Integración de F5
Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.
Puede integrar F5 BIG-IP ASM con Sophos Central para que envíe alertas a Sophos.
Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo de integración. El dispositivo recibe datos de terceros y los envía a Sophos Data Lake.
En esta página se describe la integración mediante un dispositivo en ESXi o Hyper-V. Si desea integrar con un dispositivo en AWS, consulte Integraciones en AWS.
Pasos clave
Los pasos clave de una integración son los siguientes:
- Añadir una integración para el producto. En este paso, se crea una imagen del dispositivo.
- Descargar y desplegar la imagen en su VM. Esto se convierte en su dispositivo.
- Configurar F5 BIG-IP ASM para enviar datos al dispositivo.
Requisitos
Los dispositivos tienen requisitos de acceso de sistema y de red. Para comprobar que los cumple, consulte Requisitos del dispositivo .
Añadir una integración
Para añadir la integración, haga lo siguiente:
- En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
-
Haga clic en F5 BIG-IP ASM.
Se abre la página F5 BIG-IP ASM. Puede añadir integraciones aquí y ver una lista de cualquiera que ya haya añadido.
-
En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.
Nota
Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.
Aparece Pasos de configuración de la integración.
Configurar el dispositivo
En Pasos de configuración de la integración, puede configurar un nuevo dispositivo o utilizar uno existente.
Asumimos aquí que va a configurar un nuevo dispositivo. Para ello, cree una imagen de la siguiente manera:
- Introduzca un nombre y una descripción de la integración.
- Haga clic en Crear un nuevo dispositivo.
- Introduzca un nombre y una descripción para el dispositivo.
- Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.
-
Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de administración para el dispositivo.
-
Seleccione DHCP para asignar la dirección IP automáticamente.
Nota
Si selecciona DHCP, debe reservar la dirección IP.
-
Seleccione Manual para especificar la configuración de la red.
-
-
Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.
Necesitará esta dirección IP de syslog más tarde, cuando configure F5 BIG-IP ASM para que envíe datos a su dispositivo.
-
Seleccione un Protocolo.
Debe utilizar el mismo protocolo cuando configure F5 BIG-IP ASM para enviar datos al dispositivo.
-
Haga clic en Guardar.
Creamos la integración y aparece en la lista.
En los detalles de integración, puede ver el número de puerto del dispositivo. Lo necesitará más adelante cuando configure F5 BIG-IP ASM para enviarle datos.
La imagen del dispositivo puede tardar unos minutos en estar lista.
Desplegar el dispositivo
Restricción
Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.
Utilice la imagen para desplegar el dispositivo de la siguiente manera:
- En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
- Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar un dispositivo.
Configurar F5 BIG-IP ASM
Ahora puede configurar F5 BIG-IP ASM para que nos envíe alertas mediante el reenvío de Syslog.
Nota
Puede configurar varias instancias de F5 BIG-IP ASM para enviar datos a Sophos a través del mismo dispositivo. Una vez finalizada la integración, repita los pasos de esta sección para sus otras instancias de F5 BIG-IP ASM. No es necesario que repita los pasos en Sophos Central.
Para configurar el reenvío de alertas, haga lo siguiente:
Crear un perfil de registro
Debe crear un perfil de registro personalizado para registrar los eventos de seguridad de las aplicaciones.
- En la pestaña Principal, haga clic en Seguridad > Registros de eventos > Perfiles de registro.
-
En Perfiles de registro, haga clic en Crear.
Se abre la pantalla Nuevo perfil de registro.
-
En Nombre de perfil, introduzca un nombre único para el perfil.
-
Seleccione Seguridad de las aplicaciones.
La pantalla muestra campos adicionales.
-
En la pestaña Seguridad de las aplicaciones, en Configuración, seleccione Opciones avanzadas.
- Seleccione Almacenamiento remoto para almacenar los registros de forma remota.
-
En la lista Registro de respuestas, seleccione Solo para solicitudes ilegales.
Por defecto, el sistema registra los primeros 10 000 bytes de respuestas, hasta 10 respuestas por segundo. Puede cambiar los límites utilizando las variables del sistema de registro de respuestas.
Por defecto, el sistema registra todas las solicitudes. Para limitar el tipo de solicitudes que registra el sistema o el servidor, configure el Filtro de almacenamiento.
Continúe configurando el registro remoto.
Configurar el registro remoto
Puede configurar su perfil de registro para que registre los eventos de seguridad de las aplicaciones de forma remota en un servidor de Syslog.
- En la pestaña Principal, haga clic en Seguridad > Registros de eventos > Perfiles de registro.
- En Perfiles de registro, haga clic en el nombre del perfil de registro para el que desea configurar el registro remoto.
-
Seleccione Almacenamiento remoto.
En la lista Tipo de almacenamiento remoto, seleccione Remoto. Los mensajes están en formato de Syslog.
-
En Protocolo, seleccione el protocolo que definió en Sophos Central: UDP o TCP.
El protocolo seleccionado se aplica a todas las configuraciones del servidor remoto en esta pantalla, incluidas todas las direcciones IP del servidor.
-
En Direcciones de servidor, especifique el servidor en el que registrar el tráfico. Indique la Dirección IP y el Número de puerto que especificó anteriormente en Sophos Central y haga clic en Añadir.
- En Instalación, seleccione la categoría del tráfico registrado. Para esta integración, no importa cuál elija.
- En la opción de configuración Formato de almacenamiento, puede especificar cómo muestra la información el registro, qué elementos de tráfico registra el servidor y en qué orden los registra.
- En Tamaño máximo de la cadena de consulta, puede especificar el volumen que el servidor registra de una solicitud. Seleccione Cualquiera.
- En Longitud máxima de entrada, puede especificar la longitud de la entrada que registra el servidor. Acepte la longitud predeterminada (1000 para servidores remotos que admitan UDP y 2000 para servidores remotos que admitan TCP).
- Seleccione Informe de anomalías detectadas. El sistema enviará un informe al registro remoto del sistema cuando comience y termine un ataque por fuerza bruta o un ataque de web scraping.
- En la sección Filtro de almacenamiento, realice los cambios que se requieran.
- Haga clic en Finalizado.
Al crear un perfil de registro para el almacenamiento remoto, el sistema almacena los datos de la política de seguridad asociada en uno o varios sistemas remotos.
Asociar un perfil de registro a una política de seguridad
Un perfil de registro registra las solicitudes al servidor virtual. Por defecto, cuando se crea una política de seguridad, el sistema asocia el perfil Registrar solicitudes ilegales al servidor virtual utilizado por la política.
Puede cambiar el perfil de registro asociado a la política de seguridad o asignar uno nuevo editando el servidor virtual.
- Haga clic en Tráfico local > Servidores virtuales.
- Haga clic en el nombre del servidor virtual utilizado por la política de seguridad. El sistema muestra las propiedades generales del servidor virtual.
-
En el menú Seguridad, seleccione Políticas.
El sistema muestra la configuración de políticas para el servidor virtual.
-
Asegúrese de que la opción Política de seguridad de aplicaciones está Activada y que Política está establecida en la política de seguridad que desea.
-
Para el Perfil de registro, haga lo siguiente:
- Compruebe que está configurado en Activado.
- En la lista Disponibles, seleccione el perfil que se utilizará para la política de seguridad y muévalo a la lista Seleccionados.
-
Haga clic en Actualizar.
La información relacionada con el tráfico controlado por la política de seguridad se registra utilizando el perfil o perfiles de registro especificados en el servidor virtual.