Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integrar Barracuda CloudGen

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar Barracuda CloudGen con Sophos Central para que envíe alertas a Sophos.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo de integración. El dispositivo recibe datos de terceros y los envía a Sophos Data Lake.

En esta página se describe la integración mediante un dispositivo en ESXi o Hyper-V. Si desea integrar con un dispositivo en AWS, consulte Integraciones en AWS.

Pasos clave

Los pasos clave de una integración son los siguientes:

  • Añadir una integración para el producto. En este paso, se crea una imagen del dispositivo.
  • Descargar y desplegar la imagen en una VM. Esto se convierte en su dispositivo.
  • Configurar Barracuda CloudGen para enviar datos al dispositivo.

Requisitos

Los dispositivos tienen requisitos de acceso de sistema y de red. Para comprobar que los cumple, consulte Requisitos del dispositivo .

Añadir una integración

Para añadir la integración, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
  2. Haga clic en Barracuda CloudGen.

    Se abre la página Barracuda CloudGen. Puede añadir integraciones aquí y ver una lista de cualquiera que ya haya añadido.

  3. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Proporcionar los detalles de su dominio y dirección IP.

    Aparece Pasos de configuración de la integración.

Configurar el dispositivo

En Pasos de configuración de la integración, puede configurar un nuevo dispositivo o utilizar uno existente.

Asumimos aquí que va a configurar un nuevo dispositivo. Para ello, cree una imagen de la siguiente manera:

  1. Introduzca un nombre y una descripción de la integración.
  2. Haga clic en Crear un nuevo dispositivo.
  3. Introduzca un nombre y una descripción para el dispositivo.
  4. Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.
  5. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de administración para el dispositivo.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  6. Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.

    Necesitará esta dirección IP de syslog más tarde, cuando configure Barracuda CloudGen para que envíe datos a su dispositivo.

  7. En Protocolo, el TCP está preseleccionado. No se puede modificar.

    Cuando configure Barracuda CloudGen para enviar datos a su dispositivo, debe asegurarse de que utiliza el mismo protocolo.

  8. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    En los detalles de integración, puede ver el número de puerto del dispositivo. Necesitará esto más tarde cuando configure Barracuda CloudGen para que le envíe datos.

    La imagen del dispositivo puede tardar unos minutos en estar lista.

Desplegar el dispositivo

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen para desplegar el dispositivo de la siguiente manera:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar dispositivos.

Configurar Barracuda CloudGen

Ahora configure Barracuda CloudGen para que nos envíe alertas mediante el reenvío de syslog.

Nota

Puede configurar varias instancias de Barracuda CloudGen para enviar datos a Sophos a través del mismo dispositivo. Una vez finalizada la integración, repita los pasos de esta sección para sus otras instancias de Barracuda CloudGen. No es necesario que repita los pasos en Sophos Central.

Activar la transmisión de syslog

Active la transmisión de syslog en el firewall Barracuda CloudGen de la siguiente manera:

  1. Vaya a CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming.
  2. Haga clic en Lock.
  3. Establezca Enable Syslog Streaming en Yes.
  4. Haga clic en Send Changes y Activate.

Activar la generación detallada de informes de firewall

  1. Vaya a Configuration Tree > Infrastructure Services > General Firewall Configuration.
  2. Haga clic en Lock.
  3. En el menú de la izquierda, seleccione Audit and Reporting.
  4. En Log Policy, establezca Activity Log Mode en Log-Pipe-Separated-Key-Value-List.
  5. Haga clic en Send Changes y Activate.

Ejemplo de salida con Log-Pipe-Separated-Key-Value-List:

2024 05 07 10:02:51 +00:00 Info     Allow: type=LOUT|proto=TCP|srcIF=dhcp|srcIP=10.0.0.4|srcPort=47542|srcMAC=00:0d:3a:46:14:a3|dstIP=168.63.129.16|dstPort=32526|dstService=|dstIF=|rule=PASSALL|info=0|srcNAT=10.0.0.4|dstNAT=168.63.129.16|duration=0|count=1|receivedBytes=0|sentBytes=0|receivedPackets=0|sentPackets=0|user=|protocol=|application=|target=|content=|urlcat=

Configurar los filtros de los datos de registro

Especifique los tipos de archivo de registro para transmitir.

  1. Vaya a CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming .
  2. En el menú de la izquierda, seleccione Logdata Filters.
  3. Haga clic en Lock.
  4. En la tabla Filters, haga clic en "+" para añadir un nuevo filtro.

    Se abre la ventana Filters.

  5. Introduzca un valor para Name, por ejemplo "Integración de Sophos MDR".

  6. Haga clic en OK.
  7. En la tabla Data Selection, añada los archivos de registro de Top Level Logdata que se transmitirán. Puede seleccionar:

    • Fatal_log
    • Panic Log
    • Firewall_Audit_Log

    Para Firewall_Audit_Log, el registro de auditoría del firewall debe estar activado y configurado, y Audit Delivery debe establecerse en Syslog Proxy. Consulte Cómo activar el servicio de registro de auditoría del firewall.

Configurar Sophos como destino de transmisión de registros

Configure el firewall para que envíe la transmisión de syslog a Sophos Central.

  1. Vaya a CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming.
  2. En el menú de la izquierda, seleccione Logstream Destinations.
  3. Haga clic en Lock.
  4. En la tabla Destinations, haga clic en "+" para añadir un nuevo filtro.

    Se abre la página Destinations.

  5. Introduzca un valor para Name y haga clic en OK.

  6. En Logstream Destination, seleccione el nombre que introdujo cuando configuró los filtros de datos de registro ("Integración de Sophos MDR" en nuestro ejemplo).
  7. En Destination IP Address y Destination Port, introduzca la dirección IP y el puerto que configuró anteriormente en Sophos Central.
  8. Haga clic en Send Changes y Activate.

Configurar la transmisión de datos de registro

Combine los filtros de datos de registro y el destino de transmisión de registros para configurar una transmisión de datos de registro.

  1. Vaya a CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming.
  2. En el menú de la izquierda, seleccione Logdata Streams.
  3. Haga clic en Lock.
  4. En la tabla Streams, haga clic en "+" para añadir una nueva transmisión de syslog.

    Se abre la ventana Streams.

  5. Escriba un valor para Name. Utilice el mismo nombre utilizado en secciones anteriores ("Integración de Sophos MDR" en nuestro ejemplo).

  6. Haga clic en OK.
  7. Establezca Active Stream en Yes.
  8. En la tabla Log Destinations, haga clic en "+" y seleccione el destino de transmisión de registros que configuró anteriormente.
  9. En la tabla Log Filters, haga clic en "+" y seleccione el filtro de datos de registro que configuró anteriormente.
  10. Haga clic en OK.
  11. Haga clic en Send Changes y Activate.

Todos los registros cubiertos por el filtro de datos de registro se transmiten ahora a Sophos.