Coletar registros do firewall Sophos (SFOS)
Compatível com:
Google SecOps
SIEM
Este documento explica como ingerir registros do Sophos Firewall no Google Security Operations usando o Bindplane. O Sophos Firewall (SFOS) é um firewall de última geração que oferece segurança de rede, filtragem da Web, controle de aplicativos, IPS, VPN e proteção avançada contra ameaças. O SFOS é executado em appliances de hardware da série XGS da Sophos, implantações virtuais e na nuvem, e gera registros detalhados para regras de firewall, filtragem da Web, eventos de IPS, autenticação, conexões VPN e atividade do sistema.
Para mais informações, consulte Coletar registros do firewall da Sophos.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Uma instância do Google SecOps.
- Um host Windows 2016 ou mais recente ou Linux com systemd.
- Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
- Acesso privilegiado ao console de administrador da Web do Sophos Firewall com função de administrador.
- Sophos Firewall com SFOS v18 ou mais recente.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agente de coleta.
Baixe o arquivo de autenticação de ingestão.
- Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do BindPlane
Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh
Outros recursos de instalação
Para mais opções de instalação, consulte este guia.
Configurar o agente do Bindplane para ingerir Syslog e enviar ao Google SecOps
Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml. Normalmente, ele fica no diretório/opt/observiq-otel-collector/config.yamlno Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano,viou Bloco de Notas).
- Localize o arquivo
Edite o arquivo
config.yamlda seguinte forma:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/sophos_firewall: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: '<CUSTOMER_ID>' endpoint: malachiteingestion-pa.googleapis.com log_type: SOPHOS_FIREWALL raw_log_field: body ingestion_labels: service: pipelines: logs/sophos_fw_to_chronicle: receivers: - udplog exporters: - chronicle/sophos_firewall
- Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
- Substitua
<CUSTOMER_ID>pelo ID do cliente real. - Atualize
/path/to/ingestion-authentication-file.jsonpara o caminho em que o arquivo de autenticação foi salvo.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart observiq-otel-collectorPara reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
net stop observiq-otel-collector && net start observiq-otel-collector
Configurar o encaminhamento de syslog no Sophos Firewall
Adicionar servidor syslog
- Faça login no console de administração da Web do Sophos Firewall.
- Acesse Serviços do sistema > Configurações de registro.
- Role para baixo até a seção Servidores Syslog.
Clique em Adicionar para incluir um novo servidor syslog.
Informe os seguintes detalhes de configuração:
- Nome: insira um nome descritivo, por exemplo,
Bindplane-SecOps. - Endereço IP/domínio: insira o endereço IP do host do agente do Bindplane.
- Porta: digite
514(ou a porta configurada). - Facility: selecione DAEMON.
- Nível de gravidade: selecione Informações (recomendado para geração de registros abrangente).
- Formato: selecione Formato padrão do dispositivo.
- Nome: insira um nome descritivo, por exemplo,
Clique em Salvar.
Selecione os tipos de registros a serem encaminhados
- Na seção Servidores Syslog, clique na entrada do servidor Syslog
Bindplane-SecOps. Na seção Tipo de registro, ative as categorias de registro para encaminhar:
- Firewall: hits de regras de firewall, tráfego descartado e conexões permitidas.
- IPS: alertas e eventos do sistema de prevenção de intrusões.
- Antivírus: eventos de detecção de malware.
- Antispam: eventos de detecção e filtragem de spam.
- Filtragem de conteúdo: eventos de filtragem da Web e categorização de URL.
- Eventos: eventos do sistema, autenticação e atividade administrativa.
- Proteção do servidor da Web: eventos do WAF.
- Proteção Avançada Contra Ameaças: eventos de detecção do Sandstorm e da ATP.
- Sem fio: eventos de ponto de acesso sem fio (se aplicável).
- Sinal de funcionamento: mudanças no status do Sophos Security Heartbeat (se a segurança sincronizada estiver ativada).
- Integridade do sistema: eventos de integridade de hardware e software.
- Autenticação: eventos de autenticação de usuários e administradores.
- Admin: atividade do console administrativo.
Clique em Aplicar.
Verificar o encaminhamento do syslog
- Acesse o Visualizador de registros no console de administração da Web do Sophos Firewall.
- Verifique se as entradas de registro estão sendo geradas.
Verifique os registros do agente do Bindplane para confirmar se as mensagens do syslog estão sendo recebidas:
sudo journalctl -u observiq-otel-collector -f
Para mais informações, consulte a documentação do syslog do Sophos Firewall.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
device_id |
intermediary.asset.asset_id |
Mapeado diretamente |
device_serial_id |
intermediary.asset.asset_id |
Mapeado diretamente |
device_model |
intermediary.hostname |
Mapeado diretamente |
device_name |
intermediary.hostname |
Mapeado diretamente |
log_msg |
metadata.description |
Mapeado diretamente |
date_time |
metadata.event_timestamp |
Analisado como yyyy-MM-dd HH:mm:ss Z |
timestamp |
metadata.event_timestamp |
Analisado como yyyy-MM-ddTHH:mm:ssZ |
log_component |
metadata.product_event_type |
Mapeado diretamente |
log_id |
metadata.product_log_id |
Mapeado diretamente |
client_physical_address |
network.dhcp.chaddr |
Mapeado diretamente |
ipaddress |
network.dhcp.ciaddr |
Mapeado diretamente |
client_host_name |
network.dhcp.client_hostname |
Mapeado diretamente |
user_agent |
network.http.parsed_user_agent |
Renomeado/mapeado |
referer |
network.http.referral_url |
Mapeado diretamente |
http_status |
network.http.response_code |
Renomeado/mapeado |
status_code |
network.http.response_code |
Renomeado/mapeado |
user_agent |
network.http.user_agent |
Mapeado diretamente |
ip_protocol_out |
network.ip_protocol |
Mapeado diretamente |
bytes_received |
network.received_bytes |
Renomeado/mapeado |
recv_bytes |
network.received_bytes |
Renomeado/mapeado |
packets_received |
network.received_packets |
Renomeado/mapeado |
recv_pkts |
network.received_packets |
Renomeado/mapeado |
bytes_sent |
network.sent_bytes |
Renomeado/mapeado |
sent_bytes |
network.sent_bytes |
Renomeado/mapeado |
packets_sent |
network.sent_packets |
Renomeado/mapeado |
sent_pkts |
network.sent_packets |
Renomeado/mapeado |
duration |
network.session_duration.seconds |
Renomeado/mapeado |
domain |
principal.administrative_domain |
Renomeado/mapeado |
app_name |
principal.application |
Mapeado diretamente |
application |
principal.application |
Mapeado diretamente |
ipaddress |
principal.ip |
Mesclado |
src_ip |
principal.ip |
Mesclado |
src_country |
principal.location.country_or_region |
Mapeado diretamente |
src_country_code |
principal.location.country_or_region |
Mapeado diretamente |
src_mac |
principal.mac |
Mesclado |
src_trans_ip |
principal.nat_ip |
Mesclado |
tran_src_ip |
principal.nat_ip |
Mesclado |
src_trans_port |
principal.nat_port |
Renomeado/mapeado |
tran_src_port |
principal.nat_port |
Renomeado/mapeado |
src_port |
principal.port |
Renomeado/mapeado |
user_name |
principal.user.email_addresses |
Mapeado: .*?@.* → user_name |
user_name |
principal.user.userid |
Mapeado diretamente |
action |
security_result.action |
Mesclado |
status |
security_result.action_details |
Mapeado diretamente |
_about0 |
security_result.detection_fields |
Mesclado |
_about2 |
security_result.detection_fields |
Mesclado |
activityname_label |
security_result.detection_fields |
Mesclado |
appCategory_label |
security_result.detection_fields |
Mesclado |
appTech_label |
security_result.detection_fields |
Mesclado |
app_filter_policy_id_label |
security_result.detection_fields |
Mesclado |
app_is_cloud_label |
security_result.detection_fields |
Mesclado |
app_resolved_by_label |
security_result.detection_fields |
Mesclado |
category_type_label |
security_result.detection_fields |
Mesclado |
con_event_label |
security_result.detection_fields |
Mesclado |
con_id_label |
security_result.detection_fields |
Mesclado |
connevent_label |
security_result.detection_fields |
Mesclado |
connid_label |
security_result.detection_fields |
Mesclado |
dst_zone_type_label |
security_result.detection_fields |
Mesclado |
dstzonetype_label |
security_result.detection_fields |
Mesclado |
ether_type_label |
security_result.detection_fields |
Mesclado |
exceptions_label |
security_result.detection_fields |
Mesclado |
gw_id_request_label |
security_result.detection_fields |
Mesclado |
gw_name_request_label |
security_result.detection_fields |
Mesclado |
hb_health_label |
security_result.detection_fields |
Mesclado |
hb_status_label |
security_result.detection_fields |
Mesclado |
http_category_label |
security_result.detection_fields |
Mesclado |
http_category_type_label |
security_result.detection_fields |
Mesclado |
in_display_interface_label |
security_result.detection_fields |
Mesclado |
in_interface_label |
security_result.detection_fields |
Mesclado |
log_component_label |
security_result.detection_fields |
Mesclado |
log_occurrence_label |
security_result.detection_fields |
Mesclado |
log_subtype_label |
security_result.detection_fields |
Mesclado |
log_type_label |
security_result.detection_fields |
Mesclado |
log_version_label |
security_result.detection_fields |
Mesclado |
nat_rule_id_label |
security_result.detection_fields |
Mesclado |
nat_rule_name_label |
security_result.detection_fields |
Mesclado |
out_display_interface_label |
security_result.detection_fields |
Mesclado |
out_interface_label |
security_result.detection_fields |
Mesclado |
qualifier_label |
security_result.detection_fields |
Mesclado |
reason_label |
security_result.detection_fields |
Mesclado |
risk_label |
security_result.detection_fields |
Mesclado |
src_zone_type_label |
security_result.detection_fields |
Mesclado |
srczonetype_label |
security_result.detection_fields |
Mesclado |
used_quota_label |
security_result.detection_fields |
Mesclado |
web_policy_id_label |
security_result.detection_fields |
Mesclado |
fw_rule_id |
security_result.rule_id |
Mapeado diretamente |
fw_rule_name |
security_result.rule_name |
Mapeado diretamente |
fw_rule_section |
security_result.rule_set |
Mapeado diretamente |
fw_rule_type |
security_result.rule_type |
Mapeado diretamente |
priority |
security_result.severity |
Mapeado: "INFORMATION", "NOTIFICATION", "NOTICE" → INFORMATIONAL, "ERROR","WARNING" → `... |
reason |
security_result.summary |
Mapeado diretamente |
domain |
target.hostname |
Mapeado diretamente |
dst_ip |
target.ip |
Mesclado |
dst_country |
target.location.country_or_region |
Mapeado diretamente |
dst_country_code |
target.location.country_or_region |
Mapeado diretamente |
dst_mac |
target.mac |
Mesclado |
dst_trans_ip |
target.nat_ip |
Mesclado |
tran_dst_ip |
target.nat_ip |
Mesclado |
dst_trans_port |
target.nat_port |
Renomeado/mapeado |
tran_dst_port |
target.nat_port |
Renomeado/mapeado |
dst_port |
target.port |
Renomeado/mapeado |
url |
target.url |
Mapeado diretamente |
| N/A | extensions.auth.type |
Constante: VPN |
| N/A | metadata.event_type |
Constante: NETWORK_HTTP |
| N/A | metadata.product_name |
Constante: SOPHOS Firewall |
| N/A | metadata.vendor_name |
Constante: SOPHOS |
| N/A | network.application_protocol |
Constante: DHCP |
| N/A | security_result.severity |
Constante: INFORMATIONAL |
Registro de alterações
Ver o registro de alterações deste analisador
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.