Raccogliere i log di SonicWall

Questo documento descrive come raccogliere i log di SonicWall utilizzando un forwarder di Google Security Operations.

Per saperne di più, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione SONIC_FIREWALL.

Configurare l'appliance di sicurezza SonicWall

1. Accedi alla console SonicWall.
2. Vai a Log > Syslog.
3. Nella sezione Syslog servers (Server syslog), fai clic su Add (Aggiungi). Viene visualizzata la finestra Add syslog server (Aggiungi server syslog).
4. Nel campo Name (Nome) o IP address (Indirizzo IP), fornisci il nome host o l'indirizzo IP del forwarder di Google Security Operations.
5. Se la configurazione syslog non utilizza la porta 514 predefinita, specifica il numero di porta nel campo Port number (Numero di porta).
6. Fai clic su Ok.
7. Fai clic su Accept (Accetta) per salvare tutte le impostazioni del server syslog.

Configurare il forwarder di Google Security Operations e syslog per importare i log di SonicWall

1. Vai a SIEM Settings (Impostazioni SIEM) > Forwarders (Forwarder).
2. Fai clic su Add new forwarder (Aggiungi nuovo forwarder).
3. Nel campo Forwarder Name (Nome forwarder), inserisci un nome univoco per il forwarder.
4. Fai clic su Submit (Invia). Il forwarder viene aggiunto e viene visualizzata la finestra Add collector configuration (Aggiungi configurazione del raccoglitore).
5. Nel campo Collector name (Nome raccoglitore), digita un nome.
6. Seleziona SonicWall come Log type (Tipo di log).
7. Seleziona Syslog come Collector type (Tipo di raccoglitore).
8. Configura i seguenti parametri di input obbligatori:
   • Protocollo: specifica il protocollo di connessione che l'agente di raccolta utilizzerà per rimanere in ascolto dei dati syslog.
   • Address (Indirizzo): specifica l'indirizzo IP o il nome host di destinazione in cui risiede l'agente di raccolta e rimane in ascolto dei dati syslog.
   • Porta: specifica la porta di destinazione in cui risiede l'agente di raccolta e rimane in ascolto dei dati syslog.
9. Fai clic su Submit (Invia).

Per saperne di più sui forwarder di Google Security Operations, consulta la documentazione sui forwarder di Google Security Operations.

Per informazioni sui requisiti per ogni tipo di forwarder, consulta Configurazione del forwarder per tipo.

Se riscontri problemi durante la creazione dei forwarder, contatta l'assistenza di Google Security Operations.

Riferimento per la mappatura dei campi

Questo parser estrae le coppie chiave-valore dai messaggi syslog del firewall SonicWall, normalizza vari campi come timestamp, indirizzi IP e porte e li mappa nel formato UDM. Gestisce sia gli indirizzi IPv4 che IPv6, distingue tra eventi consentiti e bloccati ed estrae dettagli rilevanti per la sicurezza come nomi e descrizioni delle regole.

Log di esempio di SonicWall supportati

• Evento firewall standard

  {
    "type": "SONIC_FIREWALL",
    "log": "<134> id=SONICWALL_FIREWALL\n"
           "      sn=DEADD00D1234\n"
           "      time=\"2020-04-08 13:28:45\"\n"
           "      fw=192.0.2.1\n"
           "      pri=6\n"
           "      c=1024\n"
           "      gcat=2\n"
           "      m=97\n"
           "      msg=\"Web site hit\"\n"
           "      srcMac=00:00:5E:00:53:01\n"
           "      src=192.0.2.10:12345:X0\n"
           "      srcZone=LAN\n"
           "      natSrc=192.0.2.10:12345\n"
           "      dstMac=00:00:5E:00:53:02\n"
           "      dst=198.51.100.20:443:X0\n"
           "      dstZone=WAN\n"
           "      natDst=198.51.100.20:443\n"
           "      proto=tcp/https\n"
           "      sent=1247\n"
           "      rcvd=59996\n"
           "      rule=\"14 (LAN->WAN)\"\n"
           "      app=49175\n"
           "      appName=\"General HTTP\"\n"
           "      op=1\n"
           "      dstname=sanitized-host.com\n"
           "      arg=/sanitized/path/file.cab?id=REDACTED\n"
           "      code=27\n"
           "      Category=\"Information Technology/Computers\"\n"
           "      n=3451648"
  }
  

• Evento di sessione SSL-VPN

  {
    "type": "SONIC_FIREWALL",
    "log": "<181>SSLVPN: id=sslvpn\n"
           "      sn=DEADD00D1234\n"
           "      time=\"2020-04-10 10:07:11\"\n"
           "      vp_time=\"2020-04-10 08:07:11 UTC\"\n"
           "      fw=192.0.2.1\n"
           "      pri=5\n"
           "      m=2\n"
           "      c=102\n"
           "      src=203.0.113.50\n"
           "      dst=192.0.2.1\n"
           "      user=\"internal_user@company.com\"\n"
           "      usr=\"internal_user@company.com\"\n"
           "      msg=\"NetExtender disconnected\"\n"
           "      rule=access-policy\n"
           "      duration=731\n"
           "      bytesIn=47360\n"
           "      bytesOut=10\n"
           "      agent=\"SonicWALL NetExtender for Windows (REDACTED)\""
  }
  

• Controllo avanzato delle minacce/app

  {
    "type": "SONIC_FIREWALL",
    "log": "<129> id=PD_Firewall sn=DEADD00D1234 time=\"2024-03-06 12:33:40\"\n"
           "      fw=192.0.2.1 pri=1 c=0 m=1154 msg=\"Application Control Detection\n"
           "      Alert: PROTOCOLS DNS Protocol -- Standard Query A\" sid=5183\n"
           "      appcat=\"PROTOCOLS DNS Protocol -- Standard Query A\" appid=1283 catid=74\n"
           "      n=3235773 src=192.0.2.15:58482:X0 dst=203.0.113.1:53:X2\n"
           "      srcMac=00:00:5E:00:53:03 dstMac=00:00:5E:00:53:04 proto=udp/dns\n"
           "      fw_action=\"NA\""
  }
  

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.