Aller au contenu
Découvrez comment nous prenons en charge MDR.

SonicWall SonicOS

Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.

Vous pouvez intégrer l’appliance de sécurité SonicWall SonicOS à Sophos Central pour lui permettre d’envoyer des messages à Sophos pour analyse.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils s’appellent une appliance d’intégration. L’appliance reçoit des données tierces et les envoie à Sophos Data Lake.

Cette page décrit l’intégration à l’aide d’une appliance sur ESXi ou Hyper-V. Si vous souhaitez effectuer une intégration à l’aide d’une appliance sur AWS, consultez Ajouter des intégrations sur AWS.

Étapes clés

Les étapes clés d’une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. À cette étape, vous créez une image de l’appliance.
  • Télécharger et déployer l’image sur votre machine virtuelle. Cela devient votre appliance.
  • Configurer SonicOS pour qu’il envoie des données à l’appliance.

Conditions requises

Les appliances ont des exigences en matière d’accès au système et au réseau. Pour vérifier que vous y adhérez, consultez Exigences relatives à l’appliance.

Ajouter une intégration

Pour intégrer SonicOS à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Cliquez sur SonicWall SonicOS.

    La page SonicWall SonicOS s’ouvre. Vous pouvez ajouter les intégrations et voir une liste de celles que vous avez déjà ajoutées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Fournir les détails de votre domaine et de votre adresse IP.

    Les Étapes de configuration de l’intégration s’affichent.

Configurer l’appliance

Dans les Étapes de configuration de l’intégration, vous pouvez configurer une nouvelle appliance ou utiliser une appliance existante.

Nous supposons ici que vous configurez une nouvelle appliance. Pour ce faire, créez une image comme suit :

  1. Ajoutez un nom et une description pour la nouvelle intégration.
  2. Cliquez sur Créer une nouvelle appliance.
  3. Saisissez le nom et la description de l’appliance.
  4. Sélectionnez la plate-forme virtuelle. Actuellement, nous prenons en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.
  5. Spécifiez les paramètres IP pour les Ports du réseau connecté à Internet. Cette opération configure l’interface de gestion de l’appliance sur la machine virtuelle.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

  6. Sélectionnez la version IP syslog et saisissez l’adresse IP syslog.

    Vous aurez besoin de l’adresse IP syslog ultérieurement lorsque vous allez configurer SonicOS pour qu’il envoie des données à votre appliance.

  7. Sélectionnez un Protocole.

    Vous devez utiliser le même protocole lorsque vous configurez SonicOS pour envoyer des données à votre appliance.

  8. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste.

    Dans les détails d’intégration, vous pouvez voir le numéro de port de l’appliance. Vous aurez besoin de cette information ultérieurement lorsque vous allez configurer SonicOS pour qu’il lui envoie des données.

    L’image de l’appliance sera prête au téléchargement en l’espace de quelques minutes.

Déployer l’appliance

Restriction

Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une autre machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.

Utilisez l’image pour déployer l’appliance comme suit :

  1. Dans la liste des intégrations, dans Actions, cliquez sur l’action de téléchargement de votre plate-forme, par exemple Télécharger la version OVA pour ESXi.
  2. Une fois le téléchargement de l’image terminé, déployez-la sur votre machine virtuelle. Voir Déployer des appliances.

Configurer SonicOS

Vous configurez désormais SonicOS pour lui permettre de nous envoyer des données.

Remarque

Vous pouvez configurer plusieurs instances de SonicOS pour envoyer des données à Sophos via la même appliance. Une fois l’intégration terminée, répétez les étapes de cette section pour vos autres instances de SonicOS. Vous n’avez pas besoin de répéter les étapes dans Sophos Central.

Remarque

Si vous utilisez le Système de gestion globale (GMS) de SonicWall pour gérer votre pare-feu, vous ne pouvez pas modifier le format Syslog (par défaut) ou l’ID Syslog (pare-feu). Vous pouvez modifier les autres paramètres. Les instructions suivantes n’utilisent pas GMS.

Pour configurer le transfert des alertes Syslog sur votre pare-feu SonicOS, procédez de la manière suivante :

  1. Allez dans les paramètres syslog de votre pare-feu :

    • Sur Sonicwall 7.x, allez sur Appareil > Journal > Syslog.
    • Sur Sonicwall 6.5, allez sur Gestion > Paramètres du journal > Syslog.
  2. Sur la page Serveurs Syslog, cliquez sur Ajouter.

  3. Saisissez l’adresse IP syslog que vous avez définie pour votre appliance.

    Vous devez saisir le même paramètre que lorsque vous avez ajouté l’intégration dans Sophos Central.

  4. Dans Format Syslog choisissez ArcSight. L’appliance Sophos reçoit des alertes au format ArcSight CEF.

    Lorsque vous sélectionnez ArcSight, l’icône Configurer devient actif.

  5. Cliquez sur l’icône Configurer. La fenêtre de configuration des Paramètres des champs CEF ArcSight s’affiche.

  6. Sélectionnez les options ArcSight que vous souhaitez journaliser. Dans la plupart des cas, il s’agira de Tous Pour sélectionner toutes les options, cliquez sur Sélectionner tout.
  7. Cliquez sur Enregistrer.
  8. Dans la boîte de dialogue Syslog ID, saisissez l’ID Syslog de votre choix.

    Un champ ID Syslog est inclus dans tous les messages générés, précédé de id=.

    Par exemple, pour le pare-feu, la valeur par défaut, tous les messages Syslog incluent id=firewall. Vous pouvez définir une ID composée de 0 à 32 lettres, chiffres et traits de soulignement.

    Remarque

    Lorsque l’option Remplacer les paramètres Syslog par les paramètres du logiciel de génération de rapports est activée, le champ ID Syslog est défini sur « Pare-feu ». Ce paramètre ne peut pas être modifié.

  9. Cliquez sur Accepter en haut de la page.

  10. Accédez à Journal > Paramètres pour configurer les alertes qui sont transmises à Sophos.
  11. Dans Niveau de journalisation, vous devez sélectionner Avertissement.

    Cette option permet d’éliminer les événements de priorité inférieure.

  12. Sur la page Journal > Paramètres, vous pouvez également filtrer les événements en fonction de leurs Attributs d’événement.

    1. Sélectionnez une catégorie et cliquez sur Configurer.
    2. Dans Modifier la catégorie du journal, cochez la case Syslog pour des catégories spécifiques.

      Vos modifications s’appliquent à tous les groupes et événements de la catégorie sélectionnée.

Remarque

SonicOS 7.x peut envoyer des données mal formatées. Si vous avez suivi toutes nos étapes d’intégration mais que vous n’obtenez pas les détections SonicWall dans Sophos Central, essayez de demander le correctif 46333 au service de support SonicWall.

Plus d’informations