Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=ubiquitiunifi

Intégrer Ubiquiti UniFi

Outil de collecte des journaux Pare-feu

Vous devez avoir un pack de licence d’intégration « Firewall » pour utiliser cette fonction.

Vous pouvez intégrer Ubiquiti UniFi à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils s’appellent une appliance d’intégration. L’appliance reçoit des données tierces et les envoie à Sophos Data Lake.

Cette page décrit l’intégration à l’aide d’une appliance sur ESXi ou Hyper-V. Si vous souhaitez effectuer une intégration à l’aide d’une appliance sur AWS, consultez Intégrations sur AWS.

Étapes clés

Les étapes clés d’une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. À cette étape, vous créez une image de l’appliance.
  • Télécharger et déployer l’image sur votre machine virtuelle. Cela devient votre appliance.
  • Configurer Ubiquiti UniFi pour qu’il envoie des données à l’appliance.

Conditions requises

Votre produit Ubiquiti doit pouvoir générer des alertes de sécurité. Les produits possédant cette fonctionnalité sont les suivants :

  • UDM Pro (Dream machine)
  • USG - Unifi Security

Les appliances d’intégration ont des exigences en matière d’accès au système et au réseau. Pour vérifier que vous y adhérez, consultez Exigences relatives à l’appliance.

Ajouter une intégration

Pour ajouter l’intégration, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.

  2. Cliquez sur Ubiquiti UniFi.

    La page Ubiquiti UniFi s’ouvre. Vous pouvez ajouter les intégrations et voir une liste de celles que vous avez déjà ajoutées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Fournir les détails de votre domaine et de votre adresse IP.

    Les Étapes de configuration de l’intégration s’affichent.

Configurer l’appliance

Dans les Étapes de configuration de l’intégration, vous pouvez configurer une nouvelle appliance ou utiliser une appliance existante.

Nous supposons ici que vous configurez une nouvelle appliance. Pour ce faire, créez une image comme suit :

  1. Saisissez le nom de domaine et sa description.
  2. Cliquez sur Créer une nouvelle appliance.
  3. Saisissez le nom et la description de l’appliance.
  4. Sélectionnez la plate-forme virtuelle. Actuellement, nous prenons en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.

  5. Spécifiez les paramètres IP pour les Ports du réseau connecté à Internet. Cette opération configure l’interface de gestion de l’appliance.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

  6. Sélectionnez la version IP syslog et saisissez l’adresse IP syslog.

    Vous aurez besoin de l’adresse IP syslog ultérieurement lorsque vous allez configurer Ubiquiti UniFi pour qu’il envoie des données à votre appliance.

  7. Dans Protocole, sélectionnez UDP.

    Vous devez utiliser le même protocole lorsque vous configurez Ubiquiti UniFi pour envoyer des données à votre appliance.

  8. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste.

    Le numéro de port de l’appliance est indiqué dans les détails de l’intégration. Vous aurez besoin de cette information ultérieurement lorsque vous allez configurer Ubiquiti UniFi pour qu’il lui envoie des données.

    L’image de l’appliance sera prête au téléchargement en l’espace de quelques minutes.

Déployer l’appliance

Restriction

Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous déployez une autre machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.

Utilisez l’image pour déployer l’appliance comme suit :

  1. Dans la liste des intégrations, dans Actions, cliquez sur l’action de téléchargement de votre plate-forme, par exemple Télécharger la version OVA pour ESXi.
  2. Une fois le téléchargement de l’image terminé, déployez-la sur votre machine virtuelle. Voir Déployer des appliances.

Lorsque vous avez déployé l’appliance, l’intégration s’affiche comme Connecté.

Configurer Ubiquiti UniFi

Vous pouvez maintenant configurer Ubiquiti UniFi pour lui permettre de nous envoyer des alertes à l’aide du transfert Syslog.

Remarque

Vous pouvez configurer plusieurs instances d’Ubiquiti UniFi pour envoyer des données à Sophos via la même appliance. Une fois l’intégration terminée, répétez les étapes de cette section pour vos autres instances d’Ubiquiti UniFi. Vous n’avez pas besoin de répéter les étapes dans Sophos Central.

Vous pouvez configurer le mode de transfert des journaux dans l’interface utilisateur Ubiquiti UniFi OS, mais il devra être configuré séparément sur chaque site.

Les noms des paramètres varient légèrement entre les différentes versions d’UniFi OS, mais les étapes clés sont les mêmes pour toutes.

Pour configurer ce paramètre, procédez comme suit :

  1. Allez dans les paramètres de journalisation : Paramètres > Système > Avancé > Emplacement de journalisation à distance.

    Pour les versions antérieures, accédez aux paramètres de journalisation de la manière suivante :

    • Paramètres > Site > Journalisation à distance (UniFi version 5)
    • Paramètres > Système > Journalisation du système (UniFi version 7)

  2. Configurez la journalisation de la manière suivante, en utilisant les paramètres appropriés à votre version :

    • Définissez les Niveaux de journalisation sur Auto.
    • Activez Syslog.
    • N'activez pas Journalisation de débogage, Journaux de débogage ou Netconsole.
    • Activez Activer le serveur Syslog distant.
    • Définissez Emplacement de journalisation à distance sur Serveur distant.

  3. Saisissez les détails suivants pour l’appliance Sophos que vous avez configurée précédemment :

    • Adresse IP distante ou hôte Syslog : Adresse IP de votre appliance. Il s’agit de l’adresse IP syslog que vous avez définie dans Sophos Central.
    • Port ou Port Syslog : Le numéro de port que vous avez défini dans Sophos Central.

  4. Cliquez sur Appliquer les modifications pour enregistrer les paramètres. L’appareil UniFi commence à transférer les journaux vers Sophos.