Sophos XG防火墙

Sophos XG是一款内部部署的下一代防火墙设备，可以将其日志发送到InsightIDR。InsightIDR可以解析以下日志:

• 防火墙
• 杀毒
• Web代理
• id

你可以在这里阅读管理指南:https://docs.sophos.com/nsg/sophos-firewall/v17.0.2/PDF/Sophos%20XG%20Firewall%20Web%20Interface%20Reference%20Guide.pdf

为了确保Sophos XG将其日志转发给InsightIDR，您必须配置:

1. Syslog转发
2. Sophos XG事件源

配置Syslog转发

您可以配置Sophos XG，将其日志转发到syslog服务器。请按照Sophos提供的说明进行操作:https://community.sophos.com/kb/en-us/123184

为了获得最佳效果，请使用带有InsightIDR Collector的系统作为您的syslog服务器位置:

• 端口(其中514是默认值)
• IP地址

另外，在配置过程中可以选择以下选项:

• 设施:守护进程
• 严重程度:调试
• 格式:设备标准格式

Sophos中央是一种允许对防火墙配置进行集中管理的工具。您可以使用Sophos Central API来配置日志转发到SIEM或InsightIDR。按照这里的说明:https://community.sophos.com/kb/en-us/125169

配置Sophos XG事件源

1. 从仪表板中选择数据收集在左边的菜单上。
2. 当出现“数据采集”页面时，单击设置事件源下拉选择添加事件源．
3. 从“安全数据”部分，单击防火墙图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果愿意，还可以命名事件源。

5. 选择与事件源日志位置匹配的时区。
6. 选择发送未经过滤的日志．
7. 配置您的默认域和任何高级设置．
8. 选择syslog并指定之前配置的端口和协议。
   • 可选的选择加密事件源，如果通过下载Rapid7证书．
9. 单击保存按钮。

验证日志解析

配置此事件源后，请检查Sophos XG日志是否出现在日志搜索中，并遵循以下格式:

         

          

           
          
         

          

           

            1
           30> device="SFW" date=2019-03-06 time=23:04:00 timezone="EST" device_name="XG330" device_id=A11111AAA1F9R30 log_id=010101600001 log_type="Firewall" log_component="Firewall Rule" log_subtype="Allowed" status="Allow" priority=Information duration=0 fw_rule_id=94 policy_type=1 user_name=" user_gp="" iap=0 ips_policy_id=0 appfilter_policy_id=0application="" application_risk=0 application_technology="" application_category="" in_interface="Port1" out_interface="Port2" src_mac=00: 0:00: 0:00:src_ip=10.1.1.2 src_country_code=R1 dst_ip=10.10.10.10 dst_country_code=R1 protocol="TCP" src_port=43874 dst_port=458 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srconetype ="LAN" srczone="LAN" dstzonetype="VPN" dstzone="VPN" dir_disp=" connevent="Start" connid="3205265920"vconnid = " " hb_health = "没有心跳”