コンテンツにスキップ
MDR のサポート提供の詳細はこちら

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=watchguard

WatchGuard Firebox

ログコレクタ

この機能を使用するには、「Firewall」統合ライセンスパックが必要です。

WatchGuard Firebox を Sophos Central と統合することができます。これによって WatchGuard Firebox は、ソフォスでの解析用にファイアウォール警告を送信することができます。

この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。それらは共にアプライアンスと呼ばれています。アプライアンスはサードパーティのデータを受信し、Sophos Data Lake に送信します。

WatchGuard Firebox の複数のインスタンスを同じアプライアンスに追加できます。

これを行うには、WatchGuard Firebox 統合を Sophos Central で設定した後、WatchGuard Firebox の 1つのインスタンスがログを送信するように設定します。次に、他の WatchGuard Firebox を設定して、この同じソフォスのアプライアンスにログが送信されるようにします。

Sophos Central での設定ステップを繰り返す必要はありません。

統合を設定する主な手順は、次のとおりです。

  • この製品の統合を設定します。これにより、VM で使用するイメージが設定されます。
  • イメージをダウンロードして VM に展開します。これがアプライアンスになります。
  • アプライアンスにデータを送信するよう WatchGuard Firebox を設定します。

要件

アプライアンスには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、アプライアンスの要件を参照してください。

統合の設定

統合を設定するには、以下の手順に従います。

  1. Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。

  2. WatchGuard Firebox」をクリックします。

    WatchGuard Firebox」ページ が開きます。ここで統合を設定し、既に設定されているすべてのリストを表示できます。

  3. データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。

    これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。

    統合のセットアップ手順」が表示されます。

VM の設定

統合のセットアップ手順」では、WatchGuard Firebox からデータを受信するように VM をアプライアンスとして構成します。既存の VM を使用することも、新しい VM を作成することもできます。

VM を構成するには、以下の手順に従います。

  1. 統合名と説明を入力します。

  2. アプライアンスの名前と説明を入力します。

    ソフォスのアプライアンスの統合を既に設定済みの場合は、リストから選択できます。

  3. 仮想プラットフォームを選択します。現在、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 以降のみをサポートしています。

  4. インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、VM の管理インターフェースが設定されます。

    • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      DHCP を選択した場合は、IP アドレスを予約する必要があります。

    • ネットワーク設定を指定するには、「手動」を選択します。

  5. Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。

    この syslog IP アドレスは、後で、データをアプライアンスに送信するように WatchGuard Firebox を設定する際に必要になります。

  6. プロトコル」を選択します。

    データをアプライアンスに送信するように WatchGuard Firebox を設定する際には、同じプロトコルを使用する必要があります。

  7. 保存」をクリックします。

    統合が作成され、リストに表示されます。

    統合の詳細に、アプライアンスのポート番号が表示されます。これは、後で、それにデータを送信するように WatchGuard Firebox を設定する際に必要になります。

    VM イメージの準備が完了するまで、数分かかることがあります。

VM の展開

制限事項

ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。別の VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。

VM ファイルを使用して VM を導入します。これには、次の手順を実行します。

  1. 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
  2. イメージのダウンロードが完了したら、VM に導入します。詳細は、統合用の VM の導入を参照してください。

WatchGuard Firebox の設定

次に、syslog 転送を使用して警告を送信するように WatchGuard Firebox を設定します。

WatchGuard Firebox を設定するには、WatchGuard System Manager を使用してファイアウォールにサインインするか、WatchGuard Web UI を使用します。

使用するメソッドのタブをクリックします。

WatchGuard System Manager を使用してファイアウォールを設定するには、次の手順を実行します。

  1. WatchGuard System Manager にサインインします。
  2. File > Connect to Device」の順にクリックします。
  3. ファイアウォールを選択してサインインします。
  4. Policy Manager」アイコンをクリックします。

  5. Policy Manager で、「Setup > Logging」の順にクリックします。

    Logging Setup」は、ソフォスのアプライアンスの接続の詳細を syslog サーバーとして追加します。

  6. Syslog Server に移動 し、 「Send log messages to these syslog servers」をオンにします。

  7. 追加」をクリックします。

  8. Configure Syslog」で、ソフォスのアプライアンスの次の接続詳細を入力します。

    • アドレス
    • ポート

    統合を追加した際に Sophos Central で入力した設定と同じ設定を入力する必要があります。

  9. Format」で「 IBM LEEF」を選択します。

  10. Description」を追加し て、この syslog サーバーをソフォスのアプライアンスとして識別します。
  11. デバイスのシリアル番号と syslog ヘッダーを syslog メッセージに含めるように設定をオンにします。
  12. デバイスログの各種類に対して「Select the syslog facility」のデフォルト設定を受け入れます。
  13. Performance Statistics」または「Diagnostic Log Level」を変更する必要はありません。
  14. OK」をクリックします。

設定の保存と有効化

ファイアウォールへの変更を保存して有効にするには、次の手順を実行します。

  1. File > Save > To Firebox」の順にクリックします。

    メニュー項目は、WatchGuard 製品によって異なる場合があります。

  2. Save To Firebox」で詳細を確認し、「Administrator Passphrase」を入力します。

  3. 「OK」をクリックします。

これで、検証後に WatchGuard Firebox 警告が Sophos Data Lake に表示されます。

設定する他のファイアウォールについても、この設定手順を繰り返します。

WatchGuard Web UI を使用してファイアウォールを設定するには、次の手順を実行します。

  1. ファイアウォールの Web UI にサインインします。
  2. System > Logging」の順にクリックします。
  3. 鍵のアイコンをクリックして、ユーザーインターフェースのロックを解除し、変更を加えることができます。
  4. Syslog Servers」をクリックします。
  5. Send log messages to these syslog servers」をオンにします。
  6. ADD」をクリックします。

  7. 「Syslog Server」で、のアプライアンスの次の接続詳細を入力します。

    • アドレス
    • ポート

    統合を追加した際に Sophos Central で入力した設定と同じ設定を入力する必要があります。

  8. Format」で「 IBM LEEF」を選択します。

  9. Description」を追加し て、この syslog サーバーをソフォスのアプライアンスとして識別します。
  10. デバイスのシリアル番号と syslog ヘッダーを syslog メッセージに含めるように設定をオンにします。
  11. デバイスログの各種類に対して「Select the syslog facility」のデフォルト設定を受け入れます。
  12. OK」をクリックします。
  13. SAVE」をクリックします。これにより、ファイアウォールへの変更が保存され、有効になります。

これで、検証後に WatchGuard Firebox 警告が Sophos Data Lake に表示されます。

設定する他のファイアウォールについても、この設定手順を繰り返します。