Sophos UTM-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Sophos UTM-Logs mit Bindplane in Google Security Operations aufnehmen.

Sophos UTM (Unified Threat Management) ist eine All-in-One-Netzwerksicherheits-Appliance, die Firewall-, VPN-, Einbruchspräventions-, Webfilter-, E‑Mail-Filter- und Antivirenfunktionen bietet. Es bietet eine zentrale Sicherheitsverwaltung für Unternehmensnetzwerke über eine einzige webbasierte Verwaltungskonsole. Der Parser extrahiert Felder aus Sophos UTM-Logs im KV-Format. Sie verwendet „grok“ und/oder „kv“, um die Log-Nachricht zu parsen, und ordnet diese Werte dann dem Unified Data Model (UDM) zu. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Privilegierter Zugriff auf die WebAdmin-Oberfläche von Sophos UTM

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'SOPHOS_UTM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Konfigurationsparameter

  • Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • udplog: Verwenden Sie udplog für UDP-Syslog oder tcplog für TCP-Syslog.
      • 0.0.0.0: IP-Adresse, an der gelauscht werden soll (0.0.0.0, um an allen Schnittstellen zu lauschen)
      • 514: Portnummer, die überwacht werden soll (Standard-Syslog-Port)

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
      • log_type: Logtyp genau wie in Chronicle (SOPHOS_UTM)

Konfigurationsdatei speichern

  • Speichern Sie die Datei nach der Bearbeitung:
    • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
    • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung auf Sophos UTM konfigurieren

  1. Melden Sie sich in der WebAdmin-Oberfläche von Sophos UTM an.
  2. Gehen Sie zu Logging & Reporting > Log Settings> Remote Syslog Server.
  3. Klicken Sie auf den Schalter, um das Remote-Syslog zu aktivieren.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Remote-Syslog-Server: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein.
    • Port: Geben Sie 514 ein.
  5. Wählen Sie im Abschnitt Remote Syslog Log Selection (Auswahl der Remote-Syslog-Logs) die weiterzuleitenden Logtypen aus:
    • Paketfilter: Firewall-Paketfilterprotokolle
    • Webfilter: Webfilteraktivität
    • IPS: Ereignisse des Intrusion Prevention-Systems
    • Authentifizierung: Ereignisse zur Nutzerauthentifizierung
    • E‑Mail: Ereignisse zum Filtern und zur Quarantäne von E‑Mails
    • Netzwerkschutz: Protokolle zum erweiterten Schutz vor Bedrohungen
    • WebServer Protection: WAF-Protokolle
    • VPN: Ereignisse für VPN-Verbindungen
    • HA/Cluster: Ereignisse zu Hochverfügbarkeit und Clustern
    • System: Ereignisse auf Systemebene
    • DHCP: DHCP-Serverprotokolle
    • DNS: DNS-Abfragelogs
  6. Klicken Sie auf Übernehmen, um die Konfiguration zu speichern.
  7. Prüfen Sie die Bindplane-Agent-Logs, um zu sehen, ob Syslog-Nachrichten gesendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Aktion security_result.action Wenn die Aktion „pass“ oder „accept“ lautet, ordnen Sie sie „ALLOW“ zu. Wenn die Aktion „drop“ ist, ordnen Sie sie „BLOCK“ zu.
ad_domain target.administrative_domain Direkte Zuordnung
Adresse target.ip, target.asset.ip Direkte Zuordnung, die verwendet wird, wenn die ID „2203“ ist.
App target.application Direkte Zuordnung
app-id additional.fields[].key, additional.fields[].value.string_value Umbenannt in „app_id“. Wenn nicht leer, wird der Schlüssel auf „app-id“ und der Wert auf die App-ID selbst festgelegt.
Anwendung principal.application Direkte Zuordnung
aptptime additional.fields[].key, additional.fields[].value.string_value Wenn nicht leer, wird der Schlüssel auf „aptptime“ und der Wert auf die aptptime selbst gesetzt.
auth extensions.auth.auth_details Direkte Zuordnung
authtime additional.fields[].key, additional.fields[].value.string_value Wenn der Wert nicht leer und nicht „0“ ist, wird der Schlüssel auf „authtime“ gesetzt und der Wert ist die Authtime selbst.
avscantime additional.fields[].key, additional.fields[].value.string_value Wenn der Wert nicht leer und nicht „0“ ist, wird der Schlüssel auf „avscantime“ gesetzt und der Wert ist die avscantime selbst.
Kategorie security_result.detection_fields[].key, security_result.detection_fields[].value Wenn nicht leer, wird der Schlüssel auf „category“ und der Wert auf die Kategorie selbst gesetzt. Wenn der Name „portscan“ enthält, wird „security_result.category“ auf „NETWORK_RECON“ gesetzt und ein Erkennungsfeld mit dem Schlüssel „category“ und dem Wert „NETWORK_RECON“ wird hinzugefügt.
categoryname security_result.category_details Direkte Zuordnung
Verbindung security_result.rule_name Direkte Zuordnung, die verwendet wird, wenn die ID „2203“ ist.
Daten zum Inhaltstyp (Siehe andere Felder) Das Datenfeld enthält Schlüssel/Wert-Paare, die in einzelne Felder aufgeteilt werden.
Datum/Uhrzeit metadata.event_timestamp Geparsed und als Sekunden seit der UNIX-Epoche zugeordnet.
Gerät additional.fields[].key, additional.fields[].value.string_value Wenn das Feld nicht leer und nicht „0“ ist, wird der Schlüssel auf „device“ und der Wert auf das Gerät selbst gesetzt.
dnstime additional.fields[].key, additional.fields[].value.string_value Wenn der Wert nicht leer und nicht „0“ ist, wird der Schlüssel auf „dnstime“ und der Wert auf die dnstime selbst gesetzt.
dstip target.ip, target.asset.ip Direkte Zuordnung Wird auch aus dem Feld „url“ extrahiert, sofern vorhanden.
dstmac target.mac Direkte Zuordnung
dstport target.port Direkte Zuordnung, in Ganzzahl konvertiert.
Fehlerereignis security_result.summary Direkte Zuordnung, verwendet, wenn die ID „2201“, „2202“ oder „2203“ ist.
exceptions additional.fields[].key, additional.fields[].value.string_value Wenn nicht leer, wird der Schlüssel auf „exceptions“ und der Wert auf die Ausnahmen selbst gesetzt.
Datei about.file.full_path Direkte Zuordnung
filteraction security_result.rule_name Direkte Zuordnung
fullreqtime additional.fields[].key, additional.fields[].value.string_value Wenn nicht leer, wird der Schlüssel auf „fullreqtime“ und der Wert auf „fullreqtime“ selbst gesetzt.
fwrule security_result.rule_id Direkte Zuordnung
Gruppe target.group.group_display_name Direkte Zuordnung
id metadata.product_log_id Direkte Zuordnung
Info security_result.description Direkte Zuordnung Falls vorhanden, wird „metadata.event_type“ auf „NETWORK_UNCATEGORIZED“ gesetzt.
initf-Schnittstelle security_result.about.labels[].key, security_result.about.labels[].value Wenn nicht leer, wird security_result.about.labels ein Label mit dem Schlüssel „Interface“ und dem Wert „interface“ hinzugefügt.
ip_address target.ip, target.asset.ip Direkte Zuordnung
Länge der Zeile security_result.summary Wird verwendet, wenn die ID „0003“ ist. Wird auch für das allgemeine Grok-Parsing verwendet.
method network.http.method Direkte Zuordnung
Name security_result.summary Direkte Zuordnung
outitf pid target.process.pid Direkte Zuordnung
Port target.port Direkte Zuordnung, in Ganzzahl konvertiert.
prec-Profil security_result.rule_name Direkte Zuordnung
Proto network.ip_protocol Wird mithilfe einer Nachschlagetabelle in den Namen des IP-Protokolls umgewandelt.
Grund für die Empfehlung network.http.referral_url Direkte Zuordnung
Anfrage additional.fields[].key, additional.fields[].value.string_value Wenn nicht leer, wird der Schlüssel auf „request“ gesetzt und der Wert ist die Anfrage selbst.
Ruf additional.fields[].key, additional.fields[].value.string_value Wenn nicht leer, wird der Schlüssel auf „reputation“ und der Wert auf die Reputation selbst gesetzt.
rx network.received_bytes Direkte Zuordnung, verwendet, wenn die ID „2202“ ist, in eine vorzeichenlose Ganzzahl konvertiert.
Schweregrad der Sandbox security_result.severity Wenn der Schweregrad „info“ ist, ordnen Sie ihn „LOW“ zu.
Größe target.file.size Direkte Zuordnung, in eine vorzeichenlose Ganzzahl konvertiert.
srcip principal.ip, principal.asset.ip Direkte Zuordnung
srcmac principal.mac Direkte Zuordnung
srcport principal.port Direkte Zuordnung, in Ganzzahl konvertiert.
statuscode network.http.response_code Direkte Zuordnung, in Ganzzahl konvertiert.
sub network.application_protocol Wenn „sub“ auf „http“ festgelegt ist, wird „metadata.event_type“ auf „NETWORK_HTTP“ und „network.application_protocol“ auf „HTTP“ festgelegt. Wenn „sub“ „packetfilter“ ist, wird „metadata.description“ auf „sub“ festgelegt. Andernfalls wird der Name des Anwendungsprotokolls mithilfe einer Nachschlagetabelle konvertiert. Wenn in der Nachschlagetabelle keine Übereinstimmung gefunden wird, wird der dstport für die Suche verwendet.
sys metadata.product_event_type Direkte Zuordnung
tcpflags tos ttl tx network.sent_bytes Direkte Zuordnung, verwendet, wenn die ID „2202“ ist, in eine vorzeichenlose Ganzzahl konvertiert.
ua network.http.user_agent Direkte Zuordnung
URL network.http.referral_url, target.hostname, target.asset.hostname Direkte Zuordnung für network.http.referral_url. Extrahierter Hostname für target.hostname und target.asset.hostname. Wird auch zum Extrahieren von „dstip“ verwendet.
Nutzer target.user.userid Direkte Zuordnung
Nutzername target.user.userid Direkte Zuordnung, die verwendet wird, wenn die ID „2201“ oder „2202“ ist.
Variante Nicht im endgültigen UDM enthalten, aber in der Beschreibung verwendet Wird in Verbindung mit „sub“ verwendet, um die „security_result.description“ zu erstellen, wenn „id“ „2201“, „2202“ oder „2203“ ist.
virtual_ip target.ip, target.asset.ip Direkte Zuordnung, die verwendet wird, wenn die ID „2201“ oder „2202“ ist.
metadata.event_type metadata.event_type Wird auf „GENERIC_EVENT“ initialisiert. Wird basierend auf dem Inhalt des Logs und der Parserlogik auf bestimmte Werte festgelegt.
metadata.log_type metadata.log_type Fest codiert auf „SOPHOS_UTM“.
metadata.product_name metadata.product_name Fest codiert auf „SOPHOS UTM“.
metadata.vendor_name metadata.vendor_name Fest codiert auf „SOPHOS Ltd“.
intermediary.hostname intermediary.hostname Aus der Log-Nachricht mit „grok“ extrahiert und umbenannt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten