Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=meraki

Cisco Meraki (Agente di raccolta log)

Agente di raccolta log

You must have the "Firewall" integrations license pack to use this feature.

Nota

È disponibile anche un’integrazione di Cisco Meraki basata su API. Vedere Cisco Meraki (API).

Cisco Meraki può essere integrata con Sophos Central per consentire l’invio di dati a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono definiti “agente di raccolta dati”. L’agente di raccolta dati riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più firewall Cisco Meraki sullo stesso agente di raccolta dati.

Per farlo, occorre configurare l’integrazione Cisco Meraki in Sophos Central e successivamente configurare un firewall per l’invio dei log. A questo punto, sarà necessario configurare gli altri firewall Cisco Meraki per l’invio dei log allo stesso agente di raccolta dati Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. Questa azione configura un’immagine da utilizzare su una VM.
  • Scaricare e distribuire l’immagine sulla propria VM. Diventerà l’agente di raccolta dati.
  • Configurare Meraki per l’invio dei dati all’agente di raccolta dati.

Requisiti

Gli agenti di raccolta dati hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti per l’agente di raccolta dati.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. Accedere a Sophos Central.
  2. Aprire Centro di analisi delle minacce e cliccare su Integrazioni.

  3. Cliccare su Cisco Meraki.

    Se sono già state configurate connessioni a Meraki, verranno visualizzate qui.

  4. In Integrazioni, cliccare su Aggiungi.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di integrazione.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare la propria VM in modo che riceva dati da Meraki. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Inserire un nome e una descrizione per l’integrazione.

  2. Immettere un nome e una descrizione per l’agente di raccolta dati.

    Se è già stata configurata un’integrazione per l’agente di raccolta dati, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  4. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per la VM.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  5. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Meraki per l’invio dei dati all’agente di raccolta dati.

  6. Selezionare un Protocollo.

    Utilizzare lo stesso protocollo quando si configura Meraki per l’invio dei dati all’agente di raccolta dati.

  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’agente di raccolta dati. Sarà necessario in un secondo momento, durante la configurazione di Meraki per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine VM sia pronta.

Distribuzione della VM

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine VM per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Implementazione di una VM per le integrazioni.

Una volta distribuita la VM, l’integrazione verrà visualizzata come Connessa.

Configurazione di Cisco Meraki

Per configurare Meraki in modo che invii i dati all’agente di raccolta dati, procedere come segue.

  1. Accedere al Dashboard di Meraki.
  2. Cliccare su Network-wide (Tutta la rete) > Configure (Configura) > General (Impostazioni generali).
  3. Scorrere verso il basso fino a Reporting (Reportistica) e cliccare su Add a syslog server (Aggiungi un server syslog).

  4. Immettere i seguenti dettagli di connessione per l’agente di raccolta dati:

    • Indirizzo IP. L’indirizzo IP del syslog configurato in Sophos Central.

    • Numero di porta.

      Occorre immettere le stesse impostazioni specificate in Sophos Central al momento dell’aggiunta dell’integrazione.

  5. Aggiungere i seguenti ruoli per configurare i dati inviati all’agente di raccolta dati:

    • Log eventi per i servizi in esecuzione sui dispositivi. Ad esempio Security events, Appliance event log.
    • Flows. Si tratta di messaggi relativi al flusso di traffico che includono informazioni sull’origine e sulla destinazione, oltre ai numeri di porta.
    • IDS Alerts. Questi avvisi provengono dal sistema di rilevamento delle intrusioni.

  6. In You have unsaved changes (Ci sono modifiche non salvate), cliccare su Save (Salva).

Se il ruolo Flows (Flussi) è attivato in un’appliance di sicurezza MX, è possibile attivare o disattivare la registrazione nei log per singole regole firewall; per farlo, aprire la pagina Security appliance (Appliance di sicurezza) > Configure (Configura) > Firewall, nella colonna Logging (Log).

Ulteriori risorse

Questo video mostra come configurare l’integrazione.

Per maggiori informazioni sulla configurazione dei server syslog nei dispositivi Meraki, consultare la documentazione di Cisco. Vedere Panoramica e configurazione dei server syslog.