跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=watchguard

WatchGuard Firebox

記錄收集器 防火牆

要使用此功能,您必須擁有「防火牆」整合授權套件。

您可以將 WatchGuard Firebox 防火牆與 Sophos Central 整合。這使 WatchGuard Firebox 可以將防火牆警示傳送到 Sophos 進行分析。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為集成設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

此頁面介紹使用ESXi或Hyper-V上的設備進行集成 如果要使用AWS上的設備進行集成,請參閱 在AWS上添加集成

關鍵步驟

集成的關鍵步驟如下:

  • 新增此產品的整合。在此步驟中,您將創建設備的映像。
  • 在 VM 上下載並部署映像。這將成為您的設備。
  • 設定 WatchGuard Firebox 以將資料傳送到設備。

需求

設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求

新增整合

若要新增整合,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場

  2. 按一下 WatchGuard Firebox

    WatchGuard Firebox 頁面隨即打開。您可以在此處添加集成,並查看已添加的所有集成列表。

  3. 資料擷取(安全警示)中,按一下新增設定

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱提供您的域和IP詳細資訊

    螢幕上將顯示整合設定步驟

設定 VM

集成設定步驟中,您可以配置新設備或使用現有設備。

我們假定您在此配置新設備。要執行此操作,請按以下步驟創建映像:

  1. 輸入整合名稱和說明。
  2. 按一下建立新設備
  3. 輸入設備的名稱和說明。
  4. 選取虛擬平台。目前,我們僅支援 VMware ESXi 6.7 Update 3 或更新版本,以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  5. 指定面向網際網路的網路連接埠的 IP 設定。這將為 VM 設定管理介面。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

  6. 選取 Syslog IP 版本並輸入 Syslog IP 位址

    稍後設定 WatchGuard Firebox 以向設備傳送資料時,您將需要該 syslog IP 位址。

  7. 選取一項通訊協定

    設定 WatchGuard Firebox 以向設備傳送資料時,必須使用相同的通訊協定。

  8. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。

    在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 WatchGuard Firebox 以向其傳送資料時,您將需要該編號。

    VM 映像可能需要幾分鐘的時間才能準備就緒。

部署設備

限制

如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。

使用映像部署設備,如下所示:

  1. 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參閱部署設備

設定 WatchGuard Firebox

現在,您可以將 WatchGuard Firebox 防火牆設定為使用 Syslog 轉寄功能向我們傳送警示。

注意

您可以配置WatchGuard燃燒室的多個實例,以便通過同一設備將數據發送到Sophos。完成集成後,對WatchGuard燃燒室的其他實例重複本節中的步驟。您不需要重複Sophos Central中的步驟。

若要設定 WatchGuard Firebox,您可以使用 WatchGuard System Manager 登入防火牆,或者使用 WatchGuard Web UI。

按一下要使用之方法的索引標籤。

要使用 WatchGuard System Manager 設定防火牆,請執行以下動作。

  1. 登入 WatchGuard System Manager。
  2. 按一下檔案 > 連接到裝置
  3. 選取防火牆並登入。
  4. 按一下原則管理員圖示。

  5. 原則管理員中,按一下設定 > 記錄

    記錄設定中,您可以新增作為 Syslog 伺服器的 Sophos 設備的連線詳細資料。

  6. 移至 Syslog 伺服器並打開向這些 Syslog 伺服器傳送記錄訊息

  7. 按一下新增

  8. 設定 Syslog 中,輸入 Sophos 設備的下列連線詳細資料。

    • 地址
    • 連接埠

    新增整合時,必須輸入在 Sophos Central 中輸入的相同設定。

  9. 格式中,選取 IBM LEEF

  10. 新增說明,以將此 Syslog 伺服器標識為 Sophos 設備。
  11. 打開設定,在 Syslog 訊息中包括裝置序號和 Syslog 標頭。
  12. 對於每種類型的裝置記錄訊息,接受選取 Syslog 設備中的預設設定。
  13. 您不需要變更效能統計資料診斷記錄層級
  14. 按一下確定

儲存並啟用設定

要儲存對防火牆的變更並啟用這些變更,請執行以下動作。

  1. 按一下檔案 > 儲存 > 至 Firebox

    功能表項目可能會因您的 WatchGuard 產品而有所不同。

  2. 儲存至 Firebox 中,選中詳細資料並輸入您的管理員密碼

  3. 點選確定。

驗證後,您的 WatchGuard Firebox 警示現在應顯示在 Sophos Data Lake 中。

對要設定的任何其他防火牆重複設定步驟。

要使用 WatchGuard Web UI 設定防火牆,請執行以下動作。

  1. 登入防火牆的 Web UI。
  2. 按一下系統 > 記錄
  3. 按一下鎖定圖示以解鎖使用者介面,以便進行變更。
  4. 按一下 Syslog 伺服器
  5. 打開向這些 Syslog 伺服器傳送記錄訊息
  6. 點擊ADD

  7. 在 Syslog 伺服器中,輸入 Sophos 設備的下列連線詳細資料。

    • 地址
    • 連接埠

    新增整合時,必須輸入在 Sophos Central 中輸入的相同設定。

  8. 格式中,選取 IBM LEEF

  9. 新增說明,以將此 Syslog 伺服器標識為 Sophos 設備。
  10. 打開設定,在 Syslog 訊息中包括裝置序號和 Syslog 標頭。
  11. 對於每種類型的裝置記錄訊息,接受「選取 Syslog 設備」中的預設設定。
  12. 按一下確定
  13. 點擊SAVE 。此動作會儲存對防火牆的變更並啟用這些變更。

驗證後,您的 WatchGuard Firebox 警示現在應顯示在 Sophos Data Lake 中。

對要設定的任何其他防火牆重複設定步驟。