Aller au contenu
Découvrez comment nous prenons en charge MDR.

SonicWall SonicOS

Collecteur de journaux

Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.

Vous pouvez intégrer l’appliance de sécurité SonicOS à Sophos Central pour lui permettre d’envoyer des messages à Sophos pour analyse.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils sont appelés collecteur de données. Le collecteur de données reçoit des données tierces et les envoie à Sophos Data Lake.

Remarque

Vous pouvez ajouter plusieurs instances de pare-feu SonicWall au même collecteur de données.

Pour ce faire, configurez votre intégration SonicWall SonicOS dans Sophos Central, puis configurez un pare-feu pour lui envoyer des journaux. Configurez ensuite vos autres pare-feu SonicWall pour envoyer des journaux au même collecteur de données Sophos.

Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.

Les étapes clés pour ajouter une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. Ceci configure un fichier OVA (Open Virtual Appliance).
  • Déployer le fichier OVA sur votre hôte ESXi. Ceci devient votre collecteur de données.
  • Configurer SonicOS pour qu’il envoie des données au collecteur de données.

Ajouter une intégration

Pour intégrer SonicOS à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces, cliquez sur Intégrations.
  2. Cliquez sur SonicWall SonicOS.

    Si vous avez déjà configuré des connexions à SonicOS, vous les voyez ici.

  3. Cliquez sur Ajouter.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

    Les Étapes d’intégration s’affichent.

Configurer la machine virtuelle

Dans les Étapes de configuration de l’intégration, vous configurez votre machine virtuelle pour lui permettre de recevoir des données provenant de SonicOS. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.

Pour configurer la machine virtuelle, procédez de la manière suivante :

  1. Ajoutez un nom et une description pour la nouvelle intégration.
  2. Saisissez le nom et la description du collecteur de données.

    Si vous avez déjà configuré une intégration de collecteur de données, vous pouvez la sélectionner dans une liste.

  3. Sélectionnez la plate-forme virtuelle. (Actuellement, nous ne prenons en charge que VMware).

  4. Indiquez le ports du réseau connecté à Internet.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

    Vous aurez besoin de l’adresse de la machine virtuelle plus tard, pour lui permettre de recevoir des données à partir de SonicOS.

  5. Sélectionnez un Protocole.

  6. Remplissez les champs restants du formulaire.
  7. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste. Le fichier OVA sera prêt au téléchargement en l’espace de quelques minutes.

Déployer la machine virtuelle

Restriction

Le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Une fois déployé, il ne peut plus être utilisé.

Si vous devez déployer une nouvelle machine virtuelle, veuillez effectuer de nouveau toutes ces étapes pour lier cette intégration à Sophos Central.

Utilisez le fichier OVA pour déployer la machine virtuelle. Procédez de la manière suivante :

  1. Dans la liste des intégrations, dans Actions, cliquez sur Télécharger la version OVA.
  2. Une fois le téléchargement du fichier OVA terminé, déployez-le sur votre serveur ESXi. Un assistant d’installation vous guide tout au long du processus. Voir Déployer une machine virtuelle pour les intégrations.

Lorsque vous avez déployé la machine virtuelle, l’intégration s’affiche comme Connecté.

Configurer SonicOS

Vous configurez désormais SonicOS pour lui permettre de nous envoyer des données.

Pour configurer les paramètres Syslog sur votre pare-feu, procédez de la manière suivante :

Remarque

Si vous utilisez le Système de gestion globale (GMS) de SonicWall pour gérer votre pare-feu, vous ne pouvez pas modifier le format Syslog (par défaut) ou l’ID Syslog (pare-feu). Vous pouvez modifier les autres paramètres. Les instructions suivantes n’utilisent pas GMS.

  1. Allez dans Journal > Syslog.
  2. Sélectionnez Serveurs Syslog et cliquez sur Ajouter.
  3. Saisissez les détails de l’adresse de votre machine virtuelle.
  4. Dans Format Syslog choisissez ArcSight. Le collecteur de données Sophos reçoit des alertes au format ArcSight CEF.

    Lorsque vous sélectionnez ArcSight, l’icône Configurer devient actif.

  5. Cliquez sur l’icône Configurer. La fenêtre de configuration des Paramètres des champs CEF ArcSight s’affiche.

  6. Sélectionnez les options ArcSight que vous souhaitez journaliser. Dans la plupart des cas, il s’agira de Tous Pour sélectionner toutes les options, cliquez sur Sélectionner tout.
  7. Cliquez sur Enregistrer.
  8. Dans la boîte de dialogue Syslog ID, saisissez l’ID Syslog de votre choix.

    Un champ ID Syslog est inclus dans tous les messages générés, précédé de id=.

    Par exemple, pour le pare-feu, la valeur par défaut, tous les messages Syslog incluent id=firewall. Vous pouvez définir une ID composée de 0 à 32 lettres, chiffres et traits de soulignement.

    Remarque

    Lorsque l’option Remplacer les paramètres Syslog par les paramètres du logiciel de génération de rapports est activée, le champ ID Syslog est défini sur « Pare-feu ». Ce paramètre ne peut pas être modifié.

  9. Cliquez sur Accepter en haut de la page.

  10. Accédez à Journal > Paramètres pour configurer les alertes qui sont transmises à Sophos.
  11. Dans Niveau de journalisation, vous devez sélectionner Avertissement.

    Cette option permet d’éliminer les événements de priorité inférieure.

  12. Sur la page Journal > Paramètres, vous pouvez également filtrer les événements en fonction de leurs Attributs d’événement.

    1. Sélectionnez une catégorie et cliquez sur Configurer.
    2. Dans Modifier la catégorie du journal, cochez la case Syslog pour des catégories spécifiques.

      Vos modifications s’appliquent à tous les groupes et événements de la catégorie sélectionnée.

Plus d’informations