« Suricata 集成 Symantec »
Elastic 文档 Elastic 集成

Stormshield SNS

编辑

Stormshield SNS

编辑

版本

1.0.0(查看全部

兼容的 Kibana 版本

8.11.4 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

Stormshield 网络安全 (SNS) 防火墙是一种稳定高效的安全解决方案,可保护企业网络免受网络攻击。实时保护(入侵防御和检测、应用程序控制、防病毒等)、控制和监管(URL 过滤、IP 地理定位、漏洞检测等)以及内容过滤(反垃圾邮件、反间谍软件、反网络钓鱼等)均能保证安全通信。所有 Stormshield 网络安全防火墙均基于相同的固件,凭借其核心功能,Stormshield 网络安全防火墙可为您提供全面的安全性和高性能的网络保护。

使用 Stormshield SNS 集成将日志数据摄取到 Elastic Security 中,并利用这些数据进行威胁检测、事件响应和可视化。

数据流

编辑

Stormshield SNS 集成收集审计、流量和连接(包括 NAT)日志。可用的日志类型在此处提供 这里

日志可帮助您记录防火墙中发生的事件。SNS 集成处理活动日志和防火墙(过滤器和 NAT)日志。SNS 可以发送实时事件以及周期性统计审计日志。仪表板旨在显示实时事件的结果,而不是统计日志。

要求

编辑

您需要 Elasticsearch 来存储和搜索数据,以及 Kibana 来可视化和管理数据。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch Service(推荐),或者在您自己的硬件上自行管理 Elastic Stack。

设置

编辑

SNS 集成通过 syslog 解析器摄取日志,因此需要将 SNS 设备配置为将 syslog 发送到侦听代理。这在 配置 选项卡中的 通知 / 日志-SYSLOG-IPFIX 部分进行配置。请查看 Stormshield 文档以了解有关如何配置 syslog 的详细信息:https://documentation.stormshield.eu/SNS/v4/en/Content/Description_of_Audit_logs/Configure_logs.htm

有关如何设置集成的分步说明,请参阅 入门 指南。

日志

编辑

可以将 SNS 配置为在本地存储其所有日志,或通过 syslog 协议将其发送到配置的侦听器,例如通过策略更新的 Elastic Agent。

示例

log 的示例事件如下所示

{
    "@timestamp": "2024-03-08T10:14:08.000Z",
    "agent": {
        "ephemeral_id": "fbc0ca2c-7300-45ce-84b1-6ece2bc46905",
        "id": "e0b60804-99ad-435e-865c-35384901d186",
        "name": "elastic-agent-45518",
        "type": "filebeat",
        "version": "8.14.1"
    },
    "data_stream": {
        "dataset": "stormshield.log",
        "namespace": "65295",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "e0b60804-99ad-435e-865c-35384901d186",
        "snapshot": false,
        "version": "8.14.1"
    },
    "event": {
        "agent_id_status": "verified",
        "dataset": "stormshield.log",
        "ingested": "2024-09-18T14:01:36Z",
        "original": "id=firewall time=\"2024-03-08 10:14:08\" fw=\"stormy-1\" tz=+0000 startime=\"2024-03-08 10:14:08\" error=0 user=\"admin\" address=192.168.197.1 sessionid=1 msg=\"PKI SEARCH scope=local type=ca\" logtype=\"server\"",
        "start": "2024-03-08T10:14:08.000Z",
        "timezone": "+00:00"
    },
    "input": {
        "type": "tcp"
    },
    "log": {
        "source": {
            "address": "172.27.0.3:40024"
        },
        "syslog": {
            "appname": "serverd",
            "facility": {
                "code": 1,
                "name": "user-level"
            },
            "hostname": "stormy-1",
            "priority": 13,
            "severity": {
                "code": 5,
                "name": "Notice"
            },
            "version": "1"
        }
    },
    "message": "PKI SEARCH scope=local type=ca",
    "observer": {
        "name": "stormy-1",
        "type": "firewall",
        "vendor": "Stormshield"
    },
    "related": {
        "user": [
            "admin"
        ]
    },
    "stormshield": {
        "fw": "stormy-1",
        "logtype": "server",
        "metadata": {
            "address": "192.168.197.1",
            "error": "0",
            "id": "firewall",
            "sessionid": "1"
        },
        "startime": "2024-03-08 10:14:08",
        "time": "2024-03-08 10:14:08"
    },
    "tags": [
        "preserve_original_event",
        "forwarded"
    ],
    "user": {
        "name": "admin"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

destination.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

long

destination.as.organization.name

组织名称。

keyword

destination.as.organization.name.text

destination.as.organization.name 的多字段。

match_only_text

destination.domain

目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从丰富化添加。

keyword

destination.geo.city_name

城市名称。

keyword

destination.geo.continent_name

大洲名称。

keyword

destination.geo.country_iso_code

国家/地区的 ISO 代码。

keyword

destination.geo.country_name

国家/地区名称。

keyword

destination.geo.location

经度和纬度。

geo_point

destination.geo.name

用户定义的位置描述,在其关心的粒度级别。可以是其数据中心的名称、楼层号(如果这描述的是本地物理实体)或城市名称。通常不用于自动地理定位。

keyword

destination.geo.region_iso_code

区域 ISO 代码。

keyword

destination.geo.region_name

区域名称。

keyword

destination.ip

目标 IP 地址(IPv4 或 IPv6)。

ip

destination.mac

目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

keyword

destination.nat.ip

基于 NAT 会话的目标转换 IP(例如,从 Internet 到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。

ip

destination.nat.port

源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。

long

destination.port

目标的端口。

long

ecs.version

此事件符合的 ECS 版本。ecs.version 是一个必填字段,必须存在于所有事件中。在查询可能符合略微不同的 ECS 版本的多个索引时,此字段允许集成调整为事件的架构版本。

keyword

event.duration

事件的持续时间(以纳秒为单位)。如果知道 event.startevent.end,则此值应为结束时间与开始时间之间的差值。

long

input.type

输入类型。

keyword

log.source.address

日志的源地址。

keyword

log.syslog.appname

如果可用,则为生成 Syslog 消息的设备或应用程序。

keyword

log.syslog.facility.code

如果可用,则为日志事件的 Syslog 数字工具。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。

long

log.syslog.facility.name

如果可用,则为日志事件的 Syslog 基于文本的工具。

keyword

log.syslog.hostname

最初发送 Syslog 消息的计算机的主机名、FQDN 或 IP。这来源于 syslog 标头的主机名字段。根据环境的不同,此值可能与处理事件的主机不同,尤其是在处理事件的主机充当收集器的情况下。

keyword

log.syslog.priority

如果可用,则为事件的 Syslog 数字优先级。根据 RFC 5424 和 3164,优先级为 8 * 工具 + 严重性。因此,此数字应包含 0 到 191 之间的值。

long

log.syslog.severity.code

如果可用,则为日志事件的 Syslog 数字严重性。如果通过 Syslog 发布的事件源提供不同的数字严重性值(例如,防火墙、IDS),则源的数字严重性应转到 event.severity。如果事件源未指定不同的严重性,则可以选择将 Syslog 严重性复制到 event.severity

long

log.syslog.severity.name

如果可用,则为日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件源提供不同的严重性值(例如,防火墙、IDS),则源的文本严重性应转到 log.level。如果事件源未指定不同的严重性,则可以选择将 Syslog 严重性复制到 log.level

keyword

log.syslog.version

Syslog 协议规范的版本。仅适用于 RFC 5424 消息。

keyword

message

对于日志事件,message 字段包含日志消息,该消息已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来,以形成事件的人类可读摘要。如果存在多条消息,则可以将它们合并为一条消息。

match_only_text

network.protocol

在 OSI 模型中,这将是应用层协议。例如,httpdnsssh。该字段值必须规范化为小写以进行查询。

keyword

network.transport

与 network.iana_number 相同,但改为使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。该字段值必须规范化为小写以进行查询。

keyword

network.type

在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。该字段值必须规范化为小写以进行查询。

keyword

observer.name

观察者的自定义名称。这是一个可以分配给观察者的名称。例如,如果在组织中使用同一模型的多个防火墙,这会很有帮助。如果不需要自定义名称,则可以将该字段留空。

keyword

observer.product

观察者的产品名称。

keyword

observer.type

数据来源的观察者类型。没有预定义的观察者类型列表。一些示例包括 forwarderfirewallidsipsproxypollersensorAPM server

keyword

observer.vendor

观察者的供应商名称。

keyword

process.name

进程名称。有时称为程序名称或类似名称。

keyword

process.name.text

process.name 的多字段。

match_only_text

related.ip

在您的事件中看到的所有 IP。

ip

related.user

在事件中看到的所有用户名或其他用户标识符。

keyword

rule.id

在代理、观察者或其他使用规则来检测此事件的实体的范围内唯一的规则 ID。

keyword

rule.name

生成事件的规则或签名的名称。

keyword

source.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

long

source.as.organization.name

组织名称。

keyword

source.as.organization.name.text

source.as.organization.name 的多字段。

match_only_text

source.bytes

从源发送到目标的字节数。

long

source.geo.city_name

城市名称。

keyword

source.geo.continent_name

大洲名称。

keyword

source.geo.country_iso_code

国家/地区的 ISO 代码。

keyword

source.geo.country_name

国家/地区名称。

keyword

source.geo.location

经度和纬度。

geo_point

source.geo.name

用户定义的位置描述,在其关心的粒度级别。可以是其数据中心的名称、楼层号(如果这描述的是本地物理实体)或城市名称。通常不用于自动地理定位。

keyword

source.geo.region_iso_code

区域 ISO 代码。

keyword

source.geo.region_name

区域名称。

keyword

source.ip

源的 IP 地址(IPv4 或 IPv6)。

ip

source.mac

源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

keyword

source.nat.ip

基于 NAT 会话的源转换 IP(例如,内部客户端到 Internet)。通常用于遍历负载均衡器、防火墙或路由器的连接。

ip

source.nat.port

基于 NAT 会话的源转换端口。(例如,内部客户端到 Internet)通常与负载均衡器、防火墙或路由器一起使用。

long

source.port

源的端口。

long

stormshield.dstif

目标接口的名称。UTF-8 格式的字符串。示例:以太网 1 可用来源:SNS v1.0.0。

keyword

stormshield.dstifname

表示流量目标接口的对象的名称。UTF-8 格式的字符串。示例:dmz1 可用来源:SNS v1.0.0。

keyword

stormshield.duration

连接的持续时间(以秒为单位)。十进制格式。示例:“173.15”

keyword

stormshield.fw

防火墙的 ID。这是管理员输入的名称,或者默认情况下是其序列号。UTF-8 格式的字符串。示例:firewall_name 或 V50XXXXXXXXXXXX 可用来源:SNS v1.0.0。

keyword

stormshield.in_bytes

进入防火墙的字节计数

long

stormshield.logtype

此日志的特定类型。

keyword

stormshield.metadata

展平的元数据

展平

stormshield.msg

解释警报的文本消息。UTF-8 格式的字符串。示例:端口探测

keyword

stormshield.origdst

目标主机的原始 IP 地址(在转换或应用虚拟连接之前)。十进制格式。示例:192.168.0.1。可用版本:SNS v1.0.0。

keyword

stormshield.origdstport

目标 TCP/UDP 端口的原始端口号(在转换或应用虚拟连接之前)。示例:“80”。可用版本:SNS v1.0.0。

keyword

stormshield.out_bytes

离开防火墙的字节数

long

stormshield.ports

设备上找到的网络端口

keyword

stormshield.service

检测到漏洞的服务(具有专用端口的产品)。UTF-8 格式的字符串。示例:OpenSSH_5.4

keyword

stormshield.srcif

流量源接口的内部名称。UTF-8 格式的字符串。示例:Ethernet0。可用版本:SNS v1.0.0。

keyword

stormshield.srcifname

表示流量源接口的对象名称。UTF-8 格式的字符串。示例:out。可用版本:SNS v1.0.0。

keyword

stormshield.startime

记录事件开始时的本地时间(在防火墙上配置的时间)。YYYY-MM-DD HH:MM:SS 格式的字符串。可用版本:SNS v1.0.0。

keyword

stormshield.system

防火墙系统状态指示器。此值由舰队管理工具(Stormshield Network Unified Manager)使用,以提供有关系统状态的信息(可用 RAM、CPU 使用率、带宽、接口、审计日志的完整性等)。表示百分比的十进制格式。

keyword

stormshield.time

将日志记录到日志文件中的本地时间(在防火墙上配置的时间)。YYYY-MM-DD HH:MM:SS 格式的字符串。可用版本:SNS v1.0.0。

keyword

stormshield.tz

防火墙时间与 GMT 之间的时间差。这取决于所使用的时区。+HHMM 或 -HHMM 格式的字符串。可用版本:SNS v1.0.0。

keyword

tags

用于标记每个事件的关键字列表。

keyword

user.name

用户的短名称或登录名。

keyword

user.name.text

user.name 的多字段。

match_only_text

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

1.0.0

增强 (查看拉取请求)
修复时间戳处理并将 stormshield.msg 移动到消息。发布集成为 GA。

8.11.4 或更高版本

0.1.0

增强 (查看拉取请求)
初始创建集成。

« Suricata 集成 Symantec »