |
| maxThroughput | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „maxThroughput“ und dem Wert aus dem Feld maxThroughput hinzugefügt. |
| msg | event.idm.read_only_udm.security_result.summary, event.idm.read_only_udm.metadata.description |
Wenn fw_action nicht „drop“ ist oder appcat leer ist, wird der Wert des Felds msg event.idm.read_only_udm.security_result.summary zugewiesen. Andernfalls wird er event.idm.read_only_udm.metadata.description zugewiesen. |
| natDst | event.idm.read_only_udm.target.nat_ip |
Die IP-Adresse wird aus dem Feld natDst extrahiert und dem UDM-Feld zugewiesen. |
| natSrc | event.idm.read_only_udm.principal.nat_ip |
Die IP-Adresse wird aus dem Feld natSrc extrahiert und dem UDM-Feld zugewiesen. |
| Hinweis | event.idm.read_only_udm.security_result.description |
Der Wert des Felds note wird nach dem Extrahieren von dstip, srcip, gw und sec_desc dem UDM-Feld zugewiesen. |
| packetsIn | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „packetsIn“ und dem Wert aus dem Feld packetsIn hinzugefügt. |
| packetsOut | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „packetsOut“ und dem Wert aus dem Feld packetsOut hinzugefügt. |
| packetsTotal | event.idm.read_only_udm.target.resource.attribute.labels |
Dem UDM-Feld wird ein Label mit dem Schlüssel „packetsTotal“ und dem Wert aus dem Feld packetsTotal hinzugefügt. |
| Pri | event.idm.read_only_udm.security_result.severity |
Der Wert des Felds pri bestimmt den Wert des UDM-Felds: 0, 1, 2 -> KRITISCH; 3 -> FEHLER; 4 -> MITTEL; 5, 7 -> NIEDRIG; 6 -> INFORMATION. |
| Proto | event.idm.read_only_udm.network.ip_protocol, event.idm.read_only_udm.network.application_protocol, event.idm.read_only_udm.metadata.event_type |
Wenn proto „udp“ enthält, wird ip_protocol in UDM auf „UDP“ und event_type auf „NETWORK_CONNECTION“ gesetzt. Wenn proto „https“ enthält, wird application_protocol in UDM auf „HTTPS“ gesetzt. |
| Rcvd | event.idm.read_only_udm.network.received_bytes |
Der Wert des Felds rcvd wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| Regel | event.idm.read_only_udm.security_result.rule_name |
Der Wert des Felds rule wird dem UDM-Feld zugewiesen. |
| sec_desc | event.idm.read_only_udm.security_result.description |
Der Wert des Felds sec_desc wird dem UDM-Feld zugewiesen. |
| Sent | event.idm.read_only_udm.network.sent_bytes |
Der Wert des Felds sent wird in eine vorzeichenlose Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| Sess | event.idm.read_only_udm.security_result.detection_fields |
Dem UDM-Feld wird ein Erkennungsfeld mit dem Schlüssel „Session Type“ (Sitzungstyp) und dem Wert aus dem Feld sess hinzugefügt. |
| Sn | event.idm.read_only_udm.additional.fields |
Dem UDM-Feld wird ein Label mit dem Schlüssel „SN“ und dem Wert aus dem Feld sn hinzugefügt. |
| Spkt | event.idm.read_only_udm.network.sent_packets |
Der Wert des Felds spkt wird in eine Ganzzahl konvertiert und dem UDM-Feld zugewiesen. |
| src | event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.port |
Die IP-Adresse und der Port werden aus dem Feld src extrahiert. Wenn srcV6 nicht leer ist, wird die IP-Adresse stattdessen aus srcV6 extrahiert. |
| srcMac | event.idm.read_only_udm.principal.mac |
Der Wert des Felds srcMac wird dem UDM-Feld zugewiesen. |
| srcV6 | event.idm.read_only_udm.principal.ip |
Die IP-Adresse wird aus dem Feld srcV6 extrahiert. |
| Srcip | event.idm.read_only_udm.additional.fields, event.idm.read_only_udm.principal.ip |
Wenn srcip „-“ enthält, wird event.idm.read_only_udm.additional.fields ein Label mit dem Schlüssel „srcip“ und dem Wert aus dem Feld srcip hinzugefügt. Andernfalls wird der Wert von srcip event.idm.read_only_udm.principal.ip zugewiesen. |
| Zeit | event.idm.read_only_udm.metadata.event_timestamp |
Der Wert des Felds time wird geparst und in einen Zeitstempel konvertiert, der dann dem UDM-Feld zugewiesen wird. |
| Typ | event.idm.read_only_udm.network.ip_protocol |
Wenn das Feld proto „icmp“ ist, wird das UDM-Feld auf „ICMP“ gesetzt. |
| Nutzer/usr | event.idm.read_only_udm.principal.user.email_addresses, event.idm.read_only_udm.principal.user.user_display_name, event.idm.read_only_udm.principal.user.userid |
Wenn user leer ist, wird stattdessen der Wert von usr verwendet. Wenn der Wert „@“ enthält, wird er als E-Mail-Adresse behandelt und email_addresses hinzugefügt. Wenn er ein Leerzeichen enthält, wird er als Anzeigename behandelt. Andernfalls wird er als Nutzer-ID behandelt. |
| Vpnpolicy | event.idm.read_only_udm.security_result.detection_fields |
Dem UDM-Feld wird ein Erkennungsfeld mit dem Schlüssel „vpnpolicy“ und dem Wert aus dem Feld vpnpolicy hinzugefügt. Fest codiert auf „SonicWall“. Fest codiert auf „Firewall“. Fest codiert auf „SONIC_FIREWALL“. Wird durch Logik basierend auf den Werten anderer Felder bestimmt. Standardmäßig „GENERIC_EVENT“, kann „STATUS_UPDATE“, „NETWORK_CONNECTION“ oder „NETWORK_HTTP“ sein. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten