FAQ sur les rapports de pare-feu

CFR est le service de génération de rapports Cloud pour les pare-feu SFOS fourni par Sophos. CFR permet de créer des rapports historiques personnalisés pour mieux comprendre les applications, les risques et les tendances liés à votre réseau.

CFR est intégré à Sophos Firewall et disponible sur tous les pare-feu SFOS exécutant les versions actuelles du firmware.

Oui. CFR est disponible sur toutes les plates-formes de pare-feu SFOS exécutant les versions actuelles du firmware.

Central Firewall Reporting vous permet de configurer des rapports flexibles que vous pouvez personnaliser. Choisissez parmi une multitude de colonnes de tableaux différentes pour créer des rapports plus granulaires, succincts ou détaillés, selon vos besoins. Cette flexibilité vous permet de définir les champs de données dont vous avez besoin dans vos rapports et de visualiser les données corrélées.

Tous les rapports peuvent être présentés sous forme de graphique circulaire, linéaire, à barres verticales ou empilées, et certains d’entre eux peuvent être édités au format de diagramme Sankey. Vous pouvez également configurer les dimensions x et y dans le graphique, ce qui vous offre énormément de liberté dans la représentation de vos données.

Les rapports prédéfinis sont structurés autour de modules spécifiques tels que Utilisation des applications, Utilisation Web, etc. Vous pouvez les personnaliser davantage en modifiant les champs de données dans le tableau et les graphiques et en appliquant des filtres aux centaines d’options de champs de données disponibles. Les tableaux et graphiques de rapports flexibles vous permettent de personnaliser chaque rapport et de créer une bibliothèque de centaines de variations à partir de n'importe quel rapport. Chaque rapport offre plusieurs options graphiques, ce qui vous permet de visualiser les données et les tendances de la façon la mieux adaptée au sujet en question. Par exemple, le rapport Bande passante de l'application utilise un diagramme en aires empilées indiquant la consommation de bande passante sur une période définie.

CFR ne fonctionne pas en tant que transitaire de journaux. Si vous devez stocker vos données de journal dans un système de gestion des événements et des informations de sécurité (SIEM) ou un collecteur de journaux tiers en plus de Sophos Central, vous pouvez configurer votre pare-feu pour qu’il envoie des données simultanément à plusieurs emplacements. Exemple : Un SIEM local et Sophos Central.

Le tableau de bord Rapports fournit une vue d’ensemble depuis le pare-feu pour évaluer le diagnostic opérationnel du réseau, les événements de contrôle des stratégies et tous les événements liés à la sécurité. Celui-ci vous permet de voir les 24 heures précédentes d’événements sans avoir à générer de rapport. Le tableau de bord Rapports affiche les principaux événements liés au réseau, à la sécurité et aux stratégies. C’est à partir de celui-ci que vous pourrez générer des rapports contenant des informations plus détaillées.

Les pare-feu envoient des lots de données de journal générés soit par intervalles réguliers soit une fois que suffisamment de données de journal ont été collectées. Les journaux sont ensuite traités et transférés dans le Data Lake Sophos Central, où ils sont disponibles pour les rapports CFR, les requêtes XDR et MDR et les alertes. Ce processus peut prendre plusieurs minutes entre le moment où un événement est enregistré et celui où il est disponible pour les rapports.

Le Rapport d’évaluation de la posture de sécurité est un rapport à usage spécial qui inclut une liste personnalisable de rapports pouvant y être joints. Ces rapports peuvent être limités aux 10 à 100 événements les plus importants, offrant ainsi un aperçu clair à la direction. Il inclut également un rapport d’inventaire montrant l’état et les détails d’utilisation de la licence CFR sur tous les pare-feu gérés dans votre compte.

Les données sont conservées selon l’approche du premier entré, premier sorti (FIFO). Lorsqu'un pare-feu consomme tout l'espace de stockage alloué, les données sont remplacées selon la démarche FIFO. La date d’expiration est déterminée par la vitesse à laquelle le pare-feu envoie des données à Sophos Central. Les clients CFR Advanced peuvent acheter du stockage supplémentaire (dans la limite de la capacité maximale du pare-feu), et jusqu'à un an maximum de stockage.

Il existe trois niveaux de licence pour CFR par pare-feu : Free tier, Xstream Bundle, et CFR Advanced. Chaque licence fournit des quantités de stockage, des périodes de rétention et des fonctions Sophos Central différentes. L’Outil d’estimation du stockage des données pour Sophos Central Firewall peut vous aider à estimer l’option qui vous convient le mieux.

Tous les pare-feu ayant un abonnement actif incluent un maximum de sept jours de conservation des données.

La quantité de stockage fournie est basée sur le modèle du pare-feu. Ce stockage est suffisamment important pour fournir à la plupart des pare-feu une période complète de conservation des données de sept jours.

Cependant, les pare-feu qui produisent des volumes de journaux exceptionnellement élevés peuvent subir une période de rétention des données plus courte, car le stockage se remplit plus rapidement.

Les pare-feu « Free Tier » ne sont pas inclus dans les rapports planifiés ou les rapports de groupe.

Les pare-feu ayant un forfait d’abonnement Xstream actif peuvent bénéficier d’une rétention des données maximale de 30 jours.

La quantité de stockage fournie est basée sur le modèle du pare-feu. Ce stockage est suffisamment important pour fournir à la plupart des pare-feu une période de conservation des données de 30 jours.

Cependant, les pare-feu qui produisent des volumes de journaux exceptionnellement élevés peuvent subir une période de rétention des données plus courte, car le stockage se remplit plus rapidement.

Les pare-feu avec Xstream Bundle peuvent être inclus à la fois dans les rapports planifiés et dans les rapports de groupe.

Tous les pare-feu ayant un abonnement actif et au moins un utilisateur de licence CFR Advanced peuvent bénéficier d’un maximum de 365 jours de conservation des données.

Le volume de stockage assigné à ces pare-feu est basé sur le nombre d’utilisateurs de licence CFR Advanced :

Chaque utilisateur de licence CFR Advanced fait augmenter le volume de données de 100 Go. Plus un pare-feu a d’utilisateurs CFR Advanced, plus le volume de stockage qui lui est assigné est important. Les pare-feu qui produisent des volumes de journaux exceptionnellement élevés auront besoin de plus d’un utilisateur de licence CFR Advanced pour obtenir un maximum de 365 jours de rétention des données.

Vous pouvez utiliser l’outil d’estimation du stockage des données du pare-feu Sophos Central pour déterminer le nombre approprié de licences CFR avancées requises en fonction du volume de journaux de votre pare-feu.

Les pare-feu dotés de licences CFR Advanced peuvent être inclus à la fois dans les rapports planifiés et dans les rapports de groupe.

CFR Advanced vous permet d’augmenter la capacité de stockage Cloud de vos données Syslog dans votre compte Sophos Central en achetant du stockage supplémentaire. Cela permet de stocker davantage de données de journal dans l'intérêt de générer des rapports plus complets et prolonge également la période des rapports jusqu'à 365 jours.

Pour la version gratuite, vous activez CFR en cochant une case dans l'interface utilisateur du pare-feu. Aucune clé de licence n’est requise. Pour la version avancée, vous devez acheter et activer une licence d’abonnement. Les licences sont accordées par pare-feu, il n’est donc pas possible de partager des licences entre pare-feu.

La mise à niveau de la version gratuite vers CFR Advanced permet de stocker davantage de données de journal pour créer des rapports plus complets et prolonge la période jusqu'à 365 jours. En outre, les pare-feu ayant une licence CFR Advanced ou un forfait d’abonnement Xstream peuvent être inclus dans les rapports de groupe qui regroupent les données de plusieurs pare-feu en un seul rapport.

Les données Syslog sont stockées dans votre compte Sophos Central Cloud, dans la région de données dans lequel il est hébergé, où elles peuvent être récupérées si nécessaire via le pare-feu pour créer un nouveau rapport. Chaque pare-feu dispose d’une quantité de stockage associée, qui varie selon le modèle, les pare-feu 2U haut de gamme disposant du plus grand nombre. Vous pouvez choisir d’envoyer ou de ne pas envoyer certains types de données de journal pour le stockage dans le Cloud. Les données sont supprimées selon l’approche du premier entré, premier sorti (FIFO).

La version gratuite permet la création de rapports portant sur les sept derniers jours maximum en fonction de la quantité de données de journal générées et de la capacité de stockage du pare-feu. La version avancée permet la création de rapports portant sur une période plus longue pouvant aller jusqu'à un an. CFR Advanced vous permet d’augmenter ou de réduire à tout moment la quantité de stockage allouée à un appareil donné. Ceci fait augmenter ou réduire la durée pendant laquelle les anciennes données de journal sont disponibles.

Les données Syslog sont stockées dans le Cloud dans votre compte Sophos Central. Les données sont ajoutées et supprimées sur la base du premier entré, premier sorti (FIFO). Une fois la capacité de stockage maximale atteinte, les données les plus anciennes sont remplacées par les plus récentes.

CFR Advanced offre la possibilité d’ajouter plus de capacité de stockage via des licences cumulables de 100 Go. Vous devez acheter au moins une licence unique de 100 Go pour un pare-feu afin de bénéficier de toutes les fonctionnalités CFR Advanced.

Il existe trois fourchettes de prix basées sur la quantité :

• 100 Go à 1 To (1 à 10 licences)
• 1,1 To à 5 To (11 à 50 licences)
• 5,1 To ou plus (51 licences ou plus)

Le stockage est acheté par compte Sophos Central et vous pouvez attribuer du stockage à vos pare-feu.

Contactez votre partenaire Sophos pour plus d’informations concernant la tarification.