Aller au contenu
Découvrez comment nous prenons en charge MDR.

Cisco Firepower

Collecteur de journaux

Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.

Vous pouvez intégrer Firepower à Sophos Central afin de lui permettre d’envoyer des données d’audit à Sophos pour analyse.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils sont appelés collecteur de données. Le collecteur de données reçoit des données tierces et les envoie à Sophos Data Lake.

Vous pouvez ajouter des collecteurs de journaux à une VM (machine virtuelle) existante exécutant l’appliance virtuelle NDR de Sophos et d’autres collecteurs de journaux. Vous pouvez également créer une nouvelle VM pour cette intégration.

Remarque

Vous pouvez ajouter plusieurs pare-feu Cisco Firepower au même collecteur de données Sophos.

Pour ce faire, configurez votre intégration Cisco Firepower dans Sophos Central, puis configurez un pare-feu pour lui envoyer des journaux. Configurez ensuite vos autres pare-feu Cisco Firepower pour envoyer des journaux au même collecteur de données Sophos.

Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.

Les étapes clés pour ajouter une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. Ceci configure un fichier OVA (Open Virtual Appliance).
  • Déployer le fichier OVA sur votre hôte ESXi. Ceci devient votre collecteur de données.
  • Configurer Firepower pour lui permettre d’envoyer les données. Les étapes à suivre correspondent à l’appareil que vous utilisez.
  • Connecter Firepower à votre machine virtuelle.

Ajouter une intégration

Pour intégrer Firepower à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces, cliquez sur Intégrations.
  2. Cliquez sur Cisco Firepower.

    Si vous avez déjà configuré des connexions à Firepower, vous les voyez ici.

  3. Cliquez sur Ajouter.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

    Les Étapes d’intégration s’affichent.

Configurer la machine virtuelle

Dans les Étapes de configuration de l’intégration, vous configurez votre machine virtuelle pour lui permettre de recevoir des données de Firepower. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.

Il sera peut-être nécessaire d’aller dans Firepower pour obtenir certaines des informations dont vous avez besoin pour remplir le formulaire.

Pour configurer la machine virtuelle, procédez de la manière suivante :

  1. Ajoutez un nom et une description pour la nouvelle intégration.
  2. Saisissez le nom et la description du collecteur de données.

    Si vous avez déjà configuré une intégration de collecteur de données, vous pouvez la sélectionner dans une liste.

  3. Sélectionnez la plate-forme virtuelle. (Actuellement, nous ne prenons en charge que VMware).

  4. Indiquez le ports du réseau connecté à Internet.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

    Vous aurez besoin de l’adresse de la machine virtuelle plus tard, pour lui permettre de recevoir des données à partir de Firepower.

  5. Sélectionnez un Protocole.

  6. Sélectionnez un Format Syslog.
  7. Remplissez les champs restants.
  8. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste. Le fichier OVA sera prêt au téléchargement en l’espace de quelques minutes.

Déployer la machine virtuelle

Restriction

Le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Une fois déployé, il ne peut plus être utilisé.

Si vous devez déployer une nouvelle machine virtuelle, veuillez effectuer de nouveau toutes ces étapes pour lier cette intégration à Sophos Central.

Utilisez le fichier OVA pour déployer la machine virtuelle. Procédez de la manière suivante :

  1. Dans la liste des intégrations, dans Actions, cliquez sur Télécharger la version OVA.
  2. Une fois le téléchargement du fichier OVA terminé, déployez-le sur votre serveur ESXi. Un assistant d’installation vous guide tout au long du processus. Voir Déployer une machine virtuelle pour les intégrations.

Lorsque vous avez déployé la machine virtuelle, l’intégration s’affiche comme Connecté.

Configurer Firepower

Configurez maintenant Firepower pour qu’il envoie des données à votre collecteur de données. Le collecteur de données agit comme un serveur syslog. Vous pouvez donc utiliser la fonction de serveur syslog de votre pare-feu pour lui envoyer des données.

Les étapes que vous suivrez dépendront de la version du firmware de votre appareil et de la méthode de gestion Cisco que vous utilisez.

Pour les pare-feu exécutant Firepower Threat Defense (FTD) à partir de la version 6.3, cliquez sur l’onglet correspondant à la méthode de gestion que vous utilisez. Vous pouvez utiliser Firepower Management Console (FMC) ou Firepower Defense Manager (FDM).

Pour les pare-feu exécutant des versions FTD (Firepower Threat Defense) antérieures à la version 6.3, cliquez sur l’onglet Appareils classiques.

Remarque

Évitez les caractères spéciaux, y compris les virgules, dans les noms d’objet tels que les noms de stratégies et de règles. En effet, ces caractères pourraient être traités comme des séparateurs par le collecteur de données de la machine virtuelle.

Pour connecter un pare-feu exécutant FTD (Firepower Threat Defense) à partir de la version 6.3 à votre collecteur de données Sophos depuis Firepower Management Console, procédez de la manière suivante.

Configurer les paramètres Syslog

  1. Dans FMC, cliquez sur Appareils > Paramètres de la plate-forme.
  2. Sélectionnez la plate-forme que vous souhaitez connecter au collecteur de données et cliquez sur l’icône Modifier.
  3. Cliquez sur Syslog.
  4. Cliquez sur Serveurs Syslog > Ajouter.
  5. Saisissez les détails de connexion suivants pour votre collecteur de données Sophos.

    1. Adresse IP.
    2. Type de protocole. Si vous avez sélectionné UDP, n’activez pas le format EMBLEM.
    3. Numéro de port.

    Vous devez saisir les mêmes paramètres que lorsque vous avez ajouté l’intégration dans Sophos Central.

  6. Ne sélectionnez pas Activer Syslog sécurisé.

  7. Dans Accessible par, saisissez les détails du réseau permettant à votre pare-feu d’atteindre le collecteur de données Sophos.

  8. Cliquez sur OK.

    Retrouvez plus de renseignements sur les paramètres du serveur Syslog s’appliquant aux pare-feu Cisco Firepower sur Configurer un serveur Syslog.

  9. Cliquez sur Paramètres Syslog et configurez les paramètres de la manière suivante :

    1. Activez l’option Activer l’horodatage dans les messages Syslog.
    2. Dans Format d’horodatage, sélectionnez RFC 5424.
    3. Activez l’option Activer l’ID de l’appareil Syslog et sélectionnez Nom d’hôte.
    4. N’activez pas les Paramètres équivalents Netflow.
  10. Cliquez sur Enregistrer.

  11. Cliquez sur Configuration de la journalisation.

  12. Sélectionnez Activer la journalisation.
  13. Ne sélectionnez pas les éléments suivants :

    1. Activer la journalisation sur l’unité de basculement de secours
    2. Envoyer les journaux Syslog au format EMBLEM
    3. Envoyer des messages de débogage en tant que journaux Syslog
  14. Si vous souhaitez transférer des événements VPN vers le collecteur de données Sophos, procédez de la manière suivante :

    1. Dans la section Paramètres de journalisation VPN, sélectionnez Activer la journalisation dans le centre de gestion du pare-feu.
    2. Sélectionnez Déboguer comme Niveau de journalisation.
  15. Il est inutile de renseigner les champs Spécifier les informations sur le serveur FTP ou Spécifier la taille de la mémoire Flash.

  16. Cliquez sur Enregistrer.

Configurer les paramètres de journalisation pour le contrôle d’accès

Vous devez également configurer les paramètres de journalisation pour la stratégie de contrôle d’accès, y compris la journalisation des fichiers et des programmes malveillants.

Procédez de la manière suivante :

  1. Cliquez sur Stratégies > Contrôle d’accès.
  2. Cliquez sur l’icône de modification de la stratégie de contrôle d’accès que vous souhaitez configurer.
  3. Cliquez sur Journalisation.
  4. Sélectionnez Utiliser les paramètres Syslog configurés dans la stratégie Paramètres de la plate-forme FTD déployée sur l’appareil.
  5. Dans Gravité Syslog, sélectionnez ALERTE.
  6. Activez Envoyer des messages Syslog pour les événements IPS.
  7. Activez Envoyer des messages Syslog pour les événements de fichiers et de malwares.
  8. Cliquez sur Enregistrer.

Activer la journalisation des événements de renseignement de sécurité

  1. Dans la même stratégie de contrôle d’accès, cliquez sur Renseignements de sécurité.
  2. Cliquez sur l’icône d’options de la Stratégie DNS.
  3. Dans Options de journalisation de la liste de blocage DNS, activez les éléments suivants :

    • Enregistrer les connexions.
    • Centre de gestion des pare-feu
    • Serveur Syslog.
  4. Cliquez sur OK.

  5. Dans la Liste de blocage, cliquez sur l’icône Réseau.

  6. Dans les Options de journalisation de la liste de blocage réseau, activez les éléments suivants :

    • Enregistrer les connexions
    • Centre de gestion des pare-feu
    • Serveur Syslog
  7. Cliquez sur OK.

  8. Faites défiler la Liste de blocage vers le bas pour trouver l’icône des options URL.

  9. Dans les Options de journalisation de la liste de blocage URL, activez les options suivantes :

    • Enregistrer les connexions
    • Centre de gestion des pare-feu
    • Serveur Syslog
  10. Cliquez sur OK.

  11. Cliquez sur Enregistrer.

Activer la journalisation Syslog pour chaque règle de contrôle d’accès

Assurez-vous que la journalisation Syslog est activée pour chaque règle de la stratégie de contrôle d’accès.

Pour ce faire, pour chaque règle de la stratégie, procédez de la manière suivante.

  1. Dans la même stratégie de contrôle d’accès, cliquez sur l’onglet Règles.
  2. Cliquez sur une règle pour la modifier.
  3. Dans Modifier la règle, cliquez sur Journalisation.
  4. Choisissez si vous souhaitez journaliser le début ou la fin des connexions, ou les deux.

    L’enregistrement des connexions génère beaucoup de données. Journaliser le début et la fin de ces connexions en génère environ deux fois plus. Il n’est pas toujours possible de journaliser le début et la fin de toutes les connexions. Retrouvez plus de renseignements en vous connectant à votre compte Cisco pour accéder à la section Journalisation des connexions du Guide de configuration de Firepower Management Center, version 6.2. Voir Connexion, journalisation.

  5. Si vous souhaitez journaliser les événements concernant les fichiers, sélectionnez Fichiers journaux.

  6. Activez le Serveur Syslog.
  7. Cliquez sur Enregistrer.

Activer la journalisation des événements d’intrusion

Vous devez également activer la journalisation des événements dans la stratégie d’intrusion associée à votre stratégie de contrôle d’accès.

  1. Cliquez sur Stratégies > Intrusion.
  2. Recherchez la stratégie d’intrusion associée à votre stratégie de contrôle d’accès et cliquez sur Version Snort 2.
  3. Dans Informations sur la stratégie, cliquez sur Paramètres avancés.
  4. Dans Paramètres avancés, recherchez Alertes Syslog.
  5. Cliquez sur Activé.
  6. Cliquez sur Précédent.
  7. Dans Informations sur la stratégie, cliquez sur Valider les modifications.
  8. Saisissez une description des modifications et cliquez sur OK.

Remarque

Évitez les caractères spéciaux, y compris les virgules, dans les noms d’objet tels que les noms de stratégies et de règles. En effet, ces caractères pourraient être traités comme des séparateurs par le collecteur de données de la machine virtuelle.

Pour connecter un appareil Firepower à votre collecteur de données Sophos depuis FDM, procédez comme indiqué ci-dessous.

Activer la journalisation des événements de fichiers et de programmes malveillants.

Pour activer la journalisation des événements de fichiers et de malwares et ajouter les détails de connexion de votre collecteur de données Sophos au pare-feu, procédez comme indiqué ci-dessous.

  1. Connectez-vous à FDM sur l’appareil que vous souhaitez configurer et accédez à l’onglet Appareil :<nom>.
  2. Dans Paramètres système, cliquez sur Paramètres de journalisation.
  3. Activez l’option JOURNALISATION DES FICHIERS/MALWARES.
  4. Cliquez sur Serveur Syslog pour afficher les serveurs disponibles.
  5. Si vous avez déjà ajouté votre collecteur de données Sophos à l’appareil en question, sélectionnez-le. Si ce n’est pas le cas, cliquez sur Créer un nouveau serveur Syslog.
  6. Saisissez les détails de connexion suivants pour votre collecteur de données Sophos.

    1. Adresse IP.
    2. Type de protocole.
    3. Numéro de port.

    Vous devez saisir les mêmes paramètres que lorsque vous avez ajouté l’intégration dans Sophos Central.

  7. Si nécessaire, sélectionnez une Interface de données ou une Interface de gestion en fonction de votre environnement réseau.

  8. Cliquez sur OK.
  9. Votre nouveau serveur apparaît dans Serveurs Syslog. Cliquez dessus pour le sélectionner.
  10. Dans le champ Journaliser à partir du niveau de gravité, sélectionnez Déboguer.
  11. Cliquez sur ENREGISTRER.

Configurer des stratégies

Dans chaque stratégie, vous devez activer la journalisation des activités que vous souhaitez envoyer à votre collecteur de données Sophos. Vous pouvez activer le contrôle d’accès et les événements d’intrusion.

Procédez de la manière suivante :

  1. Cliquez sur Stratégies > Contrôle d’accès.
  2. Recherchez la stratégie que vous souhaitez configurer et cliquez dessus.
  3. Cliquez sur Journalisation.
  4. Dans SELECTIONNER L’ACTION DE JOURNALISATION, choisissez si vous souhaitez vous connecter au début ou à la fin des connexions, ou pas du tout.
  5. Dans ÉVÉNEMENTS DE FICHIER, activez Fichiers journaux
  6. Si vous souhaitez consigner les événements d’intrusion, activez la STRATÉGIE D’INTRUSION dans la section Stratégie d’intrusion.
  7. Sélectionnez la stratégie d’intrusion que vous souhaitez appliquer.
  8. Si vous souhaitez journaliser des événements de fichiers, sélectionnez la stratégie de fichier que vous souhaitez appliquer dans Stratégie de fichier. Vous pouvez :

    • Bloquer tous les malwares
    • Rechercher des malwares dans le Cloud - pas de blocage
  9. Dans ENVOYER LES ÉVÉNEMENTS DE CONNEXION À : sélectionnez votre collecteur de données Sophos.

  10. Cliquez sur OK.
  11. Cliquez sur Intrusion.
  12. Recherchez la stratégie que vous souhaitez configurer et cliquez sur l’icône des paramètres.
  13. Dans Modifier les paramètres de journalisation, cliquez sur l’icône « plus » et sélectionnez votre collecteur de données Sophos.
  14. Cliquez sur OK.

Répétez ces étapes pour chaque stratégie qui doit envoyer des données à votre collecteur de données Sophos.

Enregistrer vos modifications

Vos modifications ne sont pas actives sur l’appareil tant que vous ne les avez pas déployées. Procédez de la manière suivante :

  1. Cliquez sur l’icône de déploiement.

    Le point sur l’icône apparaît lorsque vous avez des modifications non déployées.

  2. Passez en revue les modifications dans Modifications en attente.

  3. Cliquez sur DÉPLOYER MAINTENANT.

Retrouvez plus de renseignements sur ce processus dans la documentation Cisco. Voir Créer une Réponse aux alertes Syslog.

Remarque

Évitez les caractères spéciaux, y compris les virgules, dans les noms d’objet tels que les noms de stratégies et de règles. En effet, ces caractères pourraient être traités comme des séparateurs par le collecteur de données de la machine virtuelle.

Pour connecter les appareils classiques Firepower à votre collecteur de données Sophos, procédez de la manière suivante :

Configurer les paramètres Syslog

  1. Connectez-vous à Firepower Management Center (FMC).
  2. Cliquez sur Stratégies > Actions > Alertes.
  3. Dans Créer une alerte, sélectionnez Créer une alerte Syslog.
  4. Saisissez un Nom pour l’alerte, par exemple SophosIntegration.
  5. Saisissez l’adresse IP de votre collecteur de données Sophos dans Hôte.
  6. Saisissez le port configuré sur votre collecteur de données Sophos dans Port.
  7. Sélectionnez la Fonctionnalité.

    Le collecteur de données Sophos accepte toutes les données de fonctionnalités. Retrouvez la liste des options de données dans la documentation Cisco. Voir Tableau 1. Fonctionnalités Syslog disponibles.

  8. Sélectionner le niveau de Gravité.

    Le collecteur de données Sophos accepte tous les niveaux de gravité que vous choisissez. Retrouvez la liste des options dans la documentation Cisco. Voir Tableau 2. Niveaux de gravité Syslog.

  9. Cliquez sur Enregistrer.

Lorsque vous activez Envoyer le journal d’audit à Syslog et que vous fournissez des informations sur l’Hôte, des messages syslog sont envoyés à l’hôte ainsi que des journaux d’audit. Si vous souhaitez modifier ceci, consultez la documentation Cisco. Voir Filtrer Syslogs depuis les journaux d’audit.

Configurer les paramètres Syslog pour le contrôle d’accès

  1. Connectez-vous à votre appareil.
  2. Cliquez sur Stratégies > Contrôle d’accès.
  3. Modifiez la stratégie de contrôle des applications correspondante
  4. Cliquez sur Journalisation.
  5. Sélectionnez Envoyer en utilisant une alerte Syslog spécifique.
  6. Sélectionnez l’alerte Syslog que vous avez créée ci-dessus.
  7. Cliquez sur Enregistrer.

Activer la journalisation des événements de fichiers et de programmes malveillants

  1. Sélectionnez Envoyer des messages Syslog pour les événements de fichiers et de malwares.
  2. Cliquez sur Enregistrer.

Activer la journalisation des événements d’intrusion

  1. Accédez à la stratégie concernant les intrusions associée à votre stratégie de contrôle d’accès.
  2. Dans votre stratégie d’intrusions, cliquez sur Paramètres avancés > Alertes Syslog > Activé.
  3. Cliquez sur Précédent.
  4. Dans Informations sur la stratégie, cliquez sur Valider les modifications.
  5. Saisissez une description des modifications et cliquez sur OK.

Vos alertes Cisco Firepower devraient apparaître dans Sophos Data Lake après validation.