Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=fortianalyzer-log-collector

Fortinet FortiAnalyzer (Agente di raccolta log)

Agente di raccolta log Firewall

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

Nota

Questa integrazione consente all’appliance FortiAnalyzer e ai prodotti con sottoscrizione VM di inoltrare dati a Sophos. Tuttavia, FortiAnalyzer Cloud non è in grado di inoltrare i log, inclusi gli eventi di sicurezza, quindi non è compatibile con questa integrazione. Vedere Limitazioni di FortiAnalyzer Cloud.

Nota

È disponibile anche un’integrazione di FortiAnalyzer basata su API. Vedere Integrazione di Fortinet FortiAnalyzer (API).

Fortinet FortiAnalyzer può essere integrato con Sophos Central in modo che invii avvisi del firewall a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance di integrazione”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Passaggi principali

I passaggi principali in un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo passaggio viene creata un’immagine dell’appliance.
  • Scaricare e distribuire l’immagine sulla propria VM, che diventa l’appliance.
  • Configurare FortiAnalyzer in modo che invii dati all’appliance.

Requisiti

Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Fortinet FortiAnalyzer (Agente di raccolta log).

    Si aprirà la pagina Fortinet FortiAnalyzer (Agente di raccolta log). Qui è possibile aggiungere integrazioni e visualizzare un elenco delle integrazioni che sono già state aggiunte.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere Immissione dei dettagli di dominio e IP.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

Configurazione dell’appliance

In Passaggi di configurazione dell’integrazione, è possibile configurare una nuova appliance o utilizzarne una esistente.

In queste istruzioni si presuppone che si stia configurando una nuova appliance. Per farlo, creare un’immagine procedendo come segue:

  1. Inserire un nome e una descrizione per l’integrazione.
  2. Cliccare su Crea nuova appliance.
  3. Inserire un nome e una descrizione per l’appliance.
  4. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  5. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per l’appliance.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le proprie impostazioni di rete.

  6. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di FortiAnalyzer per l’invio dei dati all’appliance.

  7. Selezionare un Protocollo.

    Utilizzare lo stesso protocollo quando si configura FortiAnalyzer per l’invio dei dati all’appliance.

  8. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di FortiAnalyzer per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine dell’appliance sia pronta.

Distribuzione dell’appliance

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si distribuisce un’altra VM, occorrerà creare un altro file OVA in Sophos Central.

Utilizzare l’immagine per distribuire l’appliance, procedendo come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Distribuzione delle appliance.

Configurazione di FortiAnalyzer

A questo punto, occorre configurare FortiAnalyzer in modo che invii avvisi all’appliance Sophos sulla VM.

Nota

È possibile configurare più istanze di FortiAnalyser per l’invio di dati a Sophos attraverso la stessa appliance. Una volta completata l’integrazione, ripetere i passaggi descritti in questa sezione per le altre istanze di FortiAnalyser. Non è necessario ripetere i passaggi in Sophos Central.

L’inoltro dei log può essere configurato nella console di FortiAnalyzer, procedendo come segue:

  1. Selezionare System Settings (Impostazioni di sistema) > Log Forwarding (Inoltro dei log).
  2. Cliccare su Create New (Crea nuovo).

  3. Nella pagina Create New Log Forwarding (Crea nuovo inoltro dei log), inserire i seguenti dettagli:

    1. Name (Nome): inserire un nome per il server, ad es. “Appliance Sophos”.
    2. Status (Stato): impostare questa opzione su On.
    3. Remote Server Type (Tipo di server remoto): Selezionare Common Event Format (CEF).
    4. Server IP (IP del server): inserire l’indirizzo IP della propria appliance. Si tratta dell’indirizzo IP del syslog specificato in Sophos Central.
    5. Server Port (Porta server): inserire il numero di porta configurato in Sophos Central.
    6. Reliable Connection (Connessione attendibile): attivare questa opzione per utilizzare una connessione TCP. Disattivarla per utilizzare una connessione UDP. Questa impostazione deve essere identica al protocollo impostato in precedenza in Sophos Central.
    7. Sending Frequency (Frequenza di invio). Saltare questa opzione. È solo per i server di FortiAnalyzer.
    8. Log Forwarding Filters (Filtri di inoltro dei log): si consiglia di non applicare filtri a FortiAnalyzer. Sophos applica filtri a livello di appliance.
    9. Cliccare su OK.

Il dispositivo FortiAnalyzer inizierà a inoltrare log all’appliance.