Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=fortianalyzer-log-collector

Fortinet FortiAnalyzer (Protokollsammler)

Protokollsammler

Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.

Hinweis

Eine API-basierte Integration von FortiAnalyzer ist ebenfalls verfügbar. Siehe Fortinet FortiAnalyzer (API).

Sie können Fortinet FortiAnalyzer in Sophos Central integrieren, sodass Firewall-Alarme an Sophos zur Analyse gesendet werden.

Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Fortinet FortiAnalyzer Firewalls zu derselben Appliance hinzufügen.

Richten Sie dazu Ihre Fortinet FortiAnalyzer-Integration in Sophos Central ein und konfigurieren Sie dann eine Firewall, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen Fortinet FortiAnalyzer Firewalls, um Protokolle an dieselbe Sophos-Appliance zu senden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die Hauptschritte:

  • Konfigurieren Sie eine Integration für dieses Produkt. Dadurch wird ein Image zur Verwendung auf einer VM konfiguriert.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrer Appliance.
  • Konfigurieren Sie FortiAnalyzer so, dass Daten an die Appliance gesendet werden.

Voraussetzungen

Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.

Integration konfigurieren

Um die Integration zu konfigurieren, gehen Sie wie folgt vor:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Klicken Sie Fortinet FortiAnalyzer (Protokollsammler).

    Die Seite Fortinet FortiAnalyzer (Protokollsammler) wird geöffnet. Sie können hier Integrationen konfigurieren und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrations-Einrichtungsschritte wird angezeigt.

VM konfigurieren

In den Integrations-Einrichtungsschritten konfigurieren Sie Ihre VM als Appliance so, dass sie Daten von FortiAnalyzer empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Geben Sie einen Integrationsnamen und eine Beschreibung ein.

  2. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.

    Wenn Sie bereits eine Sophos-Appliance eingerichtet haben, können Sie diese aus einer Liste auswählen.

  3. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir VMware ESXi 6.7 Update 3 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

  4. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die VM eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um Ihre Netzwerkeinstellungen festzulegen.

  5. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie FortiAnalyzer so konfigurieren, dass Daten an Ihre Appliance gesendet werden.

  6. Wählen Sie ein Protokoll aus.

    Sie müssen dasselbe Protokoll später verwenden, wenn Sie FortiAnalyzer zum Senden von Daten an Ihre Appliance konfigurieren.

  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie FortiAnalyzer so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das VM-Image bereit ist.

VM bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das VM-Image, um die VM bereitzustellen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe VM für Integrationen bereitstellen.

FortiAnalyzer konfigurieren

Jetzt konfigurieren Sie FortiAnalyzer so, dass Alarme an die Sophos-Appliance auf der VM gesendet werden.

Sie können die Protokollweiterleitung in der FortiAnalyzer-Konsole wie folgt konfigurieren:

  1. Gehen Sie zu System Settings > Log Forwarding.
  2. Klicken Sie auf Create New.

  3. Geben Sie auf der Seite Create New Log Forwarding die folgenden Details ein:

    1. Name: Geben Sie einen Namen für den Server ein, zum Beispiel „Sophos Appliance“.
    2. Status: Stellen Sie diese Option auf On.
    3. Remote Server Type: Wählen Sie Common Event Format (CEF) aus.
    4. Server-IP: Geben Sie die IP-Adresse Ihrer Appliance ein. Dies ist die Syslog-IP-Adresse, die Sie in Sophos Central eingegeben haben.
    5. Server-Port: Geben Sie die Portnummer ein, die Sie in Sophos Central festgelegt haben.
    6. Reliable Connection: Aktivieren Sie diese Option, um eine TCP-Verbindung zu verwenden. Deaktivieren Sie sie, um eine UDP-Verbindung zu verwenden. Dies muss mit dem Protokoll übereinstimmen, das Sie zuvor in Sophos Central festgelegt haben.
    7. Sending Frequency. Überspringen Sie diese Option. Dies gilt nur für FortiAnalyzer-Server.
    8. Log Forwarding Filters: Es wird empfohlen, keine Filter auf FortiAnalyzer anzuwenden. Sophos filtert auf der Appliance.
    9. Klicken Sie auf OK.

Das FortiAnalyzer-Gerät beginnt mit der Weiterleitung von Protokollen an die Appliance.