Raccogliere i log di Sophos UTM

Supportato in:

Questo documento spiega come importare i log di Sophos UTM in Google Security Operations utilizzando Bindplane.

Sophos UTM (Unified Threat Management) è un'appliance di sicurezza di rete all-in-one che fornisce funzionalità di firewall, VPN, prevenzione delle intrusioni, filtro web, filtro email e antivirus. Offre la gestione centralizzata della sicurezza per le reti aziendali tramite un'unica console di gestione basata sul web. Il parser estrae i campi dai log formattati KV di Sophos UTM. Utilizza grok e/o kv per analizzare il messaggio di log e quindi mappa questi valori al modello UDM (Unified Data Model). Imposta anche i valori predefiniti dei metadati per l'origine e il tipo di evento.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2016 o versioni successive oppure host Linux con systemd
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • Accesso privilegiato all'interfaccia WebAdmin di Sophos UTM

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri Prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sc query observiq-otel-collector

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

  • Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'SOPHOS_UTM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parametri di configurazione

  • Sostituisci i seguenti segnaposto:

    • Configurazione del ricevitore:

      • udplog: utilizza udplog per syslog UDP o tcplog per syslog TCP
      • 0.0.0.0: indirizzo IP su cui ascoltare (0.0.0.0 per ascoltare su tutte le interfacce)
      • 514: Numero di porta su cui ascoltare (porta syslog standard)

    • Configurazione dell'esportatore:

      • creds_file_path: percorso completo del file di autenticazione importazione:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: l'ID cliente della sezione Recupera ID cliente
      • endpoint: URL endpoint regionale:
        • Stati Uniti: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Per l'elenco completo, vedi Endpoint regionali.
      • log_type: Tipo di log esattamente come appare in Chronicle (SOPHOS_UTM)

Salvare il file di configurazione

  • Dopo la modifica, salva il file:
    • Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
    • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica che il servizio sia in esecuzione:

        sudo systemctl status observiq-otel-collector

    2. Controlla i log per individuare eventuali errori:

        sudo journalctl -u observiq-otel-collector -f

  • Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:

    • Prompt dei comandi o PowerShell come amministratore:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console dei servizi:

      1. Premi Win+R, digita services.msc e premi Invio.
      2. Individua observIQ OpenTelemetry Collector.

      3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

      4. Verifica che il servizio sia in esecuzione:

        sc query observiq-otel-collector

      5. Controlla i log per individuare eventuali errori:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura l'inoltro di Syslog su Sophos UTM

  1. Accedi all'interfaccia WebAdmin di Sophos UTM.
  2. Vai a Registrazione e report > Impostazioni log > Server Syslog remoto.
  3. Fai clic sul pulsante di attivazione/disattivazione per attivare syslog remoto.
  4. Fornisci i seguenti dettagli di configurazione:
    • Server syslog remoto: inserisci l'indirizzo IP dell'host dell'agente Bindplane.
    • Porta: inserisci 514.
  5. Nella sezione Selezione log Syslog remoto, seleziona i tipi di log da inoltrare:
    • Filtro pacchetti: log del filtro pacchetti del firewall
    • Filtro web: attività di filtraggio web
    • IPS: eventi del sistema di prevenzione delle intrusioni
    • Autenticazione: eventi di autenticazione degli utenti
    • Email: eventi di quarantena e filtro email
    • Protezione di rete: log della protezione dalle minacce avanzata
    • Protezione del server web: log WAF
    • VPN: eventi di connessione VPN
    • HA/Cluster: eventi di alta disponibilità e cluster
    • Sistema: eventi a livello di sistema
    • DHCP: log del server DHCP
    • DNS: log delle query DNS
  6. Fai clic su Applica per salvare la configurazione.
  7. Verifica che i messaggi syslog vengano inviati controllando i log dell'agente Bindplane.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
azione security_result.action Se l'azione è "pass" o "accept", mappala su "ALLOW". Se l'azione è "drop", mappala su "BLOCK".
ad_domain target.administrative_domain Mappatura diretta.
indirizzo target.ip, target.asset.ip Mappatura diretta, utilizzata quando l'ID è "2203".
app target.application Mappatura diretta.
app-id additional.fields[].key, additional.fields[].value.string_value Rinominate in app_id. Se non è vuota, la chiave è impostata su "app-id" e il valore è l'app-id stesso.
applicazione principal.application Mappatura diretta.
aptptime additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "aptptime" e il valore è l'aptptime stesso.
autorizzazione extensions.auth.auth_details Mappatura diretta.
authtime additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave è impostata su "authtime" e il valore è l'authtime stesso.
avscantime additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave è impostata su "avscantime" e il valore è avscantime stesso.
categoria security_result.detection_fields[].key, security_result.detection_fields[].value Se non è vuota, la chiave è impostata su "category" e il valore è la categoria stessa. Se il nome contiene "portscan", security_result.category viene impostato su "NETWORK_RECON" e viene aggiunto un campo di rilevamento con la chiave "category" e il valore "NETWORK_RECON".
categoryname security_result.category_details Mappatura diretta.
connessione security_result.rule_name Mappatura diretta, utilizzata quando l'ID è "2203".
dati content-type (Vedi altri campi) Il campo dati contiene coppie chiave-valore analizzate in singoli campi.
dataora metadata.event_timestamp Analizzato e mappato come secondi trascorsi da epoca.
dispositivo additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave è impostata su "device" e il valore è il dispositivo stesso.
dnstime additional.fields[].key, additional.fields[].value.string_value Se non è vuota e non è "0", la chiave è impostata su "dnstime" e il valore è il dnstime stesso.
dstip target.ip, target.asset.ip Mappatura diretta. Estratto anche dal campo URL, se presente.
dstmac target.mac Mappatura diretta.
dstport target.port Mappatura diretta, convertita in numero intero.
evento di errore security_result.summary Mappatura diretta, utilizzata quando l'ID è "2201", "2202" o "2203".
eccezioni additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "exceptions" e il valore è l'eccezione stessa.
file about.file.full_path Mappatura diretta.
filteraction security_result.rule_name Mappatura diretta.
fullreqtime additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "fullreqtime" e il valore è fullreqtime stesso.
fwrule security_result.rule_id Mappatura diretta.
gruppo target.group.group_display_name Mappatura diretta.
id metadata.product_log_id Mappatura diretta.
informazioni security_result.description Mappatura diretta. Se presente, metadata.event_type è impostato su "NETWORK_UNCATEGORIZED".
Interfaccia initf security_result.about.labels[].key, security_result.about.labels[].value Se non è vuoto, all'elemento security_result.about.labels viene aggiunta un'etichetta con la chiave "Interface" e il valore interface.
ip_address target.ip, target.asset.ip Mappatura diretta.
messaggio della linea di lunghezza security_result.summary Utilizzato quando l'ID è "0003". Utilizzato anche per l'analisi grok generale.
metodo network.http.method Mappatura diretta.
nome security_result.summary Mappatura diretta.
outitf pid target.process.pid Mappatura diretta.
porta target.port Mappatura diretta, convertita in numero intero.
prec profile security_result.rule_name Mappatura diretta.
proto network.ip_protocol Convertito nel nome del protocollo IP utilizzando una tabella di ricerca.
reason referer network.http.referral_url Mappatura diretta.
richiesta additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "request" e il valore è la richiesta stessa.
reputazione additional.fields[].key, additional.fields[].value.string_value Se non è vuota, la chiave è impostata su "reputation" e il valore è la reputazione stessa.
rx network.received_bytes Mappatura diretta, utilizzata quando l'ID è "2202", convertito in numero intero senza segno.
gravità della sandbox security_result.severity Se la gravità è "info", mappala su "LOW".
dimensioni target.file.size Mappatura diretta, convertita in numero intero senza segno.
srcip principal.ip, principal.asset.ip Mappatura diretta.
srcmac principal.mac Mappatura diretta.
srcport principal.port Mappatura diretta, convertita in numero intero.
statuscode network.http.response_code Mappatura diretta, convertita in numero intero.
Pub/Sub. network.application_protocol Se sub è "http", metadata.event_type è impostato su "NETWORK_HTTP" e network.application_protocol è impostato su "HTTP". Se sub è "packetfilter", metadata.description è impostato su sub. In caso contrario, viene convertito nel nome del protocollo dell'applicazione utilizzando una tabella di ricerca. Se non viene trovata alcuna corrispondenza nella tabella di ricerca, viene utilizzato dstport per la ricerca.
sys metadata.product_event_type Mappatura diretta.
tcpflags tos ttl tx network.sent_bytes Mappatura diretta, utilizzata quando l'ID è "2202", convertito in numero intero senza segno.
ua network.http.user_agent Mappatura diretta.
url network.http.referral_url, target.hostname, target.asset.hostname Mappatura diretta per network.http.referral_url. Nome host estratto per target.hostname e target.asset.hostname. Utilizzato anche per estrarre dstip.
utente target.user.userid Mappatura diretta.
nome utente target.user.userid Mappatura diretta, utilizzata quando l'ID è "2201" o "2202".
variante Non incluso nell'UDM finale, ma utilizzato nella descrizione Utilizzato in combinazione con sub per creare security_result.description quando id è "2201", "2202" o "2203".
virtual_ip target.ip, target.asset.ip Mappatura diretta, utilizzata quando l'ID è "2201" o "2202".
metadata.event_type metadata.event_type Inizializzato su "GENERIC_EVENT". Impostato su valori specifici in base al contenuto del log e alla logica del parser.
metadata.log_type metadata.log_type Codificato in modo permanente su "SOPHOS_UTM".
metadata.product_name metadata.product_name Codificato come "SOPHOS UTM".
metadata.vendor_name metadata.vendor_name Codificato in modo permanente su "SOPHOS Ltd".
intermediary.hostname intermediary.hostname Estratto dal messaggio di log utilizzando grok e rinominato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.