Vai al contenuto
Il supporto che offriamo per MDR.

Skyhigh Security Secure Web Gateway

Agente di raccolta log

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Rete”.

Skyhigh Security Secure Web Gateway (precedentemente McAfee Web Gateway) può essere integrato con Sophos Central, per consentire l’invio a Sophos di dati sulle richieste di accesso al web.

Questa integrazione utilizza un agente di raccolta log su una virtual machine (VM). L’agente di raccolta log riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più Secure Web Gateway sullo stesso agente di raccolta log.

Per farlo, occorre configurare l’integrazione Skyhigh Security Secure Web Gateway in Sophos Central e successivamente configurare un gateway per l’invio dei log. A questo punto, sarà necessario configurare gli altri Secure Web Gateway per l’invio dei log allo stesso agente di raccolta log Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo modo viene configurato un file OVA (Open Virtual Appliance, ovvero appliance virtuale aperta).
  • Distribuire il file OVA sul server ESXi. Diventerà l’agente di raccolta log.
  • Configurare Secure Web Gateway in modo che invii dati all’agente di raccolta log.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Centro di analisi delle minacce > Integrazioni.
  3. Cliccare su Skyhigh Security Secure Web Gateway.

    Se sono già state configurate connessioni a Secure Web Gateway, verranno visualizzate qui.

  4. In Integrazioni, cliccare su Aggiungi integrazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di integrazione.

Configurazione della VM

Nei Passaggi di integrazione è possibile configurare la propria VM in modo che riceva dati da Secure Web Gateway. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Inserire un nome e una descrizione per l’integrazione.
  2. Immettere il Nome dell’appliance virtuale e la Descrizione dell’appliance virtuale.
  3. Selezionare la piattaforma virtuale. (Al momento è supportata solo VMware).
  4. Specificare le porte di rete con connessione Internet.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

    L’indirizzo della VM sarà necessario in un secondo momento, durante la configurazione di Secure Web Gateway per l’invio dei dati a quella VM.

  5. Selezionare un Protocollo.

  6. Completare eventuali campi rimanenti del modulo.
  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco. Potrebbero trascorrere alcuni minuti prima che il file OVA sia pronto.

Distribuzione della VM

Restrizione

Il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Dopo la distribuzione, non potrà essere riutilizzato.

Se si deve distribuire una nuova VM, occorrerà ripetere tutti questi passaggi per collegare questa integrazione a Sophos Central.

Utilizzare il file OVA per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, in Azioni, cliccare su Scarica OVA.
  2. Al termine del download del file OVA, distribuirlo sul proprio server ESXi. Verrà avviato un assistente alla configurazione che accompagnerà l’utente durante l’intera procedura. Vedere Implementazione di una VM per le integrazioni.

Una volta distribuita la VM, l’integrazione verrà visualizzata come Connessa.

Configurazione di Secure Web Gateway

A questo punto occorre configurare Secure Web Gateway per consentire l’invio a Sophos dei dati del log di accesso, attraverso l’inoltro di syslog.

Per configurare Secure Web Gateway, procedere come segue:

  1. In Secure Web Gateway, aggiungere una regola che renda disponibili i dati del log di accesso al daemon del syslog.
  2. Adattare il file di sistema rsylog.conf in modo da permettere al daemon di inviare i dati a un server syslog.

Questa operazione deve essere effettuata su tutti i Secure Web Gateway che si desidera includere nell’invio di dati del log di accesso. È possibile inviare anche altri dati di log.

I dati includono la data e l’ora di una richiesta di accesso al web, l’utente che ha inviato la richiesta, l’URL richiesto e altre informazioni.

I dati devono essere inviati con il protocollo TCP e in formato CEF.

Vedere informazioni sull’invio dei dati del log di accesso a un server syslog.