收集 Sophos UTM 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 将 Sophos UTM 日志注入到 Google Security Operations。

Sophos UTM（统一威胁管理）是一款多合一的网络安全设备，可提供防火墙、VPN、入侵防御、Web 过滤、电子邮件过滤和杀毒功能。它通过一个基于 Web 的管理控制台为企业网络提供集中式安全管理。该解析器从 Sophos UTM KV 格式的日志中提取字段。它使用 grok 和/或 kv 来解析日志消息，然后将这些值映射到统一数据模型 (UDM)。它还会为事件来源和类型设置默认元数据值。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows Server 2016 或更高版本，或者具有 systemd 的 Linux 主机
如果通过代理运行，请确保防火墙端口已根据 Bindplane 代理要求打开
对 Sophos UTM WebAdmin 界面的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安装完成。
运行以下命令来验证安装：
```
sc query observiq-otel-collector
```

该服务应显示为 RUNNING。

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安装完成。

运行以下命令来验证安装：

sudo systemctl status observiq-otel-collector

该服务应显示为有效（正在运行）。

其他安装资源

如需了解其他安装选项和问题排查信息，请参阅 Bindplane 代理安装指南。

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

修改配置文件

将 config.yaml 的全部内容替换为以下配置：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'SOPHOS_UTM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

配置参数

替换以下占位符：
- 接收器配置：
  - udplog：使用 udplog 表示 UDP syslog，使用 tcplog 表示 TCP syslog
  - 0.0.0.0：要监听的 IP 地址（0.0.0.0 表示监听所有接口）
  - 514：要监听的端口号（标准 syslog 端口）
- 导出器配置：
  - creds_file_path：提取身份验证文件的完整路径：
    - Linux：/etc/bindplane-agent/ingestion-auth.json
    - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID：从“获取客户 ID”部分获取的客户 ID
  - endpoint：区域端点网址：
    - 美国：malachiteingestion-pa.googleapis.com
    - 欧洲：europe-malachiteingestion-pa.googleapis.com
    - 亚洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    - 如需查看完整列表，请参阅区域级端点
  - log_type：日志类型，与在 Chronicle 中显示的完全一致 (SOPHOS_UTM)

保存配置文件

修改后，保存文件：
- Linux：依次按 Ctrl+O、Enter 和 Ctrl+X
- Windows：依次点击文件 > 保存

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：

sudo systemctl restart observiq-otel-collector

验证服务是否正在运行：

  sudo systemctl status observiq-otel-collector

检查日志是否存在错误：

  sudo journalctl -u observiq-otel-collector -f

如需在 Windows 中重启 Bindplane 代理，请选择以下选项之一：
- 以管理员身份运行命令提示符或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服务控制台：
  1. 按 Win+R，输入 services.msc，然后按 Enter 键。
  2. 找到 observIQ OpenTelemetry 收集器。
  3. 右键点击并选择重新启动。
  4. 验证服务是否正在运行：
```
sc query observiq-otel-collector
```
  5. 检查日志是否存在错误：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Sophos UTM 上配置 Syslog 转发

登录 Sophos UTM WebAdmin 界面。
依次前往日志记录和报告 > 日志设置 > 远程 Syslog 服务器。
点击切换开关以启用远程 syslog。
提供以下配置详细信息：
- 远程 Syslog 服务器：输入 Bindplane 代理主机 IP 地址。
- 端口：输入 514。
在远程 Syslog 日志选择部分，选择要转发的日志类型：
- 数据包过滤器：防火墙数据包过滤器日志
- Web Filter：网络过滤活动
- IPS：入侵防御系统事件
- 身份验证：用户身份验证事件
- 电子邮件：电子邮件过滤和隔离事件
- 网络保护：高级威胁防护日志
- Web 服务器保护：WAF 日志
- VPN：VPN 连接事件
- HA/集群：高可用性和集群事件
- 系统：系统级事件
- DHCP：DHCP 服务器日志
- DNS：DNS 查询日志
点击应用以保存配置。
通过检查 Bindplane 代理日志，验证是否正在发送 syslog 消息。

UDM 映射表

日志字段	UDM 映射	逻辑
操作	security_result.action	如果操作为“通过”或“接受”，则映射为“ALLOW”。如果操作为“drop”，则映射为“BLOCK”。
ad_domain	target.administrative_domain	直接映射。
地址	target.ip、target.asset.ip	直接映射，当 ID 为“2203”时使用。
应用	target.application	直接映射。
app-id	additional.fields[].key、additional.fields[].value.string_value	已重命名为 app_id。如果不为空，则键设置为“app-id”，值设置为应用 ID 本身。
应用	principal.application	直接映射。
aptptime	additional.fields[].key、additional.fields[].value.string_value	如果不为空，则将键设置为“aptptime”，并将值设置为 aptptime 本身。
auth	extensions.auth.auth_details	直接映射。
authtime	additional.fields[].key、additional.fields[].value.string_value	如果不为空且不为“0”，则将键设置为“authtime”，并将值设置为 authtime 本身。
avscantime	additional.fields[].key、additional.fields[].value.string_value	如果不为空且不为“0”，则将键设置为“avscantime”，并将值设置为 avscantime 本身。
类别	security_result.detection_fields[].key、security_result.detection_fields[].value	如果不为空，则键设置为“category”，值为类别本身。如果名称包含“portscan”，则将 security_result.category 设置为“NETWORK_RECON”，并添加一个键为“category”、值为“NETWORK_RECON”的检测字段。
categoryname	security_result.category_details	直接映射。
连接	security_result.rule_name	直接映射，当 ID 为“2203”时使用。
内容类型数据	（请参阅其他字段）	数据字段包含解析为各个字段的键值对。
日期时间	metadata.event_timestamp	解析并映射为自纪元开始以来的秒数。
device	additional.fields[].key、additional.fields[].value.string_value	如果不为空且不为“0”，则将键设置为“device”，并将值设置为设备本身。
dnstime	additional.fields[].key、additional.fields[].value.string_value	如果不为空且不为“0”，则将键设置为“dnstime”，并将值设置为 dnstime 本身。
dstip	target.ip、target.asset.ip	直接映射。如果存在，也会从网址字段中提取。
dstmac	target.mac	直接映射。
dstport	target.port	直接映射，转换为整数。
错误事件	security_result.summary	直接映射，当 ID 为“2201”“2202”或“2203”时使用。
exceptions	additional.fields[].key、additional.fields[].value.string_value	如果不为空，则键设置为“exceptions”，值为异常本身。
文件	about.file.full_path	直接映射。
filteraction	security_result.rule_name	直接映射。
fullreqtime	additional.fields[].key、additional.fields[].value.string_value	如果不为空，则将键设置为“fullreqtime”，并将值设置为 fullreqtime 本身。
fwrule	security_result.rule_id	直接映射。
群组	target.group.group_display_name	直接映射。
id	metadata.product_log_id	直接映射。
信息	security_result.description	直接映射。如果存在，则 metadata.event_type 设置为“NETWORK_UNCATEGORIZED”。
initf 接口	security_result.about.labels[].key、security_result.about.labels[].value	如果不为空，则会将键为“Interface”、值为接口的标签添加到 security_result.about.labels。
ip_address	target.ip、target.asset.ip	直接映射。
长度线消息	security_result.summary	当 ID 为“0003”时使用。也用于常规 grok 解析。
方法	network.http.method	直接映射。
name	security_result.summary	直接映射。
outitf pid	target.process.pid	直接映射。
端口	target.port	直接映射，转换为整数。
prec 配置文件	security_result.rule_name	直接映射。
proto	network.ip_protocol	使用查找表转换为 IP 协议名称。
原因引荐来源	network.http.referral_url	直接映射。
请求	additional.fields[].key、additional.fields[].value.string_value	如果不为空，则键设置为“request”，值为请求本身。
声誉	additional.fields[].key、additional.fields[].value.string_value	如果不为空，则键设置为“reputation”，值为信誉本身。
rx	network.received_bytes	直接映射，当 ID 为“2202”时使用，转换为无符号整数。
沙盒严重程度	security_result.severity	如果严重程度为“信息”，则映射为“低”。
大小	target.file.size	直接映射，转换为无符号整数。
srcip	principal.ip、principal.asset.ip	直接映射。
srcmac	principal.mac	直接映射。
srcport	principal.port	直接映射，转换为整数。
statuscode	network.http.response_code	直接映射，转换为整数。
sub	network.application_protocol	如果 sub 为“http”，则 metadata.event_type 设置为“NETWORK_HTTP”，network.application_protocol 设置为“HTTP”。如果 sub 为“packetfilter”，则将 metadata.description 设置为 sub。否则，使用查找表转换为应用协议名称。如果在查找表中未找到匹配项，则使用 dstport 进行查找。
sys	metadata.product_event_type	直接映射。
tcpflags tos ttl tx	network.sent_bytes	直接映射，当 ID 为“2202”时使用，转换为无符号整数。
ua	network.http.user_agent	直接映射。
网址	network.http.referral_url、target.hostname、target.asset.hostname	针对 network.http.referral_url 的直接映射。针对 target.hostname 和 target.asset.hostname 提取的主机名。还用于提取 dstip。
用户	target.user.userid	直接映射。
用户名	target.user.userid	直接映射，当 ID 为“2201”或“2202”时使用。
变体	未包含在最终 UDM 中，但用于说明中	与 sub 结合使用，在 ID 为“2201”“2202”或“2203”时创建 security_result.description。
virtual_ip	target.ip、target.asset.ip	直接映射，当 ID 为“2201”或“2202”时使用。
metadata.event_type	metadata.event_type	初始化为“GENERIC_EVENT”。根据日志内容和解析器逻辑设置为特定值。
metadata.log_type	metadata.log_type	硬编码为“SOPHOS_UTM”。
metadata.product_name	metadata.product_name	硬编码为“SOPHOS UTM”。
metadata.vendor_name	metadata.vendor_name	硬编码为“SOPHOS Ltd”。
intermediary.hostname	intermediary.hostname	使用 grok 从日志消息中提取并重命名。