Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

F5 integrieren

Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.

Sie können F5 BIG-IP ASM in Sophos Central integrieren, sodass Warnmeldungen an Sophos gesendet werden.

Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Instanzen von F5 BIG-IP ASM zu derselben Appliance hinzufügen.

Richten Sie dazu Ihre F5 BIG-IP ASM-Integration in Sophos Central ein und konfigurieren Sie dann eine F5 BIG-IP ASM-Instanz, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen F5 BIG-IP ASM-Instanzen, um Protokolle an dieselbe Sophos-Appliance zu senden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die Hauptschritte:

  • Konfigurieren Sie eine Integration für dieses Produkt. Dadurch wird ein Image zur Verwendung auf einer VM konfiguriert.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrer Appliance.
  • Konfigurieren Sie F5 BIG-IP ASM so, dass Daten an die Appliance gesendet werden.

Voraussetzungen

Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.

Integration konfigurieren

Um die Integration zu konfigurieren, gehen Sie wie folgt vor:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
  2. Klicken Sie auf F5 BIG-IP ASM.

    Die Seite F5 BIG-IP ASM wird geöffnet. Sie können hier Integrationen konfigurieren und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrations-Einrichtungsschritte wird angezeigt.

VM konfigurieren

In den Integrations-Einrichtungsschritten konfigurieren Sie Ihre VM als Appliance so, dass sie Daten von F5 BIG-IP ASM empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Geben Sie einen Integrationsnamen und eine Beschreibung ein.
  2. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.

    Wenn Sie bereits eine Sophos-Appliance eingerichtet haben, können Sie diese aus einer Liste auswählen.

  3. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir VMware ESXi 6.7 Update 3 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

  4. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die VM eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

  5. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie F5 BIG-IP ASM so konfigurieren, dass Daten an Ihre Appliance gesendet werden.

  6. Wählen Sie ein Protokoll aus.

    Sie müssen dasselbe Protokoll verwenden, wenn Sie F5 BIG-IP ASM zum Senden von Daten an Ihre Appliance konfigurieren.

  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie F5 BIG-IP ASM so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das VM-Image bereit ist.

VM bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das VM-Image, um die VM bereitzustellen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe VM für Integrationen bereitstellen.

F5 BIG-IP ASM konfigurieren

Jetzt konfigurieren Sie F5 BIG-IP ASM mit Hilfe der Syslog-Weiterleitung so, dass Alarme an uns gesendet werden.

Um die Alarm-Weiterleitung zu konfigurieren, gehen Sie wie folgt vor:

Protokollierungsprofil erstellen

Sie müssen ein benutzerdefiniertes Protokollierungsprofil erstellen, um Sicherheitsereignisse der Anwendung zu protokollieren.

  1. Klicken Sie im Tab Main auf Security > Event Logs > Logging Profiles.
  2. Klicken Sie unter Logging Profiles auf Create.

    Der Bildschirm New Logging Profile wird geöffnet.

  3. Geben Sie unter Profile Name einen eindeutigen Namen ein für das Profil ein.

  4. Wählen Sie Application Security.

    Auf dem Bildschirm werden zusätzliche Felder angezeigt.

  5. Wählen Sie im Tab Application Security unter Configuration die Option Advanced.

  6. Wählen Sie Remote Storage, um Protokolle Remote zu speichern.
  7. Wählen Sie in der Liste Response Logging die Option For Illegal Requests Only aus.

    Standardmäßig protokolliert das System die ersten 10.000 Byte Antworten, bis zu 10 Antworten pro Sekunde. Sie können die Grenzwerte mithilfe der Systemvariablen für die Reaktionsprotokollierung ändern.

    Standardmäßig protokolliert das System alle Anfragen. Richten Sie den Storage Filter ein, um den Anfragentyp einzuschränken, den das System oder der Server protokolliert.

Fahren Sie mit dem Einrichten der Remote-Protokollierung fort.

Remote-Protokollierung einrichten

Sie können Ihr Protokollierungsprofil so konfigurieren, dass Sicherheitsereignisse der Anwendung remote auf einem Syslog-Server protokolliert werden.

  1. Klicken Sie im Tab Main auf Security > Event Logs > Logging Profiles.
  2. Klicken Sie unter Logging Profiles auf den Namen des Protokollierungsprofils, für das Sie die Remote-Protokollierung einrichten möchten.
  3. Wählen Sie Remote Storage.

    Wählen Sie in der Liste Remote Storage Type die Option Remote aus. Meldungen sind im Syslog-Format.

  4. Wählen Sie unter Protocol das Protokoll aus, das Sie in Sophos Central festgelegt haben: UDP oder TCP.

    Das ausgewählte Protokoll gilt für alle Remote-Server-Einstellungen auf diesem Bildschirm, einschließlich aller Server-IP-Adressen.

  5. Geben Sie unter Server Addresses den Server an, auf dem der Datenverkehr protokolliert werden soll. Geben Sie die IP-Adresse und Portnummer ein, die Sie zuvor in Sophos Central angegeben haben, und klicken Sie auf Add.

  6. Wählen Sie unter Facility die Kategorie des protokollierten Datenverkehrs aus. Bei dieser Integration spielt es keine Rolle, welche Auswahl Sie treffen.
  7. In der Einstellung Storage Format können Sie festlegen, wie das Protokoll Informationen anzeigt, welche Datenverkehrselemente der Server protokolliert und in welcher Reihenfolge sie angemeldet werden.
  8. Unter Maximum Query String Size können Sie angeben, wie viel von einer Anforderung der Server protokolliert. Wählen Sie Any.
  9. Unter Maximum Entry Length können Sie angeben, wie viel von der Eintragslänge der Server protokolliert. Akzeptieren Sie die Standardlänge (1K für Remote-Server, die UDP unterstützen, und 2K für Remote-Server, die TCP unterstützen).
  10. Wählen Sie Report Detected Anomalies. Das System sendet einen Bericht an das Remote-Systemprotokoll, wenn ein Brute-Force-Angriff oder ein Web-Scraping-Angriff beginnt und endet.
  11. Nehmen Sie im Bereich Storage Filter nach Bedarf Änderungen vor.
  12. Klicken Sie auf Finished.

Wenn Sie ein Protokollierungsprofil für den Remote-Speicher erstellen, speichert das System die Daten für die zugehörige Sicherheitsrichtlinie auf einem oder mehreren Remote-Systemen.

Protokollierungsprofil mit einer Sicherheitsrichtlinie verknüpfen

Ein Protokollierungsprofil zeichnet Anfragen an den virtuellen Server auf. Wenn Sie eine Sicherheitsrichtlinie erstellen, verknüpft das System standardmäßig das Profil Log Illegal Requests mit dem virtuellen Server, der von der Richtlinie verwendet wird.

Sie können ändern, welches Protokollierungsprofil mit der Sicherheitsrichtlinie verknüpft ist, oder ein neues Profil zuweisen, indem Sie den virtuellen Server bearbeiten.

  1. Klicken Sie auf Local Traffic > Virtual Servers.
  2. Klicken Sie auf den Namen des virtuellen Servers, der von der Sicherheitsrichtlinie verwendet wird. Das System zeigt die allgemeinen Eigenschaften des virtuellen Servers an.
  3. Wählen Sie im Menü Security die Option Policies aus.

    Das System zeigt die Richtlinieneinstellungen für den virtuellen Server an.

  4. Stellen Sie sicher, dass die Einstellung Application Security Policy aktiviert ist und dass Policy auf die gewünschte Sicherheitsrichtlinie festgelegt ist.

  5. Verfahren Sie für Log Profile wie folgt:

    • Stellen Sie sicher, dass sie auf Enabled gesetzt ist.
    • Wählen Sie in der Liste Available das Profil aus, das für die Sicherheitsrichtlinie verwendet werden soll und verschieben Sie es in die Liste Selected.
  6. Klicken Sie auf Aktualisieren.

Informationen zu Datenverkehr, der von der Sicherheitsrichtlinie gesteuert wird, werden mit dem Protokollierungsprofil oder den Profilen protokolliert, die auf dem virtuellen Server angegeben sind.