Sophos UTM のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Sophos UTM ログを Google Security Operations に取り込む方法について説明します。
Sophos UTM(統合脅威管理)は、ファイアウォール、VPN、侵入防止、Web フィルタリング、メール フィルタリング、アンチウイルス機能を提供するオールインワンのネットワーク セキュリティ アプライアンスです。単一のウェブベースの管理コンソールを通じて、企業ネットワークの一元的なセキュリティ管理を提供します。パーサーは、Sophos UTM KV 形式のログからフィールドを抽出します。grok または kv を使用してログ メッセージを解析し、これらの値を統合データモデル(UDM)にマッピングします。また、イベントのソースとタイプのデフォルトのメタデータ値も設定します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- Sophos UTM WebAdmin インターフェースへの特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collector
サービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collector
サービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'SOPHOS_UTM' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
udplog: UDP Syslog にはudplog、TCP Syslog にはtcplogを使用します。0.0.0.0: リッスンする IP アドレス(すべてのインターフェースでリッスンする場合は0.0.0.0)514: リッスンするポート番号(標準の syslog ポート)
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: 「顧客 ID を取得する」セクションの顧客 IDendpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
log_type: Chronicle に表示されるログタイプ(SOPHOS_UTM)
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押し、「services.msc」と入力して Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Sophos UTM で Syslog 転送を構成する
- Sophos UTM WebAdmin インターフェースにログインします。
- [Logging & Reporting] > [Log Settings] > [Remote Syslog Server] に移動します。
- トグルをクリックして、リモート syslog を有効にします。
- 次の構成の詳細を指定します。
- リモート Syslog サーバー: Bindplane エージェント ホストの IP アドレスを入力します。
- ポート: 「
514」と入力します。
- [Remote Syslog Log Selection] セクションで、転送するログタイプを選択します。
- パケット フィルタ: ファイアウォール パケット フィルタのログ
- Web Filter: ウェブ フィルタリング アクティビティ
- IPS: 侵入防止システム イベント
- 認証: ユーザー認証イベント
- メール: メールのフィルタリングと検疫イベント
- ネットワーク保護: 高度な脅威対策ログ
- WebServer Protection: WAF ログ
- VPN: VPN 接続イベント
- HA/クラスタ: 高可用性とクラスタ イベント
- システム: システムレベルのイベント
- DHCP: DHCP サーバーログ
- DNS: DNS クエリログ
- [適用] をクリックして、構成を保存します。
- Bindplane エージェントのログを確認して、syslog メッセージが送信されていることを確認します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| アクション | security_result.action | アクションが「pass」または「accept」の場合は、「ALLOW」にマッピングします。アクションが「drop」の場合は「BLOCK」にマッピングします。 |
| ad_domain | target.administrative_domain | 直接マッピング。 |
| 住所 | target.ip、target.asset.ip | 直接マッピング。ID が「2203」の場合に使用されます。 |
| アプリ | target.application | 直接マッピング。 |
| app-id | additional.fields[].key、additional.fields[].value.string_value | 名前を app_id に変更しました。空でない場合、キーは「app-id」に設定され、値は app-id 自体になります。 |
| アプリケーション | principal.application | 直接マッピング。 |
| aptptime | additional.fields[].key、additional.fields[].value.string_value | 空でない場合、キーは「aptptime」に設定され、値は aptptime 自体になります。 |
| auth | extensions.auth.auth_details | 直接マッピング。 |
| authtime | additional.fields[].key、additional.fields[].value.string_value | 空でも「0」でもない場合、キーは「authtime」に設定され、値は authtime 自体になります。 |
| avscantime | additional.fields[].key、additional.fields[].value.string_value | 空でも「0」でもない場合、キーは「avscantime」に設定され、値は avscantime 自体になります。 |
| category | security_result.detection_fields[].key、security_result.detection_fields[].value | 空でない場合、キーは「category」に設定され、値はカテゴリ自体になります。名前に「portscan」が含まれている場合、security_result.category は「NETWORK_RECON」に設定され、キーが「category」、値が「NETWORK_RECON」の検出フィールドが追加されます。 |
| categoryname | security_result.category_details | 直接マッピング。 |
| connection | security_result.rule_name | 直接マッピング。ID が「2203」の場合に使用されます。 |
| コンテンツ タイプのデータ | (他のフィールドを参照) | データ フィールドには、個々のフィールドに解析される Key-Value ペアが含まれています。 |
| datetime | metadata.event_timestamp | エポックからの秒数として解析され、マッピングされます。 |
| device | additional.fields[].key、additional.fields[].value.string_value | 空でも「0」でもない場合、キーは「device」に設定され、値はデバイス自体になります。 |
| dnstime | additional.fields[].key、additional.fields[].value.string_value | 空ではなく「0」でもない場合、キーは「dnstime」に設定され、値は dnstime 自体になります。 |
| dstip | target.ip、target.asset.ip | 直接マッピング。存在する場合は、url フィールドからも抽出されます。 |
| dstmac | target.mac | 直接マッピング。 |
| dstport | target.port | 直接マッピングされ、整数に変換されます。 |
| エラーイベント | security_result.summary | 直接マッピング。ID が「2201」、「2202」、「2203」の場合に使用されます。 |
| exceptions | additional.fields[].key、additional.fields[].value.string_value | 空でない場合、キーは「exceptions」に設定され、値は例外自体になります。 |
| ファイル | about.file.full_path | 直接マッピング。 |
| filteraction | security_result.rule_name | 直接マッピング。 |
| fullreqtime | additional.fields[].key、additional.fields[].value.string_value | 空でない場合、キーは「fullreqtime」に設定され、値は fullreqtime 自体になります。 |
| fwrule | security_result.rule_id | 直接マッピング。 |
| グループ | target.group.group_display_name | 直接マッピング。 |
| id | metadata.product_log_id | 直接マッピング。 |
| 情報 | security_result.description | 直接マッピング。存在する場合、metadata.event_type は「NETWORK_UNCATEGORIZED」に設定されます。 |
| initf インターフェース | security_result.about.labels[].key、security_result.about.labels[].value | 空でない場合、キーが「Interface」で値がインターフェースのラベルが security_result.about.labels に追加されます。 |
| ip_address | target.ip、target.asset.ip | 直接マッピング。 |
| 長さの行のメッセージ | security_result.summary | id が「0003」の場合に使用されます。一般的な grok 解析にも使用されます。 |
| method | network.http.method | 直接マッピング。 |
| name | security_result.summary | 直接マッピング。 |
| outitf pid | target.process.pid | 直接マッピング。 |
| ポート | target.port | 直接マッピングされ、整数に変換されます。 |
| prec プロファイル | security_result.rule_name | 直接マッピング。 |
| proto | network.ip_protocol | ルックアップ テーブルを使用して IP プロトコル名に変換されます。 |
| reason referer | network.http.referral_url | 直接マッピング。 |
| リクエスト | additional.fields[].key、additional.fields[].value.string_value | 空でない場合、キーは「request」に設定され、値はリクエスト自体になります。 |
| 評判 | additional.fields[].key、additional.fields[].value.string_value | 空でない場合、キーは「reputation」に設定され、値は評判自体になります。 |
| rx | network.received_bytes | 直接マッピング。ID が「2202」の場合に使用され、符号なし整数に変換されます。 |
| サンドボックスの重大度 | security_result.severity | 重大度が「info」の場合は「LOW」にマッピングします。 |
| サイズ | target.file.size | 直接マッピングされ、符号なし整数に変換されます。 |
| srcip | principal.ip、principal.asset.ip | 直接マッピング。 |
| srcmac | principal.mac | 直接マッピング。 |
| srcport | principal.port | 直接マッピングされ、整数に変換されます。 |
| statuscode | network.http.response_code | 直接マッピングされ、整数に変換されます。 |
| Pub/Subです | network.application_protocol | sub が「http」の場合、metadata.event_type は「NETWORK_HTTP」に設定され、network.application_protocol は「HTTP」に設定されます。sub が「packetfilter」の場合、metadata.description は sub に設定されます。それ以外の場合は、ルックアップ テーブルを使用してアプリケーション プロトコル名に変換されます。ルックアップ テーブルで一致が見つからない場合、dstport がルックアップに使用されます。 |
| sys | metadata.product_event_type | 直接マッピング。 |
| tcpflags tos ttl tx | network.sent_bytes | 直接マッピング。ID が「2202」の場合に使用され、符号なし整数に変換されます。 |
| ua | network.http.user_agent | 直接マッピング。 |
| URL | network.http.referral_url、target.hostname、target.asset.hostname | network.http.referral_url の直接マッピング。target.hostname と target.asset.hostname のホスト名を抽出しました。dstip の抽出にも使用されます。 |
| ユーザー | target.user.userid | 直接マッピング。 |
| ユーザー名 | target.user.userid | 直接マッピング。ID が「2201」または「2202」の場合に使用されます。 |
| パターン | 最終的な UDM には含まれませんが、説明で使用されます | id が「2201」、「2202」、「2203」の場合に、sub と組み合わせて security_result.description を作成するために使用されます。 |
| virtual_ip | target.ip、target.asset.ip | 直接マッピング。ID が「2201」または「2202」の場合に使用されます。 |
| metadata.event_type | metadata.event_type | 「GENERIC_EVENT」に初期化されます。ログの内容とパーサー ロジックに基づいて特定の値に設定されます。 |
| metadata.log_type | metadata.log_type | 「SOPHOS_UTM」にハードコードされています。 |
| metadata.product_name | metadata.product_name | 「SOPHOS UTM」にハードコードされています。 |
| metadata.vendor_name | metadata.vendor_name | 「SOPHOS Ltd」にハードコードされています。 |
| intermediary.hostname | intermediary.hostname | Grok を使用してログ メッセージから抽出され、名前が変更されます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。