Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=f5bigipasm

Intégrer F5

Outil de collecte des journaux Pare-feu

Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.

Vous pouvez intégrer F5 BIG-IP ASM à Sophos Central pour lui permettre d’envoyer des données d’audit à Sophos pour analyse.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils s’appellent une appliance d’intégration. L’appliance reçoit des données tierces et les envoie à Sophos Data Lake.

Cette page décrit l’intégration à l’aide d’une appliance sur ESXi ou Hyper-V. Si vous souhaitez effectuer une intégration à l’aide d’une appliance sur AWS, consultez Intégrations sur AWS.

Étapes clés

Les étapes clés d’une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. À cette étape, vous créez une image de l’appliance.
  • Télécharger et déployer l’image sur votre machine virtuelle. Cela devient votre appliance.
  • Configurez F5 BIG-IP ASM pour envoyer des données à l’appliance.

Conditions requises

Les appliances ont des exigences en matière d’accès au système et au réseau. Pour vérifier que vous y adhérez, consultez Exigences relatives à l’appliance.

Ajouter une intégration

Pour ajouter l’intégration, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.

  2. Cliquez sur F5 BIG-IP ASM.

    La page F5 BIG-IP ASM s’ouvre. Vous pouvez ajouter les intégrations et voir une liste de celles que vous avez déjà ajoutées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Fournir les détails de votre domaine et de votre adresse IP.

    Les Étapes de configuration de l’intégration s’affichent.

Configurer l’appliance

Dans les Étapes de configuration de l’intégration, vous pouvez configurer une nouvelle appliance ou utiliser une appliance existante.

Nous supposons ici que vous configurez une nouvelle appliance. Pour ce faire, créez une image comme suit :

  1. Saisissez le nom de domaine et sa description.
  2. Cliquez sur Créer une nouvelle appliance.
  3. Saisissez le nom et la description de l’appliance.
  4. Sélectionnez la plate-forme virtuelle. Actuellement, nous prenons en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.

  5. Spécifiez les paramètres IP pour les Ports du réseau connecté à Internet. Cette opération configure l’interface de gestion de l’appliance.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

  6. Sélectionnez la version IP syslog et saisissez l’adresse IP syslog.

    Vous aurez besoin de l’adresse IP syslog ultérieurement lorsque vous allez configurer F5 BIG-IP ASM pour qu’il envoie des données à votre appliance.

  7. Sélectionnez un Protocole.

    Vous devez utiliser le même protocole lorsque vous configurez F5 BIG-IP ASM pour envoyer des données à votre appliance.

  8. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste.

    Dans les détails d’intégration, vous pouvez voir le numéro de port de l’appliance. Vous en aurez besoin ultérieurement lorsque vous allez configurer F5 BIG-IP ASM pour qu’il lui envoie des données.

    L’image de l’appliance sera prête au téléchargement en l’espace de quelques minutes.

Déployer l’appliance

Restriction

Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une autre machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.

Utilisez l’image pour déployer l’appliance comme suit :

  1. Dans la liste des intégrations, dans Actions, cliquez sur l’action de téléchargement de votre plate-forme, par exemple Télécharger la version OVA pour ESXi.
  2. Une fois le téléchargement de l’image terminé, déployez-la sur votre machine virtuelle. Voir Déployer des appliances.

Configurer F5 BIG-IP ASM

Vous pouvez maintenant configurer F5 BIG-IP ASM pour lui permettre de nous envoyer des alertes à l’aide du transfert Syslog.

Remarque

Vous pouvez configurer plusieurs instances de F5 BIG-IP ASM pour envoyer des données à Sophos via la même appliance. Une fois l’intégration terminée, répétez les étapes de cette section pour vos autres instances de F5 BIG-IP ASM. Vous n’avez pas besoin de répéter les étapes dans Sophos Central.

Pour configurer ce paramètre, procédez de la manière suivante :

Créer un profil de journalisation

Vous devrez créer un profil de journalisation personnalisé afin de consigner les événements de sécurité des applications.

  1. Dans l’onglet Principal, cliquez sur Sécurité > Journaux d’événements > Profils de journalisation.

  2. Dans Profils de journalisation, cliquez sur Créer.

    L’écran Nouveau profil de journalisation s’ouvre.

  3. Dans Nom de profil, saisissez un nom de profil unique.

  4. Sélectionnez Sécurité des applications.

    L’écran affiche des champs supplémentaires.

  5. Dans l’onglet Sécurité des applications, sous Configuration, sélectionnez Avancé.

  6. Sélectionnez Stockage distant pour stocker les journaux à distance.

  7. Dans la liste Journalisation des réponses, sélectionnez Demandes illégales uniquement.

    Par défaut, le système consigne les 10 000 premiers octets des réponses, jusqu’à 10 réponses par seconde. Vous pouvez modifier les limites à l’aide des variables système de consignation de réponse.

    Par défaut, le système consigne toutes les demandes. Pour limiter le type de demandes consignées par le système ou le serveur, configurez le Filtre de stockage.

Continuez à configurer la journalisation à distance.

Configurer la journalisation à distance

Vous pouvez configurer votre profil afin de journaliser à distance les événements de sécurité des applications sur un serveur syslog.

  1. Dans l’onglet Principal, cliquez sur Sécurité > Journaux d’événements > Profils de journalisation.
  2. Dans Profils de journalisation, cliquez sur le nom du profil de journalisation sur lequel vous souhaitez configurer la journalisation à distance.

  3. Sélectionnez Stockage distant.

    Dans la liste Type de stockage distant, sélectionnez Distant. Les messages sont au format syslog.

  4. Dans Format de journalisation, sélectionnez Format d'événement commun (ArcSight). Les messages du journal sont au format CEF (Common Event format).

  5. Dans Protocole, sélectionnez le protocole que vous avez défini dans Sophos Central. UDP ou TCP.

    Le protocole sélectionné s’applique à tous les paramètres du serveur distant sur cet écran, y compris toutes les adresses IP du serveur.

  6. Dans Adresses de serveur, spécifiez le serveur sur lequel vous souhaitez journaliser le trafic. Saisissez l’Adresse IP et le Numéro de port que vous avez spécifiés précédemment dans Sophos Central, puis cliquez sur Ajouter.

  7. Dans Installation, sélectionnez la catégorie du trafic enregistré. Pour cette intégration, peu importe celle que vous choisissez.
  8. Dans le paramètre Format de stockage, vous pouvez spécifier comment le journal affiche les informations, quels éléments de trafic le serveur journalise et dans quel ordre il les journalise.
  9. Dans Taille maximale de la chaîne de requête, vous pouvez spécifier quelle portion de requête sera journalisée par le serveur. Sélectionnez Indifférent.
  10. Dans Longueur d’entrée maximale, vous pouvez spécifier la longueur d’entrée journalisée par le serveur. Acceptez la longueur par défaut (1 Ko pour les serveurs distants prenant en charge UDP et 2 Ko pour les serveurs distants prenant en charge TCP).
  11. Sélectionnez Signaler les anomalies détectées. Le système envoie un rapport au journal système distant lorsqu’une attaque par force brute ou une attaque de récupération de données Web commence et se termine.
  12. Modifiez le Filtre de stockage, si nécessaire.
  13. Cliquez sur Terminé.

Lorsque vous créez un profil de journalisation pour le stockage distant, le système stocke les données de la stratégie de sécurité associée sur un ou plusieurs systèmes distants.

Associer un profil de journalisation à une stratégie de sécurité

Un profil de journalisation enregistre les demandes adressées au serveur virtuel. Par défaut, lorsque vous créez une stratégie de sécurité, le système associe le profil Journaliser les demandes illégales au serveur virtuel utilisé par la stratégie.

Vous pouvez modifier le profil de journalisation associé à la stratégie de sécurité ou en assigner un nouveau en modifiant le serveur virtuel.

  1. Cliquez sur Trafic local > Serveurs virtuels.
  2. Cliquez sur le nom du serveur virtuel utilisé par la stratégie de sécurité. Le système affiche les propriétés générales du serveur virtuel.

  3. Dans le menu Sécurité, sélectionnez Stratégies.

    Le système affiche les paramètres de stratégie du serveur virtuel.

  4. Assurez-vous que le paramètre Stratégie de sécurité des applications est Activé et que la Stratégie est définie sur la stratégie de sécurité souhaitée.

  5. Dans Profil de journalisation, procédez comme suit :

    • Vérifiez qu’il est défini sur Activé.
    • Dans la liste Disponible, sélectionnez le profil à utiliser pour la stratégie de sécurité et déplacez-le vers la liste Sélectionné.

  6. Cliquez sur Mettre à jour.

Les informations relatives au trafic contrôlé par la stratégie de sécurité sont consignées à l’aide du ou des profils de journalisation spécifiés dans le serveur virtuel.