Häufig gestellte Fragen zu Firewall Reporting

CFR ist der cloudbasierte Reporting-Service von Sophos für SFOS Firewalls. Mithilfe von CFR können Sie benutzerdefinierte Verlaufsberichte erstellen, um Einblicke in die Anwendungen, Risiken und Trends zu erhalten, die sich auf Ihr Netzwerk auswirken.

CFR ist in die Sophos Firewall integriert und auf allen SFOS-Firewalls verfügbar, auf denen aktuelle Firmware-Versionen ausgeführt werden.

Ja. CFR ist auf allen SFOS-Firewall-Plattformen verfügbar, auf denen aktuelle Firmware-Versionen ausgeführt werden.

Mit CFR können Sie flexible Berichte konfigurieren, die Sie anpassen können. Jede Berichtstabelle enthält viele Spaltenoptionen, mit denen Sie Datenspalten hinzufügen oder entfernen können, um einen Bericht nach Bedarf granularer, komprimierter oder detaillierter zu gestalten. Diese Flexibilität ermöglicht es Ihnen, die Datenfelder zu definieren, die Sie in Ihren Berichten benötigen, und korrelierte Daten anzuzeigen.

Sie können zwischen Balken-, Kreis-, gestapelten Flächen- oder Liniendiagrammen für beliebige Berichte und Sankey-Diagrammen für bestimmte Berichte wählen. Darüber hinaus können Sie die X- und Y-Dimensionen im Diagramm konfigurieren. Es bieten sich also zahlreiche Darstellungsoptionen für Berichte.

Berichte sind nach bestimmten Modulen wie Anwendungsnutzung und Internetnutzung strukturiert. Sie können die Berichte weiter anpassen, indem Sie Datenfelder in der Tabelle und in Diagrammen ändern und Filter auf Hunderte von Datenfeldern anwenden. Mit der flexiblen Berichtstabelle und den Diagrammen können Sie jeden Bericht anpassen und aus jedem Bericht eine Bibliothek mit Hunderten von Variationen erstellen. Jeder Bericht bietet mehrere Diagrammoptionen, mit denen Sie Daten und Trends für Ihren spezifischen Anwendungsfall visualisieren können. Der Bericht Anwendungsbandbreite verwendet zum Beispiel ein gestapeltes Flächendiagramm, das den Bandbreitenverbrauch über einen definierten Zeitraum anzeigt.

CFR funktioniert nicht als Protokollweiterleiter. Wenn Sie Ihre Protokolldaten zusätzlich zu Sophos Central in einem SIEM-System (Security Information and Event Management System) eines Drittanbieters oder einem Protokollsammler speichern müssen, können Sie Ihre Firewall so konfigurieren, dass Daten gleichzeitig an mehrere Standorte gesendet werden. Beispiel: Ein lokales SIEM und Sophos Central.

Das Berichte-Dashboard bietet eine umfassende Übersicht in der Firewall über den Sicherheitsstatus des Netzwerks, Richtlinienkontrollereignisse und alle sicherheitsrelevanten Ereignisse. Sie können Ereignisse der letzten 24 Stunden anzeigen, ohne einen detaillierteren Bericht ansehen zu müssen. Das Berichte-Dashboard zeigt die wichtigsten Netzwerk-, Sicherheits- und richtlinienbasierten Ereignisse an. Über das Dashboard können Sie einen vollständigen Bericht für eine detailliertere Analyse erstellen.

Firewalls senden Protokolldaten in Batches alle paar Minuten oder sobald genügend Protokolldaten erfasst wurden. Protokolle werden dann verarbeitet und in den Sophos Central Data Lake übernommen, wo sie für CFR-Berichte, XDR- und MDR-Abfragen und Fall-Alarme verfügbar sind. Dieser Vorgang kann einige Minuten dauern, vom Zeitpunkt der Protokollierung eines Ereignisses bis zur Verfügbarkeit für Berichte.

Der Bericht „Sicherheitsstatus-Beurteilung“ ist ein Bericht für besondere Zwecke, der eine anpassbare Liste von Berichten enthält, die darin enthalten sein können. Die enthaltenen Berichte können auf die 10 bis 100 wichtigsten Ereignisse beschränkt werden, um einen kurzen Überblick zu erhalten, der für die Berichterstattung an die Geschäftsleitung geeignet ist. Darüber hinaus ist ein Bestandsbericht enthalten, der den Status und die CFR-Lizenznutzung für alle verwalteten Firewalls in Ihrem Konto anzeigt.

Die Daten werden nach dem FIFO-Ansatz (First in, First Out) aufbewahrt. Wenn eine Firewall den gesamten zugewiesenen Speicher belegt, werden die Daten gemäß FIFO rotiert. Das Ablaufdatum wird durch die Rate bestimmt, mit der die Firewall-Daten an Sophos Central sendet. CFR Advanced-Kunden können bis zum Grenzwert der Firewall mehr Speicherkapazität erwerben, bis maximal ein Jahr Speicher.

Es gibt drei Lizenzstufen für CFR pro Firewall: Kostenlos, Xstream Bundle und CFR Advanced. Jede Lizenz bietet unterschiedliche Speichermengen, Aufbewahrungsfristen und Sophos Central-Funktionen. Das Tool zur Schätzung des Datenspeicherbedarfs für Sophos Central Firewall kann Ihnen helfen, die für Sie am besten geeignete Option zu ermitteln.

Alle Firewalls mit einem aktiven Abonnement bieten Anspruch auf Datenspeicherung für maximal sieben Tage.

Die angegebene Speichermenge basiert auf dem spezifischen Firewall-Appliance-Modell. Dieser Speicher ist groß genug, um den meisten Firewalls eine Datenaufbewahrung von sieben Tagen zu ermöglichen.

Firewalls, die außergewöhnlich hohe Protokollvolumina erzeugen, können jedoch eine kürzere Datenaufbewahrungsdauer aufweisen, da sich der Speicher schneller auffüllen kann.

Firewalls der kostenlosen Stufe sind in geplanten Berichten oder Gruppenberichten nicht enthalten.

Firewalls mit einem aktiven Xstream-Abonnement bieten Anspruch auf Datenspeicherung für maximal 30 Tage.

Die angegebene Speichermenge basiert auf dem spezifischen Firewall-Appliance-Modell. Dieser Speicher ist groß genug, um den meisten Firewalls eine vollständige Datenaufbewahrung von 30 Tagen zu ermöglichen.

Firewalls, die außergewöhnlich hohe Protokollvolumina erzeugen, können jedoch eine kürzere Datenaufbewahrungsdauer aufweisen, da sich der Speicher schneller auffüllen kann.

Firewalls mit dem Xstream Bundle können sowohl in geplante Berichte als auch in Gruppenberichte aufgenommen werden.

Alle Firewalls mit einem aktiven Abonnement und mindestens einem CFR Advanced-Lizenzbenutzer können maximal 365 Tage lang Daten aufbewahren.

Das Speichervolumen, das diesen Firewalls zugewiesen ist, basiert auf der Anzahl der CFR Advanced-Lizenzbenutzer:

Jeder CFR Advanced-Lizenzbenutzer erhöht das Datenvolumen um 100 GB. Je mehr CFR Advanced-Lizenzbenutzer eine Firewall hat, desto mehr Speichervolumen wird zugewiesen. Firewalls, die außergewöhnlich hohe Protokollvolumina erzeugen, benötigen möglicherweise mehr als einen CFR Advanced-Lizenzbenutzer, um die maximale Datenaufbewahrung von 365 Tagen zu gewährleisten.

Sie können das Tool zur Schätzung des Datenspeicherbedarfs für Sophos Central Firewall verwenden, um die erforderliche Anzahl von CFR Advanced-Lizenzen basierend auf dem Protokollvolumen Ihrer Firewall zu ermitteln.

Firewalls mit CFR Advanced-Lizenzen können sowohl in geplante Berichte als auch in Gruppenberichte aufgenommen werden.

Mit CFR Advanced können Sie die Cloud-Speicherkapazität Ihrer Syslog-Daten in Ihrem Sophos Central-Konto erhöhen, indem Sie zusätzliche Kapazität erwerben. Dadurch können mehr Protokolldaten für Berichtszwecke gespeichert werden und der Berichtszeitraum wird auf bis zu 365 Tage verlängert.

Für die kostenlose Version aktivieren Sie CFR, indem Sie ein Kontrollkästchen in der Firewall-Benutzeroberfläche aktivieren. Es ist kein Lizenzschlüssel erforderlich. Für die Advanced-Version müssen Sie eine Abonnement-Lizenz erwerben und aktivieren. Die Lizenzierung erfolgt pro Firewall, sodass Sie Lizenzen nicht zwischen Firewalls gemeinsam nutzen können.

Ein Upgrade von der kostenlosen Version auf CFR Advanced ermöglicht die Speicherung von mehr Protokolldaten für Berichtszwecke und verlängert den Berichtszeitraum auf bis zu 365 Tage. Darüber hinaus können CFR Advanced-lizenzierte Firewalls oder Firewalls mit einem Xstream-Abonnementpaket in Gruppenberichten enthalten sein, in denen Daten von mehreren Firewalls in einem Bericht zusammengefasst werden.

Syslog-Daten werden in Ihrem Sophos Central-Konto in der Cloud im Datenbereich des Sophos Central-Kontos gespeichert, wo sie bei Bedarf über die Firewall abgerufen werden können, um einen neuen Bericht zu erstellen. Jede Firewall verfügt über eine bestimmte Menge an zugehörigem Speicher, die je nach Modell variiert, wobei High-End-2U-Firewalls die größte Menge haben. Sie können festlegen, ob bestimmte Protokolldatentypen für den Cloud-Speicher gesendet werden sollen oder nicht. Die Daten werden mithilfe eines FIFO-Ansatzes (First in, First Out) gelöscht.

Die kostenlose Version ermöglicht Berichte für bis zu sieben Tage, basierend auf der Menge der erzeugten Protokolldaten und der Speicherkapazität der Firewall. Die erweiterte Version hat einen längeren Berichtszeitraum von bis zu einem Jahr. Mit CFR Advanced können Sie den Speicherplatz, der einem bestimmten Gerät zugewiesen ist, jederzeit erhöhen oder verringern. Dadurch wird die Dauer, für die die alten Protokolldaten verfügbar sind, erweitert oder verkürzt.

Syslog-Daten werden in der Cloud in Ihrem Sophos Central-Konto gespeichert. Daten werden auf der Basis von First-in, First-Out (FIFO) hinzugefügt und entfernt. Sobald die maximale Speicherkapazität erreicht ist, werden die ältesten Daten durch die neuesten ersetzt.

CFR Advanced bietet die Möglichkeit, durch stapelbare 100-GB-Lizenzen nach Bedarf mehr Speicherkapazität hinzuzufügen. Sie müssen mindestens eine 100 GB-Lizenz für eine Firewall erwerben, um alle CFR Advanced-Funktionen zu erhalten.

Es gibt drei Preisbänder auf Mengenbasis:

• 100 GB bis 1 TB (1 bis 10 Lizenzen)
• 1,1 TB bis 5 TB (11 bis 50 Lizenzen)
• 5,1 TB oder mehr (51 Lizenzen oder mehr)

Speicher wird pro Sophos Central-Konto erworben und Sie können Speicher Ihren Firewalls zuweisen.

Für Preisinformationen wenden Sie sich bitte an Ihren Sophos-Partner.