WatchGuard Firebox
Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.
Você pode integrar os firewalls WatchGuard Firebox ao Sophos Central. Isso permite que o WatchGuard Firebox envie alertas de firewall à Sophos para análise.
Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.
Nota
Você pode adicionar várias instâncias do WatchGuard Firebox ao mesmo coletor de dados.
Para isso, configure a sua integração do WatchGuard Firebox no Sophos Central e depois configure uma instância do WatchGuard Firebox para enviar logs para ele. Em seguida, configure suas outras instâncias do WatchGuard Firebox para enviar logs ao mesmo coletor de dados da Sophos.
Você não precisa repetir a parte Sophos Central da configuração.
As principais etapas para adicionar uma integração são as seguintes:
- Adicione uma integração deste produto. Isso configura uma imagem para ser usada em uma VM.
- Baixe e implante a imagem na sua VM. Ele se torna seu coletor de dados.
- Configure o WatchGuard Firebox para enviar dados ao coletor de dados.
Requisitos
Os coletores de dados têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do coletor de dados.
Adicionar uma integração
Para adicionar a integração, siga este procedimento:
- Faça login no Sophos Central.
- Vá para o Centro de Análise de Ameaças > Integrações.
-
Clique em WatchGuard Firebox.
Se já tiver configurado as conexões à WatchGuard Firebox, você as verá aqui.
-
Em Integrações, clique em Adicionar.
Nota
Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.
Etapas de integração aparece.
Configurar a VM
Em Etapas de configuração de integração, você configura uma VM para receber dados do WatchGuard Firebox. Você pode usar uma VM existente ou criar uma nova.
Para configurar a VM, faça o seguinte:
- Insira um nome de integração e uma descrição.
-
Insira um nome e uma descrição para o coletor de dados.
Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.
-
Selecione a plataforma virtual. Atualmente, oferecemos suporte apenas a VMware ESXi 6.7 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.
-
Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.
-
Selecione DHCP para atribuir o endereço IP automaticamente.
Nota
Se você selecionar DHCP, deverá reservar o endereço IP.
-
Selecione Manual para especificar as configurações de rede.
-
-
Selecione a Versão de IP do syslog e insira o endereço IP de syslog.
Você precisará desse endereço IP de syslog mais tarde, ao configurar o WatchGuard Firebox para enviar dados ao seu coletor de dados.
-
Selecione um Protocolo.
Você deve usar o mesmo protocolo ao configurar a WatchGuard Firebox para enviar dados ao seu coletor de dados.
-
Clique em Salvar.
Nós criamos a integração e ela aparece na sua lista.
Nos detalhes de integração, você pode ver o número da porta do coletor de dados. Você precisará dele mais tarde, ao configurar a WatchGuard Firebox para enviar dados.
Pode levar alguns minutos para que a imagem da VM fique pronta.
Implantar a VM
Restrição
Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.
Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:
- Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
- Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.
Quando você tiver implantado a VM, a integração será exibida como Conectado.
Configurar WatchGuard Firebox
Agora você configura os firewalls WatchGuard Firebox para nos enviar alertas, usando o encaminhamento de syslog.
Para configurar o WatchGuard Firebox, você pode entrar em um firewall usando o WatchGuard System Manager ou usar a IU da Web do WatchGuard.
Clique na guia do método que deseja usar.
Para configurar o firewall usando o WatchGuard System Manager, faça o seguinte.
- Entre no WatchGuard System Manager.
- Clique em File > Connect to Device.
- Selecione um firewall e faça login.
- Clique no ícone Policy Manager.
-
Em Policy Manager, clique em Setup > Logging.
Em Logging Setup, adicione os detalhes de conexão do coletor de dados da Sophos como um servidor syslog.
-
Vá para Syslog Server e ative Send log messages to these syslog servers.
- Clique em Adicionar.
-
Em Configure Syslog, insira os seguintes detalhes de conexão do seu coletor de dados da Sophos.
- Endereço
- Porta
Você deve inserir as mesmas configurações inseridas no Sophos Central quando adicionou a integração.
-
Em Format, selecione IBM LEEF.
- Adicione uma Descrição para identificar esse servidor syslog como o coletor de dados da Sophos.
- Ative as configurações para incluir o número de série do dispositivo e o cabeçalho do syslog nas mensagens do syslog.
- Aceite as configurações padrão em Select the syslog facility para cada tipo de mensagem de log do dispositivo.
- Não é necessário alterar Performance Statistics ou Diagnostic Log Level.
- Clique em OK.
Salvar e ativar configurações
Para salvar as alterações no firewall e ativá-las, faça o seguinte.
-
Clique em File > Save > To Firebox.
O item de menu pode variar dependendo do seu produto WatchGuard.
-
Em Save To Firebox, verifique os detalhes e digite a frase de segurança em Administrator Passphrase.
- Clique em OK.
Seus alertas do WatchGuard Firebox agora devem aparecer no Sophos Data Lake após a validação.
Repita as etapas de configuração para todos os outros firewalls que deseja configurar.
Para configurar o firewall usando a IU da Web do WatchGuard, faça o seguinte.
- Faça login na IU da Web do firewall.
- Clique em System > Logging.
- Clique no ícone de cadeado para desbloquear a interface do usuário para que você possa fazer alterações.
- Clique em Syslog Server.
- Ative Send log messages to these syslog servers.
- Clique em ADD.
-
Em Syslog Server, insira os seguintes detalhes de conexão do seu coletor de dados da Sophos.
- Endereço
- Porta
Você deve inserir as mesmas configurações inseridas no Sophos Central quando adicionou a integração.
-
Em Format, selecione IBM LEEF.
- Adicione uma Descrição para identificar esse servidor syslog como o coletor de dados da Sophos.
- Ative as configurações para incluir o número de série do dispositivo e o cabeçalho do syslog nas mensagens do syslog.
- Aceite as configurações padrão em Select the syslog facility para cada tipo de mensagem de log do dispositivo.
- Clique em OK.
- Clique em SAVE. Isso salva as alterações no firewall e as ativa.
Seus alertas do WatchGuard Firebox agora devem aparecer no Sophos Data Lake após a validação.
Repita as etapas de configuração para todos os outros firewalls que deseja configurar.