Aller au contenu
Découvrez comment nous prenons en charge MDR.

Skyhigh Security Secure Web Gateway

Collecteur de journaux

Vous devez avoir un pack de licence d’intégration « Network » pour utiliser cette fonction.

Vous pouvez intégrer Skyhigh Security Secure Web Gateway (anciennement McAfee Web Gateway) à Sophos Central pour qu’il envoie des données concernant les demandes d’accès Web à Sophos.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils sont appelés collecteur de données. Le collecteur de données reçoit des données tierces et les envoie à Sophos Data Lake.

Remarque

Vous pouvez ajouter plusieurs passerelles Secure Web au même collecteur de données.

Pour ce faire, configurez votre intégration Skyhigh Security Secure Web Gateway dans Sophos Central, puis configurez une passerelle pour lui envoyer des journaux. Configurez ensuite vos autres passerelles Secure Web pour envoyer des journaux au même collecteur de données Sophos.

Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.

Les étapes clés pour ajouter une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. Ceci configure un fichier OVA (Open Virtual Appliance).
  • Déployer le fichier OVA sur votre hôte ESXi. Ceci devient votre collecteur de données.
  • Configurer Secure Web Gateway pour qu’il envoie des données au collecteur de données.

Ajouter une intégration

Pour ajouter l’intégration, procédez de la manière suivante :

  1. Connectez-vous à Sophos Central.
  2. Allez dans Centre d’analyse des menaces > Intégrations.
  3. Cliquez sur Skyhigh Security Secure Web Gateway.

    Si vous avez déjà configuré des connexions à Secure Web Gateway, vous les verrez s’afficher ici.

  4. Dans Intégrations, cliquez sur Ajouter.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

    Les Étapes d’intégration s’affichent.

Configurer la machine virtuelle

Dans les Étapes d’intégration, vous configurez votre machine virtuelle pour lui permettre de recevoir des données provenant de Secure Web Gateway. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.

Pour configurer la machine virtuelle, procédez de la manière suivante :

  1. Saisissez le nom de domaine et sa description.
  2. Saisissez le nom et la description du collecteur de données.

    Si vous avez déjà configuré une intégration de collecteur de données, vous pouvez la sélectionner dans une liste.

  3. Sélectionnez la plate-forme virtuelle. (Actuellement, nous ne prenons en charge que VMware).

  4. Indiquez le ports du réseau connecté à Internet.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

    Vous aurez besoin de l’adresse de la machine virtuelle plus tard, pour lui permettre de recevoir des données à partir de Secure Web Gateway.

  5. Sélectionnez un Protocole.

  6. Remplissez les champs restants du formulaire.
  7. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste. Le fichier OVA sera prêt au téléchargement en l’espace de quelques minutes.

Déployer la machine virtuelle

Restriction

Le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Une fois déployé, il ne peut plus être utilisé.

Si vous devez déployer une nouvelle machine virtuelle, veuillez effectuer de nouveau toutes ces étapes pour lier cette intégration à Sophos Central.

Utilisez le fichier OVA pour déployer la machine virtuelle. Procédez de la manière suivante :

  1. Dans la liste des intégrations, dans Actions, cliquez sur Télécharger la version OVA.
  2. Une fois le téléchargement du fichier OVA terminé, déployez-le sur votre serveur ESXi. Un assistant d’installation vous guide tout au long du processus. Voir Déployer une machine virtuelle pour les intégrations.

Lorsque vous avez déployé la machine virtuelle, l’intégration s’affiche comme Connecté.

Configurer Secure Web Gateway

Vous configurez maintenant Secure Web Gateway pour nous envoyer des données à partir de son journal d’accès, en utilisant la transmission Syslog.

Pour configurer Secure Web Gateway, procédez de la manière suivante :

  1. Dans Secure Web Gateway, ajoutez une règle qui met les données du journal d’accès à la disposition du démon Syslog.
  2. Adaptez le fichier système rsylog.conf pour permettre au démon d’envoyer des données à un serveur Syslog.

Vous devez le faire sur chaque passerelle Web sécurisée à laquelle vous souhaitez envoyer des données de journal d’accès. Vous pouvez également envoyer d’autres données de journal.

Les données comprennent la date et l’heure d’une demande d’accès Web, l’utilisateur qui a envoyé la demande, l’URL demandée et d’autres informations.

Vous devez envoyer les données au protocole TCP et au format CEF.

Voir À propos de l’envoi des données du journal d’accès à un serveur Syslog.