WatchGuard
이 기능을 사용하려면 "Firewall" 통합 라이선스 팩이 있어야 합니다.
WatchGuard 방화벽을 Sophos Central에 통합할 수 있습니다. 이렇게 하면 WatchGuard에서 Sophos로 방화벽 경고를 전송하여 분석할 수 있습니다.
이 통합에서는 가상 컴퓨터(VM)에서 호스팅되는 로그 수집기를 사용합니다. 이를 모두 데이터 수집기라고 합니다. 데이터 수집기는 타사 데이터를 수신하여 Sophos 데이터 레이크로 전송합니다.
참고
WatchGuard의 여러 인스턴스를 동일한 데이터 수집기에 추가할 수 있습니다.
이렇게 하려면 Sophos Central에서 WatchGuard 통합을 설정한 다음, WatchGuard 인스턴스 하나를 로그를 전송하도록 구성합니다. 그런 다음 다른 WatchGuard 인스턴스를 동일한 Sophos 데이터 수집기로 로그를 전송하도록 구성합니다.
설정의 Sophos Central 부분은 반복할 필요가 없습니다.
통합을 추가하는 주요 단계는 다음과 같습니다.
- 이 제품에 대한 통합을 추가합니다. 그러면 VM에서 사용할 이미지가 구성됩니다.
- VM에서 이미지를 다운로드하고 배포합니다. 그러면 이것이 데이터 수집기가 됩니다.
- 데이터 수집기로 데이터를 보내도록 WatchGuard를 구성합니다.
요구 사항
데이터 수집기에는 시스템 및 네트워크 액세스 요구 사항이 있습니다. 이러한 요구 사항을 충족하는지 확인하려면 데이터 수집기 요구 사항를 참조하십시오.
통합 추가
통합을 추가하려면 다음과 같이 하십시오.
- Sophos Central에 로그인하십시오.
- 위협 분석 센터 > 통합으로 이동합니다.
-
WatchGuard를 클릭합니다.
WatchGuard에 대한 연결을 이미 설정한 경우 여기에 표시됩니다.
-
통합에서 추가를 클릭합니다.
참고
이 통합이 처음 추가한 통합인 경우 내부 도메인 및 IP에 대한 세부 정보를 요청할 수 있습니다. 내 도메인 및 IP을 참조하십시오.
통합 단계가 나타납니다.
VM 구성
통합 설정 단계에서는 WatchGuard에서 데이터를 수신하도록 VM을 구성합니다. 기존 VM을 사용하거나 새 VM을 만들 수 있습니다.
VM을 구성하려면 다음과 같이 하십시오.
- 통합 이름과 설명을 입력합니다.
-
데이터 수집기에 대한 이름 및 설명을 입력합니다.
이미 데이터 수집기 통합을 설정한 경우 목록에서 선택할 수 있습니다.
-
가상 플랫폼을 선택합니다. 현재 VMware ESXi 6.7 이상 및 Microsoft Hyper-V 6.0.6001.18016(Windows Server 2016) 이상만 지원합니다.
-
인터넷 연결 네트워크 포트의 IP 설정을 지정합니다. 그러면 VM에 대한 관리 인터페이스가 설정됩니다.
-
IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.
참고
DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.
-
네트워크 설정을 지정하려면 수동을 선택합니다.
-
-
Syslog IP 버전을 선택하고 Syslog IP 주소를 입력합니다.
나중에 데이터 수집기로 데이터를 보내도록 WatchGuard를 구성할 때 이 syslog IP 주소가 필요합니다.
-
프로토콜을 선택합니다.
데이터 수집기로 데이터를 전송하도록 WatchGuard를 구성할 때 동일한 프로토콜을 사용해야 합니다.
-
저장을 클릭합니다.
통합이 만들어지고 목록에 나타납니다.
통합 세부 정보에서 데이터 수집기의 포트 번호가 표시됩니다. 포트 번호는 나중에 데이터를 전송하도록 WatchGuard를 구성할 때 필요합니다.
VM 이미지를 준비하는 데 몇 분 정도 걸릴 수 있습니다.
VM 배포
제한
ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 다른 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.
VM 이미지를 사용하여 VM을 배포합니다. 이렇게 하려면, 다음 과정을 수행하십시오.
- 통합 목록의 작업에서 해당 플랫폼에 대한 다운로드 작업(예: ESXi용 OVA 다운로드)을 클릭합니다.
- 이미지 다운로드가 완료되면 VM에 배포하십시오. 통합을 위해 VM 배포을 참조하십시오.
VM을 배포하면 통합이 연결됨으로 표시됩니다.
WatchGuard 구성
이제 syslog 포워딩을 사용하여 당사에 경고를 보내도록 WatchGuard 방화벽을 구성합니다.
WatchGuard를 구성하려면 WatchGuard 시스템 관리자를 사용하여 방화벽에 로그인하거나 WatchGuard Web UI를 사용합니다.
사용할 방법의 탭을 클릭합니다.
WatchGuard 시스템 관리자를 사용하여 방화벽을 구성하려면 다음과 같이 하십시오.
- WatchGuard 시스템 관리자에 로그인합니다.
- 파일 > 장치에 연결을 클릭합니다.
- 원하는 방화벽을 선택하고 로그인합니다.
- 정책 관리자 아이콘을 클릭합니다.
-
정책 관리자에서 설정 로깅을 클릭합니다.
로깅 설정에서 Sophos 데이터 수집기에 대한 연결 세부 정보를 syslog 서버로 추가합니다.
-
Syslog 서버로 이동하여 이 syslog 서버에 로그 메시지 보내기를 켭니다.
- 추가를 클릭합니다.
-
Syslog 구성에 Sophos 데이터 수집기에 대한 다음 연결 세부 정보를 입력합니다.
- 주소
- 포트
통합을 추가할 때 Sophos Central에 입력한 것과 동일한 설정을 입력해야 합니다.
-
형식에서 IBM LEEF를 선택합니다.
- 설명을 추가하여 이 syslog 서버를 Sophos 데이터 수집기로 식별합니다.
- syslog 메시지에 장치 일련 번호와 syslog 헤더를 포함하도록 설정을 켭니다.
- 각 유형의 장치 로그 메시지에 대해 syslog 시설 선택에서 기본 설정을 수락합니다.
- 성능 통계 또는 진단 로그 수준은 변경하지 않아도 됩니다.
- OK을 클릭합니다.
설정 저장 및 활성화
방화벽에 대한 변경 사항을 저장하고 활성화하려면 다음을 수행합니다.
-
파일 > 저장 > Firebox에를 클릭합니다.
메뉴 항목은 WatchGuard 제품에 따라 다를 수 있습니다.
-
Firebase에 저장에서 세부 정보를 선택하고 관리자 암호를 입력합니다.
- OK를 클릭합니다.
이제 유효성 검사 후 Sophos 데이터 레이크에 WatchGuard 경고가 나타납니다.
구성하고자 하는 다른 방화벽에 대해 구성 단계를 반복합니다.
WatchGuard Web UI를 사용하여 방화벽을 구성하려면 다음을 수행합니다.
- 방화벽의 웹 UI에 로그인합니다.
- 시스템 > 로깅을 클릭합니다.
- 잠금 아이콘을 클릭하여 사용자 인터페이스를 잠금 해제한 후 변경 작업을 수행할 수 있습니다.
- Syslog 서버를 클릭합니다.
- 이 syslog 서버에 로그 메시지 보내기를 활성화합니다.
- ADD을 클릭합니다.
-
Syslog 서버에서 Sophos 데이터 수집기에 대한 다음 연결 세부 정보를 입력합니다.
- 주소
- 포트
통합을 추가할 때 Sophos Central에 입력한 것과 동일한 설정을 입력해야 합니다.
-
형식에서 IBM LEEF를 선택합니다.
- 설명을 추가하여 이 syslog 서버를 Sophos 데이터 수집기로 식별합니다.
- syslog 메시지에 장치 일련 번호와 syslog 헤더를 포함하도록 설정을 켭니다.
- 각 유형의 장치 로그 메시지에 대해 syslog 시설 선택에서 기본 설정을 수락합니다.
- OK을 클릭합니다.
- 저장을 클릭합니다. 이렇게 하면 방화벽에 대한 변경 사항이 저장되고 활성화됩니다.
이제 유효성 검사 후 Sophos 데이터 레이크에 WatchGuard 경고가 나타납니다.
구성하고자 하는 다른 방화벽에 대해 구성 단계를 반복합니다.