Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=InfinityTotalProtection

Check Point Quantum Firewall

Agente di raccolta log

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

Check Point Quantum Firewall può essere integrato con Sophos Central per l’invio dei dati di audit a Sophos a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più Quantum Firewall sulla stessa appliance Sophos.

Per farlo, occorre configurare l’integrazione Quantum Firewall in Sophos Central e successivamente configurare un firewall per l’invio dei log. A questo punto, sarà necessario configurare gli altri Quantum Firewall per l’invio dei log alla stessa appliance Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I passaggi chiave sono:

  • Configurare un’integrazione per questo prodotto. Questa azione configura un’immagine da utilizzare su una VM.
  • Scaricare e distribuire l’immagine sulla propria VM, che diventa l’appliance.
  • Configurare Quantum Firewall in modo che invii dati all’appliance.

Requisiti

Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.

Configurazione di un’integrazione

Per integrare Quantum Firewall con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Check Point Quantum Firewall.

    Si apre la pagina Check Point Quantum Firewall. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare la propria VM come appliance, in modo che riceva dati da Quantum Firewall. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Aggiungere un nome e una descrizione per la nuova integrazione.

  2. Inserire un nome e una descrizione per l’appliance.

    Se è già stata configurata un’integrazione per l’appliance Sophos, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  4. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per la VM.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  5. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Quantum Firewall per l’invio dei dati all’appliance.

  6. Selezionare un Protocollo.

    Utilizzare lo stesso protocollo quando si configura Quantum Firewall per l’invio dei dati all’appliance.

  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di Quantum Firewall per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine VM sia pronta.

Distribuzione della VM

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine VM per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Implementazione di una VM per le integrazioni.

Configurazione di Quantum Firewall

Passare ora a Quantum Firewall e configurare Check Point Log Exporter in modo che invii i dati di audit a Sophos.

Questa operazione può essere effettuata utilizzando l’interfaccia della riga di comando (CLI) o la SmartConsole.

Tramite CLI

Per configurare Log Exporter utilizzando i comandi CLI, utilizzare il comando cp_log_export sul server di log.

La sintassi è la seguente:

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP/host name> target-port <target-port> protocol <(udp|tcp)> format <(cef)|(syslog)> [optional arguments]

  1. Prima di eseguire il comando, configurarlo con le seguenti informazioni:

    • In modalità MDS o MLM, l’argomento domain-server (server di dominio) è obbligatorio. Configurarlo come segue:

      • Utilizzare mds come valore del domain-server, per esportare i log di audit a livello di MDS.
      • Utilizzare all come valore del domain-server per configurare l’integrazione in ogni dominio.

    • Utilizzare l’indirizzo IP o il nome del domain-server per configurare l’integrazione in un dominio specifico. Il Target-server (server di destinazione) può utilizzare l’indirizzo IP o il nome DNS.

      Verrà così creata una nuova directory di destinazione con il nome univoco specificato in name, sotto $EXPORTERDIR/targets/<deployment_name>.

    • Impostare i seguenti parametri del target-server in modo che riflettano i dettagli di connessione per l’appliance Sophos:

      • Indirizzo IP
      • Porta

      • Protocollo

        Occorre immettere le stesse impostazioni di indirizzo IP, porta e protocollo che sono state specificate in Sophos Central al momento dell’aggiunta dell’integrazione.

    • Si consiglia di impostare format su cef.

  2. Eseguire il comando add name.

  3. Per avviare la nuova utilità di esportazione log con i nuovi parametri, eseguire cp_log_export restart. Non si avvierà automaticamente.

Per maggiori informazioni sul comando cp_log_export, vedere Log Exporter - Distribuzione di base.

I dati di Quantum Firewall dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.

Tramite SmartConsole

Per configurare Log Exporter utilizzando la SmartConsole, consultare la Guida per amministratori ai log e al monitoraggio di Check Point. Vedere la Guida per amministratori ai log e al monitoraggio di Check Point.