Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=aryaka

Integrazione di Aryaka

Per utilizzare questa funzionalità, i clienti MSP Flex devono avere la licenza Network Integration Pack.

Aryaka può essere integrato con Sophos Central in modo da inviare avvisi a Sophos, a scopo di analisi.

I passaggi chiave sono:

  • Aggiungere un’integrazione per questo prodotto. In questo passaggio viene creata un’immagine dell’appliance.
  • Scaricare e distribuire l’immagine su una VM. Questa diventa l’appliance.
  • Configurare Aryaka in modo che invii dati all’appliance.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Aryaka.

    Si apre la pagina Aryaka. Qui è possibile aggiungere integrazioni e visualizzare un elenco delle integrazioni che sono già state aggiunte.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere Immissione dei dettagli di dominio e IP.

Verranno visualizzati i Passaggi di configurazione dell’integrazione.

Configurazione dell’appliance

In Passaggi di configurazione dell’integrazione, è possibile configurare una nuova appliance o utilizzarne una esistente.

In queste istruzioni si presuppone che si stia configurando una nuova appliance. Per farlo, creare un’immagine procedendo come segue:

  1. Inserire un nome e una descrizione per l’integrazione.
  2. Cliccare su Crea nuova appliance.
  3. Inserire un nome e una descrizione per l’appliance.
  4. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  5. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per l’appliance.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  6. Selezionare la Versione dell’IP del syslog e inserire l’Indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Aryaka per l’invio dei dati all’appliance.

  7. In Protocollo, TCP è preselezionato. Non potrà essere modificato.

    Quando si configura Aryaka per l’invio dei dati all’appliance, è necessario assicurarsi che utilizzi lo stesso protocollo.

  8. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di Aryaka per l’invio dei dati a quell’appliance.

    Potrebbero trascorrere alcuni minuti prima che l’immagine dell’appliance sia pronta.

Distribuzione dell’appliance

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine per distribuire l’appliance, procedendo come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Distribuzione delle appliance.

Configurazione di Aryaka

Per configurare Aryaka in modo che invii i dati all’appliance, procedere come segue:

  1. Accedere a MyAryaka.
  2. Nel menu in alto, cliccare su Config (Configura).
  3. Nel menu a sinistra, cliccare su Security (Sicurezza).
  4. Cliccare sul riquadro SIEM.
  5. Cliccare su Add SIEM Configuration (Aggiungi configurazione SIEM).

  6. Nella scheda SIEM Details (Dettagli SIEM), inserire un nome e una descrizione per questa connessione.

    Il valore predefinito di Vendor functionality (Funzionalità del vendor) è Generic (Generica) e non può essere modificato.

  7. Nel riquadro Connectivity Details (Dettagli connettività), procedere come segue:

    1. Cliccare sull’elenco a discesa SIEM Log Transport Method (Metodo di trasporto dei log SIEM) e selezionare Network Port (Porta di rete).
    2. Inserire il Syslog IP address (Indirizzo IP del Syslog) configurato in precedenza.
    3. Cliccare sull’elenco a discesa Protocol (Protocollo) e selezionare TCP.

    4. Inserire nel campo Port Number (Numero di Porta) la porta di ascolto per questa connessione, che è stata configurata in precedenza.

      Se non viene specificato, Aryaka presumerà che il numero di porta sia 443.

  8. Nella finestra Log Types (Tipi di log), è possibile scegliere i log da inviare a Sophos. Cliccare sulle seguenti opzioni:

    • Security Logs—Send logs from your Aryaka SmartSecure NGFW-SWG service (Log di sicurezza - Invia log dal servizio Aryaka SmartSecure NGFW-SWG): i log includono approfondimenti provenienti da motori di sicurezza SASE e non SASE.
    • IPS Event Logs—Send logs from your Aryaka SmartSecure IPS service (Log degli eventi - Invia log dal servizio Aryaka SmartSecure IPS): questa opzione viene visualizzata solo se si ha il servizio add-on Aryaka SmartSecure IPS.
    • Flow Logs—Send logs from your SD-WAN service (Log di flusso - Invia log dal tuo servizio SD-WAN): i log contengono dettagli di base sulla connessione e statistiche sul traffico. Questi log non contengono dettagli sul motore di sicurezza.
    • Private Access Logs—Send logs from your Private Access service (Log di flusso - Invia log dal tuo servizio di accesso privato): questa opzione viene visualizzata solo se è abilitata almeno un’area geografica per l’accesso privato.

  9. Cliccare su Invia.

    Un messaggio avviserà che non sarà possibile modificare la configurazione SIEM fino a quando il team di supporto di Aryaka non avrà completato la configurazione.

  10. Cliccare su OK.

    Un messaggio confermerà che la richiesta è stata inviata. Status (Stato) viene impostato su Provisioning.

Quando la richiesta di modifica viene completata, la pagina SIEM (Config > Security > SIEM) mostrerà una scheda con il nome del SIEM, il tipo di vendor Generic e lo stato Configured (Configurato).

Ora Aryaka invia a Sophos tutti i tipi di log selezionati.