Cisco Firepower
Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.
Firepower può essere integrato con Sophos Central in modo da inviare dati di audit a Sophos a scopo di analisi.
Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance di integrazione”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.
In questa pagina viene descritta l’integrazione mediante un’appliance su ESXi o Hyper-V. Se si desidera eseguire l’integrazione utilizzando un’appliance su AWS, vedere Integrazioni su AWS.
Passaggi principali
I passaggi principali in un’integrazione sono i seguenti:
- Aggiungere un’integrazione per questo prodotto. In questo passaggio viene creata un’immagine dell’appliance.
- Scaricare e distribuire l’immagine sulla propria VM, che diventa l’appliance.
- Configurare Firepower in modo che invii dati. La procedura da seguire dipende dal dispositivo che si utilizza.
- Connettere Firepower alla propria VM.
Requisiti
Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.
Aggiunta di un’integrazione
Per integrare Firepower in Sophos Central, procedere come segue:
- In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
-
Cliccare su Cisco Firepower.
Si apre la pagina Cisco Firepower. Qui è possibile aggiungere integrazioni e visualizzare un elenco delle integrazioni che sono già state aggiunte.
-
In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.
Nota
Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere Immissione dei dettagli di dominio e IP.
Verranno visualizzati i Passaggi di configurazione dell’integrazione.
Configurazione dell’appliance
In Passaggi di configurazione dell’integrazione, è possibile configurare una nuova appliance o utilizzarne una esistente.
In queste istruzioni si presuppone che si stia configurando una nuova appliance. Per farlo, creare un’immagine procedendo come descritto di seguito.
Potrebbe essere necessario aprire Firepower per ottenere alcune delle informazioni necessarie per compilare il modulo.
- Aggiungere un nome e una descrizione per la nuova integrazione.
- Inserire un nome e una descrizione per l’appliance.
- Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.
-
Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per l’appliance.
-
Selezionare DHCP per assegnare automaticamente l’indirizzo IP.
Nota
Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.
-
Selezionare Manuale per specificare le impostazioni di rete.
-
-
Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.
L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Firepower per l’invio dei dati all’appliance.
-
Selezionare un Protocollo.
Utilizzare lo stesso protocollo quando si configura Firepower per l’invio dei dati all’appliance.
-
Cliccare su Salva.
L’integrazione verrà creata e visualizzata nell’elenco.
Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di Firepower per l’invio dei dati a quell’agente di raccolta dati.
Potrebbero trascorrere alcuni minuti prima che l’immagine dell’appliance sia pronta.
Distribuzione dell’appliance
Restrizione
Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.
Utilizzare l’immagine per distribuire l’appliance, procedendo come segue:
- Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
- Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Distribuzione delle appliance.
Configurazione di Firepower
Configurare ora Firepower in modo che invii dati all’appliance. L’appliance svolge la funzione di Server Syslog, pertanto è possibile utilizzare la funzionalità Server Syslog del firewall per inviare i dati.
Nota
È possibile configurare più istanze di Firepower per l’invio di dati a Sophos attraverso la stessa appliance. Una volta completata l’integrazione, ripetere i passaggi descritti in questa sezione per le altre istanze di Firepower. Non è necessario ripetere i passaggi in Sophos Central.
La procedura da seguire dipende dalla versione del firmware installata sul dispositivo e dal metodo di gestione Cisco utilizzato.
Per i firewall che eseguono Firepower Threat Defense (FTD) versione 6.4 o successiva, cliccare sulla scheda corrispondente al metodo di gestione utilizzato. È possibile utilizzare Firepower Management Console (FMC) o Firepower Defence Manager (FDM).
Per i firewall che eseguono versioni di Firepower Threat Defense (FTD) precedenti alla 6.2.3, cliccare sulla scheda Dispositivi classici.
Nota
Evitare i caratteri speciali (virgole incluse) in nomi degli oggetti quali i nomi dei criteri e i nomi delle regole. L’appliance sulla VM potrebbe trattare i caratteri speciali come separatori.
Per utilizzare Firepower Management Console per connettere all’appliance Sophos un firewall che esegue Firepower Threat Defense (FTD) versione 6.4 o successiva, procedere come indicato di seguito.
Configurazione delle impostazioni syslog
- In FMC, cliccare su Devices (Dispositivi) > Platform Settings (Impostazioni per la piattaforma).
- Selezionare la piattaforma che si desidera connettere all’appliance e cliccare sull’icona di modifica.
- Cliccare su Syslog.
- Cliccare su Syslog Servers > Add (Aggiungi).
-
Immettere i seguenti dettagli di connessione per l’appliance Sophos.
- Indirizzo IP. L’indirizzo IP del syslog configurato in Sophos Central.
- Tipo di protocollo. Se è stato selezionato UDP, non è necessario attivare il formato EMBLEM.
- Numero di porta.
Occorre immettere le stesse impostazioni specificate in Sophos Central al momento dell’aggiunta dell’integrazione.
-
Non selezionare *Enable secure syslog* (Abilita Syslog sicuro).
-
In Reachable by (Raggiungibile da), immettere i dettagli di rete che permettono al firewall di raggiungere l’appliance Sophos.
-
Cliccare su OK.
Per maggiori informazioni sulle impostazioni del Server Syslog per i firewall Cisco Firepower, vedere la Configurazione di un server Syslog.
-
Cliccare su Syslog Settings (Impostazioni syslog) e configurare le impostazioni nel modo seguente:
- Attivare Enable timestamp on Syslog Messages (Abilita timestamp nei messaggi Syslog).
- In Timestamp format (Formato timestamp), selezionare RFC 5424.
- Attivare Enable Syslog Device ID (Abilita ID dispositivo Syslog) e selezionare Host Name (Nome host).
- Non attivare Netflow Equivalent Settings (Impostazioni di rete equivalenti).
-
Cliccare su Save.
- Cliccare su Logging Setup (Impostazione log).
- Selezionare Enable Logging (Abilita log).
-
Non selezionare le seguenti opzioni:
- Enable logging on the failover standby unit (Abilita log sulle unità di failover in standby)
- Send syslogs in EMBLEM format (Invia Syslog in formato EMBLEM)
- Send debug messages as syslogs (Invia messaggi di debug come Syslog)
-
Se si desidera inoltrare gli eventi VPN all’appliance Sophos, procedere come segue:
- Nella sezione VPN Logging Settings (Impostazioni di log per la VPN), selezionare Enable Logging to Firewall Management Center (Abilita l’invio di log a Firewall Management Center).
- Scegliere Debug come Logging Level (Livello di log).
-
Non occorre immettere le informazioni per Specify FTP Server Information (Specifica informazioni sul server FTP) o Specify Flash Size (Specifica dimensioni flash).
- Cliccare su Save.
Configurazione delle impostazioni dei log per il controllo di accesso
Occorre anche configurare le impostazioni dei log per il criterio di controllo di accesso, incluso come vengono registrati i file e il malware nei log.
Per farlo, procedere come segue:
- Cliccare su Policies (Criteri) > Access Control (Controllo di accesso).
- Cliccare sull’icona di modifica corrispondente al criterio di controllo di accesso che si desidera configurare.
- Cliccare su Logging (Log).
- Selezionare Utilizzare le impostazioni syslog configurate nel criterio delle Impostazioni per la piattaforma FTD che è stato distribuito sul dispositivo.
- In Syslog Severity (Gravità Syslog), selezionare ALERT (AVVISO).
- Attivare Send Syslog messages for IPS events (Invia messaggi Syslog per eventi IPS).
- Attivare Send Syslog messages for File and Malware events (Invia messaggi Syslog per gli eventi di file e malware).
- Cliccare su Save.
Attivazione dei log per gli eventi di Security Intelligence
- Nello stesso criterio di controllo di accesso, cliccare su Security Intelligence (Intelligence sulla sicurezza).
- Cliccare sull’icona delle opzioni DNS Policy (Criterio DNS).
-
In DNS Blacklist Logging Options (Opzioni di log per l’elenco di blocco del DNS), attivare le seguenti opzioni:
- Log Connections.
- Firewall Management Center
- Server Syslog.
-
Cliccare su OK.
-
In Blacklist (Elenco di blocco), cliccare sull’icona delle opzioni per Network (Rete).
-
In Network Blacklist Logging Options (Opzioni di log per l’elenco di blocco della rete) attivare le seguenti opzioni:
- Log Connections
- Firewall Management Center
- Server Syslog
-
Cliccare su OK.
-
Scorrere verso il basso in Blacklist, fino a trovare l’icona delle opzioni per gli URL.
-
In URL Blacklist Logging Options (Opzioni di log per l’elenco di blocco degli URL), attivare le seguenti opzioni:
- Log Connections
- Firewall Management Center
- Server Syslog
-
Cliccare su OK.
- Cliccare su Save.
Attivazione della registrazione nel syslog di ogni regola di controllo di accesso
Bisogna assicurarsi che in tutte le regole del criterio di controllo di accesso sia attivata la registrazione nel syslog.
Per farlo, procedere come indicato di seguito per ogni regola del criterio.
- Nello stesso criterio di controllo di accesso, cliccare sulla scheda Rules (Regole).
- Cliccare su una regola per modificarla.
- In Editing Rule (Modifica della regola), cliccare su Logging (Log).
-
Scegliere se inserire nei log l’inizio o la fine delle connessioni o entrambi.
I log delle connessioni generano molti dati. Inserendo nei log sia l’inizio che la fine delle connessioni, si genererà circa il doppio dei dati. Non tutte le connessioni possono essere registrate nel log sia all’inizio sia alla fine. Per maggiori informazioni, accedere al proprio account Cisco e accedere alla sezione Connection Logging (Log delle connessioni) della Guida alla configurazione di Firepower Management Center. Vedere Log delle connessioni.
-
Se si desidera registrare eventi dei file, selezionare Log files (Registra file nei log).
- Attivare Syslog Server (Server Syslog).
- Cliccare su Save.
Attivazione della registrazione nei log degli eventi di intrusione
È anche necessario attivare la registrazione degli eventi nei log per il criterio di intrusione associato al criterio di controllo di accesso.
- Cliccare su Policies (Criteri) > Intrusion (Intrusione).
- Individuare il criterio di intrusione associato al criterio di controllo di accesso e cliccare su Snort 2 Version (Versione di Snort 2).
- In Policy Information (Informazioni sul criterio), cliccare su Advanced Settings (Impostazioni avanzate).
- In Advanced Settings (Impostazioni avanzate), selezionare Syslog Alerting (Avvisi Syslog).
- Cliccare su Enabled (Abilitati).
- Cliccare su Back (Indietro).
- In Policy Information (Informazioni sul criterio), cliccare su Commit Changes (Conferma modifiche).
- Immettere una descrizione delle modifiche e cliccare su OK.
Per informazioni sull’analisi degli eventi, vedere Analisi degli eventi con strumenti esterni.
Per le istruzioni più recenti pubblicate dal vendor, vedere Configurazione e verifica di Syslog in Firepower Device Manager.
Nota
Evitare i caratteri speciali (virgole incluse) in nomi degli oggetti quali i nomi dei criteri e i nomi delle regole. L’appliance sulla VM potrebbe trattare i caratteri speciali come separatori.
Per connettere un dispositivo Firepower alla propria appliance Sophos utilizzando FDM, procedere come indicato di seguito.
Attivazione della registrazione nei log degli eventi relativi a file e malware.
Per attivare la registrazione nei log degli eventi relativi a file e malware e per aggiungere i dettagli di connessione dell’appliance Sophos al firewall, procedere come indicato di seguito.
- Accedere a FDM sul dispositivo che si desidera configurare e caricare la <>scheda Device: Name (Dispositivo: Nome).
- In System Settings (Impostazioni di sistema), cliccare su Logging Settings (Impostazioni di log).
- Attivare FILE/MALWARE LOGGING (LOG FILE/MALWARE).
- Cliccare su Server Syslog per visualizzare i server disponibili.
- Se l’appliance Sophos è già stata aggiunta a questo dispositivo, selezionarla. In caso contrario, cliccare su Create new Syslog Server (Crea nuovo Server Syslog).
-
Immettere i seguenti dettagli di connessione per l’appliance Sophos.
- Indirizzo IP. L’indirizzo IP del syslog configurato in Sophos Central.
- Tipo di protocollo.
- Numero di porta.
Occorre immettere le stesse impostazioni specificate in Sophos Central al momento dell’aggiunta dell’integrazione.
-
Se richiesto, selezionare una Data Interface (Interfaccia dati) o una Management Interface (Interfaccia di gestione) idonea al proprio ambiente di rete.
- Cliccare su OK.
- Il nuovo server verrà visualizzato in Server Syslog. Cliccarvi sopra per selezionarlo.
- In Log at Severity Level (Log a livello di gravità), selezionare Debug.
- Cliccare su SAVE.
Configurazione dei criteri
In ogni criterio è necessario attivare la registrazione nei log per le attività che si desidera inoltrare all’appliance Sophos. È possibile attivare il controllo di accesso e gli eventi di intrusione.
Per farlo, procedere come segue:
- Cliccare su Policies (Criteri) > Access Control (Controllo di accesso).
- Individuare il criterio da configurare e cliccare sull’icona di modifica.
- Cliccare su Logging (Log).
- In SELECT LOG ACTION (SELEZIONA AZIONE DI LOG), specificare se si desidera effettuare la registrazione nei log all’inizio o alla fine della connessione, o nessuna delle due opzioni.
- In FILE EVENTS (EVENTI FILE), attivare Log Files
- Se si desidera registrare nei log gli eventi di intrusione, aprire Intrusion Policy (Criterio di intrusione) e attivare INTRUSION POLICY.
- Selezionare l’Intrusion Policy da applicare.
-
Se si desidera registrare nei log gli eventi dei file, aprire File Policy (Criterio file) e selezionare il criterio file da applicare. Le opzioni disponibili sono:
- Block Malware All
- Malware Cloud Lookup - No Block
-
In SEND CONNECTION EVENTS TO: (INVIA EVENTI DI CONNESSIONE A:), selezionare la propria appliance Sophos.
- Cliccare su OK.
- Cliccare su Intrusion (Intrusione).
- Cliccare sul pulsante Edit Logging Settings (Modifica impostazioni di log) per configurare syslog.
-
Cliccare sull’icona a forma di più
sotto Send Intrusion Events To (Invia eventi di intrusione a) e selezionare gli oggetti del server che definiscono i server syslog.
Se gli oggetti richiesti non esistono ancora, cliccare su Create New Syslog Server (Crea nuovo server Syslog) e crearli.
-
Individuare il criterio da configurare e cliccare sull’icona delle impostazioni.
- In Edit Logging Settings (Modifica impostazioni di log), cliccare sull’icona a forma di Più
e selezionare la propria appliance Sophos.
- Cliccare su OK.
Ripetere questi passaggi per tutti i criteri che devono inviare dati all’appliance Sophos.
Per le informazioni del vendor sui criteri di intrusione, vedere Criteri di intrusione.
Salvataggio delle modifiche
Le modifiche saranno attive sul dispositivo solo dopo la loro implementazione. Per farlo, procedere come segue:
-
Cliccare sull’icona di Implementazione.
Sull’icona, viene visualizzato un puntino quando sono presenti modifiche non implementate.
-
In Pending Changes (Modifiche in sospeso), verificare le modifiche.
- Cliccare su DEPLOY NOW (IMPLEMENTA ORA).
Per i dettagli completi del processo, consultare la documentazione di Cisco. Vedere Creazione di una risposta agli avvisi syslog.
Nota
Evitare i caratteri speciali (virgole incluse) in nomi degli oggetti quali i nomi dei criteri e i nomi delle regole. L’appliance sulla VM potrebbe trattare i caratteri speciali come separatori.
Per connettere i dispositivi Firepower classici alla propria appliance Sophos, procedere come indicato di seguito.
Configurazione delle impostazioni syslog
- Accedere al proprio Firepower Management Center (FMC).
- Cliccare su Policies (Criteri) > Actions (Azioni) > Alerts (Avvisi).
- In Create Alert (Crea avviso), selezionare Create Syslog Alert (Crea avviso syslog).
- Inserire un Name (Nome) per l’avviso, ad esempio IntegrazioneSophos
- Immettere l’indirizzo IP dell’appliance Sophos in Host.
- Immettere il numero di porta configurato nell’appliance Sophos in Port (Porta).
-
Selezionare la Facility (Struttura).
L’appliance Sophos accetta i dati di qualsiasi struttura. Per un elenco delle opzioni per i dati, consultare la documentazione di Cisco. Vedere la Tabella 1. Available Syslog Facilities (Strutture syslog disponibili).
-
Selezionare il livello di Severity (Gravità).
L’appliance Sophos accetta qualsiasi livello di gravità selezionato. Per un elenco delle opzioni, consultare la documentazione di Cisco. Vedere la Tabella 2. Syslog Severity Levels (Livelli di gravità Syslog).
-
Cliccare su Save.
Quando si attiva Send Audit Log to Syslog (Invia log di audit a syslog) e si forniscono informazioni sull’Host, oltre ai registri di controllo, verranno inviati all’host anche i messaggi syslog. Se si desidera modificare questa impostazione, consultare la documentazione di Cisco. Vedere Filter Syslogs from Audit Logs (Filtra i syslog dai log di audit).
Configurazione delle impostazioni di syslog per il controllo di accesso
- Accedere al dispositivo.
- Cliccare su Policies (Criteri) > Access Control (Controllo di accesso).
- Modificare il criterio di controllo di accesso applicabile.
- Cliccare su Logging (Log).
- Selezionare Send using specific syslog alert (Invia tramite avviso syslog specifico).
- Selezionare l’avviso syslog creato in precedenza.
- Cliccare su Save.
Attivazione della registrazione nei log degli eventi relativi a file e malware
- Selezionare Send Syslog messages for File and Malware events (Invia messaggi syslog per gli eventi di file e malware).
- Cliccare su Save.
Attivazione della registrazione nei log degli eventi di intrusione
- Accedere al criterio delle intrusioni associato al proprio criterio di controllo di accesso.
- Nel criterio delle intrusioni, cliccare su Advanced Settings (Impostazioni avanzate) > Syslog Alerting (Avvisi syslog) > Enabled (Attivati).
- Cliccare su Back (Indietro).
- In Policy Information (Informazioni sul criterio), cliccare su Commit Changes (Conferma modifiche).
- Immettere una descrizione delle modifiche e cliccare su OK.
Gli avvisi di Cisco Firepower dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.