SonicWall SonicOS
You must have the "Firewall" integrations license pack to use this feature.
Você pode integrar o dispositivo de segurança SonicOS com o Sophos Central para que envie mensagens de eventos à Sophos para análise.
Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.
Nota
Você pode adicionar várias instâncias dos firewalls SonicWall ao mesmo coletor de dados.
Para isso, configure a sua integração do SonicWall SonicOS no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seus outros firewalls SonicWall para enviar logs para o mesmo coletor de dados da Sophos.
Você não precisa repetir a parte Sophos Central da configuração.
As principais etapas para adicionar uma integração são as seguintes:
- Adicione uma integração deste produto. Isso configura uma imagem para ser usada em uma VM.
- Baixe e implante a imagem na sua VM. Ele se torna seu coletor de dados.
- Configure o SonicOS para enviar dados ao coletor de dados.
Requisitos
Os coletores de dados têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do coletor de dados.
Adicionar uma integração
Para integrar o SonicOS ao Sophos Central, faça o seguinte:
- No Sophos Central, vá para o Centro de Análise de Ameaças e clique em Integrações.
-
Clique em SonicWall SonicOS.
Se já tiver configurado as conexões ao SonicOS, você as verá aqui.
-
Clique em Adicionar.
Nota
Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.
Etapas de integração aparece.
Configurar a VM
Em Etapas de configuração de integração, você configura uma VM para receber dados do SonicOS. Você pode usar uma VM existente ou criar uma nova.
Para configurar a VM, faça o seguinte:
- Adicione um nome e uma descrição para a nova integração.
-
Insira um nome e uma descrição para o coletor de dados.
Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.
-
Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.
-
Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.
-
Selecione DHCP para atribuir o endereço IP automaticamente.
Nota
Se você selecionar DHCP, deverá reservar o endereço IP.
-
Selecione Manual para especificar as configurações de rede.
-
-
Selecione a Versão de IP do syslog e insira o endereço IP de syslog.
Você precisará desse endereço IP de syslog mais tarde, ao configurar o SonicOS para enviar dados ao seu coletor de dados.
-
Selecione um Protocolo.
Você deve usar o mesmo protocolo ao configurar o SonicOS para enviar dados ao seu coletor de dados.
-
Clique em Salvar.
Nós criamos a integração e ela aparece na sua lista.
Nos detalhes de integração, você pode ver o número da porta do coletor de dados. Você precisará dele mais tarde, ao configurar o SonicOS para enviar dados.
Pode levar alguns minutos para que a imagem da VM fique pronta.
Implantar a VM
Restrição
Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.
Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:
- Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
- Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.
Quando você tiver implantado a VM, a integração será exibida como Conectado.
Configurar o SonicOS
Agora você configura o SonicOS para nos enviar os dados.
Para configurar os parâmetros de syslog no seu firewall, faça o seguinte:
Nota
Se você usar o GMS (Global Management System) do SonicWall para gerenciar seu firewall, não poderá alterar o formato do syslog (Default) ou o ID do syslog (Firewall). Você pode alterar as outras configurações. As instruções a seguir não usam o GMS.
- Vá para Log > Syslog.
- Selecione Syslog Servers e clique em Add.
-
Insira o endereço IP do syslog definido para o seu coletor de dados.
Você deve inserir a mesma configuração inserida no Sophos Central quando adicionou a integração.
-
Em Syslog Format, escolha ArcSight. O coletor de dados da Sophos recebe alertas no formato ArcSight CEF.
Quando você seleciona ArcSight, o ícone Configurar fica ativo.
-
Clique no ícone Configurar. A janela de configuração ArcSight CEF fields Settings é exibida.
- Selecione as opções de ArcSight que você deseja registrar em log. Na maioria dos casos, é All. Para selecionar todas as opções, clique em Select All.
- Clique em Salvar.
-
Na caixa Syslog ID, digite o ID do syslog desejado.
Um campo Syslog ID é incluído em todas as mensagens geradas, com o prefixo
id=.Por exemplo, no firewall, no valor padrão, todas as mensagens de syslog incluem
id=firewall. Você pode definir um ID que consista em 0 a 32 letras, números e sublinhados.Nota
Quando a opção Override Syslog Settings with Reporting Software Settings é ativada, o campo Syslog ID é fixado como "Firewall". Você não pode alterar isso.
-
Clique em Accept na parte superior da página.
- Vá para Log > Settings para configurar quais alertas serão encaminhados para a Sophos.
-
Em Logging Level, você deve selecionar Warning.
Isso filtra os eventos de prioridade mais baixa.
-
Na página Log > Settings, você também pode filtrar os eventos de acordo com os atributos em Event Attributes.
- Selecione uma categoria e clique em Configure.
-
Em Edit Log Category, marque a caixa de seleção do syslog para as categorias específicas.
Suas alterações se aplicam a todos os grupos e eventos na categoria selecionada.