Vai al contenuto
Il supporto che offriamo per MDR.

SonicWall SonicOS

Agente di raccolta log

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

L’appliance di sicurezza SonicOS può essere integrata con Sophos Central per l’invio dei messaggi sugli eventi a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono definiti “agente di raccolta dati”. L’agente di raccolta dati riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più istanze di SonicWall sullo stesso agente di raccolta dati.

Per farlo, occorre configurare l’integrazione SonicWall SonicOS in Sophos Central e successivamente configurare un firewall per l’invio dei log. A questo punto, sarà necessario configurare gli altri firewall SonicWall per l’invio dei log allo stesso agente di raccolta dati Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo modo viene configurato un file OVA (Open Virtual Appliance, ovvero appliance virtuale aperta).
  • Distribuire il file OVA sul server ESXi. Diventerà l’agente di raccolta dati.
  • Configurare SonicOS in modo che invii dati all’agente di raccolta dati.

Aggiunta di un’integrazione

Per integrare SonicOS con Sophos Central, procedere come segue:

  1. In Sophos Central, aprire Centro di analisi delle minacce e cliccare su Integrazioni.
  2. Cliccare su SonicWall SonicOS.

    Se sono già state configurate connessioni a SonicOS, verranno visualizzate qui.

  3. Cliccare su Aggiungi.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di integrazione.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare la propria VM in modo che riceva dati da SonicOS. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Aggiungere un nome e una descrizione per la nuova integrazione.
  2. Immettere un nome e una descrizione per l’agente di raccolta dati.

    Se è già stata configurata un’integrazione per l’agente di raccolta dati, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale. (Al momento è supportata solo VMware).

  4. Specificare le porte di rete con connessione Internet.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

    L’indirizzo della VM sarà necessario in un secondo momento, durante la configurazione di SonicOS per l’invio dei dati a quella VM.

  5. Selezionare un Protocollo.

  6. Completare eventuali campi rimanenti del modulo.
  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco. Potrebbero trascorrere alcuni minuti prima che il file OVA sia pronto.

Distribuzione della VM

Restrizione

Il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Dopo la distribuzione, non potrà essere riutilizzato.

Se si deve distribuire una nuova VM, occorrerà ripetere tutti questi passaggi per collegare questa integrazione a Sophos Central.

Utilizzare il file OVA per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, in Azioni, cliccare su Scarica OVA.
  2. Al termine del download del file OVA, distribuirlo sul proprio server ESXi. Verrà avviato un assistente alla configurazione che accompagnerà l’utente durante l’intera procedura. Vedere Implementazione di una VM per le integrazioni.

Una volta distribuita la VM, l’integrazione verrà visualizzata come Connessa.

Configurazione di SonicOS

A questo punto, è possibile configurare SonicOS per l’invio dei dati a Sophos.

Per configurare le impostazioni di syslog, procedere come segue:

Nota

Se si utilizza il Global Management System (GMS) di SonicWALL per gestire il firewall, non è possibile cambiare il formato del syslog (Default) o l’ID del syslog (Firewall). Le altre impostazioni possono essere modificate. Le seguenti istruzioni non utilizzano il GMS.

  1. Aprire Log > Syslog.
  2. Selezionare Syslog Servers e cliccare su Add (Aggiungi).
  3. Immettere i dettagli dell’indirizzo della propria VM.
  4. In Syslog Format (Formato syslog), selezionare ArcSight. L’agente di raccolta dati Sophos riceve avvisi in formato ArcSight CEF.

    Quando si seleziona ArcSight, l’icona Configure (Configura) diventa attiva.

  5. Cliccare sull’icona Configure. Verrà visualizzata la finestra di configurazione ArcSight CEF fields Settings (Impostazioni campi ArcSight CEF).

  6. Selezionare le opzioni di ArcSight che si desidera inserire nei log. Nella maggior parte dei casi, l’opzione da selezionare è All (Tutte). Per selezionare tutte le opzioni, cliccare su Select All.
  7. Cliccare su Save.
  8. Nella casella Syslog ID, immettere l’ID syslog desiderato.

    Un campo Syslog ID è incluso in tutti i messaggi generati, preceduto da id=.

    Ad esempio, per il firewall (valore predefinito), tutti i messaggi syslog includono id=firewall. È possibile impostare un ID da 0 a 32 lettere, numeri e caratteri di sottolineatura.

    Nota

    Quando l’opzione Override Syslog Settings with Reporting Software Settings (Sovrascrivi le impostazioni del syslog con le impostazioni del software) è attiva, il campo Syslog ID rimarrà fisso su “Firewall”. Non potrà essere modificato.

  9. Cliccare su Accept (Accetta) nella parte alta della pagina.

  10. Aprire Log > Settings (Impostazioni) per configurare quali avvisi devono essere inoltrati a Sophos.
  11. In Logging level (Livello di log) bisogna selezionare Warning (Avviso).

    In questo modo verranno filtrati gli eventi con priorità più bassa.

  12. Nella pagina Log > Settings è anche possibile filtrare gli eventi in base ai rispettivi Event Attributes (Attributi eventi).

    1. Selezionare una categoria e cliccare su Configure.
    2. In Edit Log Category (Modifica categoria log), selezionare la casella di controllo di syslog per categorie specifiche.

      Le modifiche verranno applicate a tutti i gruppi e gli eventi nella categoria selezionata.

Maggiori informazioni