Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Sophos Astaro 安全网关

适用于 JSA 的 Sophos Astaro 安全网关 DSM 通过使用系统日志接受事件,使 JSA能够记录所有相关事件。

要为 Sophos Astaro 安全网关配置 syslog:

  1. 登录 Sophos Astaro 安全网关控制台。

  2. 从导航菜单中,选择 日志记录>设置

  3. 单击 远程系统日志服务器 选项卡。

    将显示 远程系统日志状态 窗口。

  4. “系统日志服务器” 面板中,单击 + 图标。

    将显示“ 添加系统日志服务器 ”窗口。

  5. 配置以下参数:

    1. 名称— — 键入系统日志服务器的名称。

    2. 服务器 — 单击文件夹图标以添加预定义的主机,或单击 + 并输入新的网络定义

    3. 端口— — 单击文件夹图标以添加预定义端口,或单击 + 并键入新的服务定义。

      缺省情况下, JSA 使用 UDP/TCP 端口 514 上的系统日志协议进行通信。

    4. 单击保存。

  6. 远程系统 日志日志选择字段中,必须选中以下日志的复选框:

    1. POP3 代理— — 选中此复选框。

    2. 数据包过滤器— — 选中此复选框。

    3. 数据包过滤器— — 选中此复选框。

    4. 入侵防御系统 — 选中此复选框

    5. 内容过滤器 (HTTPS) — 选中此复选框。

    6. 高可用性 - 选中此复选框

    7. FTP 代理 - 选中此复选框。

    8. SSL VPN - 选中此复选框。

    9. PPTP 守护程序 - 选中此复选框。

    10. IPSEC VPN - 选中此复选框。

    11. HTTP 守护程序 - 选中此复选框

    12. 用户认证守护程序 - 选中此复选框。

    13. SMTP 代理 - 选中此复选框。

    14. 单击应用

    15. 远程系统日志状态部分,单击启用

    现在,您可以在 JSA 中配置日志源。

  7. 要将 JSA 配置为从 Sophos Astaro 安全网关设备接收事件:从 日志源类型 列表中,选择 Sophos Astaro 安全网关

Sophos Astaro 安全网关示例事件消息

使用这些样本事件消息验证是否成功与 JSA 集成。

注意:

由于格式问题,请将消息格式粘贴到文本编辑器中,然后删除所有回车符或换行符。

Sophos Astaro 安全网关使用 syslog 协议时的示例消息

示例 1:以下示例事件消息显示 Web 请求被阻止。

表 1:Sophos Astaro 安全网关事件中的突出显示值

JSA 字段名称

事件有效负载中的突出显示值

事件 ID

0002

源 IP

10.112.47.87

目标 IP

10.112.48.88

用户

测试用户

设备时间

2019:06:20-04:12:39

示例 2: 以下示例事件消息显示数据包筛选器丢弃了数据包。

表 2:Sophos Astaro 安全网关事件中的突出显示值

JSA 字段名称

事件有效负载中的突出显示值

事件 ID

2001

源 IP

10.112.2.39

源端口

53

目标 IP

10.112.47.75

目标端口

29366

设备时间

2019:06:20-04:12:39

示例 3: 以下示例事件消息显示检测到 IPS 签名。

表 3:Sophos Astaro 安全网关事件中的突出显示值

JSA 字段名称

事件有效负载中的突出显示值

事件 ID

检测

事件类别

国内流离失所者

源 IP

10.0.0.1

源端口

50392

目标 IP

10.0.0.2

目标端口

515

设备时间

JSA 中的值为 2020 年 7 月 31 日 9:45:51 CEST。(摘自事件有效负载中的 日期 +时间 + 时区 字段。