Barracuda CloudGen integrieren
Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.
Sie können Barracuda CloudGen in Sophos Central integrieren, sodass Warnmeldungen an Sophos gesendet werden.
Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Integrations-Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.
Auf dieser Seite wird die Integration mit einer Appliance unter ESXi oder Hyper-V beschrieben. Wenn Sie eine Appliance in AWS integrieren möchten, siehe Integrationen in AWS.
Wichtige Schritte
Die wichtigsten Schritte einer Integration lauten wie folgt:
- Fügen Sie eine Integration für dieses Produkt hinzu. In diesem Schritt erstellen Sie ein Image der Appliance.
- Laden Sie das Image herunter und stellen Sie es auf einer VM bereit. Dies wird zu Ihrer Appliance.
- Konfigurieren Sie Barracuda CloudGen so, dass Daten an die Appliance gesendet werden.
Voraussetzungen
Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.
Eine neue Integration hinzufügen
Um die Integration hinzuzufügen, gehen Sie folgendermaßen vor:
- Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
-
Klicken Sie auf Barracuda CloudGen.
Die Seite Barracuda CloudGen wird geöffnet. Sie können hier Integrationen hinzufügen und eine Liste aller bereits konfigurierten Integrationen anzeigen.
-
Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.
Hinweis
Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.
Integrations-Einrichtungsschritte wird angezeigt.
Appliance konfigurieren
In den Integrations-Einrichtungsschritten können Sie eine neue Appliance konfigurieren oder eine vorhandene Appliance verwenden.
Hier wird davon ausgegangen, dass Sie eine neue Appliance konfigurieren. Erstellen Sie dazu wie folgt ein Image:
- Geben Sie einen Integrationsnamen und eine Beschreibung ein.
- Klicken Sie auf Neue Appliance erstellen.
- Geben Sie einen Namen und eine Beschreibung für die Appliance ein.
- Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir VMware ESXi 6.7 Update 3 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.
-
Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die Appliance eingerichtet.
-
Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.
Hinweis
Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.
-
Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.
-
-
Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.
Sie benötigen diese Syslog-IP-Adresse später, wenn Sie Barracuda CloudGen so konfigurieren, dass Daten an Ihre Appliance gesendet werden.
-
Unter Protokoll ist TCP vorausgewählt. Sie können dies nicht ändern.
Wenn Sie Barracuda CloudGen so konfigurieren, dass Daten an Ihre Appliance gesendet werden, müssen Sie sicherstellen, dass dasselbe Protokoll verwendet wird.
-
Klicken Sie auf Speichern.
Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.
In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie Barracuda CloudGen so konfigurieren, dass Daten dorthin gesendet werden.
Es kann einige Minuten dauern, bis das Appliance-Image bereit ist.
Appliance bereitstellen
Einschränkung
In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.
Verwenden Sie das Image, um die Appliance wie folgt bereitzustellen:
- Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
- Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe Appliance bereitstellen.
Barracuda CloudGen konfigurieren
Konfigurieren Sie Barracuda CloudGen jetzt mit Hilfe der Syslog-Weiterleitung so, dass Alarme an uns gesendet werden.
Hinweis
Sie können mehrere Instanzen von Barracuda CloudGen so konfigurieren, dass Daten über dieselbe Appliance an Sophos gesendet werden. Nachdem Sie die Integration abgeschlossen haben, wiederholen Sie die Schritte in diesem Abschnitt für die anderen Instanzen von Barracuda CloudGen. Sie müssen die Schritte in Sophos Central nicht wiederholen.
Syslog-Streaming aktivieren
Aktivieren Sie Syslog-Streaming auf der Barracuda CloudGen Firewall wie folgt:
- Gehen Sie zu CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming.
- Klicken Sie auf Lock.
- Setzen Sie Enable Syslog Streaming auf Yes.
- Klicken Sie auf Send Changes und Activate.
Detaillierte Firewall-Berichte aktivieren
- Gehen Sie zu Configuration Tree > Infrastructure Services > General Firewall Configuration.
- Klicken Sie auf Lock.
- Klicken Sie im linken Menü auf Audit and Reporting.
- Stellen Sie unter Log Policy den Activity Log Mode auf Log-Pipe-Separated-Key-Value-List ein.
- Klicken Sie auf Send Changes und Activate.
Beispielausgabe mit Log-Pipe-Separated-Key-Value-List:
2024 05 07 10:02:51 +00:00 Info Allow: type=LOUT|proto=TCP|srcIF=dhcp|srcIP=10.0.0.4|srcPort=47542|srcMAC=00:0d:3a:46:14:a3|dstIP=168.63.129.16|dstPort=32526|dstService=|dstIF=|rule=PASSALL|info=0|srcNAT=10.0.0.4|dstNAT=168.63.129.16|duration=0|count=1|receivedBytes=0|sentBytes=0|receivedPackets=0|sentPackets=0|user=|protocol=|application=|target=|content=|urlcat=
Protokolldatenfilter konfigurieren
Geben Sie die Protokolldateitypen an, die gestreamt werden sollen.
- Gehen Sie zu CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming.
- Wählen Sie im linken Menü Logdata Filters.
- Klicken Sie auf Lock.
-
Klicken Sie in der Tabelle Filters auf „+“, um einen neuen Filter hinzuzufügen.
Das Fenster Filters wird geöffnet.
-
Geben Sie einen Namen ein, zum Beispiel „Sophos MDR-Integration“.
- Klicken Sie auf OK.
-
Fügen Sie in der Tabelle Data Selection die Top Level Logdata-Protokolldateien hinzu, die gestreamt werden sollen. Sie können folgende Optionen auswählen:
- Fatal_log
- Panic Log
- Firewall_Audit_Log
Für Firewall_Audit_Log muss das Firewall-Audit-Protokoll aktiviert und konfiguriert sein und Audit Delivery muss auf Syslog Proxy gesetzt sein. Weitere Informationen finden Sie unter So aktivieren Sie den Firewall Audit Log Service.
Sophos als Protokoll-Stream-Ziel konfigurieren
Konfigurieren Sie die Firewall so, dass der Syslog-Stream an Sophos Central gesendet wird.
- Gehen Sie zu CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming.
- Wählen Sie im linken Menü Logstream Destinations.
- Klicken Sie auf Lock.
-
Klicken Sie in der Tabelle Destinations auf „+“, um einen neuen Filter hinzuzufügen.
Die Seite Destinations wird geöffnet.
-
Geben Sie einen Namen ein und klicken Sie auf OK.
- Wählen Sie unter Logstream Destination den Namen aus, den Sie bei der Konfiguration der Protokolldaten-Filter eingegeben haben („Sophos MDR-Integration“ in unserem Beispiel).
- Geben Sie unter Destination IP Address und Destination Port die IP-Adresse und den Port ein, die Sie zuvor in Sophos Central konfiguriert haben.
- Klicken Sie auf Send Changes und Activate.
Protokolldaten-Stream konfigurieren
Kombinieren Sie die Protokolldaten-Filter und das Protokolldaten-Ziel, um einen Protokolldaten-Stream einzurichten.
- Gehen Sie zu CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming.
- Wählen Sie im linken Menü Logdata Streams.
- Klicken Sie auf Lock.
-
Klicken Sie in der Tabelle Stream auf „+“, um einen neuen Syslog-Stream hinzuzufügen.
Das Fenster Streams wird geöffnet.
-
Geben Sie einen Namen ein. Verwenden Sie denselben Namen wie in den vorherigen Abschnitten („Sophos MDR-Integration“ in unserem Beispiel).
- Klicken Sie auf OK.
- Setzen Sie Active Stream auf Yes.
- Klicken Sie in der Tabelle Log Destinations auf „+“ und wählen Sie das zuvor konfigurierte Protokoll-Stream-Ziel aus.
- Klicken Sie in der Tabelle Log Filters auf „+“ und wählen Sie den zuvor konfigurierten Protokolldaten-Filter aus.
- Klicken Sie auf OK.
- Klicken Sie auf Send Changes und Activate.
Alle Protokolle, die vom Protokolldatenfilter abgedeckt werden, werden nun an Sophos gestreamt.