跳至內容
部分或全部頁面已經過機器翻譯。
查找我們如何支持MDR

集成F5

要使用此功能,您必須擁有「防火牆」整合授權套件。

您可以將 F5 BIG-IP ASM 與 Sophos Central 整合,以便將警示傳送到 Sophos。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

注意

您可以將多個 F5 BIG-IP ASM 執行個體新增到同一個設備。

為此,請在 Sophos Central 中設定 F5 BIG-IP ASM 整合,然後設定一個 F5 BIG-IP ASM 執行個體以向其傳送記錄。然後設定其他 F5 BIG-IP ASM 執行個體,將記錄傳送到同一 Sophos 設備。

您不需要重複設定的 Sophos Central 部分。

主要步驟描述如下:

  • 設定此產品的整合。這將設定要在 VM 上使用的映像。
  • 在 VM 上下載並部署映像。這將成為您的設備。
  • 配置F5 BIG-IP ASM以將數據發送到設備。

要求

設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求

設定整合

要設定整合,請執行以下動作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場
  2. 按一下F5 BIG-IP ASM.

    **** 此時將打開F5 BIG-IP ASM頁面。您可以在此處設定整合並查看已設定的所有整合清單。

  3. 資料擷取(安全警示)中,按一下新增設定

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP

    螢幕上將顯示整合設定步驟

設定 VM

整合設定步驟中,您可以將 VM 設定為設備以從 F5 BIG-IP ASM 接收資料。您可以使用現有的 VM,也可以建立新的 VM。

要設定 VM,請執行以下動作:

  1. 輸入整合名稱和說明。
  2. 輸入設備的名稱和說明。

    如果您已經設定了 Sophos 設備,可以從清單中選擇它。

  3. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  4. 指定面向網際網路的網路連接埠的 IP 設定。這將為 VM 設定管理介面。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

  5. 選取 Syslog IP 版本並輸入 Syslog IP 位址

    稍後設定 F5 BIG-IP ASM 以向設備傳送資料時,您將需要該 syslog IP 位址。

  6. 選取一項通訊協定

    設定 F5 BIG-IP ASM 以向設備傳送資料時,必須使用相同的通訊協定。

  7. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。

    在整合詳細資料中,您可以看到設備的連接埠號。稍後,當您配置F5 BIG-IP ASM向其發送數據時,您將需要此功能。

    VM 映像可能需要幾分鐘的時間才能準備就緒。

部署虛擬機

限制

如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。

使用 VM 映像部署 VM。若要執行此操作,請依照以下步驟操作。

  1. 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參閱部署 VM 進行整合

配置F5 BIG-IP ASM

現在,您可以將 F5 BIG-IP ASM 設定為使用 syslog 轉寄功能向我們傳送警示。

要設定警示轉寄功能,請執行以下動作:

創建日誌記錄配置文件

您必須創建自定義日誌記錄配置文件以記錄應用程式安全事件。

  1. 選項卡上,單擊 安全性 > 事件日誌 > 日誌記錄配置文件
  2. 日誌記錄配置文件中,單擊 創建

    **** 此時將打開“新建日誌記錄配置文件”顯示器。

  3. 配置文件名稱中,輸入配置文件的唯一名稱。

  4. 選擇 應用程式安全性

    顯示器將顯示其他欄位。

  5. 在“ 應用程式安全 ”選項卡上,在 “配置”下選擇 “高級”。

  6. 選擇 遠程存儲 以遠程存儲日誌。
  7. “響應日誌記錄 ”列表中,選擇 “僅用於非法請求”。

    預設情況下,系統記錄前10,000個位元組的響應,最高每秒10個響應。您可以使用回應記錄系統變數來變更限制。

    默認情況下,系統記錄所有請求。要限制系統或伺服器記錄的請求類型,請設定 存儲過濾器

繼續設定遠程日誌記錄。

設定遠程日誌記錄

您可以配置日誌記錄配置文件,以便在syslog伺服器上遠程記錄應用程式安全事件。

  1. 選項卡上,單擊 安全性 > 事件日誌 > 日誌記錄配置文件
  2. 日誌記錄配置文件中,單擊要爲其設置遠程日誌記錄的日誌記錄配置文件的名稱。
  3. 選擇 遠程存儲

    遠程存儲類型 列表中,選擇 遠程。消息採用syslog格式。

  4. Protocol(協議)中,選擇您在Sophos Central (協議)中設定的協議:UDPTCP

    選定的協議適用於此顯示器上的所有遠程伺服器設定,包括所有伺服器IP地址。

  5. 伺服器地址中,指定要記錄通信的伺服器。輸入 * 您先前在Sophos Central中指定的IP地址和端口號,然後單擊 添加*。

  6. 設施中,選擇所記錄通信的種類。對於這種集成,您可以選擇哪種產品。
  7. 在“ 存儲格式 ”設置中,您可以指定日誌顯示信息的方式,服務器記錄的通信項目以及登錄的順序。
  8. 在“ 最大查詢字元串大小”中,您可以指定伺服器日誌的請求量。選擇 任何
  9. 在“ 最大條目長度”中,您可以指定伺服器日誌的條目長度。接受默認長度(1K用於支持UDP的遠程服務器,2K用於支持TCP的遠程服務器)。
  10. 選擇 報告檢測到的異常。當暴力攻擊或Web抓取攻擊開始和結束時,系統會向遠程系統日誌發送報告。
  11. “存儲過濾器 ”區域中,作爲需要進行任何更改。
  12. 按一下完成

創建遠程存儲的日誌記錄配置文件時,系統會將相關安全策略的數據存儲在一個或多個遠程系統上。

將日誌記錄配置文件與安全策略相關聯

日誌記錄配置文件記錄對虛擬伺服器的請求。默認情況下,創建安全策略時,系統會將“ 日誌非法請求 ”配置文件與策略使用的虛擬服務器相關聯。

您可以更改與安全策略關聯的日誌記錄配置文件,或通過編輯虛擬伺服器來分配新的日誌記錄配置文件。

  1. 單擊 本地通信 > 虛擬伺服器
  2. 單擊安全策略使用的虛擬伺服器的名稱。系統顯示虛擬伺服器的常規屬性。
  3. 從“ 安全” 菜單中,選擇 “原則”。

    系統將顯示虛擬伺服器的策略設定。

  4. 確保“ 應用程序安全策略 ”設置爲 “已啓用 ”,並 **** 將“策略”設置爲所需的安全策略。

  5. 對於 日誌配置文件,請執行以下操作:

    • 檢查是否已設置爲 “Enabled(已啓用)”。
    • 可用 列表中,選擇要用於安全策略的配置文件,然後將其移到 選定 列表中。
  6. 按一下 更新

與安全策略控制的通信相關的資訊使用虛擬伺服器中指定的日誌記錄配置文件或配置文件記錄。