Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=sonicwall

SonicWall SonicOS

Protokollsammler Firewall

Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.

Sie können die SonicWall SonicOS-Security-Appliance in Sophos Central integrieren, sodass Ereignismeldungen an Sophos zur Analyse gesendet werden.

Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Integrations-Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Auf dieser Seite wird die Integration mit einer Appliance unter ESXi oder Hyper-V beschrieben. Wenn Sie eine Appliance in AWS integrieren möchten, siehe Integrationen in AWS.

Wichtige Schritte

Die wichtigsten Schritte einer Integration lauten wie folgt:

  • Fügen Sie eine Integration für dieses Produkt hinzu. In diesem Schritt erstellen Sie ein Image der Appliance.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrer Appliance.
  • Konfigurieren Sie SonicOS so, dass Daten an die Appliance gesendet werden.

Voraussetzungen

Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.

Eine neue Integration hinzufügen

Verfahren Sie zur Integration von SonicOS in Sophos Central wie folgt:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Klicken Sie auf SonicWall SonicOS.

    Die Seite SonicWall SonicOS wird geöffnet. Sie können hier Integrationen hinzufügen und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrations-Einrichtungsschritte wird angezeigt.

Appliance konfigurieren

In den Integrations-Einrichtungsschritten können Sie eine neue Appliance konfigurieren oder eine vorhandene Appliance verwenden.

Hier wird davon ausgegangen, dass Sie eine neue Appliance konfigurieren. Erstellen Sie dazu wie folgt ein Image:

  1. Fügen Sie für die neue Integration einen Namen und eine Beschreibung hinzu.
  2. Klicken Sie auf Neue Appliance erstellen.
  3. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.
  4. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir VMware ESXi 6.7 Update 3 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

  5. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die VM-Appliance eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

  6. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie SonicOS so konfigurieren, dass Daten an Ihre Appliance gesendet werden.

  7. Wählen Sie ein Protokoll aus.

    Sie müssen dasselbe Protokoll verwenden, wenn Sie SonicOS zum Senden von Daten an Ihre Appliance konfigurieren.

  8. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie SonicOS so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das Appliance-Image bereit ist.

Appliance bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das Image, um die Appliance wie folgt bereitzustellen:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe Appliance bereitstellen.

SonicOS konfigurieren

Sie konfigurieren nun SonicOS so, dass Daten an uns gesendet werden.

Hinweis

Sie können mehrere Instanzen von SonicOS so konfigurieren, dass Daten über dieselbe Appliance an Sophos gesendet werden. Wenn Sie die Integration abgeschlossen haben, wiederholen Sie die Schritte in diesem Abschnitt für Ihre anderen Instanzen von SonicOs. Sie müssen die Schritte in Sophos Central nicht wiederholen.

Um Syslog-Einstellungen auf Ihrer SonicOS-Firewall zu konfigurieren, gehen Sie wie folgt vor:

Hinweis

Wenn Sie das Global Management System (GMS) von SonicWall zur Verwaltung Ihrer Firewall verwenden, können Sie weder das Syslog-Format (Standard) noch die Syslog-ID (Firewall) ändern. Sie können die anderen Einstellungen ändern. Die folgenden Anweisungen verwenden GMS nicht.

  1. Gehen Sie zu Log > Syslog.
  2. Wählen Sie Syslog Servers aus und klicken Sie auf Add.

  3. Geben Sie die Syslog-IP-Adresse ein, die Sie für Ihre Appliance festgelegt haben.

    Sie müssen dieselben Einstellungen eingeben, die Sie in Sophos Central eingegeben haben, als Sie die Integration hinzugefügt haben.

  4. Wählen Sie unter Syslog Format ArcSight aus. Die Sophos-Appliance empfängt Warnmeldungen im CEF-Format von ArcSight.

    Wenn Sie ArcSight auswählen, wird das Symbol Configure aktiviert.

  5. Klicken Sie auf das Symbol Configure. Das Konfigurationsfenster ArcSight CEF Fields Settings wird angezeigt.

  6. Wählen Sie die ArcSight-Optionen aus, die Sie protokollieren möchten. In den meisten Fällen empfiehlt sich die Auswahl von All. Um alle Optionen auszuwählen, klicken Sie auf Select All.
  7. Klicken Sie auf Speichern.

  8. Geben Sie im Feld Syslog ID die gewünschte Syslog-ID ein.

    Ein Feld Syslog ID ist in allen generierten Nachrichten enthalten, mit dem Präfix id=.

    Bei der Firewall enthalten alle Syslog-Nachrichten standardmäßig beispielsweise id=firewall. Sie können eine ID festlegen, die aus 0 bis 32 Buchstaben, Zahlen und Unterstrichen besteht.

    Hinweis

    Wenn die Option Override Syslog Settings with Reporting Software Settings aktiviert ist, ist das Feld Syslog ID auf „Firewall“ festgelegt. Sie können dies nicht ändern.

  9. Klicken Sie im oberen Seitenbereich auf Accept.

  10. Gehen Sie zu Log > Settings, um zu konfigurieren, welche Warnungen an Sophos weitergeleitet werden.

  11. Unter Logging Level müssen Sie Warning auswählen.

    Dadurch werden Ereignisse mit niedrigerer Priorität herausgefiltert.

  12. Auf der Seite Log > Settings können Sie Ereignisse auch nach ihren Event Attributes filtern.

    1. Wählen Sie eine Kategorie aus und klicken Sie auf Configure.

    2. Aktivieren Sie unter Edit Log Category das Kontrollkästchen „Syslog“ für bestimmte Kategorien.

      Ihre Änderungen gelten für alle Gruppen und Ereignisse in der ausgewählten Kategorie.

Weitere Informationen