Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Cisco Firepower

Recopilador de registros

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar Firepower con Sophos Central para que envíe los datos de auditoría a Sophos para analizarlos.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se les denomina recopilador de datos. El recopilador de datos recibe datos de terceros y los envía a Sophos Data Lake.

Puede añadir recopiladores de registros a una VM existente que ejecute el dispositivo virtual Sophos NDR y otros recopiladores de registros. También puede crear una nueva VM para esta integración.

Nota

Puede añadir varios firewalls Cisco Firepower al mismo recopilador de datos de Sophos.

Para ello, configure la integración de Cisco Firepower en Sophos Central y, a continuación, configure un firewall para que le envíe registros. Luego, configure los demás firewalls Cisco Firepower para enviar registros al mismo recopilador de datos de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Los pasos clave para añadir una integración son los siguientes:

  • Añadir una integración para el producto. Esto configura un archivo de dispositivo virtual abierto (OVA).
  • Desplegar el archivo OVA en el servidor ESXi. Esto se convierte en su recopilador de datos.
  • Configurar Firepower para enviar datos. Los pasos que siga dependen del dispositivo que tenga.
  • Conectar Firepower a su VM.

Añadir una integración

Para integrar Firepower con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas y haga clic en Integraciones.
  2. Haga clic en Cisco Firepower.

    Si ya ha configurado conexiones con Firepower, puede verlas aquí.

  3. Haga clic en Añadir.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de integración.

Configurar la VM

En Pasos de configuración de la integración configurará una VM para recibir los datos de Firepower. Puede utilizar una máquina virtual existente o crear una nueva.

Es posible que tenga que ir a Firepower para obtener parte de la información que necesita para rellenar el formulario.

Para configurar la VM, haga lo siguiente:

  1. Añada un nombre y una descripción para la nueva integración.
  2. Introduzca un nombre y una descripción para el recopilador de datos.

    Si ya ha configurado una integración de recopilador de datos, puede elegirla de una lista.

  3. Seleccione la plataforma virtual. (Actualmente solo ofrecemos soporte para VMware).

  4. Especifique los puertos de red conectados a Internet.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

    Necesitará la dirección de la máquina virtual más tarde, cuando configure Firepower para que le envíe datos.

  5. Seleccione un Protocolo.

  6. Seleccione un Formato de Syslog.
  7. Complete los campos restantes.
  8. Haga clic en Guardar.

    Creamos la integración y aparece en la lista. El archivo OVA puede tardar unos minutos en descargarse.

Implementar la VM

Restricción

El archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Una vez desplegado, no se puede volver a utilizar.

Si tiene que desplegar una VM nueva, deberá volver a realizar todos estos pasos para vincular esta integración con Sophos Central.

Utilice el archivo OVA para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en Descargar OVA.
  2. Cuando finalice la descarga del archivo OVA, despliéguelo en el servidor ESXi. Un asistente le guiará durante el proceso. Consulte Desplegar una VM para integraciones.

Cuando haya desplegado la VM, la integración se mostrará como Conectada.

Configurar Firepower

Ahora configure Firepower para que envíe los datos a su recolector de datos. El recopilador de datos actúa como un servidor syslog, por lo que utiliza la función de servidor syslog de su firewall para enviarle datos.

Los pasos que siga dependen de la versión del firmware de su dispositivo y del método de administración de Cisco que esté utilizando.

Para firewalls que ejecuten FirePower Threat Defense (FTD) versión 6.3 o posterior, haga clic en la pestaña del método de administración que esté usando. Puede usar FirePower Management Console (FMC) o FirePower Defence Manager (FDM).

Para firewalls que ejecuten versiones de FirePower Threat Defense (FTD) anteriores a 6.3, haga clic en la pestaña para dispositivos clásicos.

Nota

Evite caracteres especiales, incluidas comas, en nombres de objetos como nombres de reglas y políticas. El recopilador de datos de la VM puede tratar los caracteres como separadores.

Para usar FirePower Management Console para conectar un firewall que ejecute FirePower Threat Defense (FTD) versión 6.3 o posterior a su recopilador de datos de Sophos, haga lo siguiente.

Configurar los parámetros de Syslog

  1. En FMC, haga clic en Dispositivos > Configuración de la plataforma.
  2. Seleccione la plataforma que desea conectar al recopilador de datos y haga clic en el icono de edición.
  3. Haga clic en Syslog.
  4. Haga clic en Servidores de Syslog > Añadir.
  5. Introduzca los siguientes datos de conexión para el recopilador de datos:

    1. Dirección IP.
    2. Tipo de protocolo. Si ha seleccionado UDP, no debe activar el formato EMBLEM.
    3. Número de puerto.

    Debe introducir la misma configuración que introdujo en Sophos Central al añadir la integración.

  6. No seleccione Habilitar syslog seguro.

  7. En Accesible por, introduzca los detalles de red que permitirán a su firewall contactar con el recopilador de datos de Sophos.

  8. Haga clic en Aceptar.

    Para obtener más información sobre la configuración de servidores syslog para firewalls Cisco Firepower, consulte Configurar un servidor de Syslog.

  9. Haga clic en Configuración de Syslog y configure los parámetros de la siguiente manera:

    1. Active *Habilitar marca de tiempo en mensajes de Syslog*.
    2. En Formato de marca de tiempo, seleccione RFC 5424.
    3. Active Habilitar ID de dispositivo Syslog y seleccione Nombre de host.
    4. No active Configuración equivalente de Netflow.
  10. Haga clic en Guardar.

  11. Haga clic en Configuración de registro.

  12. Seleccione Habilitar registro.
  13. No debe seleccionar lo siguiente:

    1. Habilitar registro en la unidad en espera de conmutación por error
    2. Enviar syslogs en formato EMBLEM
    3. Enviar mensajes de depuración como syslogs
  14. Si desea reenviar eventos de VPN al recopilador de datos de Sophos, haga lo siguiente:

    1. En la sección Configuración de registro de VPN, seleccione Habilitar registro en Firewall Management Center.
    2. Seleccione Depurar como Nivel de registro.
  15. No es necesario que introduzca información en Especificar información de servidor FTP o Especificar tamaño de flash.

  16. Haga clic en Guardar.

Configurar los parámetros de registro para el control de acceso

También debe configurar los parámetros de registro para la política de control de acceso, incluido el registro de archivos y malware.

Para ello, haga lo siguiente:

  1. Haga clic en Políticas > Control de acceso.
  2. Haga clic en el icono de edición de la política de control de acceso que desea configurar.
  3. Haga clic en Registro.
  4. Seleccione Usar las opciones de Syslog configuradas en la política Configuración de la plataforma FTD desplegada en el dispositivo.
  5. En Gravedad de Syslog, seleccione ALERTA.
  6. Active Enviar mensajes de Syslog para eventos de IPS.
  7. Active Enviar mensajes de Syslog para eventos de archivos y malware.
  8. Haga clic en Guardar.

Activar el registro de eventos de inteligencia de seguridad

  1. En la misma política de control de acceso, haga clic en Inteligencia de seguridad.
  2. Haga clic en el icono de opciones de P*o*lítica DNS.
  3. En Opciones de registro de la lista de bloqueo de DNS, active lo siguiente:

    • Conexiones de registro.
    • Firewall Management Center
    • Servidor de Syslog.
  4. Haga clic en Aceptar.

  5. En Lista de bloqueo, haga clic en el icono opciones de Red.

  6. En Opciones de registro de la lista de bloqueo de red, active lo siguiente:

    • Conexiones de registro
    • Firewall Management Center
    • Servidor Syslog
  7. Haga clic en Aceptar.

  8. Desplácese hacia abajo en Lista de bloqueo para encontrar el icono de opciones de URL.

  9. En Opciones de registro de la lista de bloqueo de URL, active lo siguiente:

    • Conexiones de registro
    • Firewall Management Center
    • Servidor Syslog
  10. Haga clic en Aceptar.

  11. Haga clic en Guardar.

Activar el registro de Syslog para cada regla de control de acceso

Debe asegurarse de que todas las reglas de la política de control de acceso tengan activado el registro syslog.

Para ello, para cada regla de la política, haga lo siguiente.

  1. En la misma política de control de acceso, haga clic en la ficha Reglas.
  2. Haga clic en una regla para editarla.
  3. En Editar regla, haga clic en Registro.
  4. Elija si desea registrar el inicio o el final de las conexiones, o ambos.

    El registro de conexiones genera muchos datos. Registrar tanto el inicio como el final genera aproximadamente el doble. No todas las conexiones se pueden registrar tanto al inicio como al final. Para obtener más detalles, inicie sesión en su cuenta de Cisco y vaya a la sección Registro de conexiones de la Guía de configuración del Centro de Firepower Management Center, versión 6.2. Consulte Conexión, Registro.

  5. Si desea registrar los eventos de los archivos, seleccione Archivos de registro.

  6. Active Servidor de Syslog.
  7. Haga clic en Guardar.

Activar el registro de eventos de intrusión

También debe activar el registro de eventos en la política de intrusión asociada a la política de control de acceso.

  1. Haga clic en Políticas > Intrusión.
  2. Busque la política de intrusión asociada a su política de control de acceso y haga clic en *VersiónSnort 2*** .
  3. En Información de la política, haga clic en Configuración avanzada.
  4. En Configuración avanzada, vaya a Alertas de *Syslog*.
  5. Haga clic en Activadas.
  6. Haga clic en Atrás.
  7. En Información de la política, haga clic en Confirmar cambios.
  8. Introduzca una descripción de los cambios y haga clic en Aceptar.

Nota

Evite caracteres especiales, incluidas comas, en nombres de objetos como nombres de reglas y políticas. El recopilador de datos de la VM puede tratar los caracteres como separadores.

Para conectar un dispositivo Firepower al recopilador de datos usando FDM, haga lo siguiente.

Activar el registro de eventos de archivos y malware.

Para activar el registro de eventos de archivos y malware y añadir los detalles de conexión de su recopilador de datos de Sophos al firewall, haga lo siguiente.

  1. Inicie sesión en FDM en el dispositivo que desea configurar y vaya a la ficha Dispositivo:<nombre>.
  2. En Configuración del sistema, haga clic en Configuración de registro.
  3. Active REGISTRO DE ARCHIVOS/MALWARE.
  4. Haga clic en Servidor de Syslog para ver los servidores disponibles.
  5. Si ya ha añadido el recopilador de datos de Sophos a este dispositivo, selecciónelo. Si no es así, haga clic en Crear nuevo servidor de Syslog.
  6. Introduzca los siguientes datos de conexión para el recopilador de datos:

    1. Dirección IP.
    2. Tipo de protocolo.
    3. Número de puerto.

    Debe introducir la misma configuración que introdujo en Sophos Central al añadir la integración.

  7. Si es necesario, seleccione una interfaz de datos o una interfaz de administración que se adapte a su entorno de red.

  8. Haga clic en Aceptar.
  9. El nuevo servidor aparece en Servidores de Syslog. Haga clic en él para seleccionarlo.
  10. En Registrar en nivel de gravedad, seleccione Depurar.
  11. Haga clic en GUARDAR.

Configurar políticas

En cada política, debe activar el registro de las actividades que desea enviar a su recopilador de datos de Sophos. Puede activar el control de acceso y los eventos de intrusión.

Para ello, haga lo siguiente:

  1. Haga clic en Políticas > Control de acceso.
  2. Busque la política que desee configurar y haga clic en el icono de edición.
  3. Haga clic en Registro.
  4. En SELECCIONAR ACCIÓN DE REGISTRO, elija si desea registrar al principio o al final de las conexiones, o en ninguno de los dos casos.
  5. En EVENTOS DE ARCHIVO, active **Archivos de registro****.
  6. Si desea registrar eventos de intrusión, en Política de intrusión, active POLÍTICA DE INTRUSIÓN.
  7. Seleccione la política de intrusión que desea aplicar.
  8. Si desea registrar eventos de archivos, en Política de archivos, seleccione la política de archivos que desea aplicar. Elija de entre estas opciones:

    • Bloquear todo el malware
    • Búsqueda de malware en la nube - Sin bloqueo
  9. En ENVIAR EVENTOS DE CONEXIÓN A: seleccione su recopilador de datos de Sophos.

  10. Haga clic en Aceptar.
  11. Haga clic en Intrusión.
  12. Busque la política que desee configurar y haga clic en el icono de configuración.
  13. En Editar configuración de registro, haga clic en el icono más y seleccione su recopilador de datos de Sophos.
  14. Haga clic en Aceptar.

Repita estos pasos para cada política que deba enviar datos a su recopilador de datos de Sophos.

Guardar los cambios

Los cambios no estarán activos en el dispositivo hasta que los implemente. Para ello, haga lo siguiente.

  1. Haga clic en el icono de implementación.

    El punto del icono aparece cuando hay cambios sin implementar.

  2. En Cambios pendientes, revise los cambios.

  3. Haga clic en IMPLEMENTAR AHORA.

Para obtener más información sobre este proceso, consulte la documentación de Cisco. Consulte Crear una respuesta de alerta de Syslog.

Nota

Evite caracteres especiales, incluidas comas, en nombres de objetos como nombres de reglas y políticas. El recopilador de datos de la VM puede tratar los caracteres como separadores.

Para conectar dispositivos clásicos Firepower al recopilador de datos de Sophos, haga lo siguiente:

Configurar los parámetros de Syslog

  1. Inicie sesión en Firepower Management Center (FMC).
  2. Haga clic en Políticas > Acciones > Alertas.
  3. En Crear alerta, seleccione Crear alerta de Syslog.
  4. Introduzca un Nombre para la alerta, por ejemplo, SophosIntegration.
  5. Introduzca la dirección IP del recopilador de datos de Sophos en Host.
  6. Introduzca el puerto configurado en el recopilador de registros de Sophos en Puerto.
  7. Seleccione el Recurso.

    El recopilador de datos de Sophos acepta cualquier dato de un recurso. Puede encontrar la lista de opciones de datos en la documentación de Cisco. Consulte la Tabla 1. Recursos de Syslog disponibles.

  8. Seleccione el nivel de Gravedad.

    El recopilador de datos de Sophos acepta cualquier nivel de gravedad que elija. Puede encontrar la lista de opciones en la documentación de Cisco. Consulte la Tabla 2. Niveles de gravedad de Syslog.

  9. Haga clic en Guardar.

Cuando se activa la opción Enviar registro de auditoría a Syslog y se proporciona la información del Host, los mensajes de Syslog se envían al host, así como los registros de auditoría. Si desea cambiar esto, puede averiguar cómo hacerlo en la documentación de Cisco. Consulte Filtrar Syslogs de registros de auditoría.

Configurar los parámetros de Syslog para el control de acceso

  1. Inicie sesión en su dispositivo.
  2. Haga clic en Políticas > Control de acceso.
  3. Edite la política de control de acceso aplicable.
  4. Haga clic en Registro.
  5. Seleccione Enviar usando una alerta de Syslog específica.
  6. Seleccione la alerta de Syslog que ha creado anteriormente.
  7. Haga clic en Guardar.

Activar el registro de eventos de archivos y malware

  1. Seleccione Enviar mensajes de Syslog para eventos de archivos y malware.
  2. Haga clic en Guardar.

Activar el registro de eventos de intrusión

  1. Vaya a la política de intrusión asociada a su política de control de acceso.
  2. En la política de intrusión, haga clic en Configuración avanzada > Alertas de Syslog > Activadas.
  3. Haga clic en Atrás.
  4. En Información de la política, haga clic en Confirmar cambios.
  5. Introduzca una descripción de los cambios y haga clic en Aceptar.

Las alertas de Cisco Firepower deberían aparecer en Sophos Data Lake después de la validación.