Sophos Astaro 安全网关
适用于 JSA 的 Sophos Astaro 安全网关 DSM 通过使用系统日志接受事件,使 JSA能够记录所有相关事件。
要为 Sophos Astaro 安全网关配置 syslog:
登录 Sophos Astaro 安全网关控制台。
从导航菜单中,选择 日志记录>设置。
单击 远程系统日志服务器 选项卡。
将显示 远程系统日志状态 窗口。
在 “系统日志服务器” 面板中,单击 + 图标。
将显示“ 添加系统日志服务器 ”窗口。
配置以下参数:
名称— — 键入系统日志服务器的名称。
服务器 — 单击文件夹图标以添加预定义的主机,或单击 + 并输入新的网络定义
端口— — 单击文件夹图标以添加预定义端口,或单击 + 并键入新的服务定义。
缺省情况下, JSA 使用 UDP/TCP 端口 514 上的系统日志协议进行通信。
单击保存。
从 远程系统 日志日志选择字段中,必须选中以下日志的复选框:
POP3 代理— — 选中此复选框。
数据包过滤器— — 选中此复选框。
数据包过滤器— — 选中此复选框。
入侵防御系统 — 选中此复选框
内容过滤器 (HTTPS) — 选中此复选框。
高可用性 - 选中此复选框
FTP 代理 - 选中此复选框。
SSL VPN - 选中此复选框。
PPTP 守护程序 - 选中此复选框。
IPSEC VPN - 选中此复选框。
HTTP 守护程序 - 选中此复选框
用户认证守护程序 - 选中此复选框。
SMTP 代理 - 选中此复选框。
单击应用。
从远程系统日志状态部分,单击启用
现在,您可以在 JSA 中配置日志源。
要将 JSA 配置为从 Sophos Astaro 安全网关设备接收事件:从 日志源类型 列表中,选择 Sophos Astaro 安全网关。
Sophos Astaro 安全网关示例事件消息
使用这些样本事件消息验证是否成功与 JSA 集成。
由于格式问题,请将消息格式粘贴到文本编辑器中,然后删除所有回车符或换行符。
Sophos Astaro 安全网关使用 syslog 协议时的示例消息
示例 1:以下示例事件消息显示 Web 请求被阻止。
<30>2019:06:20-04:12:39 sophos.astaro.test httpproxy[7917]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.112.47.87" dstip="10.112.48.88" user="testUser" group="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2521" request="0x93368600" url="http://ipv6.qradar.example.test/connecttest.txt" referer="" error="Host not found" authtime="0" dnstime="4743" cattime="180" avscantime="0" fullreqtime="5295" device="0" auth="0" ua="Microsoft NCSI" exceptions="" category="178" reputation="neutral" categoryname="Internet Services"
JSA 字段名称 |
事件有效负载中的突出显示值 |
---|---|
事件 ID |
0002 |
源 IP |
10.112.47.87 |
目标 IP |
10.112.48.88 |
用户 |
测试用户 |
设备时间 |
2019:06:20-04:12:39 |
示例 2: 以下示例事件消息显示数据包筛选器丢弃了数据包。
<30>2019:06:20-04:12:39 sophos.astaro.test ulogd[7117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" mark="0x307c" app="124" srcmac="00:00:5E:00:53:2A" dstmac="00:00:5E:00:53:66" srcip="10.112.2.39" dstip="10.112.47.75" proto="17" length="1071" tos="0x00" prec="0x00" ttl="62" srcport="53" dstport="29366"
JSA 字段名称 |
事件有效负载中的突出显示值 |
---|---|
事件 ID |
2001 |
源 IP |
10.112.2.39 |
源端口 |
53 |
目标 IP |
10.112.47.75 |
目标端口 |
29366 |
设备时间 |
2019:06:20-04:12:39 |
示例 3: 以下示例事件消息显示检测到 IPS 签名。
<188>device="SFW" date=2020-07-31 time=09:45:51 timezone="CEST" device_name="device_name" device_id=ABCDEFGH1234567 log_id=020803407001 log_type="IDP" log_component="Signatures" log_subtype="Detect" priority=Warning idp_policy_id=13 fw_rule_id=9 user_name="" signature_id=15888 signature_msg="SERVER-OTHER SAPLPD 0x31 command buffer overflow attempt" classification="Attempted Administrator Privilege Gain" rule_priority=2 src_ip=10.0.0.1 src_country_code= dst_ip=10.0.0.2 dst_country_code= protocol="TCP" src_port=50392 dst_port=515 platform="Windows" category="server-other" target="Server"
JSA 字段名称 |
事件有效负载中的突出显示值 |
---|---|
事件 ID |
检测 |
事件类别 |
国内流离失所者 |
源 IP |
10.0.0.1 |
源端口 |
50392 |
目标 IP |
10.0.0.2 |
目标端口 |
515 |
设备时间 |
JSA 中的值为 2020 年 7 月 31 日 9:45:51 CEST。(摘自事件有效负载中的 日期 +时间 + 时区 字段。 |