Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=watchguard

Intégrer WatchGuard Firebox

Les clients MSP Flex doivent disposer du pack de licence d’intégrations Pare-feu pour utiliser cette fonction.

Vous pouvez intégrer les pare-feu WatchGuard Firebox à Sophos Central. Cela permet à WatchGuard Firebox d’envoyer des alertes de pare-feu à Sophos pour analyse.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils s’appellent une appliance d’intégration. L’appliance reçoit des données tierces et les envoie à Sophos Data Lake.

Cette page décrit l’intégration à l’aide d’une appliance sur ESXi ou Hyper-V. Si vous souhaitez effectuer une intégration à l’aide d’une appliance sur AWS, consultez Ajouter des intégrations sur AWS.

Étapes clés

Les étapes clés d’une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. À cette étape, vous créez une image de l’appliance.
  • Télécharger et déployer l’image sur votre machine virtuelle. Cela devient votre appliance.
  • Configurer WatchGuard Firebox pour qu’il envoie des données à l’appliance.

Conditions requises

Les appliances ont des exigences en matière d’accès au système et au réseau. Pour vérifier que vous y adhérez, consultez Exigences relatives à l’appliance.

Ajouter une intégration

Pour ajouter l’intégration, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.

  2. Cliquez sur WatchGuard Firebox.

    La page WatchGuard Firebox s’ouvre. Vous pouvez ajouter les intégrations et voir une liste de celles que vous avez déjà ajoutées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Fournir les détails de votre domaine et de votre adresse IP.

    Les Étapes de configuration de l’intégration s’affichent.

Configurer la machine virtuelle

Dans les Étapes de configuration de l’intégration, vous pouvez configurer une nouvelle appliance ou utiliser une appliance existante.

Nous supposons ici que vous configurez une nouvelle appliance. Pour ce faire, créez une image comme suit :

  1. Saisissez le nom de domaine et sa description.
  2. Cliquez sur Créer une nouvelle appliance.
  3. Saisissez le nom et la description de l’appliance.
  4. Sélectionnez la plate-forme virtuelle. Actuellement, nous prenons uniquement en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.

  5. Spécifiez les paramètres IP pour les Ports du réseau connecté à Internet. Cette opération configure l’interface de gestion de l’appliance.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

  6. Sélectionnez la version IP syslog et saisissez l’adresse IP syslog.

    Vous aurez besoin de l’adresse IP syslog ultérieurement lorsque vous allez configurer WatchGuard Firebox pour qu’il envoie des données à votre appliance.

  7. Sélectionnez un Protocole.

    Vous devez utiliser le même protocole lorsque vous configurez WatchGuard Firebox pour envoyer des données à votre appliance.

  8. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste.

    Dans les détails d’intégration, vous pouvez voir le numéro de port de l’appliance. Vous aurez besoin de cette information ultérieurement lorsque vous allez configurer WatchGuard Firebox pour qu’il lui envoie des données.

    L’image de l’appliance sera prête au téléchargement en l’espace de quelques minutes.

Déployer l’appliance

Restriction

Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une autre machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.

Utilisez l’image pour déployer l’appliance comme suit :

  1. Dans la liste des intégrations, dans Actions, cliquez sur l’action de téléchargement de votre plate-forme, par exemple Télécharger la version OVA pour ESXi.
  2. Une fois le téléchargement de l’image terminé, déployez-la sur votre machine virtuelle. Voir Déployer des appliances.

Configurer WatchGuard Firebox

Vous pouvez maintenant configurer les pare-feu WatchGuard Firebox pour leur permettre de nous envoyer des alertes à l’aide du transfert Syslog.

Remarque

Vous pouvez configurer plusieurs instances de WatchGuard Firebox pour envoyer des données à Sophos via la même appliance. Une fois l’intégration terminée, répétez les étapes de cette section pour vos autres instances de WatchGuard Firebox. Vous n’avez pas besoin de répéter les étapes dans Sophos Central.

Pour configurer WatchGuard Firebox, vous pouvez vous connecter à un pare-feu à l’aide de WatchGuard System Manager ou de l’interface utilisateur Web WatchGuard.

Cliquez sur l’onglet correspondant à la méthode que vous voulez utiliser.

Pour configurer votre pare-feu avec WatchGuard System Manager, procédez comme suit.

  1. Connectez-vous à WatchGuard System Manager.
  2. Cliquez sur Fichier > Connexion à l’appareil.
  3. Sélectionnez un pare-feu et connectez-vous.
  4. Cliquez sur l’icône Gestionnaire des stratégies.

  5. Dans Gestionnaire des stratégies, cliquez sur Configuration > Journalisation.

    Dans Configuration de la journalisation, ajoutez les détails de connexion pour l’appliance Sophos en tant que serveur syslog.

  6. Dans le Serveur Syslog, activez Envoyer des messages de journal à ces serveurs syslog.

  7. Cliquez sur Ajouter.

  8. Dans Configurer Syslog, saisissez les détails de connexion suivants pour votre appliance Sophos.

    • Adresse
    • Port

    Vous devez saisir les mêmes paramètres que lorsque vous avez ajouté l’intégration dans Sophos Central.

  9. Dans Format, sélectionnez IBM LEEF.

  10. Ajoutez une Description pour identifier ce serveur syslog en tant qu’appliance Sophos.
  11. Activez les paramètres pour inclure le numéro de série de l’appareil et l’en-tête syslog dans les messages syslog.
  12. Acceptez les paramètres par défaut dans Sélectionner la fonction syslog pour chaque type de message de journal de l’appareil.
  13. Vous n’avez pas besoin de modifier les Statistiques de performances ou le Niveau du journal de diagnostic.
  14. Cliquez sur OK.

Enregistrer et activer les paramètres

Pour enregistrer et activer les modifications apportées au pare-feu, procédez comme suit.

  1. Cliquez sur Fichier > Enregistrer > Vers Firebox.

    L’élément de menu peut varier en fonction de votre produit WatchGuard.

  2. Dans Enregistrer dans Firebox, vérifiez les détails et saisissez votre Mot de passe Administrateur.

  3. Cliquez sur OK.

Vos alertes WatchGuard Firebox devraient maintenant apparaître dans Sophos Data Lake après validation.

Répétez les étapes de configuration pour tous les autres pare-feu que vous souhaitez configurer.

Pour configurer votre pare-feu avec l’interface utilisateur Web WatchGuard, procédez comme suit.

  1. Connectez-vous à l’interface utilisateur Web du pare-feu.
  2. Cliquez sur Système > Journalisation.
  3. Cliquez sur l’icône de verrouillage pour déverrouiller l’interface utilisateur et apporter des modifications.
  4. Cliquez sur Serveur Syslog.
  5. Activez Envoyer des messages de journal à ces serveurs syslog.
  6. Cliquez sur AJOUTER.

  7. Dans le serveur Syslog, saisissez les détails de connexion suivants pour votre appliance Sophos.

    • Adresse
    • Port

    Vous devez saisir les mêmes paramètres que lorsque vous avez ajouté l’intégration dans Sophos Central.

  8. Dans Format, sélectionnez IBM LEEF.

  9. Ajoutez une Description pour identifier ce serveur syslog en tant qu’appliance Sophos.
  10. Activez les paramètres pour inclure le numéro de série de l’appareil et l’en-tête syslog dans les messages syslog.
  11. Acceptez les paramètres par défaut dans Sélectionner la fonction syslog pour chaque type de message de journal de l’appareil.
  12. Cliquez sur OK.
  13. Cliquez sur ENREGISTRER. Les modifications apportées au pare-feu sont enregistrées et activées.

Vos alertes WatchGuard Firebox devraient maintenant apparaître dans Sophos Data Lake après validation.

Répétez les étapes de configuration pour tous les autres pare-feu que vous souhaitez configurer.