Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

SonicWall SonicOS

Protokollsammler

Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.

Sie können die SonicOS-Security-Appliance in Sophos Central integrieren, sodass Ereignismeldungen an Sophos zur Analyse gesendet werden.

Diese Integration verwendet einen Protokollsammler auf einer virtuellen Maschine (VM). Der Protokollsammler empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Instanzen von SonicWall Firewalls zu demselben Protokollsammler hinzufügen.

Richten Sie dazu Ihre SonicWall SonicOS-Integration in Sophos Central ein und konfigurieren Sie dann eine Firewall, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen SonicWall Firewalls so, dass Protokolle an denselben Sophos Protokollsammler gesendet werden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die wichtigsten Schritte zum Hinzufügen einer Integration sind die Folgenden:

  • Fügen Sie eine Integration für dieses Produkt hinzu. Damit wird eine Open Virtual Appliance (OVA)-Datei konfiguriert.
  • Stellen Sie die OVA-Datei auf Ihrem ESXi-Server bereit. Dies wird zu Ihrem Protokollsammler.
  • Konfigurieren Sie SonicOS so, dass Daten an den Protokollsammler gesendet werden.

Eine neue Integration hinzufügen

Verfahren Sie zur Integration von SonicOS in Sophos Central wie folgt:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center und klicken Sie auf Integrationen.
  2. Klicken Sie auf SonicWall SonicOS.

    Wenn Sie bereits Verbindungen zu SonicOS eingerichtet haben, sehen Sie diese hier.

  3. Klicken Sie auf Integration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrationsschritte wird angezeigt.

VM konfigurieren

In den Integrationsschritten konfigurieren Sie Ihre VM so, dass sie Daten von SonicOS empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Fügen Sie für die neue Integration einen Namen und eine Beschreibung hinzu.
  2. Geben Sie einen Namen und eine Beschreibung für die VM ein.
  3. Wählen Sie die virtuelle Plattform aus. (Derzeit unterstützen wir nur VMware).
  4. Geben Sie die internetseitigen Netzwerk-Ports an.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

    Sie benötigen die Adresse der VM später, wenn Sie SonicOS konfigurieren, dass Daten an die VM gesendet werden.

  5. Wählen Sie ein Protokoll aus.

  6. Füllen Sie alle übrigen Felder im Formular aus.
  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt. Es kann einige Minuten dauern, bis die OVA-Datei bereit ist.

VM bereitstellen

Einschränkung

Die OVA-Datei wird von Sophos Central verifiziert und kann nur einmal verwendet werden. Nachdem Sie die VM bereitgestellt haben, können Sie die Datei nicht noch einmal verwenden.

Wenn Sie eine neue VM bereitstellen wollen, müssen Sie alle diese Schritte wiederholen, um diese Integration mit Sophos Central zu verbinden.

Verwenden Sie die OVA-Datei, um die VM bereitzustellen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf OVA herunterladen.
  2. Wenn der Download der OVA-Datei abgeschlossen ist, stellen Sie sie auf Ihrem ESXi-Server bereit. Ein Assistent führt Sie durch den Prozess. Siehe VM für Integrationen bereitstellen.

Wenn Sie die VM bereitgestellt haben, wird die Integration als Verbunden angezeigt.

SonicOS konfigurieren

Sie konfigurieren nun SonicOS so, dass Daten an uns gesendet werden.

Um Syslog-Einstellungen auf Ihrer Firewall zu konfigurieren, gehen Sie wie folgt vor:

Hinweis

Wenn Sie das Global Management System (GMS) von SonicWall zur Verwaltung Ihrer Firewall verwenden, können Sie weder das Syslog-Format (Standard) noch die Syslog-ID (Firewall) ändern. Sie können die anderen Einstellungen ändern. Die folgenden Anweisungen verwenden GMS nicht.

  1. Gehen Sie zu Log > Syslog.
  2. Wählen Sie Syslog Servers aus und klicken Sie auf Add.
  3. Geben Sie die Adressdaten Ihrer VM ein.
  4. Wählen Sie unter Syslog Format ArcSight aus. Der Sophos-Protokollsammler empfängt Warnmeldungen im CEF-Format von ArcSight.

    Wenn Sie ArcSight auswählen, wird das Symbol Configure aktiviert.

  5. Klicken Sie auf das Symbol Configure. Das Konfigurationsfenster ArcSight CEF Fields Settings wird angezeigt.

  6. Wählen Sie die ArcSight-Optionen aus, die Sie protokollieren möchten. In den meisten Fällen empfiehlt sich die Auswahl von All. Um alle Optionen auszuwählen, klicken Sie auf Select All.
  7. Klicken Sie auf Speichern.
  8. Geben Sie im Feld Syslog ID die gewünschte Syslog-ID ein.

    Ein Feld Syslog ID ist in allen generierten Nachrichten enthalten, mit dem Präfix id=.

    Bei der Firewall enthalten alle Syslog-Nachrichten standardmäßig beispielsweise id=firewall. Sie können eine ID festlegen, die aus 0 bis 32 Buchstaben, Zahlen und Unterstrichen besteht.

    Hinweis

    Wenn die Option Override Syslog Settings with Reporting Software Settings aktiviert ist, ist das Feld Syslog ID auf „Firewall“ festgelegt. Sie können dies nicht ändern.

  9. Klicken Sie im oberen Seitenbereich auf Accept.

  10. Gehen Sie zu Log > Settings, um zu konfigurieren, welche Warnungen an Sophos weitergeleitet werden.
  11. Unter Logging Level müssen Sie Warning auswählen.

    Dadurch werden Ereignisse mit niedrigerer Priorität herausgefiltert.

  12. Auf der Seite Log > Settings können Sie Ereignisse auch nach ihren Event Attributes filtern.

    1. Wählen Sie eine Kategorie aus und klicken Sie auf Configure.
    2. Aktivieren Sie unter Edit Log Category das Kontrollkästchen „Syslog“ für bestimmte Kategorien.

      Ihre Änderungen gelten für alle Gruppen und Ereignisse in der ausgewählten Kategorie.

Mehr Informationen