Cisco Firepower
Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.
Sie können Firepower in Sophos Central integrieren, sodass Audit-Daten an Sophos zur Analyse gesendet werden.
Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Datensammler bezeichnet. Der Datensammler empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.
Sie können Protokollsammler zu einer vorhandenen VM hinzufügen, auf der Sophos NDR VA und andere Protokollsammler ausgeführt werden. Sie können auch eine neue VM für diese Integration erstellen.
Hinweis
Sie können mehrere Cisco Firepower Firewalls zu demselben Sophos Datensammler hinzufügen.
Richten Sie dazu Ihre Cisco Firepower-Integration in Sophos Central ein und konfigurieren Sie dann eine Firewall, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen Cisco Firepower Firewalls, um Protokolle an denselben Sophos Datensammler zu senden.
Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.
Die wichtigsten Schritte zum Hinzufügen einer Integration sind die Folgenden:
- Fügen Sie eine Integration für dieses Produkt hinzu. Dadurch wird ein Image zur Verwendung auf einer VM konfiguriert.
- Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrem Datensammler.
- Konfigurieren Sie Firepower zum Senden von Daten. Die Schritte, die Sie befolgen, hängen vom verwendeten Gerät ab.
- Verbinden Sie Firepower mit Ihrer VM.
Anforderungen
Datensammler haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Datensammler-Anforderungen.
Eine neue Integration hinzufügen
Verfahren Sie zur Integration von Firepower in Sophos Central wie folgt:
- Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center und klicken Sie auf Integrationen.
-
Klicken Sie auf Cisco Firepower.
Wenn Sie bereits Verbindungen zu Firepower eingerichtet haben, sehen Sie diese hier.
-
Klicken Sie auf Hinzufügen.
Hinweis
Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.
Integrationsschritte wird angezeigt.
VM konfigurieren
In den Integrations-Einrichtungsschritten konfigurieren Sie Ihre VM so, dass sie Daten von Firepower empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.
Möglicherweise müssen Sie zu Firepower gehen, um Informationen zu beziehen, die Sie zum Ausfüllen des Formulars benötigen.
Um die VM zu konfigurieren, gehen Sie wie folgt vor:
- Fügen Sie für die neue Integration einen Namen und eine Beschreibung hinzu.
-
Geben Sie einen Namen und eine Beschreibung für den Datensammler ein.
Wenn Sie bereits eine Datensammler-Integration eingerichtet haben, können Sie diese aus einer Liste auswählen.
-
Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir nur VMware ESXi 6.7 oder höher und Microsoft Hyper-V.
Sie müssen dem EAP beitreten, um Hyper-V verwenden zu können.
-
Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die VM eingerichtet.
-
Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.
Hinweis
Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.
-
Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.
-
-
Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.
Sie benötigen diese Syslog-IP-Adresse später, wenn Sie Firepower so konfigurieren, dass Daten an Ihren Datensammler gesendet werden.
-
Wählen Sie ein Protokoll aus.
Sie müssen dasselbe Protokoll verwenden, wenn Sie Firepower zum Senden von Daten an Ihren Datensammler konfigurieren.
-
Klicken Sie auf Speichern.
Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.
In den Integrationsdetails sehen Sie die Portnummer für den Datensammler. Sie benötigen dies später, wenn Sie Firepower so konfigurieren, dass Daten dorthin gesendet werden.
Es kann einige Minuten dauern, bis das VM-Image bereit ist.
VM bereitstellen
Einschränkung
In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.
Verwenden Sie das VM-Image, um die VM bereitzustellen. Gehen Sie dazu wie folgt vor:
- Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
- Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe VM für Integrationen bereitstellen.
Wenn Sie die VM bereitgestellt haben, wird die Integration als Verbunden angezeigt.
Firepower konfigurieren
Konfigurieren Sie jetzt Firepower so, dass Daten an den Datensammler gesendet werden. Der Datensammler fungiert als Syslog-Server, sodass Sie die Syslog-Server-Funktion Ihrer Firewall verwenden, um Daten an ihn zu senden.
Die Schritte, die Sie befolgen, hängen von der Firmware-Version auf Ihrem Gerät und der Cisco-Verwaltungsmethode ab, die Sie verwenden.
Für Firewalls, die Firepower Threat Defense (FTD) Version 6.3 oder höher ausführen, klicken Sie auf die Registerkarte für die von Ihnen verwendete Verwaltungsmethode. Sie können Firepower Management Console (FMC) oder Firepower Defence Manager (FDM) verwenden.
Für Firewalls, die Firepower Threat Defense (FTD)-Versionen vor 6.3 ausführen, klicken Sie auf die Registerkarte für „Classic Devices“.
Hinweis
Vermeiden Sie Sonderzeichen, einschließlich Kommas, in Objektnamen wie Richtlinien- und Regelnamen. Der Datensammler auf der VM kann die Zeichen als Trennzeichen behandeln.
Gehen Sie wie folgt vor, um eine Firewall mit Firepower Threat Defense (FTD) Version 6.3 oder höher über die Firepower Management Console mit Ihrem Sophos Datensammler zu verbinden.
Syslog-Einstellungen konfigurieren
- Klicken Sie in FMC auf Devices > Platform Settings.
- Wählen Sie die Plattform aus, die Sie mit dem Datensammler verbinden möchten und klicken Sie auf das Bearbeitungssymbol.
- Klicken Sie auf Syslog.
- Klicken Sie auf Syslog Servers > Add.
-
Geben Sie die folgenden Verbindungsdetails für Ihren Sophos-Datensammler ein:
- IP-Adresse. Dies ist die Syslog-IP-Adresse, die Sie in Sophos Central festgelegt haben.
- Protokolltyp. Wenn Sie UDP ausgewählt haben, dürfen Sie das EMBLEM-Format nicht aktivieren.
- Portnummer.
Sie müssen dieselben Einstellungen eingeben, die Sie in Sophos Central eingegeben haben, als Sie die Integration hinzugefügt haben.
-
Wählen Sie nicht die Option Enable secure syslog aus.
-
Geben Sie in Reachable By die Netzwerkdetails ein, die es Ihrer Firewall ermöglichen, den Sophos Datensammler zu erreichen.
-
Klicken Sie auf OK.
Weitere Informationen zu den Syslog-Servereinstellungen für Cisco Firepower Firewalls finden Sie unter Konfigurieren eines Syslog-Servers.
-
Klicken Sie auf Syslog Settings und konfigurieren Sie die Einstellungen wie folgt:
- Aktivieren Sie die Option Enable timestamp on Syslog Messages.
- Wählen Sie unter Timestamp Format die Option RFC 5424 aus.
- Aktivieren Sie Enable Syslog Device ID und wählen Sie Host Name aus.
- Aktivieren Sie nicht die Option Netflow Equivalent Settings.
-
Klicken Sie auf Speichern.
- Klicken Sie auf Logging Setup.
- Wählen Sie Enable Logging aus.
-
Sie dürfen Folgendes nicht auswählen:
- Enable logging on the failover standby unit
- Send syslogs in EMBLEM format
- Send debug messages as syslogs
-
Wenn Sie VPN-Ereignisse an den Sophos Datensammler weiterleiten möchten, gehen Sie wie folgt vor:
- Wählen Sie im Abschnitt VPN Logging Settings die Option Enable Logging to Firewall Management Center.
- Wählen Sie Debug als Logging Level.
-
Sie müssen keine Informationen für Specify FTP Server Information oder Specify Flash Size eingeben.
- Klicken Sie auf Speichern.
Konfigurieren Sie Protokollierungseinstellungen für die Zugriffskontrolle
Sie müssen auch Protokollierungseinstellungen für die Zugriffskontrollrichtlinie konfigurieren, einschließlich Datei- und Malware-Protokollierung.
Gehen Sie dazu wie folgt vor:
- Klicken Sie auf Policies > Access Control.
- Klicken Sie auf das Bearbeitungssymbol für die Access Control Policy, die Sie konfigurieren möchten.
- Klicken Sie auf Logging.
- Wählen Sie Use the syslog settings configured in the FTD Platform Settings policy deployed on the device.
- Wählen Sie unter Syslog Severity die Option ALERT.
- Aktivieren Sie Send Syslog messages for IPS events.
- Aktivieren Sie Send Syslog messages for File and Malware events.
- Klicken Sie auf Speichern.
Protokollierung für Security-Intelligence-Ereignisse aktivieren
- Klicken Sie in derselben Access Control Policy auf die Registerkarte Security Intelligence.
- Klicken Sie auf das Optionssymbol DNS Policy.
-
Aktivieren Sie unter DNS Block List Logging Options Folgendes:
- Log Connections.
- Firewall Management Center
- Syslog Server.
-
Klicken Sie auf OK.
-
Klicken Sie in der Block List auf das Optionssymbol Network.
-
Aktivieren Sie unter Network Block List Logging Options Folgendes:
- Log Connections
- Firewall Management Center
- Syslog-Server
-
Klicken Sie auf OK.
-
Scrollen Sie in der Block List zum Optionssymbol URL.
-
Aktivieren Sie unter URL Block List Logging Options Folgendes:
- Log Connections
- Firewall Management Center
- Syslog-Server
-
Klicken Sie auf OK.
- Klicken Sie auf Speichern.
Syslog-Protokollierung für jede Zugriffskontrollregel aktivieren
Sie müssen sicherstellen, dass für jede Regel in der Access Control Policy die Syslog-Protokollierung aktiviert ist.
Gehen Sie dazu für jede Regel in der Policy wie folgt vor:
- Klicken Sie in derselben Zugriffskontrollrichtlinie auf die Registerkarte Rules.
- Klicken Sie auf eine Regel, um sie zu bearbeiten.
- Klicken Sie unter Editing Rule auf Logging.
-
Wählen Sie aus, ob der Start oder das Ende von Verbindungen oder beides protokolliert werden soll.
Die Verbindungsprotokollierung generiert sehr viele Daten. Die Protokollierung am Start und Ende erzeugt ungefähr doppelt so viele Daten. Nicht alle Verbindungen können sowohl am Anfang als auch am Ende protokolliert werden. Weitere Informationen erhalten Sie, wenn Sie sich bei Ihrem Cisco-Konto anmelden und im Firepower Management Center Configuration Guide, Version 6.2, zum Abschnitt „Connection Logging“ gehen. Siehe Connection Logging.
-
Wenn Sie Dateiereignisse protokollieren möchten, wählen Sie Log Files.
- Aktivieren Sie Syslog Server.
- Klicken Sie auf Speichern.
Protokollierung für Intrusion-Ereignisse aktivieren
Sie müssen auch die Ereignisprotokollierung in der Richtlinie für unbefugte Zugriffe aktivieren, die mit Ihrer Access Control Policy verknüpft ist.
- Klicken Sie auf Policies > Intrusion.
- Suchen Sie die Richtlinie für unbefugte Zugriffe, die Ihrer Access Control Policy zugeordnet ist, und klicken Sie auf Snort 2 Version.
- Klicken Sie unter Policy Information auf Advanced Settings.
- Wechseln Sie in Advanced Settings zu Syslog Alerting.
- Klicken Sie auf Enabled.
- Klicken Sie auf Zurück.
- Klicken Sie in den Richtlinieninformationen auf Commit Changes.
- Geben Sie eine Beschreibung der Änderung ein und klicken Sie auf OK.
Hinweis
Vermeiden Sie Sonderzeichen, einschließlich Kommas, in Objektnamen wie Richtlinien- und Regelnamen. Der Datensammler auf der VM kann die Zeichen als Trennzeichen behandeln.
Gehen Sie wie folgt vor, um ein Firepower-Gerät mit Ihrem Sophos Datensammler mit FDM zu verbinden:
Protokollierung für Datei- und Malware-Ereignisse aktivieren.
Gehen Sie wie folgt vor, um die Protokollierung für Datei- und Malware-Ereignisse zu aktivieren und die Verbindungsdetails Ihres Sophos Datensammlers zur Firewall hinzuzufügen.
- Melden Sie sich bei FDM auf dem Gerät an, das Sie konfigurieren möchten, und gehen Sie zur Registerkarte Device:<name> .
- Klicken Sie in den System Settings auf Logging Settings.
- Aktivieren Sie FILE/MALWARE LOGGING.
- Klicken Sie auf Syslog Server, um die verfügbaren Server anzuzeigen.
- Wenn Sie Ihren Sophos Datensammler bereits zu diesem Gerät hinzugefügt haben, wählen Sie ihn aus. Falls nicht, klicken Sie auf Create new Syslog Server.
-
Geben Sie die folgenden Verbindungsdetails für Ihren Sophos-Datensammler ein:
- IP-Adresse. Dies ist die Syslog-IP-Adresse, die Sie in Sophos Central festgelegt haben.
- Protokolltyp.
- Portnummer.
Sie müssen dieselben Einstellungen eingeben, die Sie in Sophos Central eingegeben haben, als Sie die Integration hinzugefügt haben.
-
Wählen Sie bei Bedarf eine Data Interface oder Management Interface aus, die zu Ihrer Netzwerkumgebung passt.
- Klicken Sie auf OK.
- Ihr neuer Server wird unter Syslog Server angezeigt. Klicken Sie darauf, um ihn auszuwählen
- Wählen Sie unter Log at Severity Level die Option Debug aus.
- Klicken Sie auf SAVE.
Konfigurieren von Richtlinien
In jeder Richtlinie müssen Sie die Protokollierung für die Aktivitäten aktivieren, die Sie an Ihren Sophos Datensammler senden möchten. Sie können die Zugriffssteuerung und Intrusion-Ereignisse aktivieren.
Gehen Sie dazu wie folgt vor:
- Klicken Sie auf Policies > Access Control.
- Suchen Sie nach der Richtlinie, die Sie bearbeiten möchten, und klicken Sie auf das Symbol „Bearbeiten“.
- Klicken Sie auf Logging.
- Wählen Sie unter SELECT LOG ACTION aus, ob Sie am Anfang oder am Ende von Verbindungen protokollieren möchten oder keines von beiden.
- Aktivieren Sie unter FILE EVENTS die Option Log Files
- Wenn Sie Intrusion-Ereignisse protokollieren möchten, aktivieren Sie in Intrusion Policy die Option INTRUSION POLICY.
- Wählen Sie die Intrusion Policy aus, die Sie zuweisen möchten.
-
Wenn Sie Dateiereignisse protokollieren möchten, wählen Sie unter File Policy die Dateirichtlinie aus, die Sie anwenden möchten. Wählen Sie aus den folgenden Optionen aus:
- Block Malware All
- Malware Cloud Lookup - No Block
-
Wählen Sie unter SEND CONNECTION EVENTS TO: Ihren Sophos Datensammler aus.
- Klicken Sie auf OK.
- Klicken Sie auf Intrusion.
- Suchen Sie die Richtlinie, die Sie konfigurieren möchten, und klicken Sie auf das Symbol „Einstellungen“.
- Klicken Sie unter Edit Logging Settings auf das Pluszeichen, und wählen Sie Ihren Sophos Datensammler aus.
- Klicken Sie auf OK.
Wiederholen Sie diese Schritte für jede Richtlinie, die Daten an Ihren Sophos Datensammler senden soll.
Änderungen speichern
Ihre Änderungen werden erst dann auf dem Gerät aktiv, wenn Sie sie bereitstellen. Gehen Sie dazu wie folgt vor:
-
Klicken Sie auf das Bereitstellungssymbol.
Der Punkt auf dem Symbol wird angezeigt, wenn Sie nicht bereitgestellte Änderungen haben.
-
Prüfen Sie die Änderungen unter Pending Changes.
- Klicken Sie auf DEPLOY NOW.
Weitere Informationen zu diesem Prozess finden Sie in der Cisco-Dokumentation. Siehe Erstellen einer Syslog-Alarm-Antwort.
Hinweis
Vermeiden Sie Sonderzeichen, einschließlich Kommas, in Objektnamen wie Richtlinien- und Regelnamen. Der Datensammler auf der VM kann die Zeichen als Trennzeichen behandeln.
Gehen Sie wie folgt vor, um Firepower Classic Devices mit Ihrem Sophos Datensammler zu verbinden:
Syslog-Einstellungen konfigurieren
- Melden Sie sich bei Ihrem Firepower Management Center (FMC) an.
- Klicken Sie auf Policies > Actions > Alerts.
- Wählen Sie unter Create Alert die Option Create Syslog Alert.
- Geben Sie einen Namen für den Alarm ein, z. B. SophosIntegration.
- Geben Sie unter Host die IP-Adresse Ihres Sophos Datensammlers ein.
- Geben Sie unter Port den auf Ihrem Sophos-Protokollsammler konfigurierten Port ein.
-
Wählen Sie die Facility.
Der Sophos Datensammler akzeptiert alle Speicherortdaten. Die Liste der Datenoptionen finden Sie in der Cisco Dokumentation. Siehe Tabelle 1. Verfügbare Syslog-Facilities.
-
Wählen Sie den Schweregrad aus.
Der Sophos Datensammler akzeptiert jeden von Ihnen gewählten Schweregrad. Die Liste der Optionen finden Sie in der Cisco Dokumentation. Siehe Tabelle 2. Syslog-Schweregrade.
-
Klicken Sie auf Speichern.
Wenn Sie Filter Syslogs from Audit Logs aktivieren und Host-Informationen bereitstellen, werden sowohl Syslog-Nachrichten als auch Audit-Protokolle an den Host gesendet. Wenn Sie dies ändern möchten, finden Sie weitere Informationen in der Cisco Dokumentation. Siehe Filter Syslogs from Audit Logs.
Syslog-Einstellungen für die Zugriffskontrolle konfigurieren
- Melden Sie sich bei Ihrem Konto an.
- Klicken Sie auf Policies > Access Control.
- Bearbeiten Sie die relevante Zugriffskontroll-Richtlinie.
- Klicken Sie auf Logging.
- Wählen Sie Send using specific syslog alert.
- Wählen Sie den oben erstellten Syslog-Alarm aus.
- Klicken Sie auf Speichern.
Protokollierung für Datei- und Malware-Ereignisse aktivieren
- Wählen Sie Send Syslog messages for File and Malware events.
- Klicken Sie auf Speichern.
Protokollierung für Intrusion-Ereignisse aktivieren
- Rufen Sie die Intrusion-Richtlinie auf, die Ihrer Zugriffskontroll-Richtlinie zugeordnet ist.
- Klicken Sie in Ihrer Intrusion-Richtlinie auf Advanced Settings > Syslog Alerting > Enabled.
- Klicken Sie auf Zurück.
- Klicken Sie in den Richtlinieninformationen auf Commit Changes.
- Geben Sie eine Beschreibung der Änderung ein und klicken Sie auf OK.
Ihre Cisco Firepower-Alarme sollten nach der Validierung im Sophos Data Lake angezeigt werden.