Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=f5bigipasm

F5 integrieren

Protokollsammler Firewall

Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.

Sie können F5 BIG-IP ASM in Sophos Central integrieren, sodass Warnmeldungen an Sophos gesendet werden.

Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Integrations-Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Auf dieser Seite wird die Integration mit einer Appliance unter ESXi oder Hyper-V beschrieben. Wenn Sie eine Appliance in AWS integrieren möchten, siehe Integrationen in AWS.

Wichtige Schritte

Die wichtigsten Schritte einer Integration lauten wie folgt:

  • Fügen Sie eine Integration für dieses Produkt hinzu. In diesem Schritt erstellen Sie ein Image der Appliance.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrer Appliance.
  • Konfigurieren Sie F5 BIG-IP ASM so, dass Daten an die Appliance gesendet werden.

Voraussetzungen

Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.

Eine neue Integration hinzufügen

Um die Integration hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Klicken Sie auf F5 BIG-IP ASM.

    Die Seite F5 BIG-IP ASM wird geöffnet. Sie können hier Integrationen hinzufügen und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Details zu Ihren Domänen und IPs eingeben.

    Integrations-Einrichtungsschritte wird angezeigt.

Appliance konfigurieren

In den Integrations-Einrichtungsschritten können Sie eine neue Appliance konfigurieren oder eine vorhandene Appliance verwenden.

Hier wird davon ausgegangen, dass Sie eine neue Appliance konfigurieren. Erstellen Sie dazu wie folgt ein Image:

  1. Geben Sie einen Integrationsnamen und eine Beschreibung ein.
  2. Klicken Sie auf Neue Appliance erstellen.
  3. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.
  4. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir VMware ESXi 6.7 Update 3 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

  5. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die Appliance eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

  6. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie F5 BIG-IP ASM so konfigurieren, dass Daten an Ihre Appliance gesendet werden.

  7. Wählen Sie ein Protokoll aus.

    Sie müssen dasselbe Protokoll verwenden, wenn Sie F5 BIG-IP ASM zum Senden von Daten an Ihre Appliance konfigurieren.

  8. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie F5 BIG-IP ASM so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das Appliance-Image bereit ist.

Appliance bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das Image, um die Appliance wie folgt bereitzustellen:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe Appliances bereitstellen.

F5 BIG-IP ASM konfigurieren

Jetzt konfigurieren Sie F5 BIG-IP ASM mit Hilfe der Syslog-Weiterleitung so, dass Alarme an uns gesendet werden.

Hinweis

Sie können mehrere Instanzen von F5 BIG-IP ASM so konfigurieren, dass Daten über dieselbe Appliance an Sophos gesendet werden. Nachdem Sie die Integration abgeschlossen haben, wiederholen Sie die Schritte in diesem Abschnitt für Ihre anderen Instanzen von F5 BIG-IP ASM. Sie müssen die Schritte in Sophos Central nicht wiederholen.

Um die Alarm-Weiterleitung zu konfigurieren, gehen Sie wie folgt vor:

Protokollierungsprofil erstellen

Sie müssen ein benutzerdefiniertes Protokollierungsprofil erstellen, um Sicherheitsereignisse der Anwendung zu protokollieren.

  1. Klicken Sie im Tab Main auf Security > Event Logs > Logging Profiles.

  2. Klicken Sie unter Logging Profiles auf Create.

    Der Bildschirm New Logging Profile wird geöffnet.

  3. Geben Sie unter Profile Name einen eindeutigen Namen ein für das Profil ein.

  4. Wählen Sie Application Security.

    Auf dem Bildschirm werden zusätzliche Felder angezeigt.

  5. Wählen Sie im Tab Application Security unter Configuration die Option Advanced.

  6. Wählen Sie Remote Storage, um Protokolle Remote zu speichern.

  7. Wählen Sie in der Liste Response Logging die Option For Illegal Requests Only aus.

    Standardmäßig protokolliert das System die ersten 10.000 Byte Antworten, bis zu 10 Antworten pro Sekunde. Sie können die Grenzwerte mithilfe der Systemvariablen für die Reaktionsprotokollierung ändern.

    Standardmäßig protokolliert das System alle Anfragen. Richten Sie den Storage Filter ein, um den Anfragentyp einzuschränken, den das System oder der Server protokolliert.

Fahren Sie mit dem Einrichten der Remote-Protokollierung fort.

Remote-Protokollierung einrichten

Sie können Ihr Protokollierungsprofil so konfigurieren, dass Sicherheitsereignisse der Anwendung remote auf einem Syslog-Server protokolliert werden.

  1. Klicken Sie im Tab Main auf Security > Event Logs > Logging Profiles.
  2. Klicken Sie unter Logging Profiles auf den Namen des Protokollierungsprofils, für das Sie die Remote-Protokollierung einrichten möchten.

  3. Wählen Sie Remote Storage.

    Wählen Sie in der Liste Remote Storage Type die Option Remote aus. Meldungen sind im Syslog-Format.

  4. Wählen Sie unter Protokollformat die Option Common Event Format (ArcSight) aus. Protokollmeldungen liegen im Common Event Format (CEF) vor.

  5. Wählen Sie unter Protocol das Protokoll aus, das Sie in Sophos Central festgelegt haben: UDP oder TCP.

    Das ausgewählte Protokoll gilt für alle Remote-Server-Einstellungen auf diesem Bildschirm, einschließlich aller Server-IP-Adressen.

  6. Geben Sie unter Server Addresses den Server an, auf dem der Datenverkehr protokolliert werden soll. Geben Sie die IP-Adresse und Portnummer ein, die Sie zuvor in Sophos Central angegeben haben, und klicken Sie auf Add.

  7. Wählen Sie unter Facility die Kategorie des protokollierten Datenverkehrs aus. Bei dieser Integration spielt es keine Rolle, welche Auswahl Sie treffen.
  8. In der Einstellung Storage Format können Sie festlegen, wie das Protokoll Informationen anzeigt, welche Datenverkehrselemente der Server protokolliert und in welcher Reihenfolge sie angemeldet werden.
  9. Unter Maximum Query String Size können Sie angeben, wie viel von einer Anforderung der Server protokolliert. Wählen Sie Any.
  10. Unter Maximum Entry Length können Sie angeben, wie viel von der Eintragslänge der Server protokolliert. Akzeptieren Sie die Standardlänge (1K für Remote-Server, die UDP unterstützen, und 2K für Remote-Server, die TCP unterstützen).
  11. Wählen Sie Report Detected Anomalies. Das System sendet einen Bericht an das Remote-Systemprotokoll, wenn ein Brute-Force-Angriff oder ein Web-Scraping-Angriff beginnt und endet.
  12. Nehmen Sie im Bereich Storage Filter nach Bedarf Änderungen vor.
  13. Klicken Sie auf Finished.

Wenn Sie ein Protokollierungsprofil für den Remote-Speicher erstellen, speichert das System die Daten für die zugehörige Sicherheitsrichtlinie auf einem oder mehreren Remote-Systemen.

Protokollierungsprofil mit einer Sicherheitsrichtlinie verknüpfen

Ein Protokollierungsprofil zeichnet Anfragen an den virtuellen Server auf. Wenn Sie eine Sicherheitsrichtlinie erstellen, verknüpft das System standardmäßig das Profil Log Illegal Requests mit dem virtuellen Server, der von der Richtlinie verwendet wird.

Sie können ändern, welches Protokollierungsprofil mit der Sicherheitsrichtlinie verknüpft ist, oder ein neues Profil zuweisen, indem Sie den virtuellen Server bearbeiten.

  1. Klicken Sie auf Local Traffic > Virtual Servers.
  2. Klicken Sie auf den Namen des virtuellen Servers, der von der Sicherheitsrichtlinie verwendet wird. Das System zeigt die allgemeinen Eigenschaften des virtuellen Servers an.

  3. Wählen Sie im Menü Security die Option Policies aus.

    Das System zeigt die Richtlinieneinstellungen für den virtuellen Server an.

  4. Stellen Sie sicher, dass die Einstellung Application Security Policy aktiviert ist und dass Policy auf die gewünschte Sicherheitsrichtlinie festgelegt ist.

  5. Verfahren Sie für Log Profile wie folgt:

    • Stellen Sie sicher, dass sie auf Enabled gesetzt ist.
    • Wählen Sie in der Liste Available das Profil aus, das für die Sicherheitsrichtlinie verwendet werden soll und verschieben Sie es in die Liste Selected.

  6. Klicken Sie auf Aktualisieren.

Informationen zu Datenverkehr, der von der Sicherheitsrichtlinie gesteuert wird, werden mit dem Protokollierungsprofil oder den Profilen protokolliert, die auf dem virtuellen Server angegeben sind.