›

SonicWall 防火墙集成

版本	1.16.0 (查看全部)
兼容的 Kibana 版本	8.2.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基础
支持级别这是什么？	Elastic

此集成从 SonicWall 防火墙收集 syslog 消息。它已使用 SonicOS 6.5 和 7.0 的增强型 Syslog 日志进行测试，如日志事件参考指南中所述。

配置

编辑

使用以下选项在您的防火墙中配置 Syslog 服务器

名称或 IP 地址： 运行此集成的 Elastic Agent 可访问的地址。
端口： 在此集成中配置的 Syslog 端口 (UDP)。
服务器类型： Syslog 服务器。
Syslog 格式： 增强型 Syslog。
Syslog ID： 如果您需要区分多个防火墙，请更改此默认值 (firewall)。此值将存储在 observer.name 字段中。

建议在设备 > 设置 > 时间配置菜单下启用在日志中显示 UTC 时间（而不是本地时间）设置。否则，您必须配置此集成的时区偏移设置，以匹配防火墙中配置的时区。

确保您的防火墙和 Elastic Agent 之间有正确的连接。

支持的消息

编辑

此集成对 SonicOS 生成的增强型 syslog 消息具有通用支持，并为以下消息提供更详细的 ECS 丰富化

类别	子类别	消息 ID
防火墙	访问规则	440-442, 646, 647, 734, 735
防火墙	应用程序防火墙	793, 1654
防火墙设置	高级	428, 1473, 1573, 1576, 1590
防火墙设置	校验和强制执行	883-886, 1448, 1449
防火墙设置	FTP	446, 527, 528, 538
防火墙设置	洪水保护	25, 856-860, 862-864, 897, 898, 901, 904, 905, 1180, 1213, 1214, 1366, 1369, 1450-1452
防火墙设置	多播	683, 690, 694, 1233
防火墙设置	SSL 控制	999, 1001-1006, 1081
高可用性	集群	1149, 1152
日志	配置审计	1382, 1383, 1674
网络	ARP	45, 815, 1316
网络	DNS	1098, 1099
网络	DNS 安全	1593
网络	ICMP	38, 63, 175, 182, 188, 523, 597, 598, 1254-1257, 1431, 1433, 1458
网络	IP	28, 522, 910, 1301-1303, 1429, 1430
网络	IPcomp	651-653
网络	IPv6 隧道	1253
网络	接口	58
网络	NAT	339, 1197, 1436
网络	NAT 策略	1313-1315
网络	网络访问	41, 46, 98, 347, 524, 537, 590, 714, 1304
网络	TCP	36, 48, 173, 181, 580, 708, 709, 712, 713, 760, 887-896, 1029-1031, 1384, 1385, 1628, 1629
安全服务	反间谍软件	794-796
安全服务	防病毒	123-125, 159, 408, 482
安全服务	应用程序控制	1154, 1155
安全服务	攻击	22, 23, 27, 81-83, 177-179, 267, 606, 1373-1376, 1387, 1471
安全服务	僵尸网络过滤器	1195, 1200, 1201, 1476, 1477, 1518, 1519
安全服务	内容过滤器	14, 16, 1599-1601
安全服务	地理 IP 过滤器	1198, 1199, 1474, 1475
安全服务	IDP	789, 790
安全服务	IPS	608, 609
安全服务	下一代防病毒	1559-1562
安全服务	RBL 过滤器	797, 798
系统	管理	340, 341
系统	云备份	1511-1516
系统	重启	93-95, 164, 599-601, 1046, 1047, 1392, 1393
系统	设置	573, 574, 1049, 1065, 1066, 1160, 1161, 1268, 1269, 1336-1340, 1432, 1494, 1520, 1521, 1565-1568, 1636, 1637
系统	状态	4, 53, 521, 1107, 1196, 1332, 1495, 1496
用户	身份验证访问	24, 29-35, 199, 200, 235-238, 246, 261-265, 328, 329, 438, 439, 486, 506-509, 520, 549-551, 557-562, 564, 583, 728, 729, 759, 986, 987, 994-998, 1008, 1035, 1048, 1080, 1117-1124, 1157, 1158, 1243, 1333-1335, 1341, 1342, 1517, 1570-1572, 1585, 1627, 1655, 1672
用户	Radius 身份验证	243-245, 744-751, 753-757, 1011
用户	SSO 代理身份验证	988-991
VPN	DHCP 中继	229
无线	射频监控	879
无线	WLAN	1363
无线	WLAN IDS	546, 548

日志

编辑

示例

log 的示例事件如下所示

{
    "@timestamp": "2022-05-16T08:18:39.000+02:00",
    "agent": {
        "ephemeral_id": "8f24cddd-67ce-47a5-abbf-f121166c864d",
        "id": "8601d89d-ddce-4945-96ce-7d8dd35e7d9e",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.11.4"
    },
    "data_stream": {
        "dataset": "sonicwall_firewall.log",
        "namespace": "ep",
        "type": "logs"
    },
    "destination": {
        "geo": {
            "city_name": "London",
            "continent_name": "Europe",
            "country_iso_code": "GB",
            "country_name": "United Kingdom",
            "location": {
                "lat": 51.5142,
                "lon": -0.0931
            },
            "region_iso_code": "GB-ENG",
            "region_name": "England"
        },
        "ip": "81.2.69.193",
        "mac": "00-17-C5-30-F9-D9",
        "port": 64889
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "8601d89d-ddce-4945-96ce-7d8dd35e7d9e",
        "snapshot": false,
        "version": "8.11.4"
    },
    "event": {
        "action": "connection-denied",
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "code": "713",
        "dataset": "sonicwall_firewall.log",
        "ingested": "2024-01-29T19:06:19Z",
        "kind": "event",
        "outcome": "success",
        "sequence": 692,
        "severity": 7,
        "timezone": "+02:00",
        "type": [
            "connection",
            "denied"
        ]
    },
    "input": {
        "type": "udp"
    },
    "log": {
        "level": "debug",
        "source": {
            "address": "172.23.0.4:37942"
        },
        "syslog": {
            "priority": 135
        }
    },
    "message": "� (TCP Flag(s): RST)",
    "network": {
        "bytes": 46,
        "protocol": "https",
        "transport": "tcp"
    },
    "observer": {
        "egress": {
            "interface": {
                "name": "X1"
            },
            "zone": "Untrusted"
        },
        "ingress": {
            "interface": {
                "name": "X1"
            },
            "zone": "Untrusted"
        },
        "ip": [
            "10.0.0.96"
        ],
        "name": "firewall",
        "product": "SonicOS",
        "serial_number": "0040103CE114",
        "type": "firewall",
        "vendor": "SonicWall"
    },
    "related": {
        "ip": [
            "10.0.0.96",
            "81.2.69.193"
        ],
        "user": [
            "admin"
        ]
    },
    "rule": {
        "id": "15 (WAN->WAN)"
    },
    "sonicwall": {
        "firewall": {
            "app": "12",
            "event_group_category": "Firewall Settings",
            "gcat": "6",
            "sess": "Web"
        }
    },
    "source": {
        "bytes": 46,
        "ip": "10.0.0.96",
        "mac": "00-06-B1-DD-4F-D4",
        "port": 443
    },
    "tags": [
        "sonicwall-firewall",
        "forwarded"
    ],
    "user": {
        "name": "admin"
    }
}

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
destination.address	某些事件目标地址的定义不明确。事件有时会列出 IP、域名或 unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后，应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪一个。	关键字
destination.bytes	从目标发送到源的字节数。	长整型
destination.domain	目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能是通过丰富化添加的。	关键字
destination.geo.city_name	城市名称。	关键字
destination.geo.continent_name	大洲名称。	关键字
destination.geo.country_iso_code	国家/地区 ISO 代码。	关键字
destination.geo.country_name	国家/地区名称。	关键字
destination.geo.location	经度和纬度。	geo_point
destination.geo.region_iso_code	区域 ISO 代码。	关键字
destination.geo.region_name	区域名称。	关键字
destination.ip	目标的 IP 地址（IPv4 或 IPv6）。	ip
destination.mac	目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	关键字
destination.nat.ip	基于 NAT 会话（例如，从 Internet 到专用 DMZ）的目标转换 IP。通常与负载均衡器、防火墙或路由器一起使用。	ip
destination.nat.port	源会话被 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。	长整型
destination.packets	从目标发送到源的数据包。	长整型
destination.port	目标的端口。	长整型
ecs.version	此事件符合的 ECS 版本。`ecs.version` 是一个必需字段，并且必须存在于所有事件中。当跨多个索引（可能符合略有不同的 ECS 版本）进行查询时，此字段允许集成调整为事件的模式版本。	关键字
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
event.sequence	事件的序号。序号是某些事件源发布的值，无论时间戳精度如何，都可以明确事件的准确顺序。	长整型
event.severity	根据您的事件源，事件的数值严重性。不同严重性值的含义在不同来源和用例之间可能有所不同。由实施者负责确保来自同一来源的事件的严重性保持一致。Syslog 严重性属于 `log.syslog.severity.code`。`event.severity` 旨在表示根据事件源（例如，防火墙、IDS）的严重性。如果事件源未发布其自己的严重性，您可以选择将 `log.syslog.severity.code` 复制到 `event.severity`。	长整型
host.ip	主机 IP 地址。	ip
http.request.body.bytes	请求正文的大小（以字节为单位）。	长整型
http.request.method	HTTP 请求方法。该值应保留其原始事件的大小写。例如，`GET`、`get` 和 `GeT` 都被认为是此字段的有效值。	关键字
input.type	Filebeat 输入的类型。	关键字
log.file.path	日志文件的路径。	关键字
log.flags	日志文件的标志。	关键字
log.level	日志事件的原始日志级别。如果事件的源提供了日志级别或文本严重性，则此级别将放入 `log.level`。如果您的源未指定级别，您可以在此处放置事件传输的严重性（例如，Syslog 严重性）。一些示例包括 `warn`、`err`、`i` 和 `informational`。	关键字
log.offset	日志文件中条目的偏移量。	长整型
log.source.address	读取/发送日志事件的源地址。	关键字
log.syslog.priority	事件的 Syslog 数值优先级（如果可用）。根据 RFC 5424 和 3164，优先级为 8 * facility + severity。因此，此数字的值应在 0 到 191 之间。	长整型
message	对于日志事件，message 字段包含日志消息，已针对在日志查看器中查看进行优化。对于没有原始消息字段的结构化日志，可以连接其他字段以形成事件的人类可读摘要。如果存在多个消息，则可以将它们合并为一个消息。	match_only_text
network.bytes	两个方向传输的总字节数。如果 `source.bytes` 和 `destination.bytes` 已知，则 `network.bytes` 是它们的总和。	长整型
network.packets	两个方向传输的总数据包数。如果 `source.packets` 和 `destination.packets` 已知，则 `network.packets` 是它们的总和。	长整型
network.protocol	在 OSI 模型中，这将是应用层协议。例如，`http`、`dns` 或 `ssh`。字段值必须标准化为小写以进行查询。	关键字
network.transport	与 network.iana_number 相同，但使用的是传输层（udp、tcp、ipv6-icmp 等）的关键字名称。字段值必须标准化为小写以进行查询。	关键字
observer.egress.interface.name	系统报告的接口名称。	关键字
observer.egress.zone	观察器报告的出站流量网络区域，用于对出站流量的目标区域进行分类，例如“内部”、“外部”、“DMZ”、“HR”、“法律”等。	关键字
observer.hostname	观察器的主机名。	关键字
observer.ingress.interface.name	系统报告的接口名称。	关键字
观察器报告的入站流量网络区域，用于对入站流量的源区域进行分类。例如，“内部”、“外部”、“DMZ”、“HR”、“法律”等。	observer.ingress.zone	关键字
观察器的 IP 地址。	observer.ip	ip
观察器的名称	观察器的自定义名称。这是可以赋予观察器的名称。例如，如果组织中使用了多个相同型号的防火墙，则这可能会很有用。如果不需要自定义名称，则可以保留该字段为空。	关键字
observer.product	观察器的产品名称。	关键字
observer.serial_number	观察器序列号。	关键字
observer.type	数据来源的观察器类型。没有预定义的观察器类型列表。一些示例包括 `forwarder`、`firewall`、`ids`、`ips`、`proxy`、`poller`、`sensor`、`APM server`。	关键字
observer.vendor	观察器的供应商名称。	关键字
related.ip	事件中出现的所有 IP 地址。	ip
related.user	事件中出现的所有用户名或其他用户标识符。	关键字
rule.id	规则 ID，在代理、观察器或其他使用该规则检测此事件的实体范围内是唯一的。	关键字
rule.name	生成事件的规则或签名的名称。	关键字
sonicwall.firewall.Category	CFS 阻止内容的类别。	关键字
sonicwall.firewall.af_polid	显示应用程序过滤器策略 ID。	关键字
sonicwall.firewall.app	数字应用程序 ID。	关键字
sonicwall.firewall.appName	非签名应用程序名称。	关键字
sonicwall.firewall.appcat	应用程序控制类别。	关键字
sonicwall.firewall.appid	应用程序 ID。	关键字
sonicwall.firewall.auditId		关键字
sonicwall.firewall.code	CFS 阻止代码。	关键字
sonicwall.firewall.dpi	指示流量是否经过深度数据包检测。	boolean
sonicwall.firewall.event_group_category	事件组类别。	关键字
sonicwall.firewall.gcat	事件组类别（数字标识符）。	关键字
sonicwall.firewall.ipscat	IPS 类别。	关键字
sonicwall.firewall.ipspri	IPS 优先级。	关键字
sonicwall.firewall.oldValue		关键字
sonicwall.firewall.sess	用户会话类型。	关键字
sonicwall.firewall.sid	IPS 或反间谍软件签名 ID。	关键字
sonicwall.firewall.tranxId		关键字
sonicwall.firewall.type	ICMP 类型。	关键字
sonicwall.firewall.userMode		关键字
sonicwall.firewall.uuid	对象 UUID。	关键字
sonicwall.firewall.vpnpolicy	源 VPN 策略名称。	关键字
sonicwall.firewall.vpnpolicyDst	目标 VPN 策略名称。	关键字
source.address	某些事件源地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后，应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪个。	关键字
source.bytes	从源发送到目标的字节数。	长整型
source.domain	源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件，也可能从丰富化中添加。	关键字
source.geo.city_name	城市名称。	关键字
source.geo.continent_name	大洲名称。	关键字
source.geo.country_iso_code	国家/地区 ISO 代码。	关键字
source.geo.country_name	国家/地区名称。	关键字
source.geo.location	经度和纬度。	geo_point
source.geo.region_iso_code	区域 ISO 代码。	关键字
source.geo.region_name	区域名称。	关键字
source.ip	源的 IP 地址（IPv4 或 IPv6）。	ip
source.mac	源的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	关键字
source.nat.ip	基于源 NAT 会话转换的源 IP（例如，内部客户端到 Internet）。通常是遍历负载均衡器、防火墙或路由器的连接。	ip
source.nat.port	基于源 NAT 会话转换的源端口。（例如，内部客户端到 Internet）通常与负载均衡器、防火墙或路由器一起使用。	长整型
source.packets	从源发送到目标的数据包。	长整型
source.port	源的端口。	长整型
tags	用于标记每个事件的关键字列表。	关键字
url.domain	URL 的域名，例如“https://elastic.ac.cn[www.elastic.co]”。在某些情况下，URL 可能直接引用 IP 和/或端口，而没有域名。在这种情况下，IP 地址将转到 `domain` 字段。如果 URL 包含由 `[` 和 `]`（IETF RFC 2732）括起来的字面 IPv6 地址，则 `[` 和 `]` 字符也应捕获在 `domain` 字段中。	关键字
url.full	如果完整 URL 对您的用例很重要，则应将其存储在 `url.full` 中，无论此字段是重建的还是在事件源中存在的。	wildcard
url.full.text	`url.full` 的多字段。	match_only_text
url.original	事件源中看到的未经修改的原始 URL。请注意，在网络监控中，观察到的 URL 可能是完整 URL，而在访问日志中，URL 通常仅表示为路径。此字段旨在表示观察到的 URL，无论是否完整。	wildcard
url.original.text	`url.original` 的多字段。	match_only_text
url.path	请求的路径，例如“/search”。	wildcard
url.scheme	请求的方案，例如“https”。注意：`:` 不是方案的一部分。	关键字
user.name	用户的简称或登录名。	关键字
user.name.text	`user.name` 的多字段。	match_only_text

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
1.16.0	增强 (查看拉取请求) 将软件包规范更新到 3.0.3。	8.2.0 或更高版本
1.15.0	错误修复 (查看拉取请求) 添加 event.sequence、event.severity、host.ip、http.request.body.bytes 的 ECS 字段映射。	8.2.0 或更高版本
1.14.2	增强 (查看拉取请求) 更改了所有者	8.2.0 或更高版本
1.14.1	错误修复 (查看拉取请求) 修复 exclude_files 模式。	8.2.0 或更高版本
1.14.0	增强 (查看拉取请求) 从日志消息头解析 `host.name` 或 `host.ip` 以及 syslog 优先级。	8.2.0 或更高版本
1.13.0	增强 (查看拉取请求) ECS 版本已更新至 8.11.0。	8.2.0 或更高版本
1.12.0	增强 (查看拉取请求) 改进 event.original 检查，以避免在设置时出现错误。	8.2.0 或更高版本
1.11.0	增强 (查看拉取请求) ECS 版本已更新至 8.10.0。	8.2.0 或更高版本
1.10.0	增强 (查看拉取请求) 软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点状 YAML 键。向软件包清单添加了 owner.type: elastic。	8.2.0 或更高版本
1.9.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便使用“安全解决方案”标记集成的仪表板和保存的搜索，并在安全解决方案 UI 中显示。	8.2.0 或更高版本
1.8.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.9.0。	8.2.0 或更高版本
1.7.0	增强 (查看拉取请求) 更新到 package-spec 2.9.0。	8.2.0 或更高版本
1.6.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	8.2.0 或更高版本
1.5.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.8.0。	8.2.0 或更高版本
1.4.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.7.0。	8.2.0 或更高版本
1.3.2	增强 (查看拉取请求) 添加了类别和/或子类别。	8.2.0 或更高版本
1.3.1	错误修复 (查看拉取请求) 确保正确解释数字时区。	8.2.0 或更高版本
1.3.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.6.0。	8.2.0 或更高版本
1.2.0	增强 (查看拉取请求) 向 UDP 输入添加 `udp_options`。	8.2.0 或更高版本
1.1.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.5.0。	8.2.0 或更高版本
1.0.0	增强 (查看拉取请求) 发布 GA 版本	8.2.0 或更高版本
0.3.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.4.0	—
0.2.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.3.0。	—
0.1.1	Bug 修复 (查看拉取请求) 修复 NAT 字段的处理	—
0.1.0	增强 (查看拉取请求) 软件包的初始 beta 版本	—

« Snyk 集成 Sophos »