F5 の統合
この機能を使用するには、「Firewall」統合ライセンスパックが必要です。
F5 BIG-IP ASM を Sophos Central と統合して、ソフォスに警告を送信することができます。
この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。それらは共に統合アプライアンスと呼ばれています。アプライアンスはサードパーティのデータを受信し、Sophos Data Lake に送信します。
このページでは、ESXi または Hyper-V 上のアプライアンスを使用した統合について説明します。AWS 上のアプライアンスを使用して統合する場合は、AWS 上の統合を参照してください。
主な手順
統合の主な手順は、次のとおりです。
- この製品の統合を追加します。この手順では、アプライアンスのイメージを作成します。
- イメージをダウンロードして VM に展開します。これがアプライアンスになります。
- アプライアンスにデータを送信するよう F5 BIG-IP ASM を設定します。
要件
アプライアンスには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、アプライアンスの要件を参照してください。
統合の追加
統合を追加するには、次の手順を実行します。
- Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
-
「F5 BIG-IP ASM」をクリックします。
「F5 BIG-IP ASM」ページが開きます。ここで統合を追加し、既に追加されているすべてのリストを表示できます。
-
「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。
注
これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP の詳細を入力するを参照してください。
「統合のセットアップ手順」が表示されます。
アプライアンスの設定
「統合のセットアップ手順」では、新しいアプライアンスを設定するか、既存のアプライアンスを使用できます。
ここでは、新しいアプライアンスを設定すると想定します。これを行うには、次のようにイメージを作成します。
- 統合名と説明を入力します。
- 「新しいアプライアンスの作成」をクリックします。
- アプライアンスの名前と説明を入力します。
- 仮想プラットフォームを選択します。現在、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 以降をサポートしています。
-
「インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、アプライアンスの管理インターフェースが設定されます。
-
IP アドレスを自動的に割り当てるには、「DHCP」を選択します。
注
DHCP を選択した場合は、IP アドレスを予約する必要があります。
-
ネットワーク設定を指定するには、「手動」を選択します。
-
-
「Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。
この syslog IP アドレスは、後で、データをアプライアンスに送信するように F5 BIG-IP ASM を設定する際に必要になります。
-
「プロトコル」を選択します。
データをアプライアンスに送信するようにF5 BIG-IP ASM を設定する際には、同じプロトコルを使用する必要があります。
-
「保存」をクリックします。
統合が作成され、リストに表示されます。
統合の詳細に、アプライアンスのポート番号が表示されます。これは、後で、データをアプライアンスに送信するように F5 BIG-IP ASM を設定する際に必要になります。
アプライアンスのイメージの準備が完了するまで、数分かかることがあります。
アプライアンスの導入
制限事項
ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。別の VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。
イメージを使用してアプライアンスを導入します。
- 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
- イメージのダウンロードが完了したら、VM に導入します。詳細は、アプライアンスの導入を参照してください。
F5 BIG-IP ASM の設定
次に、syslog 転送を使用して警告を送信するように F5 BIG-IP ASM を設定します。
注
F5 BIG-IP ASM の複数のインスタンスを設定して、同じアプライアンスを介してソフォスにデータを送信できます。統合が完了したら、F5 BIG-IP ASM の他のインスタンスに対してこのセクションの手順を繰り返します。Sophos Central でこの手順を繰り返す必要はありません。
警告の転送を設定するには、次の手順を実行します。
ログプロファイルの作成
アプリケーション セキュリティ イベントをログに記録するには、カスタム ログ プロファイルを作成する必要があります。
- 「Main」タブで「Security > Event Logs > Logging Profiles」の順にクリックします。
-
「Logging Profiles」で「Create」をクリックします。
「New Logging Profile」画面が開きます。
-
「Profile Name」に、一意のプロファイル名を入力します。
-
「Application Security」を選択します。
画面には、追加のフィールドが表示されます。
-
「Application Security」タブの「Configuration」で、「Advanced」を選択します。
- 「Remote Storage」を選択して、ログをリモートで保存します。
-
「Response Logging」リストで、「For Illegal Requests Only」を選択します。
デフォルトでは、システムは応答の最初の 10,000バイトを記録し、1秒あたりの 10応答まで記録します。応答ログシステム変数を使用して、制限を変更できます。
デフォルトでは、システムはすべての要求をログに記録します。システムまたはサーバーがログに記録する要求の種類を制限するには、 「Storage Filter」を設定します。
リモートログの設定を続行します。
リモートログの設定
アプリケーション セキュリティ イベントを syslog サーバーにリモートで記録するように、ログプロファイルを設定できます。
- 「Main」タブで「Security > Event Logs > Logging Profiles」の順にクリックします。
- 「Logging Profiles」で、リモートログを設定するログプロファイルの名前をクリックします。
-
「Remote Storage」を選択します。
「Remote Storage Type」リストで「Remote」を選択します。メッセージは syslog 形式です。
-
「Logging Format」で、「Common Event Format (ArcSight)」を選択します。ログメッセージは Common Event Format (CEF) になります。
-
「Protocol」で Sophos Central で設定したものと同じプロトコルを選択します。UDP または TCP。
選択したプロトコルは、すべてのサーバー IP アドレスを含む、この画面のすべてのリモートサーバー設定に適用されます。
-
「Server Addresses」で、トラフィックを記録するサーバーを指定します。Sophos Central で上記で指定した IP Address と Port Number を入力し、「Add」をクリックします。
- 「Facility」でログに記録されたトラフィックのカテゴリを選択します。この統合では、どちらを選択しても構いません。
- 「Storage Format」設定では、ログに情報を表示する方法、サーバーがログに記録するトラフィック項目、およびログに記録する順序を指定できます。
- 「Maximum Query String Size」では、サーバーがログに記録するリクエストの量を指定できます。「Any」を選択します。
- 「Maximum Entry Length」では、サーバーがログに記録するエントリの長さを指定できます。デフォルトの長さ (UDP をサポートするリモートサーバーの場合は 1K、TCP をサポートするリモートサーバーの場合は 2K) を受け入れます。
- 「Report Detected Anomalies」を選択します。ブルートフォース攻撃または Web スクレイピング攻撃が開始および終了すると、システムはリモート システム ログにレポートを送信します。
- 「Storage Filter」領域で、必要に応じて変更を行います。
- 「Finished」をクリックします。
リモートストレージのログプロファイルを作成すると、システムは 1つまたは複数のリモートシステムに関連付けられたセキュリティポリシーのデータを保存します。
ログプロファイルとセキュリティポリシーの関連付け
ログプロファイルは、仮想サーバーへの要求を記録します。デフォルトでは、セキュリティポリシーを作成すると、「Log Illegal Requests」プロファイルが、ポリシーで使用される仮想サーバーに関連付けられます。
セキュリティポリシーに関連付けられているログプロファイルを変更したり、仮想サーバーを編集して新しいログプロファイルを割り当てることができます。
- 「Local Traffic > Virtual Servers」の順にクリックします。
- セキュリティポリシーで使用される仮想サーバーの名前をクリックします。仮想サーバーの一般プロパティが表示されます。
-
「Security」メニューから「Policies」を選択します。
仮想サーバーのポリシー設定が表示されます。
-
「Application Security Policy」設定が「Enabled」になっており、 「Policy」が目的のセキュリティポリシーに設定されていることを確認します。
-
「Log Profile」には、次の手順を実行します。
- 「Enabled」に設定されていることを確認します。
- 「Available」リストから、セキュリティポリシーに使用するプロファイルを選択し、「Selected」リストに移動します。
-
「Update」をクリックします。
セキュリティポリシーによって制御されるトラフィックに関連する情報は、仮想サーバーで指定されたログプロファイルを使用して記録されます。