Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogli i log di Sophos Firewall (SFOS)

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Sophos Firewall in Google Security Operations utilizzando Bindplane. Sophos Firewall (SFOS) è un firewall di nuova generazione che fornisce sicurezza di rete, filtro web, controllo delle applicazioni, IPS, VPN e protezione avanzata dalle minacce. SFOS viene eseguito su appliance hardware della serie Sophos XGS, deployment virtuali e cloud e genera log dettagliati per regole firewall, filtro web, eventi IPS, autenticazione, connessioni VPN e attività di sistema.

Per saperne di più, consulta Raccogliere i log di Sophos Firewall.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps.
Un host Windows 2016 o versioni successive o Linux con systemd.
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
Accesso privilegiato alla console di amministrazione web di Sophos Firewall con ruolo di amministratore.
Sophos Firewall con SFOS v18 o versioni successive.

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agente di raccolta.
Scarica il file di autenticazione dell'acquisizione.
- Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere si trova nella directory /opt/observiq-otel-collector/config.yaml su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/sophos_firewall:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: '<CUSTOMER_ID>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: SOPHOS_FIREWALL
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/sophos_fw_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/sophos_firewall

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <CUSTOMER_ID> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Configura l'inoltro di syslog su Sophos Firewall

Aggiungere il server Syslog

Accedi alla console di amministrazione web di Sophos Firewall.
Vai a Servizi di sistema > Impostazioni log.
Scorri verso il basso fino alla sezione Server Syslog.
Fai clic su Aggiungi per aggiungere un nuovo server syslog.
Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome descrittivo (ad esempio, Bindplane-SecOps).
- Indirizzo IP/Dominio: inserisci l'indirizzo IP dell'host dell'agente Bindplane.
- Porta: inserisci 514 (o la porta configurata).
- Facility: seleziona DAEMON.
- Livello di gravità: seleziona Informazioni (opzione consigliata per la registrazione completa).
- Formato: seleziona Formato standard dispositivo.
Fai clic su Salva.

Seleziona i tipi di log da inoltrare

Nella sezione Server Syslog, fai clic sulla voce del server Syslog Bindplane-SecOps.
Nella sezione Tipo di log, attiva le categorie di log da inoltrare:
- Firewall: corrispondenze delle regole firewall, traffico eliminato e connessioni consentite.
- IPS: avvisi ed eventi del sistema di prevenzione delle intrusioni.
- Antivirus: eventi di rilevamento di malware.
- Antispam: eventi di rilevamento dello spam e filtraggio.
- Filtro dei contenuti: eventi di filtro web e classificazione degli URL.
- Eventi: eventi di sistema, autenticazione e attività amministrative.
- Protezione server web: eventi WAF.
- Protezione avanzata dalle minacce: eventi di rilevamento di Sandstorm e ATP.
- Wireless: eventi del punto di accesso wireless (se applicabile).
- Heartbeat: modifiche dello stato di Sophos Security Heartbeat (se la sicurezza sincronizzata è abilitata).
- Integrità del sistema: eventi relativi all'integrità di hardware e software.
- Autenticazione: eventi di autenticazione di utenti e amministratori.
- Amministratore: attività della console amministrativa.
Fai clic su Applica.

Verificare l'inoltro di Syslog

Vai a Visualizzatore log nella console di amministrazione web di Sophos Firewall.
Verifica che vengano generate voci di log.
Controlla i log dell'agente Bindplane per verificare che i messaggi syslog vengano ricevuti:
```
sudo journalctl -u observiq-otel-collector -f
```

Per saperne di più, consulta la documentazione di Sophos Firewall su syslog.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`device_id`	`intermediary.asset.asset_id`	Mappato direttamente
`device_serial_id`	`intermediary.asset.asset_id`	Mappato direttamente
`device_model`	`intermediary.hostname`	Mappato direttamente
`device_name`	`intermediary.hostname`	Mappato direttamente
`log_msg`	`metadata.description`	Mappato direttamente
`date_time`	`metadata.event_timestamp`	Analizzato come `yyyy-MM-dd HH:mm:ss Z`
`timestamp`	`metadata.event_timestamp`	Analizzato come `yyyy-MM-ddTHH:mm:ssZ`
`log_component`	`metadata.product_event_type`	Mappato direttamente
`log_id`	`metadata.product_log_id`	Mappato direttamente
`client_physical_address`	`network.dhcp.chaddr`	Mappato direttamente
`ipaddress`	`network.dhcp.ciaddr`	Mappato direttamente
`client_host_name`	`network.dhcp.client_hostname`	Mappato direttamente
`user_agent`	`network.http.parsed_user_agent`	Rinominate/mappate
`referer`	`network.http.referral_url`	Mappato direttamente
`http_status`	`network.http.response_code`	Rinominate/mappate
`status_code`	`network.http.response_code`	Rinominate/mappate
`user_agent`	`network.http.user_agent`	Mappato direttamente
`ip_protocol_out`	`network.ip_protocol`	Mappato direttamente
`bytes_received`	`network.received_bytes`	Rinominate/mappate
`recv_bytes`	`network.received_bytes`	Rinominate/mappate
`packets_received`	`network.received_packets`	Rinominate/mappate
`recv_pkts`	`network.received_packets`	Rinominate/mappate
`bytes_sent`	`network.sent_bytes`	Rinominate/mappate
`sent_bytes`	`network.sent_bytes`	Rinominate/mappate
`packets_sent`	`network.sent_packets`	Rinominate/mappate
`sent_pkts`	`network.sent_packets`	Rinominate/mappate
`duration`	`network.session_duration.seconds`	Rinominate/mappate
`domain`	`principal.administrative_domain`	Rinominate/mappate
`app_name`	`principal.application`	Mappato direttamente
`application`	`principal.application`	Mappato direttamente
`ipaddress`	`principal.ip`	Unita
`src_ip`	`principal.ip`	Unita
`src_country`	`principal.location.country_or_region`	Mappato direttamente
`src_country_code`	`principal.location.country_or_region`	Mappato direttamente
`src_mac`	`principal.mac`	Unita
`src_trans_ip`	`principal.nat_ip`	Unita
`tran_src_ip`	`principal.nat_ip`	Unita
`src_trans_port`	`principal.nat_port`	Rinominate/mappate
`tran_src_port`	`principal.nat_port`	Rinominate/mappate
`src_port`	`principal.port`	Rinominate/mappate
`user_name`	`principal.user.email_addresses`	Mappato: `.?@.` → `user_name`
`user_name`	`principal.user.userid`	Mappato direttamente
`action`	`security_result.action`	Unita
`status`	`security_result.action_details`	Mappato direttamente
`_about0`	`security_result.detection_fields`	Unita
`_about2`	`security_result.detection_fields`	Unita
`activityname_label`	`security_result.detection_fields`	Unita
`appCategory_label`	`security_result.detection_fields`	Unita
`appTech_label`	`security_result.detection_fields`	Unita
`app_filter_policy_id_label`	`security_result.detection_fields`	Unita
`app_is_cloud_label`	`security_result.detection_fields`	Unita
`app_resolved_by_label`	`security_result.detection_fields`	Unita
`category_type_label`	`security_result.detection_fields`	Unita
`con_event_label`	`security_result.detection_fields`	Unita
`con_id_label`	`security_result.detection_fields`	Unita
`connevent_label`	`security_result.detection_fields`	Unita
`connid_label`	`security_result.detection_fields`	Unita
`dst_zone_type_label`	`security_result.detection_fields`	Unita
`dstzonetype_label`	`security_result.detection_fields`	Unita
`ether_type_label`	`security_result.detection_fields`	Unita
`exceptions_label`	`security_result.detection_fields`	Unita
`gw_id_request_label`	`security_result.detection_fields`	Unita
`gw_name_request_label`	`security_result.detection_fields`	Unita
`hb_health_label`	`security_result.detection_fields`	Unita
`hb_status_label`	`security_result.detection_fields`	Unita
`http_category_label`	`security_result.detection_fields`	Unita
`http_category_type_label`	`security_result.detection_fields`	Unita
`in_display_interface_label`	`security_result.detection_fields`	Unita
`in_interface_label`	`security_result.detection_fields`	Unita
`log_component_label`	`security_result.detection_fields`	Unita
`log_occurrence_label`	`security_result.detection_fields`	Unita
`log_subtype_label`	`security_result.detection_fields`	Unita
`log_type_label`	`security_result.detection_fields`	Unita
`log_version_label`	`security_result.detection_fields`	Unita
`nat_rule_id_label`	`security_result.detection_fields`	Unita
`nat_rule_name_label`	`security_result.detection_fields`	Unita
`out_display_interface_label`	`security_result.detection_fields`	Unita
`out_interface_label`	`security_result.detection_fields`	Unita
`qualifier_label`	`security_result.detection_fields`	Unita
`reason_label`	`security_result.detection_fields`	Unita
`risk_label`	`security_result.detection_fields`	Unita
`src_zone_type_label`	`security_result.detection_fields`	Unita
`srczonetype_label`	`security_result.detection_fields`	Unita
`used_quota_label`	`security_result.detection_fields`	Unita
`web_policy_id_label`	`security_result.detection_fields`	Unita
`fw_rule_id`	`security_result.rule_id`	Mappato direttamente
`fw_rule_name`	`security_result.rule_name`	Mappato direttamente
`fw_rule_section`	`security_result.rule_set`	Mappato direttamente
`fw_rule_type`	`security_result.rule_type`	Mappato direttamente
`priority`	`security_result.severity`	Mappato: `"INFORMATION", "NOTIFICATION", "NOTICE"` → `INFORMATIONAL`, `"ERROR","WARNING"` → `...
`reason`	`security_result.summary`	Mappato direttamente
`domain`	`target.hostname`	Mappato direttamente
`dst_ip`	`target.ip`	Unita
`dst_country`	`target.location.country_or_region`	Mappato direttamente
`dst_country_code`	`target.location.country_or_region`	Mappato direttamente
`dst_mac`	`target.mac`	Unita
`dst_trans_ip`	`target.nat_ip`	Unita
`tran_dst_ip`	`target.nat_ip`	Unita
`dst_trans_port`	`target.nat_port`	Rinominate/mappate
`tran_dst_port`	`target.nat_port`	Rinominate/mappate
`dst_port`	`target.port`	Rinominate/mappate
`url`	`target.url`	Mappato direttamente
N/D	`extensions.auth.type`	Costante: `VPN`
N/D	`metadata.event_type`	Costante: `NETWORK_HTTP`
N/D	`metadata.product_name`	Costante: `SOPHOS Firewall`
N/D	`metadata.vendor_name`	Costante: `SOPHOS`
N/D	`network.application_protocol`	Costante: `DHCP`
N/D	`security_result.severity`	Costante: `INFORMATIONAL`

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.