Vai al contenuto
Il supporto che offriamo per MDR.

Cisco Firepower

Agente di raccolta log

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

Firepower può essere integrato con Sophos Central in modo da inviare dati di audit a Sophos a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log su una virtual machine (VM). L’agente di raccolta log riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più firewall Cisco Firepower sullo stesso agente di raccolta log Sophos.

Per farlo, occorre configurare l’integrazione Cisco Firepower in Sophos Central e successivamente configurare un firewall per l’invio dei log. A questo punto, sarà necessario configurare gli altri firewall Cisco Firepower per l’invio dei log allo stesso agente di raccolta log Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo modo viene configurato un file OVA (Open Virtual Appliance, ovvero appliance virtuale aperta).
  • Distribuire il file OVA sul server ESXi: diventerà l’agente di raccolta log.
  • Configurare Firepower in modo che invii dati. La procedura da seguire dipende dal dispositivo che si utilizza.
  • Connettere Firepower alla propria VM.

Aggiunta di un’integrazione

Per integrare Firepower in Sophos Central, procedere come segue:

  1. In Sophos Central, aprire Centro di analisi delle minacce e cliccare su Integrazioni.
  2. Cliccare su Cisco Firepower.

    Se sono già state configurate connessioni a Firepower, verranno visualizzate qui.

  3. Cliccare su Aggiungi integrazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di integrazione.

Configurazione della VM

Nei Passaggi di integrazione è possibile configurare una VM in modo che riceva dati da Firepower. Si può utilizzare una VM esistente oppure crearne una nuova.

Potrebbe essere necessario aprire Firepower per ottenere alcune delle informazioni necessarie per compilare il modulo.

Per configurare la VM, procedere come segue:

  1. Aggiungere un nome e una descrizione per la nuova integrazione.
  2. Immettere un nome e una descrizione per la VM.
  3. Selezionare la piattaforma virtuale (al momento è supportata solo VMware).
  4. Specificare le porte di rete con connessione Internet.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

    L’indirizzo della VM sarà necessario in un secondo momento, durante la configurazione di Firepower per l’invio dei dati a quella VM.

  5. Selezionare un Protocollo.

  6. Selezionare un Formato syslog.
  7. Completare eventuali altri campi.
  8. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco. Potrebbero trascorrere alcuni minuti prima che il file OVA sia pronto per il download.

Distribuzione della VM

Restrizione

Il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Dopo la distribuzione, non potrà essere riutilizzato.

Se si deve distribuire una nuova VM, occorrerà ripetere tutti questi passaggi per collegare questa integrazione a Sophos Central.

Utilizzare il file OVA per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, in Azioni, cliccare su Scarica OVA.
  2. Al termine del download del file OVA, distribuirlo sul proprio server ESXi. Verrà avviato un assistente alla configurazione che accompagnerà l’utente durante l’intera procedura. Vedere Implementazione di una VM per le integrazioni.

Una volta distribuita la VM, l’integrazione verrà visualizzata come Connessa.

Configurazione di Firepower

Configurare ora Firepower in modo che invii dati all’agente di raccolta log.

La procedura da seguire dipende dal tipo di dispositivo che si sta configurando. Cliccare sulla versione di Firepower utilizzata.

Per connettere Firepower Threat Defense versione 6.3 o successiva al proprio agente di raccolta log Sophos, procedere come segue:

Nota

Evitare i caratteri speciali (virgole incluse) in nomi degli oggetti quali i nomi dei criteri e i nomi delle regole. L’agente di raccolta log sulla VM potrebbe trattare i caratteri speciali come separatori.

Configurazione delle impostazioni syslog

  1. Cliccare su Devices (Dispositivi) > Platform Settings (Impostazioni per la piattaforma).
  2. Nel menu a sinistra, cliccare su Syslog.
  3. Cliccare su Syslog Servers e successivamente su Add (Aggiungi).
  4. Immettere quindi server, protocollo, interfaccia e informazioni correlate per il proprio agente di raccolta log Sophos.

    Per maggiori informazioni, vedere Configurazione di un server syslog.

  5. Cliccare su Syslog Settings (Impostazioni syslog) e configurare le impostazioni nel modo seguente:

    1. Attivare Timestamp in Syslog Messages (Messaggi syslog).
    2. Immettere il Timestamp Format (Formato data e ora).
    3. Attivare Syslog Device ID (ID dispositivo syslog).

    Vedere Impostazioni della piattaforma FTD applicabili ai messaggi syslog per gli eventi di sicurezza.

  6. Cliccare su Logging Setup (Impostazione log).

  7. Selezionare se i syslog debbano essere inviati o meno in formato EMBLEM.
  8. Cliccare su Save.

Configurazione delle impostazioni dei log per il controllo di accesso

È necessario configurare le impostazioni dei log per il criterio di controllo di accesso, incluso come vengono registrati i file e il malware nei log.

  1. Cliccare su Policies (Criteri) > Access Control (Controllo di accesso).
  2. Modificare il criterio di controllo di accesso applicabile.
  3. Cliccare su Logging (Log).
  4. Selezionare FTD 6.3 and later (FTD 6.3 e versioni successive). Utilizzare le impostazioni syslog configurate nel criterio delle Impostazioni per la piattaforma FTD che è stato distribuito sul dispositivo.
  5. (Facoltativo) Selezionare Syslog Severity (Gravità syslog).
  6. Se si desidera inviare eventi relativi a file e malware, selezionare Send Syslog messages for File and Malware events (Invia messaggi syslog per gli eventi di file e malware).
  7. Cliccare su Save.

Attivazione dei log per gli eventi di Security Intelligence

  1. Nello stesso criterio di controllo di accesso, cliccare sulla scheda Security Intelligence (Intelligence sulla sicurezza).
  2. In ciascuna delle opzioni indicate di seguito, cliccare su Logging. Attivare quindi il server syslog e l’inizio e la fine delle connessioni:

    1. Accanto a DNS Policy (Criterio DNS).
    2. Nella casella Block List (Elenco di blocco), per Networks (Reti) e URLs.
  3. Cliccare su Save.

Attivazione della registrazione in syslog di ogni regola di controllo di accesso

  1. Nello stesso criterio di controllo di accesso, cliccare sulla scheda Rules (Regole).
  2. Cliccare su una regola da modificare.
  3. Cliccare sulla scheda Logging (Log) nella regola.
  4. Scegliere se inserire nei log l’inizio o la fine delle connessioni o entrambi.

    I log delle connessioni generano molti dati. Inserendo nei log sia l’inizio che la fine delle connessioni, si genererà circa il doppio dei dati. Non tutte le connessioni possono essere registrate sia all’inizio che alla fine.

  5. Se si desidera registrare eventi dei file, selezionare Log files (Registra file nei log).

  6. Attivare Server Syslog.
  7. Verificare che la regola sia Using default syslog configuration in Access Control Logging (Utilizzo della configurazione predefinita di syslog per i log del controllo di accesso).
  8. Cliccare su Add (Aggiungi).
  9. Ripetere la procedura per tutte le regole del criterio.

Abilitazione della registrazione nei log degli eventi di intrusione

  1. Accedere al criterio delle intrusioni associato al proprio criterio di controllo di accesso.
  2. Nel criterio delle intrusioni, cliccare su Advanced Settings (Impostazioni avanzate) > Syslog Alerting (Avvisi syslog) > Enabled (Attivati).
  3. Se necessario, cliccare su Edit (Modifica).
  4. Immettere le opzioni come segue:

    • Logging Host

      A meno che non si desideri inviare i messaggi syslog relativi agli eventi di intrusione a un server syslog diverso da quello a cui vengono inviati gli altri messaggi syslog, lasciare vuoto questo campo. Verranno utilizzate le impostazioni configurate in precedenza.

    • Facility

      Questa impostazione è applicabile solo se su questa pagina si specifica un logging host.

      Per le descrizioni, vedere Strutture per gli avvisi syslog.

    • Severity

      Questa impostazione è applicabile solo se su questa pagina si specifica un logging host.

      Per le descrizioni, vedere Livelli di gravità syslog.

  5. Cliccare su Back (Indietro).

  6. Cliccare su Policy Information (Informazioni criterio) nel menu a sinistra.
  7. Cliccare su Commit Changes (Conferma modifiche).

Per ulteriori dettagli su questa procedura, consultare la documentazione di Cisco. Vedere Creazione di una risposta agli avvisi syslog.

Nota

Evitare i caratteri speciali (virgole incluse) in nomi degli oggetti quali i nomi dei criteri e i nomi delle regole. L’agente di raccolta log sulla VM potrebbe trattare i caratteri speciali come separatori.

Per connettere i dispositivi Firepower classici al proprio agente di raccolta log Sophos, procedere come segue:

Configurazione delle impostazioni syslog

  1. Accedere al proprio Firepower Management Center (FMC).
  2. Cliccare su Policies (Criteri) > Actions (Azioni) > Alerts (Avvisi).
  3. In Create Alert (Crea avviso), selezionare Create Syslog Alert (Crea avviso syslog).
  4. Inserire un Name (Nome) per l’avviso, ad esempio IntegrazioneSophos
  5. Immettere l’indirizzo IP dell’agente di raccolta log Sophos in Host.
  6. Immettere il numero di porta configurato nell’agente di raccolta log Sophos in Port (Porta).
  7. Selezionare la Facility (Struttura).

    L’agente di raccolta log Sophos accetta i dati di qualsiasi struttura. Per un elenco delle opzioni per i dati, consultare la documentazione di Cisco. Vedere la Tabella 1. Available Syslog Facilities (Strutture syslog disponibili).

  8. Selezionare il livello di Severity (Gravità).

    L’agente di raccolta log Sophos accetta qualsiasi livello di gravità selezionato. Per un elenco delle opzioni, consultare la documentazione di Cisco. Vedere la Tabella 2. Syslog Severity Levels (Livelli di gravità Syslog).

  9. Cliccare su Save.

Quando si attiva Send Audit Log to Syslog (Invia log di audit a syslog) e si forniscono informazioni sull’Host, oltre ai registri di controllo, verranno inviati all’host anche i messaggi syslog. Se si desidera modificare questa impostazione, consultare la documentazione di Cisco. Vedere Filter Syslogs from Audit Logs (Filtra i syslog dai log di audit).

Configurazione delle impostazioni di syslog per il controllo di accesso

  1. Accedere al dispositivo.
  2. Cliccare su Policies (Criteri) > Access Control (Controllo di accesso).
  3. Modificare il criterio di controllo di accesso applicabile.
  4. Cliccare su Logging (Log).
  5. Selezionare Send using specific syslog alert (Invia tramite avviso syslog specifico).
  6. Selezionare l’avviso syslog creato in precedenza.
  7. Cliccare su Save.

Attivazione della registrazione nei log degli eventi relativi a file e malware

  1. Selezionare Send Syslog messages for File and Malware events (Invia messaggi syslog per gli eventi di file e malware).
  2. Cliccare su Save.

Attivazione della registrazione nei log degli eventi di intrusione

  1. Accedere al criterio delle intrusioni associato al proprio criterio di controllo di accesso.
  2. Nel criterio delle intrusioni, cliccare su Advanced Settings (Impostazioni avanzate) > Syslog Alerting (Avvisi syslog) > Enabled (Attivati).
  3. Se necessario, cliccare su Edit (Modifica).
  4. Immettere le seguenti opzioni:

    • Logging Host

      A meno che non si desideri inviare i messaggi syslog relativi agli eventi di intrusione a un server syslog diverso da quello a cui vengono inviati gli altri messaggi syslog, lasciare vuoto questo campo. Verranno utilizzate le impostazioni configurate in precedenza.

    • Facility

      Questa impostazione è applicabile solo se su questa pagina si specifica un logging host.

      Vedere Strutture per gli avvisi syslog.

    • Livello di gravità

      Questa impostazione è applicabile solo se su questa pagina si specifica un logging host.

      Vedere Livelli di gravità Syslog.

  5. Cliccare su Back (Indietro).

  6. Cliccare su Policy Information (Informazioni criterio) nel menu a sinistra.
  7. Cliccare su Commit Changes (Conferma modifiche).