Sophos XG防火墙

Sophos XG是一款内部部署的下一代防火墙设备,可以将其日志发送到InsightIDR。InsightIDR可以解析以下日志:

  • 防火墙
  • 杀毒
  • Web代理
  • id

你可以在这里阅读管理指南:https://docs.sophos.com/nsg/sophos-firewall/v17.0.2/PDF/Sophos%20XG%20Firewall%20Web%20Interface%20Reference%20Guide.pdf

为了确保Sophos XG将其日志转发给InsightIDR,您必须配置:

  1. Syslog转发
  2. Sophos XG事件源

配置Syslog转发

您可以配置Sophos XG,将其日志转发到syslog服务器。请按照Sophos提供的说明进行操作:https://community.sophos.com/kb/en-us/123184

为了获得最佳效果,请使用带有InsightIDR Collector的系统作为您的syslog服务器位置:

  • 端口(其中514是默认值)
  • IP地址

另外,在配置过程中可以选择以下选项:

  • 设施:守护进程
  • 严重程度:调试
  • 格式:设备标准格式

Sophos中央是一种允许对防火墙配置进行集中管理的工具。您可以使用Sophos Central API来配置日志转发到SIEM或InsightIDR。按照这里的说明:https://community.sophos.com/kb/en-us/125169

配置Sophos XG事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击防火墙图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果愿意,还可以命名事件源。

事件源Sophos XG与Sophos Firewall (UTM)不相同。

当从防火墙选项中选择事件源时,请确保选择正确的事件源。

  1. 选择与事件源日志位置匹配的时区。
  2. 选择发送未经过滤的日志
  3. 配置您的默认域和任何高级设置
  4. 选择syslog并指定之前配置的端口和协议。
    • 可选的选择加密事件源,如果通过下载Rapid7证书
  5. 单击保存按钮。

验证日志解析

配置此事件源后,请检查Sophos XG日志是否出现在日志搜索中,并遵循以下格式:

         
1
30> device="SFW" date=2019-03-06 time=23:04:00 timezone="EST" device_name="XG330" device_id=A11111AAA1F9R30 log_id=010101600001 log_type="Firewall" log_component="Firewall Rule" log_subtype="Allowed" status="Allow" priority=Information duration=0 fw_rule_id=94 policy_type=1 user_name=" user_gp="" iap=0 ips_policy_id=0 appfilter_policy_id=0application="" application_risk=0 application_technology="" application_category="" in_interface="Port1" out_interface="Port2" src_mac=00: 0:00: 0:00:src_ip=10.1.1.2 src_country_code=R1 dst_ip=10.10.10.10 dst_country_code=R1 protocol="TCP" src_port=43874 dst_port=458 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srconetype ="LAN" srczone="LAN" dstzonetype="VPN" dstzone="VPN" dir_disp=" connevent="Start" connid="3205265920"vconnid = " " hb_health = "没有心跳”