Vai al contenuto
Il supporto che offriamo per MDR.

Integrazione di Forcepoint

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

Forcepoint NGFW può essere integrato con Sophos Central per l’invio di avvisi a Sophos.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più istanze di Forcepoint NGFW sulla stessa appliance.

Per farlo, occorre configurare l’integrazione di Forcepoint NGFW in Sophos Central e successivamente configurare un’istanza di Forcepoint NGFW per l’invio dei log. A questo punto, sarà necessario configurare le altre istanze di Forcepoint NGFW per l’invio dei log alla stessa appliance Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I passaggi chiave sono:

  • Configurare un’integrazione per questo prodotto. Questa azione configura un’immagine da utilizzare su una VM.
  • Scaricare e distribuire l’immagine sulla propria VM. Questa diventa l’appliance.
  • Configurare Forcepoint NGFW in modo che invii dati all’appliance.

Requisiti

Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.

Configurazione di un’integrazione

Per configurare l’integrazione, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
  2. Cliccare su Darktrace. Assicurarsi di cliccare sulla scheda di Darktrace DETECT, non Darktrace Email.

    Si apre la pagina Darktrace. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare la propria VM come appliance, in modo che riceva dati da Darktrace DETECT. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Inserire un nome e una descrizione per l’integrazione.
  2. Inserire un nome e una descrizione per l’appliance.

    Se è già stata configurata un’integrazione per l’appliance Sophos, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  4. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per la VM.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  5. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Forcepoint NGFW per l’invio dei dati all’appliance.

  6. In Protocollo, TCP è preselezionato. Non potrà essere modificato.

    Quando si configura Forcepoint NGFW per l’invio dei dati all’appliance, è necessario assicurarsi che utilizzi lo stesso protocollo.

  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di Forcepoint NGFW per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine VM sia pronta.

Distribuzione della VM

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine VM per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Implementazione di una VM per le integrazioni.

Configurazione di Forcepoint NGFW

Per inoltrare log a Sophos è necessario aggiungere regole di inoltro dei log al server di log, procedendo come segue:

  1. Selezionare Home (Pagina principale).
  2. Aprire Others (Altri) > Log Server (Server di log).
  3. Cliccare con il pulsante destro del mouse sul server di log dal quale si desidera inoltrare i dati di log e selezionare Properties (Proprietà).
  4. Cliccare sulla scheda Log Forwarding (Inoltro dei log).
  5. Per creare una regola, cliccare su Add (Aggiungi).

    Verrà visualizzata una tabella delle impostazioni.

  6. Per selezionare l’host esterno a cui inoltrare i dati, procedere come segue:

    1. Cliccare sul campo Target Host (Host di destinazione).
    2. Selezionare un host e cliccare su Select (Seleziona).
  7. Per aggiungere una regola, cliccare su Add.

  8. Configurare la regola di inoltro dei log.

    Per questa integrazione è necessario cliccare sul campo Format (Formato) e selezionare CEF.

  9. Cliccare su OK.