Sophos XG防火墙

Sophos XG是一种内部部署的下一代防火墙设备,可以将日志发送到InsightIDR。InsightIDR可以分析以下日志:

  • 防火墙
  • 防病毒
  • 网络代理
  • 身份证

您可以在此处阅读管理指南:https://docs.sophos.com/nsg/sophos-firewall/v17.0.2/PDF/Sophos%20XG%20Firewall%20Web%20Interface%20Reference%20Guide.pdf

为确保Sophos XG将其日志转发给InsightIDR,您必须配置:

  1. 系统日志转发
  2. Sophos XG事件源

配置系统日志转发

您可以将Sophos XG配置为将其日志转发到syslog服务器。请按照Sophos提供的说明进行操作:https://community.sophos.com/kb/en-us/123184

为获得最佳效果,请将带有InsightIDR收集器的系统用作以下系统的syslog服务器位置:

  • 端口(其中514是默认值)
  • IP地址

此外,在配置过程中选择以下选项:

  • 设施:守护进程
  • 严重性级别:调试
  • 格式:设备标准格式

索福斯中心是允许集中管理防火墙配置的工具。您可以使用Sophos Central API配置日志转发到SIEM或InsightIDR。请按照以下说明操作:https://community.sophos.com/kb/en-us/125169

配置Sophos XG事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当数据收集页面出现时,单击设置事件源下拉选择添加事件源.
  3. 从“安全数据”部分,单击防火墙偶像此时会出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。

事件源Sophos XG与Sophos防火墙(UTM)不同。

从防火墙选项中选择事件源时,请确保选择正确的事件源。

  1. 选择与事件源日志位置匹配的时区。
  2. 选择发送未过滤原木.
  3. 配置您的默认域还有高级设置.
  4. 挑选系统日志并指定先前配置的端口和协议。
    • 可选的选择加密通过下载选择TCP的事件源Rapid7证书.
  5. 单击拯救按钮

验证日志解析

配置此事件源后,请检查Sophos XG日志是否显示在日志搜索中,并遵循以下格式:

         

          

           
          

         

          

           

            1.

           30>device=“SFW”date=2019-03-06 time=23:04:00 timezone=“EST”device\u name=“XG330”device\u id=A11111AAA1F9R30 log\u id=010101600001 log\u type=“Firewall”log\u component=“Firewall Rule”log\u subtype=“Allowed”status=“Allow”priority=0 fw\u Rule\u id=94 policy\u type=1 user\u name=”“user\u gp=“”iap=0 ips_policy_id=0 appfilter_policy_id=0 application=”“application_risk=0 application_technology=“”application_category=”“in_interface=“Port1”out_interface=“Port2”src_mac=00:0:00:0:00:0 src_ip=10.1.2 src_country_code=dst_ip=10.10.10.10 dst_country_code=R1协议=“TCP”src_port=43874 dst_port=458 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip=0 tran_src_port=0 tran_dst_ip=tran_dst_port=0 srczonetype=“LAN”srczone=“LAN”dstzonetype=“VPN”dstzonetype=“VPN”dstzone=“VPN”dir disp=”“connevent=“Start”connid=“Start”connid=“3205265920”vconnid=“无心跳”