Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Cisco Firepower

Recopilador de registros

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar Firepower con Sophos Central para que envíe los datos de auditoría a Sophos para analizarlos.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo. El dispositivo recibe datos de terceros y los envía a Sophos Data Lake.

Puede añadir recopiladores de registros a una VM existente que ejecute el dispositivo virtual Sophos NDR y otros recopiladores de registros. También puede crear una nueva VM para esta integración.

Nota

Puede añadir varios firewalls Cisco Firepower al mismo dispositivo de Sophos.

Para ello, configure la integración de Cisco Firepower en Sophos Central y, a continuación, configure un firewall para que le envíe registros. Luego, configure los demás firewalls Cisco Firepower para enviar registros al mismo dispositivo de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Estos son los pasos clave:

  • Configurar una integración para este producto. Esto configura una imagen para usarla en una VM.
  • Descargar y desplegar la imagen en su VM. Esto se convierte en su dispositivo.
  • Configurar Firepower para enviar datos. Los pasos que siga dependen del dispositivo que tenga.
  • Conectar Firepower a su VM.

Requisitos

Los dispositivos tienen requisitos de acceso de sistema y de red. Para comprobar que los cumple, consulte Requisitos del dispositivo .

Configurar una integración

Para integrar Firepower con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
  2. Haga clic en Cisco Firepower.

    Se abre la página Cisco Firepower. Puede configurar integraciones aquí y ver una lista de cualquiera que ya haya configurado.

  3. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de configuración de la integración.

Configurar la VM

En Pasos de configuración de la integración, configure su VM como dispositivo para recibir los datos de Firepower. Puede utilizar una máquina virtual existente o crear una nueva.

Es posible que tenga que ir a Firepower para obtener parte de la información que necesita para rellenar el formulario.

Para configurar la VM, haga lo siguiente:

  1. Añada un nombre y una descripción para la nueva integración.
  2. Introduzca un nombre y una descripción para el dispositivo.

    Si ya ha configurado un dispositivo de Sophos, puede elegirlo de una lista.

  3. Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.

  4. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de gestión para la VM.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  5. Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.

    Necesitará esta dirección IP de syslog más tarde, cuando configure Firepower para que envíe datos a su dispositivo.

  6. Seleccione un Protocolo.

    Debe utilizar el mismo protocolo cuando configure Firepower para enviar datos al dispositivo.

  7. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    En los detalles de integración, puede ver el número de puerto del dispositivo. Necesitará esto más tarde cuando configure Firepower para que le envíe datos.

    La imagen de VM puede tardar unos minutos en estar lista.

Implementar la VM

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen de VM para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar una VM para integraciones.

Configurar Firepower

Ahora configure Firepower para que envíe los datos a su dispositivo. El dispositivo actúa como un servidor syslog, por lo que utiliza la función de servidor syslog de su firewall para enviarle datos.

Los pasos que siga dependen de la versión del firmware de su dispositivo y del método de administración de Cisco que esté utilizando.

Para firewalls que ejecuten FirePower Threat Defense (FTD) versión 6.3 o posterior, haga clic en la pestaña del método de administración que esté usando. Puede usar FirePower Management Console (FMC) o FirePower Defence Manager (FDM).

Para firewalls que ejecuten versiones de FirePower Threat Defense (FTD) anteriores a 6.3, haga clic en la pestaña para dispositivos clásicos.

Nota

Evite caracteres especiales, incluidas comas, en nombres de objetos como nombres de reglas y políticas. El dispositivo de la VM puede tratar los caracteres como separadores.

Para usar FirePower Management Console para conectar un firewall que ejecute FirePower Threat Defense (FTD) versión 6.3 o posterior a su dispositivo de Sophos, haga lo siguiente.

Configurar los parámetros de Syslog

  1. En FMC, haga clic en Dispositivos > Configuración de la plataforma.
  2. Seleccione la plataforma que desea conectar al dispositivo y haga clic en el icono de edición.
  3. Haga clic en Syslog.
  4. Haga clic en Servidores de Syslog > Añadir.
  5. Introduzca los siguientes datos de conexión para el dispositivo de Sophos:

    1. Dirección IP. Esta es la dirección IP de syslog que configuró en Sophos Central.
    2. Tipo de protocolo. Si ha seleccionado UDP, no debe activar el formato EMBLEM.
    3. Número de puerto.

    Debe introducir la misma configuración que introdujo en Sophos Central al añadir la integración.

  6. No seleccione Habilitar syslog seguro.

  7. En Accesible por, introduzca los detalles de red que permitirán a su firewall contactar con el dispositivo de Sophos.

  8. Haga clic en Aceptar.

    Para obtener más información sobre la configuración de servidores syslog para firewalls Cisco Firepower, consulte Configurar un servidor de Syslog.

  9. Haga clic en Configuración de Syslog y configure los parámetros de la siguiente manera:

    1. Active *Habilitar marca de tiempo en mensajes de Syslog*.
    2. En Formato de marca de tiempo, seleccione RFC 5424.
    3. Active Habilitar ID de dispositivo Syslog y seleccione Nombre de host.
    4. No active Configuración equivalente de Netflow.
  10. Haga clic en Guardar.

  11. Haga clic en Configuración de registro.
  12. Seleccione Habilitar registro.
  13. No debe seleccionar lo siguiente:

    1. Habilitar registro en la unidad en espera de conmutación por error
    2. Enviar syslogs en formato EMBLEM
    3. Enviar mensajes de depuración como syslogs
  14. Si desea reenviar eventos de VPN al dispositivo de Sophos, haga lo siguiente:

    1. En la sección Configuración de registro de VPN, seleccione Habilitar registro en Firewall Management Center.
    2. Seleccione Depurar como Nivel de registro.
  15. No es necesario que introduzca información en Especificar información de servidor FTP o Especificar tamaño de flash.

  16. Haga clic en Guardar.

Configurar los parámetros de registro para el control de acceso

También debe configurar los parámetros de registro para la política de control de acceso, incluido el registro de archivos y malware.

Para ello, haga lo siguiente:

  1. Haga clic en Políticas > Control de acceso.
  2. Haga clic en el icono de edición de la política de control de acceso que desea configurar.
  3. Haga clic en Registro.
  4. Seleccione Usar las opciones de Syslog configuradas en la política Configuración de la plataforma FTD desplegada en el dispositivo.
  5. En Gravedad de Syslog, seleccione ALERTA.
  6. Active Enviar mensajes de Syslog para eventos de IPS.
  7. Active Enviar mensajes de Syslog para eventos de archivos y malware.
  8. Haga clic en Guardar.

Activar el registro de eventos de inteligencia de seguridad

  1. En la misma política de control de acceso, haga clic en Inteligencia de seguridad.
  2. Haga clic en el icono de opciones de Política DNS.
  3. En Opciones de registro de la lista de bloqueo de DNS, active lo siguiente:

    • Conexiones de registro.
    • Firewall Management Center
    • Servidor de Syslog.
  4. Haga clic en Aceptar.

  5. En Lista de bloqueo, haga clic en el icono opciones de Red.

  6. En Opciones de registro de la lista de bloqueo de red, active lo siguiente:

    • Conexiones de registro
    • Firewall Management Center
    • Servidor Syslog
  7. Haga clic en Aceptar.

  8. Desplácese hacia abajo en Lista de bloqueo para encontrar el icono de opciones de URL.

  9. En Opciones de registro de la lista de bloqueo de URL, active lo siguiente:

    • Conexiones de registro
    • Firewall Management Center
    • Servidor Syslog
  10. Haga clic en Aceptar.

  11. Haga clic en Guardar.

Activar el registro de Syslog para cada regla de control de acceso

Debe asegurarse de que todas las reglas de la política de control de acceso tengan activado el registro syslog.

Para ello, para cada regla de la política, haga lo siguiente.

  1. En la misma política de control de acceso, haga clic en la ficha Reglas.
  2. Haga clic en una regla para editarla.
  3. En Editar regla, haga clic en Registro.
  4. Elija si desea registrar el inicio o el final de las conexiones, o ambos.

    El registro de conexiones genera muchos datos. Registrar tanto el inicio como el final genera aproximadamente el doble. No todas las conexiones se pueden registrar tanto al inicio como al final. Para obtener más detalles, inicie sesión en su cuenta de Cisco y vaya a la sección Registro de conexiones de la Guía de configuración del Centro de Firepower Management Center, versión 6.2. Consulte Conexión, Registro.

  5. Si desea registrar los eventos de los archivos, seleccione Archivos de registro.

  6. Active Servidor de Syslog.
  7. Haga clic en Guardar.

Activar el registro de eventos de intrusión

También debe activar el registro de eventos en la política de intrusión asociada a la política de control de acceso.

  1. Haga clic en Políticas > Intrusión.
  2. Busque la política de intrusión asociada a su política de control de acceso y haga clic en *VersiónSnort 2*** .
  3. En Información de la política, haga clic en Configuración avanzada.
  4. En Configuración avanzada, vaya a Alertas de *Syslog*.
  5. Haga clic en Activadas.
  6. Haga clic en Atrás.
  7. En Información de la política, haga clic en Confirmar cambios.
  8. Introduzca una descripción de los cambios y haga clic en Aceptar.

Nota

Evite caracteres especiales, incluidas comas, en nombres de objetos como nombres de reglas y políticas. El dispositivo de la VM puede tratar los caracteres como separadores.

Para conectar un dispositivo Firepower al dispositivo de Sophos usando FDM, haga lo siguiente.

Activar el registro de eventos de archivos y malware.

Para activar el registro de eventos de archivos y malware y añadir los detalles de conexión de su dispositivo de Sophos al firewall, haga lo siguiente.

  1. Inicie sesión en FDM en el dispositivo que desea configurar y vaya a la ficha Dispositivo:<nombre>.
  2. En Configuración del sistema, haga clic en Configuración de registro.
  3. Active REGISTRO DE ARCHIVOS/MALWARE.
  4. Haga clic en Servidor de Syslog para ver los servidores disponibles.
  5. Si ya ha añadido el dispositivo de Sophos a este dispositivo, selecciónelo. Si no es así, haga clic en Crear nuevo servidor de Syslog.
  6. Introduzca los siguientes datos de conexión para el dispositivo de Sophos:

    1. Dirección IP. Esta es la dirección IP de Syslog que configuró en Sophos Central.
    2. Tipo de protocolo.
    3. Número de puerto.

    Debe introducir la misma configuración que introdujo en Sophos Central al añadir la integración.

  7. Si es necesario, seleccione una interfaz de datos o una interfaz de administración que se adapte a su entorno de red.

  8. Haga clic en Aceptar.
  9. El nuevo servidor aparece en Servidores de Syslog. Haga clic en él para seleccionarlo.
  10. En Registrar en nivel de gravedad, seleccione Depurar.
  11. Haga clic en GUARDAR.

Configurar políticas

En cada política, debe activar el registro de las actividades que desea enviar a su dispositivo de Sophos. Puede activar el control de acceso y los eventos de intrusión.

Para ello, haga lo siguiente:

  1. Haga clic en Políticas > Control de acceso.
  2. Busque la política que desee configurar y haga clic en el icono de edición.
  3. Haga clic en Registro.
  4. En SELECCIONAR ACCIÓN DE REGISTRO, elija si desea registrar al principio o al final de las conexiones, o en ninguno de los dos casos.
  5. En EVENTOS DE ARCHIVO, active **Archivos de registro****.
  6. Si desea registrar eventos de intrusión, en Política de intrusión, active POLÍTICA DE INTRUSIÓN.
  7. Seleccione la política de intrusión que desea aplicar.
  8. Si desea registrar eventos de archivos, en Política de archivos, seleccione la política de archivos que desea aplicar. Elija de entre estas opciones:

    • Bloquear todo el malware
    • Búsqueda de malware en la nube - Sin bloqueo
  9. En ENVIAR EVENTOS DE CONEXIÓN A: seleccione su dispositivo de Sophos.

  10. Haga clic en Aceptar.
  11. Haga clic en Intrusión.
  12. Busque la política que desee configurar y haga clic en el icono de configuración.
  13. En Editar configuración de registro, haga clic en el icono más y seleccione su dispositivo de Sophos.
  14. Haga clic en Aceptar.

Repita estos pasos para cada política que deba enviar datos a su dispositivo de Sophos.

Guardar los cambios

Los cambios no estarán activos en el dispositivo hasta que los implemente. Para ello, haga lo siguiente:

  1. Haga clic en el icono de implementación.

    El punto del icono aparece cuando hay cambios sin implementar.

  2. En Cambios pendientes, revise los cambios.

  3. Haga clic en IMPLEMENTAR AHORA.

Para obtener más información sobre este proceso, consulte la documentación de Cisco. Consulte Crear una respuesta de alerta de Syslog.

Nota

Evite caracteres especiales, incluidas comas, en nombres de objetos como nombres de reglas y políticas. El dispositivo de la VM puede tratar los caracteres como separadores.

Para conectar dispositivos clásicos Firepower al dispositivo de Sophos, haga lo siguiente.

Configurar los parámetros de Syslog

  1. Inicie sesión en Firepower Management Center (FMC).
  2. Haga clic en Políticas > Acciones > Alertas.
  3. En Crear alerta, seleccione Crear alerta de Syslog.
  4. Introduzca un Nombre para la alerta, por ejemplo, SophosIntegration.
  5. Introduzca la dirección IP del dispositivo de Sophos en Host.
  6. Introduzca el puerto configurado en el dispositivo de Sophos en Puerto.
  7. Seleccione el Recurso.

    El dispositivo de Sophos acepta cualquier dato de un recurso. Puede encontrar la lista de opciones de datos en la documentación de Cisco. Consulte la Tabla 1. Recursos de Syslog disponibles.

  8. Seleccione el nivel de Gravedad.

    El dispositivo de Sophos acepta cualquier nivel de gravedad que elija. Puede encontrar la lista de opciones en la documentación de Cisco. Consulte la Tabla 2. Niveles de gravedad de Syslog.

  9. Haga clic en Guardar.

Cuando se activa la opción Enviar registro de auditoría a Syslog y se proporciona la información del Host, los mensajes de Syslog se envían al host, así como los registros de auditoría. Si desea cambiar esto, puede averiguar cómo hacerlo en la documentación de Cisco. Consulte Filtrar Syslogs de registros de auditoría.

Configurar los parámetros de Syslog para el control de acceso

  1. Inicie sesión en su dispositivo.
  2. Haga clic en Políticas > Control de acceso.
  3. Edite la política de control de acceso aplicable.
  4. Haga clic en Registro.
  5. Seleccione Enviar usando una alerta de Syslog específica.
  6. Seleccione la alerta de Syslog que ha creado anteriormente.
  7. Haga clic en Guardar.

Activar el registro de eventos de archivos y malware

  1. Seleccione Enviar mensajes de Syslog para eventos de archivos y malware.
  2. Haga clic en Guardar.

Activar el registro de eventos de intrusión

  1. Vaya a la política de intrusión asociada a su política de control de acceso.
  2. En la política de intrusión, haga clic en Configuración avanzada > Alertas de Syslog > Activadas.
  3. Haga clic en Atrás.
  4. En Información de la política, haga clic en Confirmar cambios.
  5. Introduzca una descripción de los cambios y haga clic en Aceptar.

Las alertas de Cisco Firepower deberían aparecer en Sophos Data Lake después de la validación.