Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=sonicwall

SonicWall SonicOS

Agente di raccolta log Firewall

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

L’appliance di sicurezza SonicWall SonicOS può essere integrata con Sophos Central per l’invio dei messaggi sugli eventi a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance di integrazione”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

In questa pagina viene descritta l’integrazione mediante un’appliance su ESXi o Hyper-V. Se si desidera eseguire l’integrazione utilizzando un’appliance su AWS, vedere Aggiunta di integrazioni in AWS.

Passaggi principali

I passaggi principali in un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo passaggio viene creata un’immagine dell’appliance.
  • Scaricare e distribuire l’immagine sulla propria VM. Questa diventa l’appliance.
  • Configurare SonicOS in modo che invii dati all’appliance.

Requisiti

Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.

Aggiunta di un’integrazione

Per integrare SonicOS con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su SonicWall SonicOS.

    Si apre la pagina SonicWall SonicOS. Qui è possibile aggiungere integrazioni e visualizzare un elenco delle integrazioni che sono già state aggiunte.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere Immissione dei dettagli di dominio e IP.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

Configurazione dell’appliance

In Passaggi di configurazione dell’integrazione, è possibile configurare una nuova appliance o utilizzarne una esistente.

In queste istruzioni si presuppone che si stia configurando una nuova appliance. Per farlo, creare un’immagine procedendo come segue:

  1. Aggiungere un nome e una descrizione per la nuova integrazione.
  2. Cliccare su Crea nuova appliance.
  3. Inserire un nome e una descrizione per l’appliance.
  4. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  5. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per l’appliance VM.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  6. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di SonicOS per l’invio dei dati all’appliance.

  7. Selezionare un Protocollo.

    Utilizzare lo stesso protocollo quando si configura SonicOS per l’invio dei dati all’appliance.

  8. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di SonicOS per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine dell’appliance sia pronta.

Distribuzione dell’appliance

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine per distribuire l’appliance, procedendo come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Distribuzione delle appliance.

Configurazione di SonicOS

A questo punto, è possibile configurare SonicOS per l’invio dei dati a Sophos.

Nota

È possibile configurare più istanze di SonicOS per l’invio di dati a Sophos attraverso la stessa appliance. Una volta completata l’integrazione, ripetere i passaggi descritti in questa sezione per le altre istanze di SonicOS. Non è necessario ripetere i passaggi in Sophos Central.

Nota

Se si utilizza il Global Management System (GMS) di SonicWALL per gestire il firewall, non è possibile cambiare il formato del syslog (Default) o l’ID del syslog (Firewall). Le altre impostazioni possono essere modificate. Le seguenti istruzioni non utilizzano il GMS.

Per configurare l’inoltro degli avvisi syslog nel proprio firewall SonicOS, procedere come segue:

  1. Accedere alle impostazioni del syslog:

    • In Sonicwall 7.x, aprire Device (Dispositivo) > Log > Syslog.
    • In Sonicwall 6.5, aprire Manage (Gestisci) > Log Settings (Impostazioni log) > Syslog.

  2. Nella pagina Syslog servers (server syslog), cliccare su Add (Aggiungi).

  3. Immettere l’indirizzo IP del syslog configurato per la propria appliance.

    Occorre immettere la stessa impostazione specificata in Sophos Central al momento dell’aggiunta dell’integrazione.

  4. In Syslog Format (Formato syslog), selezionare ArcSight. L’appliance Sophos riceve avvisi in formato ArcSight CEF.

    Quando si seleziona ArcSight, l’icona Configure (Configura) diventa attiva.

  5. Cliccare sull’icona Configure. Verrà visualizzata la finestra di configurazione ArcSight CEF fields Settings (Impostazioni campi ArcSight CEF).

  6. Selezionare le opzioni di ArcSight che si desidera inserire nei log. Nella maggior parte dei casi, l’opzione da selezionare è All (Tutte). Per selezionare tutte le opzioni, cliccare su Select All.
  7. Cliccare su Save (Salva).

  8. Nella casella Syslog ID, immettere l’ID syslog desiderato.

    Un campo Syslog ID è incluso in tutti i messaggi generati, preceduto da id=.

    Ad esempio, per il firewall (valore predefinito), tutti i messaggi syslog includono id=firewall. È possibile impostare un ID da 0 a 32 lettere, numeri e caratteri di sottolineatura.

    Nota

    Quando l’opzione Override Syslog Settings with Reporting Software Settings (Sovrascrivi le impostazioni del syslog con le impostazioni del software) è attiva, il campo Syslog ID rimarrà fisso su “Firewall”. Non potrà essere modificato.

  9. Cliccare su Accept (Accetta) nella parte alta della pagina.

  10. Aprire Log > Settings (Impostazioni) per configurare quali avvisi devono essere inoltrati a Sophos.

  11. In Logging level (Livello di log) bisogna selezionare Warning (Avviso).

    In questo modo verranno filtrati gli eventi con priorità più bassa.

  12. Nella pagina Log > Settings è anche possibile filtrare gli eventi in base ai rispettivi Event Attributes (Attributi eventi).

    1. Selezionare una categoria e cliccare su Configure.

    2. In Edit Log Category (Modifica categoria log), selezionare la casella di controllo di syslog per categorie specifiche.

      Le modifiche verranno applicate a tutti i gruppi e gli eventi nella categoria selezionata.

Nota

SonicOS 7.x potrebbe inviare dati con formato errato. Se sono stati completati tutti i passaggi di integrazione ma non si ricevono rilevamenti SonicWall in Sophos Central, si consiglia di rivolgersi al supporto di SonicWall per richiedere l’hotfix 46333.

Maggiori informazioni