Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=ubiquitiunifi

Ubiquiti UniFi integrieren

Protokollsammler Firewall

Sie benötigen das Integrations-Lizenz-Paket „Firewall“, um diese Funktion nutzen zu können.

Sie können Ubiquiti UniFi in Sophos Central integrieren, sodass Firewall-Alarme an Sophos zur Analyse gesendet werden.

Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Integrations-Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Auf dieser Seite wird die Integration mit einer Appliance unter ESXi oder Hyper-V beschrieben. Wenn Sie eine Appliance in AWS integrieren möchten, siehe Integrationen in AWS.

Wichtige Schritte

Die wichtigsten Schritte einer Integration lauten wie folgt:

  • Fügen Sie eine Integration für dieses Produkt hinzu. In diesem Schritt erstellen Sie ein Image der Appliance.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrer Appliance.
  • Konfigurieren Sie Ubiquiti UniFi so, dass Daten an die Appliance gesendet werden.

Voraussetzungen

Ihr Ubiquiti-Produkt muss in der Lage sein, Sicherheits-Alarme zu erzeugen. Unter anderem folgende Produkte unterstützen dies:

  • UDM Pro (Dream Machine)
  • USG - Unifi Security

Integrations-Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.

Eine neue Integration hinzufügen

Um die Integration hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Klicken Sie auf Ubiquiti UniFi.

    Die Seite Ubiquiti UniFi wird geöffnet. Sie können hier Integrationen hinzufügen und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Details zu Ihren Domänen und IPs eingeben.

    Integrations-Einrichtungsschritte wird angezeigt.

Appliance konfigurieren

In den Integrations-Einrichtungsschritten können Sie eine neue Appliance konfigurieren oder eine vorhandene Appliance verwenden.

Hier wird davon ausgegangen, dass Sie eine neue Appliance konfigurieren. Erstellen Sie dazu wie folgt ein Image:

  1. Geben Sie einen Integrationsnamen und eine Beschreibung ein.
  2. Klicken Sie auf Neue Appliance erstellen.
  3. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.
  4. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützt Sophos VMware ESXi 6.7 Update 3 oder höher sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

  5. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die Appliance eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

  6. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie Ubiquiti UniFi so konfigurieren, dass Daten an Ihre Appliance gesendet werden.

  7. Wählen Sie unter Protokoll die Option UDP aus.

    Sie müssen dasselbe Protokoll verwenden, wenn Sie Ubiquiti UniFi zum Senden von Daten an Ihre Appliance konfigurieren.

  8. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    Die Portnummer der Appliance wird in den Integrationsdetails angezeigt. Sie benötigen dies später, wenn Sie Ubiquiti UniFi so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das Appliance-Image bereit ist.

Appliance bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das Image, um die Appliance wie folgt bereitzustellen:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe Appliances bereitstellen.

Wenn Sie die Appliance bereitgestellt haben, wird die Integration als Verbunden angezeigt.

Ubiquiti UniFi konfigurieren

Jetzt konfigurieren Sie Ubiquiti UniFi mit Hilfe der Syslog-Weiterleitung so, dass Alarme an uns gesendet werden.

Hinweis

Sie können mehrere Instanzen von Ubiquiti UniFi so konfigurieren, dass Daten über dieselbe Appliance an Sophos gesendet werden. Nachdem Sie die Integration abgeschlossen haben, wiederholen Sie die Schritte in diesem Abschnitt für Ihre anderen Instanzen von Ubiquiti UniFi. Sie müssen die Schritte in Sophos Central nicht wiederholen.

Sie können den Modus für die Protokollweiterleitung in der Ubiquiti UniFi OS-Benutzeroberfläche konfigurieren, müssen ihn jedoch an jedem Standort separat konfigurieren.

Die Namen der Einstellungen unterscheiden sich zwischen verschiedenen Versionen von UniFi OS leicht, aber die wichtigsten Schritte sind für alle gleich.

Um die Alarm-Weiterleitung zu konfigurieren, gehen Sie wie folgt vor:

  1. Gehen Sie zu den Protokollierungseinstellungen: Settings > System > Advanced > Remote Logging Location.

    Bei früheren Versionen gehen Sie wie folgt zu den Protokollierungseinstellungen:

    • Settings > Site > Remote Logging (UniFi Version 5)
    • Settings > System > System Logging (UniFi Version 7)

  2. Konfigurieren Sie die Protokollierung wie folgt und verwenden Sie dabei die für Ihre Version geeigneten Einstellungen:

    • Stellen Sie die Logging Levels auf Auto ein.
    • Aktivieren Sie Syslog.
    • Aktivieren Sie nicht Debug logging, Debug logs oder Netconsole.
    • Aktivieren Sie Enable remote syslog server.
    • Setzen Sie Remote Logging Location auf Remote Server.

  3. Geben Sie die folgenden Details für die zuvor eingerichtete Sophos Appliance ein:

    • Remote IP Address oder Syslog Host: Die IP-Adresse Ihrer Appliance. Hierbei muss es sich um die Syslog-IP-Adresse handeln, die Sie in Sophos Central eingegeben haben.
    • Port oder Syslog Port: Die Portnummer, die Sie in Sophos Central festgelegt haben.

  4. Klicken Sie auf Apply Changes, um die Einstellungen zu speichern. Das UniFi-Gerät beginnt mit der Weiterleitung von Protokollen an Sophos.