Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=ubiquitiunifi

Integrazione di Ubiquiti UniFi

Agente di raccolta log Firewall

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

Ubiquiti UniFi può essere integrato con Sophos Central per l’invio di avvisi del firewall a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance di integrazione”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

In questa pagina viene descritta l’integrazione mediante un’appliance su ESXi o Hyper-V. Se si desidera eseguire l’integrazione utilizzando un’appliance su AWS, vedere Integrazioni su AWS.

Passaggi principali

I passaggi principali in un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo passaggio viene creata un’immagine dell’appliance.
  • Scaricare e distribuire l’immagine sulla propria VM. Questa diventa l’appliance.
  • Configurare Ubiquiti UniFi in modo che invii dati all’appliance.

Requisiti

Il prodotto di Ubiquiti utilizzato deve essere in grado di generare avvisi di sicurezza. I prodotti che possono farlo includono:

  • UDM Pro (Dream Machine)
  • USG - Unifi Security

Le appliance di integrazione hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Ubiquiti UniFi.

    Si aprirà la pagina Ubiquiti UniFi. Qui è possibile aggiungere integrazioni e visualizzare un elenco delle integrazioni che sono già state aggiunte.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere Immissione dei dettagli di dominio e IP.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

Configurazione dell’appliance

In Passaggi di configurazione dell’integrazione, è possibile configurare una nuova appliance o utilizzarne una esistente.

In queste istruzioni si presuppone che si stia configurando una nuova appliance. Per farlo, creare un’immagine procedendo come segue:

  1. Inserire un nome e una descrizione per l’integrazione.
  2. Cliccare su Crea nuova appliance.
  3. Inserire un nome e una descrizione per l’appliance.
  4. Selezionare la piattaforma virtuale. Attualmente sono supportate: VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  5. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per l’appliance.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  6. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Ubiquiti UniFi per l’invio dei dati all’appliance.

  7. In Protocollo, selezionare UDP.

    Utilizzare lo stesso protocollo quando si configura Ubiquiti UniFi per l’invio dei dati all’appliance.

  8. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Il numero di porta dell’appliance viene visualizzato nei dettagli dell’integrazione. Sarà necessario in un secondo momento, durante la configurazione di Ubiquiti UniFi per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine dell’appliance sia pronta.

Distribuzione dell’appliance

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si distribuisce un’altra VM, occorrerà creare un altro file OVA in Sophos Central.

Utilizzare l’immagine per distribuire l’appliance, procedendo come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Distribuzione delle appliance.

Una volta distribuita l’appliance, l’integrazione verrà visualizzata come Connessa.

Configurazione di Ubiquiti UniFi

È ora possibile configurare Ubiquiti UniFi utilizzando l’inoltro di syslog, in modo che invii avvisi a Sophos.

Nota

È possibile configurare più istanze di Ubiquiti UniFi per l’invio di dati a Sophos attraverso la stessa appliance. Una volta completata l’integrazione, ripetere i passaggi descritti in questa sezione per le altre istanze di Ubiquiti UniFi. Non è necessario ripetere i passaggi in Sophos Central.

È possibile configurare la modalità di inoltro dei log nell’interfaccia utente di Ubiquiti UniFi OS, ma occorre configurarla separatamente per ciascun sito.

I nomi delle impostazioni variano leggermente tra le diverse versioni di UniFi OS, ma i passaggi principali sono gli stessi per tutte.

Per configurare l’inoltro degli avvisi, procedere come segue:

  1. Accedere alle impostazioni dei log: Settings (Impostazioni) > System (Sistema) > Advanced (Avanzate) > Remote Logging Location (Posizione dei log remoti).

    Per le versioni meno recenti, accedere alle impostazioni dei log come segue:

    • Settings > Site (Sito) > Remote Logging (Log remoti) (UniFi versione 5)
    • Settings > System > System Logging (Log di sistema) (UniFi versione 7)

  2. Configurare i log come segue, utilizzando le impostazioni appropriate per la propria versione:

    • Impostare Logging Levels (Livelli di log) su Auto (Automatici).
    • Attivare Syslog.
    • Non attivare Debug logging (Registrazione nei log di debug), Debug logs (Log di debug) o Netconsole.
    • Attivare Enable remote syslog server (Abilita server syslog remoto).
    • Impostare Remote Logging Location su Remote Server (Server remoto).

  3. Inserire i seguenti dettagli per l’appliance Sophos configurata in precedenza:

    • Remote IP Address (Indirizzo IP remoto) o Syslog Host (Host syslog): L’indirizzo IP dell’appliance. Deve essere identico all’indirizzo IP del syslog immesso in Sophos Central.
    • Port (Porta) o Syslog Port (Porta syslog): il numero di porta configurato in Sophos Central.

  4. Cliccare su Apply Changes (Applica modifiche) per salvare la configurazione. Il dispositivo UniFi inizierà a inoltrare log a Sophos.