Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Skyhigh Security Secure Web Gateway

Coletor de log

You must have the "Network" integrations license pack to use this feature.

Você pode integrar o Skyhigh Security Secure Web Gateway (antigo McAfee Web Gateway) ao Sophos Central para que envie dados sobre solicitações de acesso à Web para a Sophos.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar vários Secure Web Gateways ao mesmo coletor de dados.

Para isso, configure a sua integração do Skyhigh Security Secure Web Gateway no Sophos Central e depois configure um gateway para enviar logs para ele. Em seguida, configure seus outros Secure Web Gateways para enviar logs ao mesmo coletor de dados da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura uma imagem para ser usada em uma VM.
  • Baixe e implante a imagem na sua VM. Ele se torna seu coletor de dados.
  • Configure o Secure Web Gateway para enviar dados ao coletor de dados.

Requisitos

Os coletores de dados têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do coletor de dados.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Faça login no Sophos Central.
  2. Vá para o Centro de Análise de Ameaças > Integrações.
  3. Clique em Skyhigh Security Secure Web Gateway.

    Se já tiver configurado as conexões ao Secure Web Gateway, você as verá aqui.

  4. Em Integrações, clique em Adicionar.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de integração, você configura uma VM para receber dados do Secure Web Gateway. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Insira um nome de integração e uma descrição.
  2. Insira um nome e uma descrição para o coletor de dados.

    Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.

  3. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  4. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  5. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Secure Web Gateway para enviar dados ao seu coletor de dados.

  6. Selecione um Protocolo. Para a integração do SonicOS, deve ser TCP.

    Você deve usar o mesmo protocolo ao configurar o Secure Web Gateway para enviar dados ao seu coletor de dados.

  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do coletor de dados. Você precisará dele mais tarde, ao configurar o Secure Web Gateway para enviar dados.

    Pode levar alguns minutos para que a imagem da VM fique pronta.

Implantar a VM

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o Secure Web Gateway

Agora você configura o Secure Web Gateway para enviar dados do seu log de acesso para nós, usando o encaminhamento de syslog.

Para configurar o Secure Web Gateway, faça o seguinte:

  1. No Secure Web Gateway, adicione uma regra que deixe os dados de log de acesso disponíveis ao daemon do syslog.
  2. Adapte o arquivo de sistema rsylog.conf para permitir que o daemon envie dados para um servidor syslog.

Você deve fazer isso em todos os Secure Web Gateways para os quais deseja enviar dados de log de acesso. Você também pode enviar outros dados de log.

Os dados incluem a data e a hora de uma solicitação de acesso à Web, o usuário que enviou a solicitação, a URL solicitada e outras informações.

Você deve enviar os dados no protocolo TCP e no formato CEF.

Consulte Sobre o envio de dados do log de acesso para um servidor syslog.