Aller au contenu
Découvrez comment nous prenons en charge MDR.

Cisco Firepower

Collecteur de journaux

Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.

Vous pouvez intégrer Firepower à Sophos Central afin de lui permettre d’envoyer des données d’audit à Sophos pour analyse.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils s’appellent une appliance. L’appliance reçoit des données tierces et les envoie à Sophos Data Lake.

Vous pouvez ajouter des collecteurs de journaux à une VM (machine virtuelle) existante exécutant l’appliance virtuelle NDR de Sophos et d’autres collecteurs de journaux. Vous pouvez également créer une nouvelle VM pour cette intégration.

Remarque

Vous pouvez ajouter plusieurs pare-feu Cisco Firepower à la même appliance Sophos.

Pour ce faire, configurez votre intégration Cisco Firepower dans Sophos Central, puis configurez un pare-feu pour lui envoyer des journaux. Configurez ensuite vos autres pare-feu Cisco Firepower pour envoyer des journaux à la même appliance Sophos.

Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.

Les étapes essentielles sont les suivantes :

  • Configurer une intégration pour ce produit. Cette option permet de configurer une image à utiliser sur une machine virtuelle.
  • Téléchargez et déployez l’image sur votre machine virtuelle. Cela devient votre appliance.
  • Configurer Firepower pour lui permettre d’envoyer les données. Les étapes à suivre correspondent à l’appareil que vous utilisez.
  • Connecter Firepower à votre machine virtuelle.

Conditions requises

Les appliances ont des exigences en matière d’accès au système et au réseau. Pour vérifier que vous y adhérez, consultez Exigences relatives à l’appliance.

Configurer une intégration

Pour intégrer Firepower à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Cliquez sur Cisco Firepower.

    La page Cisco Firepower s’ouvre. Vous pouvez configurer les intégrations et voir une liste de celles que vous avez déjà configurées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

    Les Étapes de configuration de l’intégration s’affichent.

Configurer la machine virtuelle

Dans les Étapes de configuration de l’intégration, vous configurez votre machine virtuelle comme une appliance pour lui permettre de recevoir des données provenant de Firepower. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.

Il sera peut-être nécessaire d’aller dans Firepower pour obtenir certaines des informations dont vous avez besoin pour remplir le formulaire.

Pour configurer la machine virtuelle, procédez de la manière suivante :

  1. Ajoutez un nom et une description pour la nouvelle intégration.
  2. Saisissez le nom et la description de l’appliance.

    Si vous avez déjà configuré une appliance Sophos, vous pouvez la sélectionner dans une liste.

  3. Sélectionnez la plate-forme virtuelle. Actuellement, nous prenons en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.

  4. Spécifiez les paramètres IP pour les Ports du réseau connecté à Internet. Cette opération configure l’interface de gestion de la machine virtuelle.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

  5. Sélectionnez la version IP syslog et saisissez l’adresse IP syslog.

    Vous aurez besoin de l’adresse IP syslog ultérieurement lorsque vous allez configurer Firepower pour qu’il envoie des données à votre appliance.

  6. Sélectionnez un Protocole.

    Vous devez utiliser le même protocole lorsque vous configurez Firepower pour envoyer des données à votre appliance.

  7. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste.

    Dans les détails d’intégration, vous pouvez voir le numéro de port de l’appliance. Vous aurez besoin de cette information ultérieurement lorsque vous allez configurer Firepower pour qu’il lui envoie des données.

    L’image VM sera prête au téléchargement en l’espace de quelques minutes.

Déployer la machine virtuelle

Restriction

Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une autre machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.

Utilisez l’image VM pour déployer la machine virtuelle. Procédez comme suit :

  1. Dans la liste des intégrations, dans Actions, cliquez sur l’action de téléchargement de votre plate-forme, par exemple Télécharger la version OVA pour ESXi.
  2. Une fois le téléchargement de l’image terminé, déployez-la sur votre machine virtuelle. Voir Déployer une machine virtuelle pour les intégrations.

Configurer Firepower

Configurez maintenant Firepower pour qu’il envoie des données à votre appliance. L’appliance agit comme un serveur syslog. Vous pouvez donc utiliser la fonction de serveur syslog de votre pare-feu pour lui envoyer des données.

Les étapes que vous suivrez dépendront de la version du firmware de votre appareil et de la méthode de gestion Cisco que vous utilisez.

Pour les pare-feu exécutant Firepower Threat Defense (FTD) à partir de la version 6.3, cliquez sur l’onglet correspondant à la méthode de gestion que vous utilisez. Vous pouvez utiliser Firepower Management Console (FMC) ou Firepower Defense Manager (FDM).

Pour les pare-feu exécutant des versions FTD (Firepower Threat Defense) antérieures à la version 6.3, cliquez sur l’onglet Appareils classiques.

Remarque

Évitez les caractères spéciaux, y compris les virgules, dans les noms d’objet tels que les noms de stratégies et de règles. En effet, ces caractères pourraient être traités comme des séparateurs par l’appliance sur la machine virtuelle.

Pour connecter un pare-feu exécutant FTD (Firepower Threat Defense) à partir de la version 6.3 à votre appliance Sophos depuis Firepower Management Console, procédez de la manière suivante.

Configurer les paramètres Syslog

  1. Dans FMC, cliquez sur Appareils > Paramètres de la plate-forme.
  2. Sélectionnez la plate-forme que vous souhaitez connecter à l’appliance et cliquez sur l’icône Modifier.
  3. Cliquez sur Syslog.
  4. Cliquez sur Serveurs Syslog > Ajouter.
  5. Saisissez les détails de connexion suivants pour votre appliance Sophos.

    1. Adresse IP. Il s’agit de l’adresse IP syslog que vous avez définie dans Sophos Central.
    2. Type de protocole. Si vous avez sélectionné UDP, n’activez pas le format EMBLEM.
    3. Numéro de port.

    Vous devez saisir les mêmes paramètres que lorsque vous avez ajouté l’intégration dans Sophos Central.

  6. Ne sélectionnez pas Activer Syslog sécurisé.

  7. Dans Accessible par, saisissez les détails du réseau permettant à votre pare-feu d’atteindre l’appliance Sophos.

  8. Cliquez sur OK.

    Retrouvez plus de renseignements sur les paramètres du serveur Syslog s’appliquant aux pare-feu Cisco Firepower sur Configurer un serveur Syslog.

  9. Cliquez sur Paramètres Syslog et configurez les paramètres de la manière suivante :

    1. Activez l’option Activer l’horodatage dans les messages Syslog.
    2. Dans Format d’horodatage, sélectionnez RFC 5424.
    3. Activez l’option Activer l’ID de l’appareil Syslog et sélectionnez Nom d’hôte.
    4. N’activez pas les Paramètres équivalents Netflow.
  10. Cliquez sur Enregistrer.

  11. Cliquez sur Configuration de la journalisation.
  12. Sélectionnez Activer la journalisation.
  13. Ne sélectionnez pas les éléments suivants :

    1. Activer la journalisation sur l’unité de basculement de secours
    2. Envoyer les journaux Syslog au format EMBLEM
    3. Envoyer des messages de débogage en tant que journaux Syslog
  14. Si vous souhaitez transférer des événements VPN vers l’appliance Sophos, procédez comme suit :

    1. Dans la section Paramètres de journalisation VPN, sélectionnez Activer la journalisation dans le centre de gestion du pare-feu.
    2. Sélectionnez Déboguer comme Niveau de journalisation.
  15. Il est inutile de renseigner les champs Spécifier les informations sur le serveur FTP ou Spécifier la taille de la mémoire Flash.

  16. Cliquez sur Enregistrer.

Configurer les paramètres de journalisation pour le contrôle d’accès

Vous devez également configurer les paramètres de journalisation pour la stratégie de contrôle d’accès, y compris la journalisation des fichiers et des programmes malveillants.

Procédez de la manière suivante :

  1. Cliquez sur Stratégies > Contrôle d’accès.
  2. Cliquez sur l’icône de modification de la stratégie de contrôle d’accès que vous souhaitez configurer.
  3. Cliquez sur Journalisation.
  4. Sélectionnez Utiliser les paramètres Syslog configurés dans la stratégie Paramètres de la plate-forme FTD déployée sur l’appareil.
  5. Dans Gravité Syslog, sélectionnez ALERTE.
  6. Activez Envoyer des messages Syslog pour les événements IPS.
  7. Activez Envoyer des messages Syslog pour les événements de fichiers et de malwares.
  8. Cliquez sur Enregistrer.

Activer la journalisation des événements de renseignement de sécurité

  1. Dans la même stratégie de contrôle d’accès, cliquez sur Renseignements de sécurité.
  2. Cliquez sur l’icône d’options de la Stratégie DNS.
  3. Dans Options de journalisation de la liste de blocage DNS, activez les éléments suivants :

    • Enregistrer les connexions.
    • Centre de gestion des pare-feu
    • Serveur Syslog.
  4. Cliquez sur OK.

  5. Dans la Liste de blocage, cliquez sur l’icône Réseau.

  6. Dans les Options de journalisation de la liste de blocage réseau, activez les éléments suivants :

    • Enregistrer les connexions
    • Centre de gestion des pare-feu
    • Serveur Syslog
  7. Cliquez sur OK.

  8. Faites défiler la Liste de blocage vers le bas pour trouver l’icône des options URL.

  9. Dans les Options de journalisation de la liste de blocage URL, activez les options suivantes :

    • Enregistrer les connexions
    • Centre de gestion des pare-feu
    • Serveur Syslog
  10. Cliquez sur OK.

  11. Cliquez sur Enregistrer.

Activer la journalisation Syslog pour chaque règle de contrôle d’accès

Assurez-vous que la journalisation Syslog est activée pour chaque règle de la stratégie de contrôle d’accès.

Pour ce faire, pour chaque règle de la stratégie, procédez de la manière suivante.

  1. Dans la même stratégie de contrôle d’accès, cliquez sur l’onglet Règles.
  2. Cliquez sur une règle pour la modifier.
  3. Dans Modifier la règle, cliquez sur Journalisation.
  4. Choisissez si vous souhaitez journaliser le début ou la fin des connexions, ou les deux.

    L’enregistrement des connexions génère beaucoup de données. Journaliser le début et la fin de ces connexions en génère environ deux fois plus. Il n’est pas toujours possible de journaliser le début et la fin de toutes les connexions. Retrouvez plus de renseignements en vous connectant à votre compte Cisco pour accéder à la section Journalisation des connexions du Guide de configuration de Firepower Management Center, version 6.2. Voir Connexion, journalisation.

  5. Si vous souhaitez journaliser les événements concernant les fichiers, sélectionnez Fichiers journaux.

  6. Activez le Serveur Syslog.
  7. Cliquez sur Enregistrer.

Activer la journalisation des événements d’intrusion

Vous devez également activer la journalisation des événements dans la stratégie d’intrusion associée à votre stratégie de contrôle d’accès.

  1. Cliquez sur Stratégies > Intrusion.
  2. Recherchez la stratégie d’intrusion associée à votre stratégie de contrôle d’accès et cliquez sur Version Snort 2.
  3. Dans Informations sur la stratégie, cliquez sur Paramètres avancés.
  4. Dans Paramètres avancés, recherchez Alertes Syslog.
  5. Cliquez sur Activé.
  6. Cliquez sur Précédent.
  7. Dans Informations sur la stratégie, cliquez sur Valider les modifications.
  8. Saisissez une description des modifications et cliquez sur OK.

Remarque

Évitez les caractères spéciaux, y compris les virgules, dans les noms d’objet tels que les noms de stratégies et de règles. En effet, ces caractères pourraient être traités comme des séparateurs par l’appliance sur la machine virtuelle.

Pour connecter un appareil Firepower à votre appliance Sophos depuis FDM, procédez comme indiqué ci-dessous.

Activer la journalisation des événements de fichiers et de programmes malveillants.

Pour activer la journalisation des événements de fichiers et de malwares et ajouter les détails de connexion de votre appliance Sophos au pare-feu, procédez comme indiqué ci-dessous.

  1. Connectez-vous à FDM sur l’appareil que vous souhaitez configurer et accédez à l’onglet Appareil :<nom>.
  2. Dans Paramètres système, cliquez sur Paramètres de journalisation.
  3. Activez l’option JOURNALISATION DES FICHIERS/MALWARES.
  4. Cliquez sur Serveur Syslog pour afficher les serveurs disponibles.
  5. Si vous avez déjà ajouté votre appliance Sophos à l’appareil en question, sélectionnez-la. Si ce n’est pas le cas, cliquez sur Créer un nouveau serveur Syslog.
  6. Saisissez les détails de connexion suivants pour votre appliance Sophos.

    1. Adresse IP. Il s’agit de l’adresse IP syslog que vous avez définie dans Sophos Central.
    2. Type de protocole.
    3. Numéro de port.

    Vous devez saisir les mêmes paramètres que lorsque vous avez ajouté l’intégration dans Sophos Central.

  7. Si nécessaire, sélectionnez une Interface de données ou une Interface de gestion en fonction de votre environnement réseau.

  8. Cliquez sur OK.
  9. Votre nouveau serveur apparaît dans Serveurs Syslog. Cliquez dessus pour le sélectionner.
  10. Dans le champ Journaliser à partir du niveau de gravité, sélectionnez Déboguer.
  11. Cliquez sur ENREGISTRER.

Configurer des stratégies

Dans chaque stratégie, vous devez activer la journalisation des activités que vous souhaitez envoyer à votre appliance Sophos. Vous pouvez activer le contrôle d’accès et les événements d’intrusion.

Procédez de la manière suivante :

  1. Cliquez sur Stratégies > Contrôle d’accès.
  2. Recherchez la stratégie que vous souhaitez configurer et cliquez dessus.
  3. Cliquez sur Journalisation.
  4. Dans SELECTIONNER L’ACTION DE JOURNALISATION, choisissez si vous souhaitez vous connecter au début ou à la fin des connexions, ou pas du tout.
  5. Dans ÉVÉNEMENTS DE FICHIER, activez Fichiers journaux
  6. Si vous souhaitez consigner les événements d’intrusion, activez la STRATÉGIE D’INTRUSION dans la section Stratégie d’intrusion.
  7. Sélectionnez la stratégie d’intrusion que vous souhaitez appliquer.
  8. Si vous souhaitez journaliser des événements de fichiers, sélectionnez la stratégie de fichier que vous souhaitez appliquer dans Stratégie de fichier. Vous pouvez :

    • Bloquer tous les malwares
    • Rechercher des malwares dans le Cloud - pas de blocage
  9. Dans ENVOYER LES ÉVÉNEMENTS DE CONNEXION À : sélectionnez votre appliance Sophos.

  10. Cliquez sur OK.
  11. Cliquez sur Intrusion.
  12. Recherchez la stratégie que vous souhaitez configurer et cliquez sur l’icône des paramètres.
  13. Dans Modifier les paramètres de journalisation, cliquez sur l’icône « plus » et sélectionnez votre appliance Sophos.
  14. Cliquez sur OK.

Répétez ces étapes pour chaque stratégie qui doit envoyer des données à votre appliance Sophos.

Enregistrer vos modifications

Vos modifications ne sont pas actives sur l’appareil tant que vous ne les avez pas déployées. Procédez de la manière suivante :

  1. Cliquez sur l’icône de déploiement.

    Le point sur l’icône apparaît lorsque vous avez des modifications non déployées.

  2. Passez en revue les modifications dans Modifications en attente.

  3. Cliquez sur DÉPLOYER MAINTENANT.

Retrouvez plus de renseignements sur ce processus dans la documentation Cisco. Voir Créer une Réponse aux alertes Syslog.

Remarque

Évitez les caractères spéciaux, y compris les virgules, dans les noms d’objet tels que les noms de stratégies et de règles. En effet, ces caractères pourraient être traités comme des séparateurs par l’appliance sur la machine virtuelle.

Pour connecter les appareils classiques Firepower à votre appliance Sophos, procédez comme suit :

Configurer les paramètres Syslog

  1. Connectez-vous à Firepower Management Center (FMC).
  2. Cliquez sur Stratégies > Actions > Alertes.
  3. Dans Créer une alerte, sélectionnez Créer une alerte Syslog.
  4. Saisissez un Nom pour l’alerte, par exemple SophosIntegration.
  5. Saisissez l’adresse IP de votre appliance Sophos dans Hôte.
  6. Saisissez le port configuré sur votre appliance Sophos dans Port.
  7. Sélectionnez la Fonctionnalité.

    L’appliance Sophos accepte toutes les données de fonctionnalités. Retrouvez la liste des options de données dans la documentation Cisco. Voir Tableau 1. Fonctionnalités Syslog disponibles.

  8. Sélectionner le niveau de Gravité.

    L’appliance Sophos accepte tous les niveaux de gravité que vous choisissez. Retrouvez la liste des options dans la documentation Cisco. Voir Tableau 2. Niveaux de gravité Syslog.

  9. Cliquez sur Enregistrer.

Lorsque vous activez Envoyer le journal d’audit à Syslog et que vous fournissez des informations sur l’Hôte, des messages syslog sont envoyés à l’hôte ainsi que des journaux d’audit. Si vous souhaitez modifier ceci, consultez la documentation Cisco. Voir Filtrer Syslogs depuis les journaux d’audit.

Configurer les paramètres Syslog pour le contrôle d’accès

  1. Connectez-vous à votre appareil.
  2. Cliquez sur Stratégies > Contrôle d’accès.
  3. Modifiez la stratégie de contrôle des applications correspondante
  4. Cliquez sur Journalisation.
  5. Sélectionnez Envoyer en utilisant une alerte Syslog spécifique.
  6. Sélectionnez l’alerte Syslog que vous avez créée ci-dessus.
  7. Cliquez sur Enregistrer.

Activer la journalisation des événements de fichiers et de programmes malveillants

  1. Sélectionnez Envoyer des messages Syslog pour les événements de fichiers et de malwares.
  2. Cliquez sur Enregistrer.

Activer la journalisation des événements d’intrusion

  1. Accédez à la stratégie concernant les intrusions associée à votre stratégie de contrôle d’accès.
  2. Dans votre stratégie d’intrusions, cliquez sur Paramètres avancés > Alertes Syslog > Activé.
  3. Cliquez sur Précédent.
  4. Dans Informations sur la stratégie, cliquez sur Valider les modifications.
  5. Saisissez une description des modifications et cliquez sur OK.

Vos alertes Cisco Firepower devraient apparaître dans Sophos Data Lake après validation.