Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=sonicwall

SonicWall SonicOS

Recopilador de registros Firewall

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar el dispositivo de seguridad SonicWall SonicOS con Sophos Central para que envíe mensajes de eventos a Sophos para su análisis.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo de integración. El dispositivo recibe datos de terceros y los envía a Sophos Data Lake.

En esta página se describe la integración mediante un dispositivo en ESXi o Hyper-V. Si desea integrar con un dispositivo en AWS, consulteAñadir integraciones en AWS.

Pasos clave

Los pasos clave de una integración son los siguientes:

  • Añadir una integración para el producto. En este paso, se crea una imagen del dispositivo.
  • Descargar y desplegar la imagen en su VM. Esto se convierte en su dispositivo.
  • Configurar SonicOS para enviar datos al dispositivo .

Requisitos

Los dispositivos tienen requisitos de acceso de sistema y de red. Para comprobar que los cumple, consulte Requisitos del dispositivo .

Añadir una integración

Para integrar SonicOS con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.

  2. Haga clic en SonicWall SonicOS.

    Se abre la página SonicWALL SonicOS. Puede añadir integraciones aquí y ver una lista de cualquiera que ya haya añadido.

  3. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Proporcionar los detalles de su dominio y dirección IP.

    Aparece Pasos de configuración de la integración.

Configurar el dispositivo

En Pasos de configuración de la integración, puede configurar un nuevo dispositivo o utilizar uno existente.

Asumimos aquí que va a configurar un nuevo dispositivo. Para ello, cree una imagen de la siguiente manera:

  1. Añada un nombre y una descripción para la nueva integración.
  2. Haga clic en Crear un nuevo dispositivo.
  3. Introduzca un nombre y una descripción para el dispositivo.
  4. Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.

  5. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de administración para el dispositivo de la VM.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  6. Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.

    Necesitará esta dirección IP de syslog más tarde, cuando configure SonicOS para que envíe datos a su dispositivo.

  7. Seleccione un Protocolo.

    Debe utilizar el mismo protocolo cuando configure SonicOS para enviar datos al dispositivo.

  8. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    En los detalles de integración, puede ver el número de puerto del dispositivo. Necesitará esto más tarde cuando configure SonicOS para que le envíe datos.

    La imagen del dispositivo puede tardar unos minutos en estar lista.

Desplegar el dispositivo

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen para desplegar el dispositivo de la siguiente manera:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar dispositivos.

Configurar SonicOS

Ahora puede configurar SonicOS para que nos envíe datos.

Nota

Puede configurar varias instancias de SonicOS para enviar datos a Sophos a través del mismo dispositivo. Una vez finalizada la integración, repita los pasos de esta sección para sus otras instancias de SonicOS. No es necesario que repita los pasos en Sophos Central.

Para configurar los parámetros de syslog en su firewall SonicOS, haga lo siguiente:

Nota

Si utiliza el sistema de gestión global (GMS) de SonicWall para administrar su firewall, no podrá cambiar el formato de Syslog (predeterminado) ni el ID de Syslog (Firewall). Puede cambiar los demás ajustes. Las siguientes instrucciones no utilizan GMS.

  1. Vaya a Registro > Syslog.
  2. Seleccione Servidores de Syslog y haga clic en Añadir.

  3. Introduzca la dirección IP de syslog que ha definido para el dispositivo.

    Debe introducir la misma configuración que introdujo en Sophos Central al añadir la integración.

  4. En Formato de Syslog, seleccione ArcSight. El dispositivo de Sophos recibe las alertas en formato ArcSight CEF.

    Al seleccionar ArcSight, se activa el icono Configurar.

  5. Haga clic en el icono Configurar. Aparece la ventana de configuración Configuración de los campos de ArcSight CEF.

  6. Seleccione las opciones de ArcSight que desea registrar. En la mayoría de los casos, es Todo. Para seleccionar todas las opciones, haga clic en Seleccionar todo.
  7. Haga clic en Guardar.

  8. En la casilla ID de Syslog, introduzca el ID de Syslog que desee.

    En todos los mensajes generados se incluye el campo ID de Syslog, con el prefijo id=.

    Por ejemplo, para el firewall, el valor predeterminado, todos los mensajes de Syslog incluyen id=firewall. Puede establecer un ID que consta de 0 a 32 letras, números y guiones bajos.

    Nota

    Cuando se activa la opción Anular la configuración de Syslog con la configuración del software de generación de informes, el campo ID de Syslog se fija en "Firewall". No se puede modificar.

  9. Haga clic en Aceptar en la parte superior de la página.

  10. Vaya a Registro > Configuración para configurar las alertas que se reenviarán a Sophos.

  11. En Nivel de registro, debe seleccionar Advertencia.

    Esto filtra los eventos de menor prioridad.

  12. En la página Registro > Configuración, también puede filtrar los eventos según sus Atributos de evento.

    1. Seleccione una categoría y haga clic en Configurar.

    2. En Editar categoría de registro, seleccione la casilla de Syslog para categorías específicas.

      Los cambios se aplican a todos los grupos y eventos de la categoría seleccionada.

Nota

Es posible que SonicOS v7 envíe datos con un formato incorrecto. Si ha seguido todos nuestros pasos de integración pero no obtiene detecciones de SonicWall en Sophos Central, solicite al soporte de SonicWall la revisión 46333.

Más información