Vai al contenuto
Il supporto che offriamo per MDR.

WatchGuard

Agente di raccolta log

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

È possibile integrare i firewall WatchGuard con Sophos Central. Questo permette a WatchGuard di inviare avvisi del firewall a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono definiti “agente di raccolta dati”. L’agente di raccolta dati riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più istanze di WatchGuard sullo stesso agente di raccolta dati.

Per farlo, occorre configurare l’integrazione di WatchGuard in Sophos Central e successivamente configurare un’istanza di WatchGuard per l’invio dei log. A questo punto, sarà necessario configurare le altre istanze di WatchGuard per l’invio dei log allo stesso agente di raccolta dati Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. Questa azione configura un’immagine da utilizzare su una VM.
  • Scaricare e distribuire l’immagine sulla propria VM. Diventerà l’agente di raccolta dati.
  • Configurare WatchGuard in modo che invii dati all’agente di raccolta dati.

Requisiti

Gli agenti di raccolta dati hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti per l’agente di raccolta dati.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Centro di analisi delle minacce > Integrazioni.
  3. Clicca su WatchGuard.

    Se sono già state configurate connessioni a WatchGuard, verranno visualizzate qui.

  4. In Integrazioni, cliccare su Aggiungi.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di integrazione.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare la propria VM in modo che riceva dati da WatchGuard. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Inserire un nome e una descrizione per l’integrazione.
  2. Immettere un nome e una descrizione per l’agente di raccolta dati.

    Se è già stata configurata un’integrazione per l’agente di raccolta dati, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale. Attualmente supportiamo solo VMware ESXi 6.7 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  4. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per la VM.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  5. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di WatchGuard per l’invio dei dati all’agente di raccolta dati.

  6. Seleziona un Protocollo.

    Utilizzare lo stesso protocollo quando si configura WatchGuard per l’invio dei dati all’agente di raccolta dati.

  7. Clicca su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’agente di raccolta dati. Sarà necessario in un secondo momento, durante la configurazione di WatchGuard per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine VM sia pronta.

Distribuzione della VM

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine VM per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Implementazione di una VM per le integrazioni.

Una volta distribuita la VM, l’integrazione verrà visualizzata come Connessa.

Configurazione di WatchGuard

È ora possibile configurare i firewall di WatchGuard in modo che inviino avvisi a Sophos, utilizzando l’inoltro di syslog.

Per configurare WatchGuard, si può accedere a un firewall utilizzando WatchGuard System Manager o l’interfaccia web di WatchGuard.

Cliccare sulla scheda che corrisponde al metodo che si desidera utilizzare.

Per configurare il firewall con WatchGuard System Manager, procedere come indicato di seguito.

  1. Accedere a WatchGuard System Manager.
  2. Cliccare su File > Connect to Device (Connetti al dispositivo).
  3. Selezionare un firewall ed effettuare l’accesso.
  4. Cliccare sull’icona del Policy Manager (Gestione dei criteri).
  5. In Policy Manager, cliccare su Setup (Configurazione) > Logging (Registrazione).

    In Logging Setup (Configurazione della registrazione) si possono aggiungere i dettagli di connessione dell’agente di raccolta dati Sophos come server syslog.

  6. Aprire Server Syslog e attivare Send log messages to these syslog servers (Invia messaggi del registro a questi server syslog).

  7. Cliccare su Add (Aggiungi).
  8. In Configure Syslog (Configura Syslog), immettere i seguenti dettagli di connessione per l’agente di raccolta dati Sophos.

    • Indirizzo
    • Porta

    Occorre immettere le stesse impostazioni specificate in Sophos Central al momento dell’aggiunta dell’integrazione.

  9. In Format (Formato), selezionare IBM LEEF.

  10. Aggiungere una Description (Descrizione) per identificare questo server syslog come l’agente di raccolta dati Sophos.
  11. Attivare le impostazioni in modo che nei messaggi del syslog vengano inclusi il numero di serie del dispositivo e l’intestazione del syslog.
  12. Accettare le impostazioni predefinite in *Select the syslog facility* (Seleziona struttura del syslog) per tutti i tipi di messaggi di registro del dispositivo.
  13. Non è necessario modificare Performance Statistics (Statistiche sulle prestazioni) o Diagnostic Log Level (Livello di registrazione per la diagnostica).
  14. Clicca su OK.

Salvataggio e attivazione delle impostazioni

Per salvare e attivare le modifiche apportate al firewall, procedere come indicato di seguito.

  1. Cliccare su File > Save (Salva) > To Firebox (Su Firebox).

    La voce del menu potrebbe essere diversa, a seconda del prodotto WatchGuard utilizzato.

  2. In Save To Firebox (Salva su Firebox), selezionare i dettagli e immettere l’Administrator Passphrase (Passphrase dell’amministratore).

  3. Clicca su OK.

Gli avvisi di WatchGuard dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.

Ripetere la procedura di configurazione per eventuali altri firewall che si desidera configurare.

Per configurare il firewall con l’interfaccia web di WatchGuard, procedere come indicato di seguito.

  1. Accedere all’interfaccia web del firewall.
  2. Cliccare su System (Sistema) > Logging (Registrazione).
  3. Cliccare sull’icona a forma di lucchetto per sbloccare l’interfaccia utente e rendere possibili le modifiche.
  4. Cliccare su Syslog Server.
  5. Attivare Send log messages to these syslog servers (Invia messaggi del registro a questi server syslog).
  6. Clicca su ADD.
  7. In Syslog Server, immettere i seguenti dettagli di connessione per l’agente di raccolta dati Sophos.

    • Indirizzo
    • Porta

    Occorre immettere le stesse impostazioni specificate in Sophos Central al momento dell’aggiunta dell’integrazione.

  8. In Format (Formato), selezionare IBM LEEF.

  9. Aggiungere una Description (Descrizione) per identificare questo server syslog come l’agente di raccolta dati Sophos.
  10. Attivare le impostazioni in modo che nei messaggi del syslog vengano inclusi il numero di serie del dispositivo e l’intestazione del syslog.
  11. Accettare le impostazioni predefinite in Select the syslog facility (Seleziona struttura del syslog) per tutti i tipi di messaggi di registro del dispositivo.
  12. Clicca su OK.
  13. Cliccare su SAVE (Salva). Le modifiche apportate al firewall verranno così salvate e attivate.

Gli avvisi di WatchGuard dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.

Ripetere la procedura di configurazione per eventuali altri firewall che si desidera configurare.