Vai al contenuto
Il supporto che offriamo per MDR.

Integrazione di F5

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

F5 BIG-IP ASM può essere integrato con Sophos Central per l’invio di avvisi a Sophos.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più istanze di F5 BIG-IP ASM sulla stessa appliance.

Per farlo, occorre configurare l’integrazione di F5 BIG-IP ASM in Sophos Central e successivamente configurare un’istanza di F5 BIG-IP ASM per l’invio dei log. A questo punto, sarà necessario configurare le altre istanze di F5 BIG-IP ASM per l’invio dei log alla stessa appliance Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I passaggi chiave sono:

  • Configurare un’integrazione per questo prodotto. Questa azione configura un’immagine da utilizzare su una VM.
  • Scaricare e distribuire l’immagine sulla propria VM. Questa diventa l’appliance.
  • Configurare F5 BIG-IP ASM in modo che invii dati all’appliance.

Requisiti

Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.

Configurazione di un’integrazione

Per configurare l’integrazione, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
  2. Cliccare su F5 BIG-IP ASM.

    Si aprirà la pagina F5 BIG-IP ASM. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare la propria VM come appliance, in modo che riceva dati da F5 BIG-IP ASM. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Inserire un nome e una descrizione per l’integrazione.
  2. Inserire un nome e una descrizione per l’appliance.

    Se è già stata configurata un’integrazione per l’appliance Sophos, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  4. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per la VM.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  5. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di F5 BIG-IP ASM per l’invio dei dati all’appliance.

  6. Selezionare un Protocollo.

    Utilizzare lo stesso protocollo quando si configura F5 BIG-IP ASM per l’invio dei dati all’appliance.

  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di F5 BIG-IP ASM per l’invio dei dati a quell’appliance.

    Potrebbero trascorrere alcuni minuti prima che l’immagine VM sia pronta.

Distribuzione della VM

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine VM per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Implementazione di una VM per le integrazioni.

Configurazione di F5 BIG-IP ASM

È ora possibile configurare F5 BIG-IP ASM utilizzando l’inoltro di syslog, in modo che invii avvisi a Sophos.

Per configurare l’inoltro degli avvisi, procedere come segue:

Creazione di un profilo di log

È necessario creare un profilo di log personalizzato per registrare nei log gli eventi di sicurezza dell’applicazione.

  1. Nella scheda Main (Principale), cliccare su Security (Sicurezza) > Event Logs (Log degli eventi) > Logging Profiles (Profili di log).
  2. In Logging Profiles, cliccare su Create (Crea).

    Si aprirà la schermata New Logging Profile (Nuovo profilo di log).

  3. In *Profile Name* (Nome del profilo), inserire un nome univoco per il profilo.

  4. Selezionare Application Security (Protezione delle applicazioni).

    La schermata mostrerà campi aggiuntivi.

  5. Nella scheda Application Security, sotto Configuration (Configurazione), selezionare Advanced (Avanzate).

  6. Selezionare Remote Storage (Archiviazione remota) per archiviare i log in remoto.
  7. Nell’elenco Response Logging (Log di risposte), selezionare For Illegal Requests Only (Solo per richieste illegali).

    Per impostazione predefinita, il sistema registrerà nei log i primi 10.000 byte di risposte, con una velocità massima di 10 risposte al secondo. I limiti possono essere modificati utilizzando le variabili di sistema di Response Logging.

    Per impostazione predefinita, il sistema registra nei log tutte le richieste. Per limitare il tipo di richieste registrate dal sistema o dal server, impostare lo Storage Filter (Filtro per l’archiviazione).

Continuare a configurare la registrazione nei log in remoto.

Impostazione della registrazione nei log in remoto

È possibile configurare il proprio profilo di log in modo da registrare nei log in remoto gli eventi di sicurezza delle applicazioni su un server syslog.

  1. Nella scheda Main (Principale), cliccare su Security (Sicurezza) > Event Logs (Log degli eventi) > Logging Profiles (Profili di log).
  2. In *Logging Profiles*, cliccare sul nome del Logging Profile per il quale si desidera impostare la registrazione nei log in remoto.
  3. Selezionare Remote Storage.

    Nell’elenco Remote Storage Type (Tipo di archiviazione remota), selezionare Remote (Remota). I messaggi sono in formato syslog.

  4. In Protocol (Protocollo), selezionare lo stesso protocollo configurato in Sophos Central: UDP o TCP.

    Il protocollo selezionato verrà applicato a tutte le impostazioni del server remoto in questa schermata, inclusi tutti gli indirizzi IP del server.

  5. In Server Addresses (Indirizzi dei server), specificare il server nel quale registrare il traffico nei log. Inserire l’IP Address (Indirizzo IP) e il Port Number (Numero di porta) specificati in precedenza in Sophos Central e cliccare su Add (Aggiungi).

  6. In Facility (Struttura), selezionare la categoria del traffico registrato nei log. Per questa integrazione, non importa quale opzione si sceglie.
  7. Nell’impostazione Storage Format (Formato dell’archiviazione), è possibile specificare come devono essere visualizzate le informazioni nei log, quali elementi del traffico devono essere inclusi dal server nei log e l’ordine in cui vengono registrati nei log.
  8. In Maximum Query String Size (Dimensioni massime per le stringhe di query), è possibile specificare la quantità di dati di una richiesta che deve essere registrata nei log dal server. Selezionare Any (Qualsiasi).
  9. In Maximum Entry Length (Lunghezza massima per le voci), è possibile specificare la lunghezza massima di una voce che deve essere registrata nei log dal server. Accettare la lunghezza predefinita, ovvero 1K (1.000) per i server remoti che supportano UDP e 2K (2.000) per i server remoti che supportano TCP.
  10. Selezionare Report Detected Anomalies (Segnala anomalie rilevate). Il sistema invierà un report al log di sistema remoto quando inizia e termina un attacco di tipo brute force o web scraping.
  11. Nell’area Storage Filter, apportare le modifiche necessarie.
  12. Cliccare su Finished (Fine).

Quando si crea un profilo di log per l’archiviazione remota, il sistema archivierà i dati dei criteri di sicurezza associati su uno o più sistemi remoti.

Associazione di un profilo di log a un criterio di sicurezza

Un profilo di log registra le richieste sul server virtuale. Per impostazione predefinita, quando si crea un criterio di sicurezza, il sistema associa il profilo Log Illegal Requests (Registra nei log le richieste illegali) al server virtuale utilizzato dal criterio.

È possibile modificare il profilo di log associato al criterio di sicurezza o assegnarne uno nuovo modificando il server virtuale.

  1. Cliccare su Local Traffic (Traffico locale) > Virtual Servers (Server virtuali).
  2. Cliccare sul nome del server virtuale utilizzato dal criterio di sicurezza. Il sistema mostrerà le proprietà generali del server virtuale.
  3. Dal menu Security (Sicurezza), selezionare Policies (Criteri).

    Il sistema mostrerà le impostazioni dei criteri del server virtuale.

  4. Assicurarsi che l’impostazione Application Security Policy (Criterio di sicurezza delle applicazioni) sia Enabled (Attivato) e che l’opzione Policy (Criterio) sia impostata sul criterio di sicurezza desiderato.

  5. Per Log Profile (Profilo di log), procedere come segue:

    • Verificare che sia impostato su Enabled.
    • Dall’elenco Available (Disponibili), selezionare il profilo da utilizzare per il criterio di sicurezza e spostarlo nell’elenco Selected (Selezionati).
  6. Cliccare su Update (Aggiorna).

Le informazioni relative al traffico controllato dal criterio di sicurezza verranno registrate nei log utilizzando il profilo o i profili di log specificati nel server virtuale.