集成F5
要使用此功能,您必須擁有「防火牆」整合授權套件。
您可以將 F5 BIG-IP ASM 與 Sophos Central 整合,以便將警示傳送到 Sophos。
此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為整合設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。
此頁面介紹使用 ESXi 或 Hyper-V 上的設備進行整合。如果要使用 AWS 上的設備進行整合,請參閱 在AWS上添加集成。
主要步驟
整合的主要步驟如下:
- 新增此產品的整合。在此步驟中,您將建立設備的映像。
- 在 VM 上下載並部署映像。這將成為您的設備。
- 配置F5 BIG-IP ASM以將數據發送到設備。
要求
設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求。
新增整合
若要新增整合,請依照以下步驟操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
-
按一下F5 BIG-IP ASM.
**** 此時將打開F5 BIG-IP ASM頁面。您可以在此處新增整合並查看已新增的所有整合清單。
-
在資料擷取(安全警示)中,按一下新增設定。
注意
如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱提供您的域和IP詳細資訊。
螢幕上將顯示整合設定步驟。
設定設備
在整合設定步驟中,您可以設定新設備或使用現有設備。
此處,我們假定您設定新設備。要執行此動作,請按以下步驟建立映像:
- 輸入整合名稱和說明。
- 按一下建立新設備。
- 輸入設備的名稱和說明。
- 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。
-
指定面向網際網路的網路連接埠的 IP 設定。這將為 設備設定管理介面。
-
選取 DHCP 可自動指派 IP 位址。
注意
如果選取 DHCP,則必須保留 IP 位址。
-
選取手動以指定網路設定。
-
-
選取 Syslog IP 版本並輸入 Syslog IP 位址。
稍後設定 F5 BIG-IP ASM 以向設備傳送資料時,您將需要該 syslog IP 位址。
-
選取一項通訊協定。
設定 F5 BIG-IP ASM 以向設備傳送資料時,必須使用相同的通訊協定。
-
按一下儲存。
我們會建立整合,整合會顯示在您的清單中。
在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 F5 BIG-IP ASM 以向設備傳送資料時,您將需要該 syslog IP 位址。
設備映像可能需要幾分鐘的時間才能準備就緒。
部署設備
限制
如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。
使用映像部署設備,如下所示:
- 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA。
- 映像下載完成後,請將其部署在 VM 上。請參閱部署設備。
配置F5 BIG-IP ASM
現在,您可以將 F5 BIG-IP ASM 設定為使用 syslog 轉寄功能向我們傳送警示。
注意
您可以配置F5 BIG-IP ASM的多個實例,以便通過同一設備將數據發送到Sophos。完成集成後,對F5 BIG-IP ASM的其他實例重複本節中的步驟。您無需在 Sophos Central 中重複這些步驟。
要設定警示轉寄功能,請執行以下動作:
創建日誌記錄配置文件
您必須創建自定義日誌記錄配置文件以記錄應用程式安全事件。
- 在 主 選項卡上,單擊 安全性 > 事件日誌 > 日誌記錄配置文件。
-
在 日誌記錄配置文件中,單擊 創建。
**** 此時將打開“新建日誌記錄配置文件”顯示器。
-
在記錄轉送設定檔中,輸入唯一的名稱,例如 。
-
選擇 應用程式安全性。
顯示器將顯示其他欄位。
-
在“ 應用程式安全 ”選項卡上,在 “配置”下選擇 “高級”。
- 選擇 遠程存儲 以遠程存儲日誌。
-
在 “響應日誌記錄 ”列表中,選擇 “僅用於非法請求”。
預設情況下,系統記錄前10,000個位元組的響應,最高每秒10個響應。您可以使用回應記錄系統變數來變更限制。
默認情況下,系統記錄所有請求。要限制系統或伺服器記錄的請求類型,請設定 存儲過濾器。
繼續設定遠程日誌記錄。
設定遠程日誌記錄
您可以配置日誌記錄配置文件,以便在syslog伺服器上遠程記錄應用程式安全事件。
- 在 主 選項卡上,單擊 安全性 > 事件日誌 > 日誌記錄配置文件。
- 在 日誌記錄配置文件中,單擊要爲其設置遠程日誌記錄的日誌記錄配置文件的名稱。
-
選擇 遠程存儲。
在 遠程存儲類型 列表中,選擇 遠程。消息採用syslog格式。
-
在 日誌記錄格式中,選擇 通用事件格式(ArcSight)。日誌消息採用通用事件格式(CEF)。
-
在 Protocol(協議)中,選擇您在Sophos Central (協議)中設定的協議:UDP 或 TCP。
選定的協議適用於此顯示器上的所有遠程伺服器設定,包括所有伺服器IP地址。
-
在 伺服器地址中,指定要記錄通信的伺服器。輸入 * 您先前在Sophos Central中指定的IP地址和端口號,然後單擊 添加*。
- 在 設施中,選擇所記錄通信的種類。對於這種集成,您可以選擇哪種產品。
- 在“ 存儲格式 ”設置中,您可以指定日誌顯示信息的方式,服務器記錄的通信項目以及登錄的順序。
- 在“ 最大查詢字元串大小”中,您可以指定伺服器日誌的請求量。選擇 任何。
- 在“ 最大條目長度”中,您可以指定伺服器日誌的條目長度。接受默認長度(1K用於支持UDP的遠程服務器,2K用於支持TCP的遠程服務器)。
- 選擇 報告檢測到的異常。當暴力攻擊或Web抓取攻擊開始和結束時,系統會向遠程系統日誌發送報告。
- 在 “存儲過濾器 ”區域中,作爲需要進行任何更改。
- 按一下完成。
創建遠程存儲的日誌記錄配置文件時,系統會將相關安全策略的數據存儲在一個或多個遠程系統上。
將日誌記錄配置文件與安全策略相關聯
日誌記錄配置文件記錄對虛擬伺服器的請求。默認情況下,創建安全策略時,系統會將“ 日誌非法請求 ”配置文件與策略使用的虛擬服務器相關聯。
您可以更改與安全策略關聯的日誌記錄配置文件,或通過編輯虛擬伺服器來分配新的日誌記錄配置文件。
- 單擊 本地通信 > 虛擬伺服器。
- 單擊安全策略使用的虛擬伺服器的名稱。系統顯示虛擬伺服器的常規屬性。
-
從“ 安全” 菜單中,選擇 “原則”。
系統將顯示虛擬伺服器的策略設定。
-
確保“ 應用程序安全策略 ”設置爲 “已啓用 ”,並 **** 將“策略”設置爲所需的安全策略。
-
對於 日誌配置文件,請執行以下操作:
- 檢查是否已設置爲 “Enabled(已啓用)”。
- 從 可用 列表中,選擇要用於安全策略的配置文件,然後將其移到 選定 列表中。
-
按一下 更新
與安全策略控制的通信相關的資訊使用虛擬伺服器中指定的日誌記錄配置文件或配置文件記錄。