Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

WatchGuard Firebox

Recopilador de registros

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar los firewalls de WatchGuard Firebox con Sophos Central. Esto permite a WatchGuard Firebox enviar alertas de firewall a Sophos para su análisis.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se les denomina recopilador de datos. El recopilador de datos recibe datos de terceros y los envía a Sophos Data Lake.

Nota

Puede añadir varias instancias de WatchGuard Firebox al mismo recopilador de datos.

Para ello, configure la integración de WatchGuard Firebox en Sophos Central y, a continuación, configure una instancia de WatchGuard para que le envíe registros. Luego, configure las demás instancias de WatchGuard Firebox para enviar registros al mismo recopilador de datos de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Los pasos clave para añadir una integración son los siguientes:

  • Añadir una integración para el producto. Esto configura una imagen para usarla en una VM.
  • Descargue e implemente la imagen en su VM. Esto se convierte en su recopilador de datos.
  • Configurar WatchGuard Firebox para enviar datos al recopilador de datos.

Requisitos

Los recopiladores de datos tienen requisitos de acceso de sistema y de red. Para comprobar que los cumple, consulte Requisitos del recopilador de datos .

Añadir una integración

Para añadir la integración, haga lo siguiente:

  1. Inicie sesión en Sophos Central.
  2. Vaya a Centro de análisis de amenazas > Integraciones.
  3. Haga clic en WatchGuard Firebox.

    Si ya ha configurado conexiones con WatchGuard Firebox, puede verlas aquí.

  4. En Integraciones, haga clic en Añadir.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de integración.

Configurar la VM

En Pasos de configuración de la integración configurará una VM para recibir los datos de WatchGuard Firebox. Puede utilizar una máquina virtual existente o crear una nueva.

Para configurar la VM, haga lo siguiente:

  1. Introduzca un nombre y una descripción de la integración.
  2. Introduzca un nombre y una descripción para el recopilador de datos.

    Si ya ha configurado una integración de recopilador de datos, puede elegirla de una lista.

  3. Seleccione la plataforma virtual. Actualmente, solo admitimos VMware ESXi 6.7 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.

  4. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de gestión para la VM.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  5. Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.

    Necesitará esta dirección IP de syslog más tarde, cuando configure WatchGuard Firebox para que envíe datos a su recopilador de datos.

  6. Seleccione un Protocolo.

    Debe utilizar el mismo protocolo cuando configure WatchGuard Firebox para enviar datos al recopilador de datos.

  7. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    En los detalles de integración, puede ver el número de puerto del recopilador de datos. Necesitará esto más tarde cuando configure WatchGuard Firebox para que le envíe datos.

    La imagen de VM puede tardar unos minutos en estar lista.

Implementar la VM

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen de VM para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar una VM para integraciones.

Cuando haya desplegado la VM, la integración se mostrará como Conectada.

Configurar WatchGuard Firebox

Ahora puede configurar los firewalls de WatchGuard Firebox para que nos envíe alertas mediante el reenvío de Syslog.

Para configurar WatchGuard Firebox, puede iniciar sesión en un firewall con WatchGuard System Manager o usar la interfaz de usuario web de WatchGuard.

Haga clic en la ficha del método que desee utilizar.

Para configurar el firewall con WatchGuard System Manager, haga lo siguiente.

  1. Inicie sesión en WatchGuard System Manager.
  2. Haga clic en Archivo > Conectar al dispositivo.
  3. Seleccione un firewall e inicie sesión en él.
  4. Haga clic en el icono Administrador de políticas.
  5. En Administrador de políticas, haga clic en Configuración > Registro.

    En Configuración de registro, se añaden los detalles de conexión para el recopilador de datos de Sophos como servidor de Syslog.

  6. Vaya a Servidor de Syslog y active Enviar mensajes de registro a estos servidores de Syslog.

  7. Haga clic en Añadir.
  8. En Configurar Syslog, introduzca los siguientes detalles de conexión para el recopilador de datos de Sophos.

    • Dirección
    • Puerto

    Debe introducir la misma configuración que introdujo en Sophos Central al añadir la integración.

  9. En Formato, seleccione IBM LEEF.

  10. Añada una Descripción para identificar este servidor de Syslog como el recopilador de datos de Sophos.
  11. Active la configuración para incluir el número de serie del dispositivo y el encabezado de Syslog en los mensajes de Syslog.
  12. Acepte la configuración predeterminada en Seleccionar la instalación de Syslog para cada tipo de mensaje de registro del dispositivo.
  13. No es necesario cambiar las Estadísticas de rendimiento ni el Nivel de registro de diagnóstico.
  14. Haga clic en Aceptar.

Guarde y active la configuración.

Para guardar los cambios en el firewall y activarlos, haga lo siguiente.

  1. Haga clic en Archivo > Guardar > En Firebox.

    El elemento del menú puede variar en función de su producto WatchGuard.

  2. En Guardar en Firebox, compruebe los detalles e introduzca su Contraseña de administrador.

  3. Haga clic en Aceptar.

Las alertas de WatchGuard Firebox deberían aparecer en Sophos Data Lake después de la validación.

Repita los pasos de configuración para cualquier otro firewall que desee configurar.

Para configurar el firewall con la interfaz de usuario web de WatchGuard, haga lo siguiente.

  1. Inicie sesión en la interfaz de usuario web del firewall.
  2. Haga clic en Sistema > Registro.
  3. Haga clic en el icono del candado para desbloquear la interfaz de usuario y poder realizar cambios.
  4. Haga clic en Servidor de Syslog.
  5. Active Enviar mensajes de registro a estos servidores de Syslog.
  6. Haga clic en Añadir.
  7. En el servidor de Syslog, introduzca los siguientes detalles de conexión para el recopilador de datos de Sophos.

    • Dirección
    • Puerto

    Debe introducir la misma configuración que introdujo en Sophos Central al añadir la integración.

  8. En Formato, seleccione IBM LEEF.

  9. Añada una Descripción para identificar este servidor de Syslog como el recopilador de datos de Sophos.
  10. Active la configuración para incluir el número de serie del dispositivo y el encabezado de Syslog en los mensajes de Syslog.
  11. Acepte la configuración predeterminada en Seleccionar la instalación de Syslog para cada tipo de mensaje de registro del dispositivo.
  12. Haga clic en Aceptar.
  13. Haga clic en GUARDAR. Esto guarda los cambios en el firewall y los activa.

Las alertas de WatchGuard Firebox deberían aparecer en Sophos Data Lake después de la validación.

Repita los pasos de configuración para cualquier otro firewall que desee configurar.