Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=watchguard

WatchGuard Firebox

Protokollsammler

Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.

Sie können WatchGuard Firebox-Firewalls in Sophos Central integrieren. Dadurch kann WatchGuard Firebox Firewall-Warnungen an Sophos zur Analyse senden.

Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Instanzen von WatchGuard Firebox zu derselben Appliance hinzufügen.

Richten Sie dazu Ihre WatchGuard Firebox-Integration in Sophos Central ein und konfigurieren Sie dann eine WatchGuard Firebox-Instanz, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen WatchGuard Firebox-Instanzen, um Protokolle an dieselbe Sophos-Appliance zu senden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die wichtigsten Schritte zum Konfigurieren einer Integration sind die Folgenden:

  • Konfigurieren Sie eine Integration für dieses Produkt. Dadurch wird ein Image zur Verwendung auf einer VM konfiguriert.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrer Appliance.
  • Konfigurieren Sie WatchGuard Firebox so, dass Daten an die Appliance gesendet werden.

Voraussetzungen

Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.

Integration konfigurieren

Um die Integration zu konfigurieren, gehen Sie wie folgt vor:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Klicken Sie auf WatchGuard Firebox.

    Die Seite WatchGuard Firebox wird geöffnet. Sie können hier Integrationen konfigurieren und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrations-Einrichtungsschritte wird angezeigt.

VM konfigurieren

In den Integrations-Einrichtungsschritten konfigurieren Sie Ihre VM als Appliance so, dass sie Daten von WatchGuard Firebox empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Geben Sie einen Integrationsnamen und eine Beschreibung ein.

  2. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.

    Wenn Sie bereits eine Sophos-Appliance eingerichtet haben, können Sie diese aus einer Liste auswählen.

  3. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir nur VMware ESXi 6.7 Update 3 oder höher sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

  4. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die VM eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

  5. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie WatchGuard Firebox so konfigurieren, dass Daten an Ihre Appliance gesendet werden.

  6. Wählen Sie ein Protokoll aus.

    Sie müssen dasselbe Protokoll verwenden, wenn Sie WatchGuard Firebox zum Senden von Daten an Ihre Appliance konfigurieren.

  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie WatchGuard Firebox so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das VM-Image bereit ist.

VM bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das VM-Image, um die VM bereitzustellen. Verfahren Sie wie folgt:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe VM für Integrationen bereitstellen.

WatchGuard Firebox konfigurieren

Jetzt konfigurieren Sie WatchGuard Firebox-Firewalls mit Hilfe der Syslog-Weiterleitung so, dass Alarme an uns gesendet werden.

Um WatchGuard Firebox zu konfigurieren, können Sie sich mit dem WatchGuard System Manager bei einer Firewall anmelden oder WatchGuard Web UI verwenden.

Klicken Sie auf die Registerkarte zur gewünschten Methoden.

Gehen Sie wie folgt vor, um Ihre Firewall mit WatchGuard System Manager zu konfigurieren.

  1. Melden Sie sich beim WatchGuard System Manager an.
  2. Klicken Sie auf File > Connect to Device.
  3. Wählen Sie eine Firewall aus und melden Sie sich an.
  4. Klicken Sie auf das Symbol Policy Manager.

  5. Klicken Sie in Policy Manager auf Setup > Logging.

    In Logging Setup fügen Sie die Verbindungsdetails für die Sophos-Appliance als Syslog-Server hinzu.

  6. Gehen Sie zu Syslog-Server und aktivieren Sie Send log messages to these syslog servers.

  7. Klicken Sie auf Hinzufügen.

  8. Geben Sie unter Configure Syslog die folgenden Verbindungsdetails für Ihre Sophos-Appliance ein:

    • Adresse
    • Port

    Sie müssen dieselben Einstellungen eingeben, die Sie in Sophos Central eingegeben haben, als Sie die Integration hinzugefügt haben.

  9. Wählen Sie unter Format die Option IBM LEEF aus.

  10. Fügen Sie eine Beschreibung hinzu, um diesen Syslog-Server als Sophos-Appliance zu identifizieren.
  11. Aktivieren Sie die Einstellungen, um die Seriennummer des Geräts und den Syslog-Header in Syslog-Meldungen aufzunehmen.
  12. Übernehmen Sie die Standardeinstellungen unter Select the syslog facility für jeden Nachrichtentyp des Geräteprotokolls aus.
  13. Sie müssen die Einstellungen Performance Statistics oder Diagnostic Log Level nicht ändern.
  14. Klicken Sie auf OK.

Einstellungen speichern und aktivieren

Gehen Sie wie folgt vor, um die Änderungen an der Firewall zu speichern und zu aktivieren.

  1. Klicken Sie auf File > Save > To Firebox.

    Das Menüelement kann je nach WatchGuard-Produkt variieren.

  2. Überprüfen Sie unter Save To Firebox die Details, und geben Sie Ihre Administrator Passphrase ein.

  3. Klicken Sie auf „OK“.

Ihre WatchGuard Firebox-Alarme sollten jetzt nach der Validierung im Sophos Data Lake angezeigt werden.

Wiederholen Sie die Konfigurationsschritte für alle anderen Firewalls, die Sie konfigurieren möchten.

Gehen Sie wie folgt vor, um Ihre Firewall mit WatchGuard Web UI zu konfigurieren.

  1. Melden Sie sich bei der Web-Benutzeroberfläche der Firewall an.
  2. Klicken Sie auf System > Logging.
  3. Klicken Sie auf das Schlosssymbol, um die Benutzeroberfläche zu entsperren, damit Sie Änderungen vornehmen können.
  4. Klicken Sie auf Syslog Server.
  5. Aktivieren Sie die Option Send log messages to these syslog servers.
  6. Klicken Sie auf ADD.

  7. Geben Sie unter „Syslog Server“ die folgenden Verbindungsdetails für Ihre Sophos-Appliance ein:

    • Adresse
    • Port

    Sie müssen dieselben Einstellungen eingeben, die Sie in Sophos Central eingegeben haben, als Sie die Integration hinzugefügt haben.

  8. Wählen Sie unter Format die Option IBM LEEF aus.

  9. Fügen Sie eine Beschreibung hinzu, um diesen Syslog-Server als Sophos-Appliance zu identifizieren.
  10. Aktivieren Sie die Einstellungen, um die Seriennummer des Geräts und den Syslog-Header in Syslog-Meldungen aufzunehmen.
  11. Übernehmen Sie die Standardeinstellungen unter „Select the syslog facility for each type of device log message“.
  12. Klicken Sie auf OK.
  13. Klicken Sie auf SAVE. Dadurch werden die Änderungen an der Firewall gespeichert und aktiviert.

Ihre WatchGuard Firebox-Alarme sollten jetzt nach der Validierung im Sophos Data Lake angezeigt werden.

Wiederholen Sie die Konfigurationsschritte für alle anderen Firewalls, die Sie konfigurieren möchten.