Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=meraki

Cisco Meraki

Protokollsammler

Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.

Sie können Cisco Meraki in Sophos Central integrieren, sodass Daten an Sophos zur Analyse gesendet werden.

Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Datensammler bezeichnet. Der Datensammler empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Cisco Meraki Firewalls zu demselben Datensammler hinzufügen.

Richten Sie dazu Ihre Cisco Meraki-Integration in Sophos Central ein und konfigurieren Sie dann eine Firewall, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen Cisco Meraki Firewalls, um Protokolle an denselben Sophos Datensammler zu senden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die wichtigsten Schritte zum Hinzufügen einer Integration sind die Folgenden:

  • Fügen Sie eine Integration für dieses Produkt hinzu. Dadurch wird ein Image zur Verwendung auf einer VM konfiguriert.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrem Datensammler.
  • Konfigurieren Sie Meraki so, dass Daten an den Datensammler gesendet werden.

Anforderungen

Datensammler haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Datensammler-Anforderungen.

Eine neue Integration hinzufügen

Um die Integration hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Melden Sie sich bei Sophos Central an.
  2. Gehen Sie zu Bedrohungsanalyse-Center und klicken Sie auf Integrationen.

  3. Klicken Sie auf Cisco Meraki.

    Wenn Sie bereits Verbindungen zu Meraki eingerichtet haben, sehen Sie diese hier.

  4. Klicken Sie unter Integrationen auf Hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrationsschritte wird angezeigt.

VM konfigurieren

In den Integrations-Einrichtungsschritten konfigurieren Sie Ihre VM so, dass sie Daten von Meraki empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Geben Sie einen Integrationsnamen und eine Beschreibung ein.

  2. Geben Sie einen Namen und eine Beschreibung für den Datensammler ein.

    Wenn Sie bereits eine Datensammler-Integration eingerichtet haben, können Sie diese aus einer Liste auswählen.

  3. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir nur VMware ESXi 6.7 oder höher und Microsoft Hyper-V.

    Sie müssen dem EAP beitreten, um Hyper-V verwenden zu können.

  4. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die VM eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

  5. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie Meraki so konfigurieren, dass Daten an Ihren Datensammler gesendet werden.

  6. Wählen Sie ein Protokoll aus.

    Sie müssen dasselbe Protokoll verwenden, wenn Sie Meraki zum Senden von Daten an Ihren Datensammler konfigurieren.

  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    In den Integrationsdetails sehen Sie die Portnummer für den Datensammler. Sie benötigen dies später, wenn Sie Meraki so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das VM-Image bereit ist.

VM bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das VM-Image, um die VM bereitzustellen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe VM für Integrationen bereitstellen.

Wenn Sie die VM bereitgestellt haben, wird die Integration als Verbunden angezeigt.

Cisco Meraki konfigurieren

Gehen Sie wie folgt vor, um Meraki so zu konfigurieren, dass Daten an den Datensammler gesendet werden.

  1. Melden Sie sich beim Meraki-Dashboard an.
  2. Klicken Sie auf Network-wide > Configure > General.
  3. Scrollen Sie nach unten zu Reporting und klicken Sie auf Add a syslog server.

  4. Geben Sie die folgenden Verbindungsdetails für Ihren Datensammler ein:

    • IP-Adresse. Dies ist die Syslog-IP-Adresse, die Sie in Sophos Central festgelegt haben.

    • Portnummer.

      Sie müssen dieselben Einstellungen eingeben, die Sie in Sophos Central eingegeben haben, als Sie die Integration hinzugefügt haben.

  5. Fügen Sie die folgenden Rollen hinzu, um die an den Datensammler gesendeten Daten zu konfigurieren:

    • Ereignisprotokolle für die Dienste, die auf Ihren Geräten ausgeführt werden. Zum Beispiel Security events, Appliance event log.
    • Flows. Hierbei handelt es sich um Verkehrsflussmeldungen, die Quell- und Zielinformationen sowie Portnummern enthalten.
    • IDS Alerts. Hierbei handelt es sich um Alarme des Intrusion-Detection-Systems.

  6. Klicken Sie unter You have unsaved changes auf Save.

Wenn die Flows -Rolle auf einer MX-Security-Appliance aktiviert ist, kann die Protokollierung für einzelne Firewall-Regeln auf der Seite Security Appliance > Configure > Firewall in der Spalte Logging ein- oder ausgeschaltet werden.

Weitere Ressourcen

Dieses Video führt Sie durch die Einrichtung der Integration.

Weitere Informationen zur Konfiguration von Syslog-Servern auf Meraki-Geräten finden Sie in der Cisco Dokumentation. Siehe Syslog-Server: Übersicht und Konfiguration.