Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=ubiquitiunifi

Integrar Ubiquiti UniFi

Recopilador de registros Firewall

Debe tener el paquete de licencia de integración "Firewall" para utilizar esta función.

Puede integrar Ubiquiti UniFi con Sophos Central para que envíe alertas de firewall a Sophos para su análisis.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo de integración. El dispositivo recibe datos de terceros y los envía a Sophos Data Lake.

En esta página se describe la integración mediante un dispositivo en ESXi o Hyper-V. Si desea integrar con un dispositivo en AWS, consulte Integraciones en AWS.

Pasos clave

Los pasos clave de una integración son los siguientes:

  • Añadir una integración para el producto. En este paso, se crea una imagen del dispositivo.
  • Descargar y desplegar la imagen en su VM. Esto se convierte en su dispositivo.
  • Configurar Ubiquiti UniFi para enviar datos al dispositivo.

Requisitos

Su producto Ubiquiti debe ser capaz de generar alertas de seguridad. Entre los productos que pueden hacerlo se incluyen los siguientes:

  • UDM Pro (Dream Machine)
  • USG - Unifi Security

Los dispositivos de integración tienen requisitos de acceso al sistema y a la red. Para comprobar que los cumple, consulte Requisitos del dispositivo .

Añadir una integración

Para añadir la integración, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.

  2. Haga clic en Ubiquiti UniFi.

    Se abre la página Ubiquiti UniFi. Puede añadir integraciones aquí y ver una lista de cualquiera que ya haya añadido.

  3. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Proporcionar los detalles de su dominio y dirección IP.

    Aparece Pasos de configuración de la integración.

Configurar el dispositivo

En Pasos de configuración de la integración, puede configurar un nuevo dispositivo o utilizar uno existente.

Asumimos aquí que va a configurar un nuevo dispositivo. Para ello, cree una imagen de la siguiente manera:

  1. Introduzca un nombre y una descripción de la integración.
  2. Haga clic en Crear un nuevo dispositivo.
  3. Introduzca un nombre y una descripción para el dispositivo.
  4. Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.

  5. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de administración para el dispositivo.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  6. Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.

    Necesitará esta dirección IP de syslog más tarde, cuando configure Ubiquiti UniFi para que envíe datos a su dispositivo.

  7. En Protocolo, seleccione UDP.

    Debe utilizar el mismo protocolo cuando configure Ubiquiti UniFi para enviar datos al dispositivo.

  8. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    El número de puerto del dispositivo se muestra en los detalles de la integración. Necesitará esto más tarde cuando configure Ubiquiti UniFi para que le envíe datos.

    La imagen del dispositivo puede tardar unos minutos en estar lista.

Desplegar el dispositivo

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si despliega otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen para desplegar el dispositivo de la siguiente manera:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar dispositivos.

Cuando haya desplegado el dispositivo, la integración se mostrará como Conectada.

Configurar Ubiquiti UniFi

Ahora puede configurar Ubiquiti UniFi para que nos envíe alertas mediante el reenvío de Syslog.

Nota

Puede configurar varias instancias de Ubiquiti UniFi para enviar datos a Sophos a través del mismo dispositivo. Una vez finalizada la integración, repita los pasos de esta sección para sus otras instancias de Ubiquiti UniFi. No es necesario que repita los pasos en Sophos Central.

Puede configurar el modo de reenvío de registros en la interfaz de usuario de Ubiquiti UniFi OS, pero debe configurarlo en cada sitio por separado.

Los nombres de las opciones de configuración varían ligeramente entre las diferentes versiones de UniFi OS, pero los pasos clave son los mismos para todas.

Para configurar el reenvío de alertas, haga lo siguiente:

  1. Vaya a la configuración de registro: Configuración > Sistema > Avanzado > Ubicación de registro remoto.

    Para versiones anteriores, vaya a la configuración de registro de la siguiente manera:

    • Configuración > Sitio > Registro remoto (UniFi versión 5)
    • Configuración > Sistema > Registro del sistema (UniFi versión 7)

  2. Configure el registro como se indica a continuación, utilizando las opciones correspondientes a su versión:

    • Establezca los Niveles de registro en Automáticos.
    • Active Syslog.
    • No active Registro de depuración, Registros de depuración o Netconsole.
    • Active la opción Activar servidor de Syslog remoto.
    • Establezca la Ubicación de registro remoto en Servidor remoto.

  3. Introduzca los siguientes detalles para el dispositivo de Sophos que ha configurado antes:

    • Dirección IP remota o Host Syslog: Dirección IP del dispositivo. Debe coincidir con la dirección IP de Syslog que introdujo en Sophos Central.
    • Puerto o Puerto Syslog: El número de puerto que ha establecido en Sophos Central.

  4. Haga clic en Aplicar cambios para guardar la configuración. El dispositivo UniFi comienza a reenviar los registros a Sophos.