Integrazione di Barracuda CloudGen
Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.
Barracuda CloudGen può essere integrato con Sophos Central per l’invio di avvisi a Sophos.
Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance di integrazione”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.
In questa pagina viene descritta l’integrazione mediante un’appliance su ESXi o Hyper-V. Se si desidera eseguire l’integrazione utilizzando un’appliance su AWS, vedere Integrazioni su AWS.
Passaggi principali
I passaggi principali in un’integrazione sono i seguenti:
- Aggiungere un’integrazione per questo prodotto. In questo passaggio viene creata un’immagine dell’appliance.
- Scaricare e distribuire l’immagine su una VM. Questa diventa l’appliance.
- Configurare Barracuda CloudGen in modo che invii dati all’appliance.
Requisiti
Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.
Aggiunta di un’integrazione
Per aggiungere l’integrazione, procedere come segue:
- In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
-
Cliccare su Barracuda CloudGen.
Si apre la pagina Barracuda CloudGen. Qui è possibile aggiungere integrazioni e visualizzare un elenco delle integrazioni che sono già state aggiunte.
-
In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.
Nota
Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.
Verranno visualizzati i Passaggi di configurazione dell’integrazione.
Configurazione dell’appliance
In Passaggi di configurazione dell’integrazione, è possibile configurare una nuova appliance o utilizzarne una esistente.
In queste istruzioni si presuppone che si stia configurando una nuova appliance. Per farlo, creare un’immagine procedendo come segue:
- Inserire un nome e una descrizione per l’integrazione.
- Cliccare su Crea nuova appliance.
- Inserire un nome e una descrizione per l’appliance.
- Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.
-
Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per l’appliance.
-
Selezionare DHCP per assegnare automaticamente l’indirizzo IP.
Nota
Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.
-
Selezionare Manuale per specificare le impostazioni di rete.
-
-
Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.
L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Barracuda CloudGen per l’invio dei dati all’appliance.
-
In Protocollo, TCP è preselezionato. Non potrà essere modificato.
Quando si configura Barracuda CloudGen per l’invio dei dati all’appliance, è necessario assicurarsi che utilizzi lo stesso protocollo.
-
Cliccare su Salva.
L’integrazione verrà creata e visualizzata nell’elenco.
Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di Barracuda CloudGen per l’invio dei dati a quell’agente di raccolta dati.
Potrebbero trascorrere alcuni minuti prima che l’immagine dell’appliance sia pronta.
Distribuzione dell’appliance
Restrizione
Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.
Utilizzare l’immagine per distribuire l’appliance, procedendo come segue:
- Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
- Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Distribuzione di un’appliance.
Configurazione di Barracuda CloudGen
È ora possibile configurare Barracuda CloudGen utilizzando l’inoltro di syslog, in modo che invii avvisi a Sophos.
Nota
È possibile configurare più istanze di Barracuda CloudGen per l’invio di dati a Sophos attraverso la stessa appliance. Una volta completata l’integrazione, ripetere i passaggi descritti in questa sezione per le altre istanze di Barracuda CloudGen. Non è necessario ripetere i passaggi in Sophos Central.
Abilitazione dello streaming syslog
Attivare lo streaming syslog su Barracuda CloudGen Firewall, procedendo come segue:
- Aprire CONFIGURATION (CONFIGURAZIONE) > Configuration Tree (Albero di configurazione) > Box (Dispositivo) > Infrastructure Services (Servizi di infrastruttura) > Syslog Streaming (Streaming syslog).
- Cliccare su Lock (Blocca).
- Impostare Enable Syslog Streaming (Abilita streaming syslog) su Yes (Sì).
- Cliccare su Send Changes (Invia modifiche) e su Activate (Attiva).
Attivazione della reportistica dettagliata del firewall
- Accedere a Configuration Tree > Infrastructure Services > General Firewall Configuration (Configurazione generale del firewall).
- Cliccare su Lock (Blocca).
- Nel menu a sinistra, selezionare Audit and Reporting (Controllo e reportistica).
- Sotto Log Policy (Criteri di log), impostare l’Activity Log Mode (Modalità di log delle attività) su Log-Pipe-Separated-Key-Value-List.
- Cliccare su Send Changes (Invia modifiche) e su Activate (Attiva).
Esempio di output con Log-Pipe-Separated-Key-Value-List:
2024 05 07 10:02:51 +00:00 Info Allow: type=LOUT|proto=TCP|srcIF=dhcp|srcIP=10.0.0.4|srcPort=47542|srcMAC=00:0d:3a:46:14:a3|dstIP=168.63.129.16|dstPort=32526|dstService=|dstIF=|rule=PASSALL|info=0|srcNAT=10.0.0.4|dstNAT=168.63.129.16|duration=0|count=1|receivedBytes=0|sentBytes=0|receivedPackets=0|sentPackets=0|user=|protocol=|application=|target=|content=|urlcat=
Configurazione dei filtri dei dati di log
Specificare i tipi di file di log da trasmettere in streaming.
- Aprire CONFIGURATION (CONFIGURAZIONE) > Configuration Tree (Albero di configurazione) > Box (Dispositivo) > Infrastructure Services (Servizi di infrastruttura) > Syslog Streaming (Streaming syslog).
- Nel menu a sinistra, selezionare Logdata Filters (Filtri dei dati di log).
- Cliccare su Lock (Blocca).
-
Nella tabella Filters (Filtri), cliccare su “+” per aggiungere un nuovo filtro.
Viene visualizzata la finestra Filters.
-
Inserire un Name (Nome), ad esempio “Integrazione Sophos MDR”.
- Cliccare su OK.
-
Nella tabella Data Selection (Selezione dati), aggiungere i file di log di Top Level Logdata (Dati di log di primo livello) da trasmettere in streaming. È possibile selezionare:
- Fatal_log
- Panic Log
- Firewall_Audit_Log
Per Firewall_audit_Log, il log di controllo del firewall deve essere attivato e configurato, e l’opzione Audit delivery (Distribuzione di controllo) deve essere impostata su Syslog Proxy. Vedere Come attivare il servizio di log di controllo del firewall.
Configurazione di Sophos come destinazione del flusso di log
Configurare il firewall in modo che invii lo streaming syslog a Sophos Central.
- Aprire CONFIGURATION (CONFIGURAZIONE) > Configuration Tree (Albero di configurazione) > Box (Dispositivo) > Infrastructure Services (Servizi di infrastruttura) > Syslog Streaming (Streaming syslog).
- Nel menu a sinistra, selezionare Logstream Destinations (Destinazioni del flusso di log).
- Cliccare su Lock (Blocca).
-
Nella tabella Destinations (Destinazioni), cliccare su “+” per aggiungere un nuovo filtro.
Si apre la pagina Destinations.
-
Inserire un Name e cliccare su OK.
- In Logstream Destination, selezionare il nome inserito al momento della configurazione dei filtri dei dati di log (nel nostro esempio “Integrazione Sophos MDR”).
- In Destination IP Address (Indirizzo IP di destinazione) e Destination Port (Porta di destinazione), inserire l’indirizzo IP e la porta configurati in precedenza su Sophos Central.
- Cliccare su Send Changes (Invia modifiche) e su Activate (Attiva).
Configurazione del flusso di dati di log
Unire i filtri dei dati di log e la destinazione del flusso di dati di log per configurare un flusso di dati di log.
- Aprire CONFIGURATION (CONFIGURAZIONE) > Configuration Tree (Albero di configurazione) > Box (Dispositivo) > Infrastructure Services (Servizi di infrastruttura) > Syslog Streaming (Streaming syslog).
- Nel menu a sinistra, selezionare Logdata Streams (Flussi di dati di log).
- Cliccare su Lock (Blocca).
-
Nella tabella Streams (Flussi), cliccare su “+” per aggiungere un nuovo flusso syslog.
Viene visualizzata la finestra Streams.
-
Immettere un Nome. Utilizzare lo stesso nome utilizzato nelle sezioni precedenti (nel nostro esempio “Integrazione Sophos MDR”).
- Cliccare su OK.
- Impostare Active Stream (Flusso attivo) su Yes (Sì).
- Nella tabella Log Destinations (Destinazioni dei log), cliccare su “+” e selezionare la destinazione del flusso di log configurata in precedenza.
- Nella tabella Log Filters (Filtri dei log), cliccare su “+” e selezionare il filtro dei dati di log configurato in precedenza.
- Cliccare su OK.
- Cliccare su Send Changes (Invia modifiche) e su Activate (Attiva).
Tutti i log a cui è stato applicato il filtro dei dati di log vengono ora trasmessi in streaming a Sophos.