Intégrer Barracuda CloudGen
Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.
Vous pouvez intégrer Barracuda CloudGen à Sophos Central pour lui permettre d’envoyer des alertes à Sophos.
Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils s’appellent une appliance d’intégration. L’appliance reçoit des données tierces et les envoie à Sophos Data Lake.
Cette page décrit l’intégration à l’aide d’une appliance sur ESXi ou Hyper-V. Si vous souhaitez effectuer une intégration à l’aide d’une appliance sur AWS, consultez Intégrations sur AWS.
Étapes clés
Les étapes clés d’une intégration sont les suivantes :
- Ajouter une intégration pour ce produit. À cette étape, vous créez une image de l’appliance.
- Télécharger et déployer l’image sur une machine virtuelle. Cela devient votre appliance.
- Configurer Barracuda CloudGen pour qu’il envoie des données à l’appliance.
Conditions requises
Les appliances ont des exigences en matière d’accès au système et au réseau. Pour vérifier que vous y adhérez, consultez Exigences relatives à l’appliance.
Ajouter une intégration
Pour ajouter l’intégration, procédez de la manière suivante :
- Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
-
Cliquez sur Barracuda CloudGen.
La page Barracuda CloudGen s’ouvre. Vous pouvez ajouter les intégrations et voir une liste de celles que vous avez déjà ajoutées.
-
Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.
Remarque
S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Fournir les détails de votre domaine et de votre adresse IP.
Les Étapes de configuration de l’intégration s’affichent.
Configurer l’appliance
Dans les Étapes de configuration de l’intégration, vous pouvez configurer une nouvelle appliance ou utiliser une appliance existante.
Nous supposons ici que vous configurez une nouvelle appliance. Pour ce faire, créez une image comme suit :
- Saisissez le nom de domaine et sa description.
- Cliquez sur Créer une nouvelle appliance.
- Saisissez le nom et la description de l’appliance.
- Sélectionnez la plate-forme virtuelle. Actuellement, nous prenons en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.
-
Spécifiez les paramètres IP pour les Ports du réseau connecté à Internet. Cette opération configure l’interface de gestion de l’appliance.
-
Sélectionnez DHCP pour assigner automatiquement l’adresse IP.
Remarque
Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.
-
Sélectionnez Manuel pour spécifier les paramètres réseau.
-
-
Sélectionnez la version IP syslog et saisissez l’adresse IP syslog.
Vous aurez besoin de l’adresse IP syslog ultérieurement lorsque vous allez configurer Barracuda CloudGen pour qu’il envoie des données à votre appliance.
-
Dans Protocole, TCP est présélectionné. Ce paramètre ne peut pas être modifié.
Lorsque vous configurez Barracuda CloudGen pour qu’il envoie des données à votre appliance, assurez-vous qu’il utilise le même protocole.
-
Cliquez sur Enregistrer.
Nous créons l’intégration et celle-ci apparaît dans votre liste.
Dans les détails d’intégration, vous pouvez voir le numéro de port de l’appliance. Vous aurez besoin de cette information ultérieurement lorsque vous allez configurer Barracuda CloudGen pour qu’il lui envoie des données.
L’image de l’appliance sera prête au téléchargement en l’espace de quelques minutes.
Déployer l’appliance
Restriction
Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une autre machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.
Utilisez l’image pour déployer l’appliance comme suit :
- Dans la liste des intégrations, dans Actions, cliquez sur l’action de téléchargement de votre plate-forme, par exemple Télécharger la version OVA pour ESXi.
- Une fois le téléchargement de l’image terminé, déployez-la sur votre machine virtuelle. Voir Déployer des appliances.
Configurer Barracuda CloudGen
Configurez à présent Barracuda CloudGen pour lui permettre de nous envoyer des alertes à l’aide du transfert Syslog.
Remarque
Vous pouvez configurer plusieurs instances de Barracuda CloudGen pour envoyer des données à Sophos via la même appliance. Une fois l’intégration terminée, répétez les étapes de cette section pour vos autres instances de Barracuda CloudGen. Vous n’avez pas besoin de répéter les étapes dans Sophos Central.
Activer la diffusion syslog
Activez la diffusion syslog sur le pare-feu Barracuda CloudGen de la manière suivante :
- Allez dans CONFIGURATION > Arborescence de configuration > Box > Services d’infrastructure > Diffusion syslog.
- Cliquez sur Verrouiller.
- Définissez Activer la diffusion syslog sur Oui.
- Cliquez sur Envoyer les modifications et Activer.
Activer les rapports détaillés sur le pare-feu
- Allez dans Arborescence de configuration > Services d'infrastructure > Configuration générale du pare-feu.
- Cliquez sur Verrouiller.
- Dans le menu de gauche, cliquez sur Audit et rapports.
- Sous Stratégie journal, définissez le Mode du journal d'activité sur Log-Pipe-Separated-Key-Value-List (Liste de valeurs clé séparées par des pipes).
- Cliquez sur Envoyer les modifications et Activer.
Exemple de résultat avec Log-Pipe-Separated-Key-Value-List :
2024 05 07 10:02:51 +00:00 Info Allow: type=LOUT|proto=TCP|srcIF=dhcp|srcIP=10.0.0.4|srcPort=47542|srcMAC=00:0d:3a:46:14:a3|dstIP=168.63.129.16|dstPort=32526|dstService=|dstIF=|rule=PASSALL|info=0|srcNAT=10.0.0.4|dstNAT=168.63.129.16|duration=0|count=1|receivedBytes=0|sentBytes=0|receivedPackets=0|sentPackets=0|user=|protocol=|application=|target=|content=|urlcat=
Configurer les filtres de données de journal
Spécifiez les types de fichiers journaux à diffuser.
- Allez dans CONFIGURATION > Arborescence de configuration > Box > Services d’infrastructure > Diffusion syslog.
- Dans le menu de gauche, sélectionnez Filtres de données de journal.
- Cliquez sur Verrouiller.
-
Dans le tableau Filtres, cliquez sur "+" pour ajouter un nouveau filtre.
La fenêtre Filtres s’ouvre.
-
Saisissez un Nom, par exemple « Intégration Sophos MDR ».
- Cliquez sur OK.
-
Dans le tableau Sélection des données, ajoutez les fichiers journaux Données de journal de niveau supérieur à diffuser. Vous pouvez sélectionner :
- Fatal_log
- Journal panique
- Firewall_Audit_Log
Pour Firewall_audit_Log, le journal d'audit du pare-feu doit être activé et configuré et Livraison de l’audit doit être défini sur Proxy Syslog. Voir Comment activer le service journal d’audit du pare-feu.
Configurer Sophos comme destination du flux du journal
Configurez le pare-feu pour envoyer la diffusion syslog à Sophos Central.
- Allez dans CONFIGURATION > Arborescence de configuration > Box > Services d’infrastructure > Diffusion Syslog.
- Dans le menu de gauche, sélectionnez Destinations du flux du journal.
- Cliquez sur Verrouiller.
-
Dans le tableau Destinations, cliquez sur "+" pour ajouter un nouveau filtre.
La page Destinations s’ouvre.
-
Saisissez un Nom et cliquez sur OK.
- Dans Destination du flux du journal, sélectionnez le nom que vous avez saisi lors de la configuration des filtres de données de journal (« Intégration Sophos MDR » dans notre exemple).
- Dans les champs Adresse IP de destination et Port de destination, saisissez l’adresse IP et le port que vous avez configurés précédemment dans Sophos Central.
- Cliquez sur Envoyer les modifications et Activer.
Configurer le flux de données du journal
Combinez les filtres de données de journal et la destination du flux de journal pour configurer un flux de données de journal.
- Allez dans CONFIGURATION > Arborescence de configuration > Box > Services d’infrastructure > Diffusion syslog.
- Dans le menu de gauche, sélectionnez Flux des données de journal.
- Cliquez sur Verrouiller.
-
Dans le tableau Flux, cliquez sur "+" pour ajouter un nouveau flux syslog.
La fenêtre Flux s’ouvre.
-
Saisissez un Nom. Utilisez le même nom que dans les sections précédentes (« Intégration Sophos MDR » dans notre exemple).
- Cliquez sur OK.
- Définissez Flux actif sur Oui.
- Dans le tableau Destinations du journal, cliquez sur "+" et sélectionnez la destination du flux de journal que vous avez configurée précédemment.
- Dans le tableau Filtres de journal, cliquez sur "+" et sélectionnez le filtre de données de journal que vous avez configuré précédemment.
- Cliquez sur OK.
- Cliquez sur Envoyer les modifications et Activer.
Tous les journaux couverts par le filtre de données de journal sont désormais diffusés vers Sophos.