Domande frequenti su Firewall Reporting

CFR è il servizio Sophos di reportistica basata sul cloud per i firewall SFOS. Utilizzando CFR è possibile creare report storici personalizzati per ottenere informazioni dettagliate su applicazioni, rischi e tendenze che influiscono sulla rete.

CFR è integrata in Sophos Firewall ed è disponibile su tutti i firewall SFOS che eseguono versioni correnti del firmware.

Sì. CFR è disponibile su tutte le piattaforme firewall SFOS che eseguono versioni correnti del firmware.

CFR permette di configurare report flessibili che possono essere personalizzati. Ogni tabella dei report contiene varie opzioni per le colonne, che consentono di aggiungere o rimuovere colonne di dati per rendere un report più granulare, compresso o dettagliato, secondo necessità. Questa flessibilità permette di definire i campi di dati che si desidera includere nei report e di visualizzare i dati correlati.

È possibile scegliere tra grafici a barre, a torta, ad area o a linee per qualsiasi report, più diagrammi di Sankey per report specifici. Inoltre, si possono configurare le dimensioni X e Y nel grafico, per una scelta più ampia quando si decide quali elementi rappresentare in un report.

I report sono strutturati in base a moduli specifici, come Utilizzo delle applicazioni e Utilizzo del web. È possibile personalizzare ulteriormente i report modificando i campi dati nella tabella e nei grafici, e applicando filtri alle centinaia di campi dati. La flessibilità della tabella e dei grafici dei report consente di personalizzare ciascun report e creare una libreria di centinaia di variazioni tratte da qualsiasi report. Ogni report offre diverse opzioni per i grafici, che consentono di visualizzare dati e tendenze relativi a un caso di utilizzo specifico. Ad esempio, il report Application Bandwidth (Larghezza di banda delle applicazioni) utilizza un grafico ad area che mostra il consumo della larghezza di banda in un arco di tempo definito.

CFR non svolge la funzione di agente di inoltro dei log. Se i dati dei log devono essere memorizzati in uno strumento SIEM (Security Information and Event Management System) di terze parti, o in un agente di raccolta log diverso da Sophos Central, è possibile configurare il proprio firewall in modo che invii dati a più posizioni contemporaneamente. Esempio: un SIEM locale e Sophos Central.

La Dashboard dei report offre la visualizzazione immediata, all’interno del firewall, dello stato di integrità operativa della rete, degli eventi di controllo dei criteri e di tutti gli eventi di sicurezza. È possibile visualizzare gli eventi verificatisi nelle 24 ore precedenti senza dover consultare un report più dettagliato. La Dashboard dei report mostra gli eventi principali relativi a rete, sicurezza e criteri. Dalla dashboard è possibile generare un report completo per un’analisi più dettagliata.

I firewall inviano dati dei log in fasi ogni pochi minuti, oppure una volta che è stata raccolta una quantità sufficiente di dati dei log. I log vengono quindi elaborati e incorporati nel Data Lake di Sophos Central, dove diventano disponibili per i report di CFR, le query di XDR e MDR, e gli avvisi dei casi. Questo processo può richiedere diversi minuti dal momento in cui un evento viene registrato fino alla sua disponibilità per i report.

Il report “Valutazione del profilo di sicurezza” è un report speciale, che comprende un elenco personalizzabile di report che possono essere inseriti al suo interno. I report inclusi possono essere limitati ai primi 10-100 eventi ciascuno per fornire una breve panoramica, idonea per i report per i manager. È anche compreso un report di inventario che mostra lo stato e i dettagli di utilizzo delle licenze CFR su tutti i firewall gestiti nel proprio account.

I dati vengono conservati secondo il metodo First In, First Out (FIFO). Quando un firewall utilizza tutto lo spazio di archiviazione che gli è stato assegnato, i dati vengono ruotati secondo il metodo FIFO: quelli meno recenti vengono eliminati per primi. La data di scadenza viene determinata dalla velocità con cui il firewall invia dati a Sophos Central. I clienti che usano CFR Advanced possono acquistare una maggiore capacità di archiviazione, fino al limite del firewall e fino un massimo di un anno.

Esistono tre livelli di licenza per CFR per firewall: il livello gratuito, il bundle Xstream e CFR Advanced. Ogni licenza offre capacità di archiviazione, periodi di conservazione e funzionalità di Sophos Central diversi. Lo Strumento per il calcolo dello spazio di archiviazione dei dati di Sophos Central Firewall può aiutare a valutare l’opzione più adatta alle proprie esigenze.

Tutti i firewall con una sottoscrizione attiva sono idonei per ottenere fino a sette giorni di conservazione dei dati.

La capacità di archiviazione fornita dipende dal modello specifico dell’appliance firewall. Per la maggior parte dei firewall, questa capacità è sufficiente a fornire una conservazione dei dati pari a sette giorni interi.

Tuttavia, per i firewall che producono volumi di log particolarmente elevati si potrebbero osservare periodi di conservazione dei dati più brevi, poiché l’archiviazione potrebbe raggiungere più velocemente la capacità massima.

I firewall di livello gratuito non sono inclusi nei report pianificati o nei report di gruppo.

I firewall con una sottoscrizione di tipo bundle Xstream attiva sono idonei per ottenere un massimo di 30 giorni di conservazione dei dati.

La capacità di archiviazione fornita dipende dal modello specifico dell’appliance firewall. Per la maggior parte dei firewall, questa capacità è sufficiente a fornire una conservazione dei dati pari a 30 giorni interi.

Tuttavia, per i firewall che producono volumi di log particolarmente elevati si potrebbero osservare periodi di conservazione dei dati più brevi, poiché l’archiviazione potrebbe raggiungere più velocemente la capacità massima.

I firewall con il bundle Xstream possono essere inclusi sia nei report pianificati che nei report di gruppo.

Tutti i firewall con una sottoscrizione attiva e almeno un utente con licenza CFR Advanced sono idonei per ottenere fino a 365 giorni di conservazione dei dati.

Lo spazio di archiviazione assegnato a questi firewall dipende dal numero di utenti con una licenza CFR Advanced:

Ogni utente con una licenza CFR Advanced aumenta il volume di dati di 100 GB. Più alto è il numero di utenti con una licenza CFR Advanced per un firewall, maggiore sarà lo spazio di archiviazione assegnato. I firewall che producono volumi di log particolarmente elevati potrebbero richiedere più di un utente con una licenza CFR Advanced per garantire il periodo massimo di 365 giorni di conservazione dei dati.

È possibile utilizzare lo Strumento per il calcolo dello spazio di archiviazione dei dati di Sophos Central Firewall per determinare la quantità appropriata di licenze CFR Advanced necessarie, in base al volume dei log del firewall.

I firewall con licenze CFR Advanced possono essere inclusi sia nei report pianificati che nei report di gruppo.

CFR Advanced consente di aumentare la capacità di archiviazione dei dati di syslog nel cloud per il proprio account Sophos Central, quando si acquista ulteriore spazio. Questo permette di archiviare una maggiore quantità di dati dei log a scopo di reportistica, e prolunga il periodo della reportistica fino a 365 giorni.

Per la versione gratuita, è possibile attivare CFR selezionando una casella di controllo nell’interfaccia utente del firewall. Non è richiesta alcuna chiave di licenza. Per la versione Advanced, è necessario acquistare e attivare una sottoscrizione. Le licenze sono basate sui firewall, pertanto non è possibile condividere le licenze tra firewall diversi.

L’upgrade dalla versione gratuita a CFR Advanced permette di archiviare più dati dei log a scopo di reportistica e prolunga il periodo di reportistica fino a 365 giorni. Inoltre, i firewall con licenza CFR Advanced o i firewall con un bundle Xstream possono essere inclusi nei report di gruppo che aggregano dati provenienti da più firewall, inserendoli in un unico report.

I dati di syslog vengono archiviati nel proprio account Sophos Central nel cloud, all’interno dell’area dati dell’account Sophos Central, dove il firewall li può recuperare secondo necessità per creare un nuovo report. A ogni firewall viene assegnato uno spazio specifico di archiviazione, che varia in base al modello: la capacità massima viene offerta dai firewall 2U di fascia alta. È possibile scegliere di inviare o meno determinati tipi di dati dei log per l’archiviazione nel cloud. I dati vengono eliminati secondo il metodo First In, First Out (FIFO).

La versione gratuita permette di generare report fino a un massimo di sette giorni, in base alla quantità dei dati dei log generati e alla capacità di archiviazione del firewall. La versione Advanced prevede un periodo di reportistica più lungo, ovvero fino a un anno. Con CFR Advanced, è possibile aumentare o ridurre in qualsiasi momento la quantità di archiviazione assegnata a un determinato dispositivo. In questo modo si incrementerà o si limiterà l’arco di tempo in cui sono disponibili i dati dei log meno recenti.

I dati di syslog vengono archiviati nel cloud, nel proprio account Sophos Central. I dati vengono aggiunti e rimossi secondo il metodo First In, First Out (FIFO). Una volta raggiunta la capacità massima di archiviazione, i dati meno recenti verranno sostituiti da quelli più recenti.

CFR Advanced offre l’opzione di aggiungere più spazio di archiviazione secondo necessità, tramite licenze cumulabili da 100 GB. Per ottenere tutte le funzionalità di CFR Advanced, occorre acquistare almeno una licenza da 100 GB per un firewall.

Esistono tre fasce di prezzo in base alla capacità:

• Da 100 GB a 1 TB (da 1 a 10 licenze)
• Da 1,1 TB a 5 TB (da 11 a 50 licenze)
• 5,1 o più TB (51 o più licenze)

Lo spazio di archiviazione viene acquistato per un account Sophos Central, e successivamente può essere assegnato ai propri firewall.

Per i prezzi, rivolgersi al proprio Partner Sophos.