Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=Firepower

Cisco Firepower

Coletor de log Firewall

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o Firepower ao Sophos Central para o envio de dados de auditoria à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo de integração. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Esta página descreve a integração usando um dispositivo no ESXi ou Hyper-V. Se você quiser integrar usando um dispositivo na AWS, consulte Integrações na AWS.

Etapas principais

As principais etapas em uma integração são as seguintes:

  • Adicione uma integração deste produto. Nesta etapa, você cria uma imagem do dispositivo.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o Firepower para enviar dados. As etapas a seguir dependem do dispositivo que você possui.
  • Conecte o Firepower à sua VM.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Adicionar uma integração

Para integrar o Firepower ao Sophos Central, faça o seguinte:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Clique em Cisco Firepower.

    A página Cisco Firepower é aberta. Você pode adicionar integrações aqui e ver uma lista daquelas que você já adicionou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Fornecer seus detalhes de domínio e IP.

    Etapas de configuração de integração aparece.

Configurar o dispositivo

Em Etapas de configuração de integração, você pode configurar um novo dispositivo ou usar um existente.

Presumimos aqui que você queira configurar um novo dispositivo. Para fazer isso, crie uma imagem conforme descrito abaixo.

Você talvez precise acessar o Firepower para obter algumas das informações necessárias para preencher o formulário.

  1. Adicione um nome e uma descrição para a nova integração.
  2. Insira um nome e uma descrição para o dispositivo.
  3. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  4. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento do dispositivo.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  5. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Firepower para enviar dados ao seu dispositivo.

  6. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar o Firepower para enviar dados ao seu dispositivo.

  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o Firepower para enviar dados.

    Pode levar alguns minutos para que a imagem do dispositivo fique pronta.

Implantar o dispositivo

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem para implantar o dispositivo da seguinte forma:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar dispositivos.

Configurar o Firepower

Agora, configure o Firepower para enviar dados ao seu dispositivo. O dispositivo atua como um servidor syslog, de modo que você usa o recurso de servidor syslog do seu firewall para enviar dados a ele.

Nota

Você pode configurar várias instâncias do Firepower para enviar dados para a Sophos através do mesmo dispositivo. Depois de concluir a integração, repita as etapas nesta seção para suas outras instâncias do Firepower. Você não precisa repetir as etapas no Sophos Central.

As etapas a seguir dependem da versão do firmware do seu dispositivo e do método de gerenciamento Cisco que você está usando.

Para firewalls com o Firepower Threat Defense (FTD) versões 6.4 ou posterior, clique na guia do método de gerenciamento que você está usando. Você pode usar o Firepower Management Console (FMC) ou o Firepower Defence Manager (FDM).

Para firewalls com versões do Firepower Threat Defense (FTD) anteriores à versão 6.2.3, clique na guia de Dispositivos clássicos.

Nota

Evite caracteres especiais, inclusive vírgulas, em nomes de objetos, como nomes de políticas e regras. O dispositivo na VM pode tratar os caracteres como separadores.

Para usar o Firepower Management Console (FMC) para se conectar a um firewall com Firepower Threat Defense (FTD) versão 6.4 ou posterior ao seu dispositivo da Sophos, faça o seguinte.

Configurar os parâmetros de syslog

  1. No FMC, clique em Devices > Platform Settings.
  2. Selecione a plataforma que deseja conectar ao seu dispositivo e clique no ícone de edição.
  3. Clique em Syslog.
  4. Clique em Syslog Servers > Add.

  5. Insira os seguintes detalhes de conexão do seu dispositivo da Sophos.

    1. Endereço IP. Este é o endereço IP do syslog que você definiu no Sophos Central.
    2. Tipo de protocolo. Se você selecionou UDP, não deve ativar o formato EMBLEM.
    3. Número de porta.

    Você deve inserir as mesmas configurações inseridas no Sophos Central quando adicionou a integração.

  6. Não selecione Enable secure syslog.

  7. Em Reachable By, digite os detalhes da rede que permitem que o seu firewall acesse o dispositivo da Sophos.

  8. Clique em OK.

    Para obter mais informações sobre as configurações do servidor syslog para firewalls Cisco Firepower, consulte Configure a Syslog Server.

  9. Clique em Syslog Settings e defina as configurações da seguinte maneira:

    1. Ative Enable timestamp on Syslog Messages.
    2. Em Timestamp Format, selecione RFC 5424.
    3. Ative Enable Syslog Device ID e selecione Host Name.
    4. Não ative Netflow Equivalent Settings.

  10. Clique em Salvar.

  11. Clique em Logging Setup.
  12. Selecione Enable Logging.

  13. Você não deve selecionar o seguinte:

    1. Enable logging on the failover standby unit
    2. Send syslogs in EMBLEM format
    3. Send debug messages as syslogs

  14. Se você quiser encaminhar eventos de VPN para o dispositivo da Sophos, faça o seguinte:

    1. Na seção VPN Logging Settings, selecione Enable Logging to Firewall Management Center.
    2. Escolha Debug para o Logging Level.

  15. Não é necessário inserir informações em Specify FTP Server Information ou Specify Flash Size.

  16. Clique em Salvar.

Definir as configurações de log para controle de acesso

Você também deve definir as configurações de log para a política de controle de acesso, incluindo o log de arquivo e malware.

Para isso, siga este procedimento:

  1. Clique em Policies > Access Control.
  2. Clique no ícone de edição da política de controle de acesso que você deseja configurar.
  3. Clique em Logging.
  4. Selecione Use the syslog settings configured in the FTD Platform Settings policy deployed on the device.
  5. Em Syslog Severity, selecione ALERT.
  6. Ative Send Syslog messages for IPS events.
  7. Ative Send Syslog messages for File and Malware events.
  8. Clique em Salvar.

Ativar o registro no log de eventos do Security Intelligence

  1. Na mesma política de controle de acesso, clique em Security Intelligence.
  2. Clique no ícone de opções DNS Policy.

  3. Em DNS Blacklist Logging Options, ative o seguinte:

    • Log Connections.
    • Firewall Management Center
    • Syslog Server.

  4. Clique em OK.

  5. Em Blacklist, clique em Network.

  6. Em Network Blacklist Logging Options, ative o seguinte:

    • Log Connections
    • Firewall Management Center
    • Servidor Syslog

  7. Clique em OK.

  8. Role a lista Blacklist para baixo até encontrar o ícone de opções URL.

  9. Em URL Blacklist Logging Options, ative o seguinte:

    • Log Connections
    • Firewall Management Center
    • Servidor Syslog

  10. Clique em OK.

  11. Clique em Salvar.

Ativar o registro em log do syslog para cada regra de controle de acesso

Certifique-se de que todas as regras na política de controle de acesso tenham o registro de syslog ativado.

Para isso, para cada regra na política, faça o seguinte.

  1. Na mesma política de controle de acesso, clique na guia Rules.
  2. Clique em uma regra para editá-la.
  3. Em Editing Rule, clique em Logging.

  4. Escolha se deseja registrar no log o início das conexões, o fim das conexões, ou ambos.

    O log de conexão gera muitos dados. Fazer o log inicial e final gera aproximadamente o dobro de dados. Nem todas as conexões podem ter um registro de log no início e no fim. Para obter mais detalhes, faça login na sua conta da Cisco e vá para a seção Connection Logging do Firepower Management Center Configuration Guide. Consulte Connection Logging.

  5. Se quiser registrar o log de eventos de arquivo, selecione Log Files.

  6. Ative Syslog Server.
  7. Clique em Salvar.

Ativar o log de eventos de invasão

Você também deve ativar o log de eventos na política de invasão associada à sua política de controle de acesso.

  1. Clique em Policies > Intrusion.
  2. Encontre a política de invasão associada à sua política de controle de acesso e clique em Snort 2 Version.
  3. Em Policy Information, clique em Advanced Settings.
  4. Em Advanced Settings, vá para Syslog Alerting.
  5. Clique em Enabled.
  6. Clique em Back.
  7. Em Policy Information, clique em Commit Changes.
  8. Insira uma descrição das alterações e clique em OK.

Para obter informações sobre a análise de eventos, consulte Análise de eventos usando ferramentas externas.

Para obter as instruções mais recentes do fornecedor, consulte Configure and Verify Syslog in Firepower Device Manager.

Nota

Evite caracteres especiais, inclusive vírgulas, em nomes de objetos, como nomes de políticas e regras. O dispositivo na VM pode tratar os caracteres como separadores.

Para conectar um dispositivo Firepower ao seu dispositivo da Sophos usando FDM, faça o seguinte.

Ativar o registro em log de eventos de malware e arquivos.

Para ativar o registro em log de arquivos e eventos de malware e adicionar os detalhes de conexão do dispositivo da Sophos ao firewall, faça o seguinte.

  1. Faça login no FDM no dispositivo que deseja configurar e vá para a guia Device:<name>.
  2. Em System Settings, clique em Logging Settings.
  3. Ative FILE/MALWARE LOGGING.
  4. Clique em Syslog Server para ver os servidores disponíveis.
  5. Se você já adicionou o dispositivo da Sophos a este dispositivo, selecione-o. Caso contrário, clique em Create new Syslog Server.

  6. Insira os seguintes detalhes de conexão do seu dispositivo da Sophos.

    1. Endereço IP. Este é o endereço IP do syslog que você definiu no Sophos Central.
    2. Tipo de protocolo.
    3. Número de porta.

    Você deve inserir as mesmas configurações inseridas no Sophos Central quando adicionou a integração.

  7. Se necessário, selecione a interface de dados ou interface de gerenciamento mais adequada para o seu ambiente de rede.

  8. Clique em OK.
  9. Seu novo servidor aparece em Syslog Servers. Clique nele para selecioná-lo.
  10. Em Log at Severity Level, selecione Debug.
  11. Clique em SAVE.

Configurar políticas

Em cada política, você deve ativar o registro em log das atividades que deseja enviar ao seu dispositivo da Sophos. Você pode ativar o controle de acesso e os eventos de invasão.

Para isso, siga este procedimento:

  1. Clique em Policies > Access Control.
  2. Encontre a política que deseja configurar e clique no ícone de edição.
  3. Clique em Logging.
  4. Em SELECT LOG ACTION, escolha se deseja fazer o registro do log no início ou no fim das conexões ou se não deseja fazer o log.
  5. Em FILE EVENTS, ative Log Files
  6. Se quiser registrar eventos de invasão no log, em Intrusion Policy ative INTRUSION POLICY.
  7. Selecione a política de invasão que deseja aplicar.

  8. Se quiser registrar os eventos de arquivos no log, em File Policy, selecione a política de arquivo que deseja aplicar. Escolha entre:

    • Block Malware All
    • Malware Cloud Lookup - No Block

  9. Em SEND CONNECTION EVENTS TO:, selecione seu dispositivo da Sophos.

  10. Clique em OK.
  11. Clique em Intrusion.
  12. Clique no botão Edit Logging Settings para configurar o syslog.

  13. Clique no ícone de Mais Ícone de mais. em Send Intrusion Events To e selecione os objetos do servidor que definem os servidores syslog.

    Se os objetos necessários ainda não existirem, clique em Create New Syslog Server e crie os objetos.

  14. Encontre a política que deseja configurar e clique no ícone de configurações.

  15. Em Edit Logging Settings, clique no ícone de Mais Ícone de mais. e selecione seu dispositivo da Sophos.
  16. Clique em OK.

Repita essas etapas para cada política que enviará dados para o dispositivo da Sophos.

Para obter informações do fornecedor sobre políticas de intrusão, consulte as Políticas de intrusão.

Salvar as alterações

Suas alterações não são ativadas no dispositivo até que você as implante. Para isso, siga este procedimento:

  1. Clique no ícone de implantação.

    O ponto no ícone aparece quando há alterações não implantadas.

  2. Em Alterações pendentes, revise as alterações.

  3. Clique em IMPLANTAR AGORA.

Para obter todos os detalhes desse processo, consulte a documentação da Cisco. Consulte Creating a Syslog Alert Response.

Nota

Evite caracteres especiais, inclusive vírgulas, em nomes de objetos, como nomes de políticas e regras. O dispositivo na VM pode tratar os caracteres como separadores.

Para conectar os dispositivos clássicos do Firepower ao seu dispositivo da Sophos, faça o seguinte:

Configurar os parâmetros de syslog

  1. Faça login no seu Firepower Management Center (FMC).
  2. Clique em Policies > Actions > Alerts.
  3. Em Create Alert, selecione Create Syslog Alert.
  4. Insira um Nome para o alerta, por exemplo SophosIntegration.
  5. Digite o endereço IP do seu dispositivo da Sophos em Host.
  6. Insira a porta configurada no seu dispositivo da Sophos em Port.

  7. Selecione Facility.

    O dispositivo da Sophos aceita quaisquer dados em Facility. Você encontra a lista de opções de dados na documentação da Cisco. Consulte a Tabela 1. Available Syslog Facilities.

  8. Selecione um nível em Severity.

    O dispositivo da Sophos aceita qualquer nível de severidade que você escolher. Você encontra a lista de opções na documentação da Cisco. Consulte a Tabela 2. Syslog Severity Levels.

  9. Clique em Salvar.

Quando você ativa Send Audit Log to Syslog e fornece informações de Host, as mensagens de syslog são enviadas ao host e aos logs de auditoria. Se desejar alterar isso, consulte a documentação da Cisco. Consulte Filter Syslogs from Audit Logs.

Definir as configurações de syslog para o controle de acesso

  1. Faça login no seu dispositivo.
  2. Clique em Policies > Access Control.
  3. Edite a política de controle de acesso aplicável.
  4. Clique em Logging.
  5. Selecione Send using specific syslog alert.
  6. Selecione o alerta de syslog criado acima.
  7. Clique em Salvar.

Ativar o registro em log de eventos de malware e arquivos

  1. Selecione Send Syslog messages for File and Malware events.
  2. Clique em Salvar.

Ativar o log de eventos de invasão

  1. Vá para a política de invasão associada à sua política de controle de acesso.
  2. Na política de invasão, clique em Advanced Settings > Syslog Alerting > Enabled.
  3. Clique em Back.
  4. Em Policy Information, clique em Commit Changes.
  5. Insira uma descrição das alterações e clique em OK.

Seus alertas do Cisco Firepower devem aparecer no Sophos Data Lake após a validação.