Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

SonicWall SonicOS

Recopilador de registros

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar el dispositivo de seguridad SonicOS con Sophos Central para que envíe mensajes de eventos a Sophos para su análisis.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se les denomina recopilador de datos. El recopilador de datos recibe datos de terceros y los envía a Sophos Data Lake.

Nota

Puede añadir varias instancias de firewall de SonicWall al mismo recopilador de datos.

Para ello, configure la integración de SonicWall SonicOS en Sophos Central y, a continuación, configure un firewall para que le envíe registros. Luego, configure los demás firewalls SonicWall para enviar registros al mismo recopilador de datos de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Los pasos clave para añadir una integración son los siguientes:

  • Añadir una integración para el producto. Esto configura un archivo de dispositivo virtual abierto (OVA).
  • Desplegar el archivo OVA en el servidor ESXi. Esto se convierte en su recopilador de datos.
  • Configurar SonicOS para enviar datos al recopilador de datos.

Añadir una integración

Para integrar SonicOS con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas y haga clic en Integraciones.
  2. Haga clic en SonicWall SonicOS.

    Si ya ha configurado conexiones con SonicOS, puede verlas aquí.

  3. Haga clic en Añadir.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de integración.

Configurar la VM

En Pasos de configuración de la integración configurará una VM para recibir los datos de SonicOS. Puede utilizar una máquina virtual existente o crear una nueva.

Para configurar la VM, haga lo siguiente:

  1. Añada un nombre y una descripción para la nueva integración.
  2. Introduzca un nombre y una descripción para el recopilador de datos.

    Si ya ha configurado una integración de recopilador de datos, puede elegirla de una lista.

  3. Seleccione la plataforma virtual. (Actualmente solo ofrecemos soporte para VMware).

  4. Especifique los puertos de red conectados a Internet.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

    Necesitará la dirección de la máquina virtual más tarde, cuando configure SonicOS para que le envíe datos.

  5. Seleccione un Protocolo.

  6. Rellene los campos restantes del formulario.
  7. Haga clic en Guardar.

    Creamos la integración y aparece en la lista. El archivo OVA puede tardar unos minutos en estar listo.

Implementar la VM

Restricción

El archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Una vez desplegado, no se puede volver a utilizar.

Si tiene que desplegar una VM nueva, deberá volver a realizar todos estos pasos para vincular esta integración con Sophos Central.

Utilice el archivo OVA para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en Descargar OVA.
  2. Cuando finalice la descarga del archivo OVA, despliéguelo en el servidor ESXi. Un asistente le guiará durante el proceso. Consulte Desplegar una VM para integraciones.

Cuando haya desplegado la VM, la integración se mostrará como Conectada.

Configurar SonicOS

Ahora puede configurar SonicOS para que nos envíe datos.

Para configurar los parámetros de Syslog en su firewall, haga lo siguiente:

Nota

Si utiliza el sistema de gestión global (GMS) de SonicWall para administrar su firewall, no podrá cambiar el formato de Syslog (predeterminado) ni el ID de Syslog (Firewall). Puede cambiar los demás ajustes. Las siguientes instrucciones no utilizan GMS.

  1. Vaya a Registro > Syslog.
  2. Seleccione Servidores de Syslog y haga clic en Añadir.
  3. Introduzca los detalles de la dirección de la máquina virtual.
  4. En Formato de Syslog, seleccione ArcSight. El recopilador de datos de Sophos recibe las alertas en formato ArcSight CEF.

    Al seleccionar ArcSight, se activa el icono Configurar.

  5. Haga clic en el icono Configurar. Aparece la ventana de configuración Configuración de los campos de ArcSight CEF.

  6. Seleccione las opciones de ArcSight que desea registrar. En la mayoría de los casos, es Todo. Para seleccionar todas las opciones, haga clic en Seleccionar todo.
  7. Haga clic en Guardar.
  8. En la casilla ID de Syslog, introduzca el ID de Syslog que desee.

    En todos los mensajes generados se incluye el campo ID de Syslog, con el prefijo id=.

    Por ejemplo, para el firewall, el valor predeterminado, todos los mensajes de Syslog incluyen id=firewall. Puede establecer un ID que consta de 0 a 32 letras, números y guiones bajos.

    Nota

    Cuando se activa la opción Anular la configuración de Syslog con la configuración del software de generación de informes, el campo ID de Syslog se fija en "Firewall". No se puede modificar.

  9. Haga clic en Aceptar en la parte superior de la página.

  10. Vaya a Registro > Configuración para configurar las alertas que se reenviarán a Sophos.
  11. En Nivel de registro, debe seleccionar Advertencia.

    Esto filtra los eventos de menor prioridad.

  12. En la página Registro > Configuración, también puede filtrar los eventos según sus Atributos de evento.

    1. Seleccione una categoría y haga clic en Configurar.
    2. En Editar categoría de registro, seleccione la casilla de Syslog para categorías específicas.

      Los cambios se aplican a todos los grupos y eventos de la categoría seleccionada.

Más información