SonicWall SonicOS
이 기능을 사용하려면 "Firewall" 통합 라이선스 팩이 있어야 합니다.
Sophos Central에 SonicWall SonicOS 보안 어플라이언스를 통합하면 Sophos로 이벤트 메시지를 전송하여 분석할 수 있습니다.
이 통합에서는 가상 컴퓨터(VM)에서 호스팅되는 로그 수집기를 사용합니다. 이들을 모두 통합 어플라이언스라고 합니다. 어플라이언스는 타사 데이터를 수신하여 Sophos 데이터 레이크로 전송합니다.
이 페이지에서는 ESXi 또는 Hyper-V에서 어플라이언스를 사용한 통합에 대해 설명합니다. AWS에서 어플라이언스를 사용하여 통합하려면 AWS에 통합 추가을(를) 참조하십시오.
주요 단계
통합 주요 단계는 다음과 같습니다.
- 이 제품에 대한 통합을 추가합니다. 이 단계에서 어플라이언스의 이미지를 생성합니다.
- VM에서 이미지를 다운로드하고 배포합니다. 이것이 어플라이언스가 됩니다.
- 어플라이언스로 데이터를 보내도록 SonicOS를 구성합니다.
요구 사항
어플라이언스에는 시스템 및 네트워크 액세스 요구 사항이 있습니다. 이러한 요구 사항을 충족하는지 확인하려면 어플라이언스 요구 사항를 참조하십시오.
통합 추가
SonicOS와 Sophos Central을 통합하려면 다음과 같이 하십시오.
- Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.
-
SonicWall SonicOS를 클릭합니다.
SonicWall SonicOS 페이지가 열립니다. 여기에서 통합을 구성하고 이미 추가한 목록을 볼 수 있습니다.
-
데이터 수집(보안 경고)에서 구성 추가를 클릭합니다.
참고
이 통합이 처음 추가한 통합인 경우 내부 도메인 및 IP에 대한 세부 정보를 요청할 수 있습니다. 도메인 및 IP 세부 정보 입력을 참조하십시오.
통합 설정 단계가 나타납니다.
어플라이언스 구성
통합 설정 단계에서 새 어플라이언스를 구성하거나 기존 어플라이언스를 사용할 수 있습니다.
여기에서는 새 어플라이언스를 구성한다고 가정합니다. 이렇게 하려면 다음과 같이 이미지를 생성합니다.
- 새 통합의 이름 및 설명 추가.
- 새 어플라이언스 만들기를 클릭합니다.
- 어플라이언스의 이름 및 설명을 입력합니다.
- 가상 플랫폼을 선택합니다. 현재 VMware ESXi 6.7 Update 3 이상 및 Microsoft Hyper-V 6.0.6001.18016(Windows Server 2016) 이상을 지원합니다.
-
인터넷 연결 네트워크 포트의 IP 설정을 지정합니다. 그러면 VM 어플라이언스에 대한 관리 인터페이스가 설정됩니다.
-
IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.
참고
DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.
-
네트워크 설정을 지정하려면 수동을 선택합니다.
-
-
Syslog IP 버전을 선택하고 Syslog IP 주소를 입력합니다.
나중에 어플라이언스에 데이터를 전송하도록 SonicOS를 구성할 때 이 syslog IP 주소가 필요합니다.
-
프로토콜을 선택합니다.
어플라이언스에 데이터를 전송하도록 SonicOS를 구성할 때 동일한 프로토콜을 사용해야 합니다.
-
저장을 클릭합니다.
통합이 만들어지고 목록에 나타납니다.
통합 세부 정보에 어플라이언스의 포트 번호가 표시됩니다. 이것은 나중에 데이터를 전송하도록 SonicOS를 구성할 때 필요합니다.
어플라이언스 이미지를 준비하는 데 몇 분 정도 걸릴 수 있습니다.
어플라이언스 배포
제한
ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 다른 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.
다음과 같이 이미지를 사용하여 어플라이언스를 배포합니다.
- 통합 목록의 작업에서 해당 플랫폼에 대한 다운로드 작업(예: ESXi용 OVA 다운로드)을 클릭합니다.
- 이미지 다운로드가 완료되면 VM에 배포하십시오. 어플라이언스 배포을 참조하십시오.
SonicOS 구성
이제 당사에 데이터를 전송하도록 SonicOS를 구성합니다.
참고
동일한 어플라이언스를 통해 Sophos로 데이터를 전송하도록 SonicOS 의 여러 인스턴스를 구성할 수 있습니다. 통합을 마친 후 SonicOS의 다른 인스턴스에 대해 이 섹션의 단계를 반복합니다. Sophos Central에서 단계를 반복할 필요가 없습니다.
참고
SonicWall의 GMS(Global Management System)를 사용하여 방화벽을 관리하는 경우 syslog 형식(기본값) 또는 syslog ID(방화벽)를 변경할 수 없습니다. 기타 설정을 변경할 수 있습니다. 다음 지침에서는 GMS를 사용하지 않습니다.
SonicOS 방화벽에 syslog 설정을 구성하려면 다음과 같이 하십시오.
-
syslog 설정으로 이동합니다.
- Sonicwall 7.x에서 장치 > 로그 > Syslog로이동합니다.
- Sonicwall 6.5에서 관리 > 로그 설정 > Syslog 로이동합니다.
-
Syslog 서버 페이지에서 추가를 클릭합니다.
-
어플라이언스에 대해 설정한 syslog IP 주소를 입력합니다.
통합을 추가할 때 Sophos Central에 입력한 것과 동일한 설정을 입력해야 합니다.
-
Syslog 형식에서 ArcSight를 선택합니다. Sophos 어플라이언스는 ArcSight CEF 형식 경고를 수신합니다.
Arcsight를 선택하면 구성 아이콘이 활성화됩니다.
-
구성 아이콘을 클릭합니다. ArcSight CEF 필드 설정 구성 창이 나타납니다.
- 로깅할 ArcSight 옵션을 선택합니다. 대부분의 경우 전체입니다. 모든 옵션을 선택하려면 모두 선택을 클릭합니다.
- 저장을 클릭합니다.
-
Syslog ID 상자에 원하는 syslog ID를 입력합니다.
Syslog ID 필드는 생성된 모든 메시지에
id=
접두사가 붙습니다.예를 들어, 방화벽의 경우 기본값인 모든 syslog 메시지는
id=firewall
을 포함합니다. 0~32개의 문자, 숫자 및 밑줄로 구성된 ID를 설정할 수 있습니다.참고
보고 소프트웨어 설정으로 Syslog 설정 재정의 옵션이 활성화된 경우 Syslog ID 필드는 "방화벽"으로 고정됩니다. 이것은 변경할 수 없습니다.
-
페이지 상단의 수락을 클릭합니다.
- 로그 > 설정으로 이동하여 Sophos로 전달할 경고를 구성합니다.
-
로깅 수준에서 경고를 선택해야 합니다.
그러면 우선 순위가 낮은 이벤트가 필터링됩니다.
-
로그 > 설정 페이지에서 이벤트 속성에 따라 이벤트를 필터링할 수도 있습니다.
- 원하는 범주를 선택하고 구성을 클릭합니다.
-
로그 범주 편집에서 특정 범주에 대한 syslog 확인란을 선택합니다.
변경 내용은 선택한 범주의 모든 그룹 및 이벤트에 적용됩니다.
참고
SonicOS 7.x에서 잘못된 형식의 데이터를 보낼 수 있습니다. 모든 통합 단계를 완료했지만 Sophos Central에서 SonicWall 감지가 없는 경우 SonicWall 지원팀에 핫픽스 46333을 문의하여 확인해 보세요.