コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=barracudacloudgen

Barracuda CloudGen の統合

ログコレクタ ファイアウォール

この機能を使用するには、「Firewall」統合ライセンスパックが必要です。

Barracuda CloudGen を Sophos Central と統合して、ソフォスに警告を送信することができます。

この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。それらは共に統合アプライアンスと呼ばれています。アプライアンスはサードパーティのデータを受信し、Sophos Data Lake に送信します。

このページでは、ESXi または Hyper-V 上のアプライアンスを使用した統合について説明します。AWS 上のアプライアンスを使用して統合する場合は、AWS 上の統合を参照してください。

主な手順

統合の主な手順は、次のとおりです。

  • この製品の統合を追加します。この手順では、アプライアンスのイメージを作成します。
  • イメージをダウンロードして VM に展開します。これがアプライアンスになります。
  • アプライアンスにデータを送信するように Barracuda CloudGen を設定します。

必要条件

アプライアンスには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、アプライアンスの要件を参照してください。

統合の追加

統合を追加するには、次の手順を実行します。

  1. Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。

  2. Barracuda CloudGen」をクリックします。

    Barracuda CloudGen」ページが開きます。ここで統合を追加し、既に追加されているすべてのリストを表示できます。

  3. データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。

    これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP の詳細を入力するを参照してください。

    統合のセットアップ手順」が表示されます。

アプライアンスの設定

統合のセットアップ手順」では、新しいアプライアンスを設定するか、既存のアプライアンスを使用できます。

ここでは、新しいアプライアンスを設定すると想定します。これを行うには、次のようにイメージを作成します。

  1. 統合名と説明を入力します。
  2. 新しいアプライアンスの作成」をクリックします。
  3. アプライアンスの名前と説明を入力します。
  4. 仮想プラットフォームを選択します。現在、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 以降をサポートしています。

  5. インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、アプライアンスの管理インターフェースが設定されます。

    • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      DHCP を選択した場合は、IP アドレスを予約する必要があります。

    • ネットワーク設定を指定するには、「手動」を選択します。

  6. Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。

    この syslog IP アドレスは、後で、データをアプライアンスに送信するように Barracuda CloudGen を設定する際に必要になります。

  7. プロトコル」では、「TCP が事前に選択されています。変更はできません。

    アプライアンスにデータを送信するように Barracuda CloudGen を設定する場合は、必ず同じプロトコルを使用する必要があります。

  8. 保存」をクリックします。

    統合が作成され、リストに表示されます。

    統合の詳細に、アプライアンスのポート番号が表示されます。これは、後で、それにデータを送信するように Barracuda CloudGen を設定する際に必要になります。

    アプライアンスのイメージの準備が完了するまで、数分かかることがあります。

アプライアンスの導入

制限事項

ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。別の VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。

イメージを使用してアプライアンスを導入します。

  1. 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
  2. イメージのダウンロードが完了したら、VM に導入します。詳細は、アプライアンスの導入を参照してください。

Barracuda CloudGen の設定

次に、syslog 転送を使用して警告を送信するように Barracuda CloudGen を設定します。

Barracuda CloudGen の複数のインスタンスを設定して、同じアプライアンスを介してソフォスにデータを送信できます。統合が完了したら、Barracuda CloudGen の他のインスタンスに対してこのセクションの手順を繰り返します。Sophos Central でこの手順を繰り返す必要はありません。

syslog ストリーミングを有効にする

Barracuda CloudGen ファイアウォールで syslog ストリーミングを有効にするには、次の手順を実行します。

  1. CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming」の順に選択します。
  2. Lock」をクリックします。
  3. Enable Syslog Streaming」を「yes」に設定します。
  4. Send Changes」および「Activate」をクリックします。

ファイアウォールのレポートの有効化

  1. Configuration Tree > Infrastructure Services > General Firewall Configuration」の順に選択します。
  2. Lock」をクリックします。
  3. 左側のメニューで、「Audit and Reporting」をクリックします。
  4. Log Policy」で、 「Activity Log Mode」を「Log-Pipe-Separated-Key-Value-List」に設定します。
  5. Send Changes」および「Activate」をクリックします。

Log-Pipe-Separated-Key-Value-List の出力例:

2024 05 07 10:02:51 +00:00 Info     Allow: type=LOUT|proto=TCP|srcIF=dhcp|srcIP=10.0.0.4|srcPort=47542|srcMAC=00:0d:3a:46:14:a3|dstIP=168.63.129.16|dstPort=32526|dstService=|dstIF=|rule=PASSALL|info=0|srcNAT=10.0.0.4|dstNAT=168.63.129.16|duration=0|count=1|receivedBytes=0|sentBytes=0|receivedPackets=0|sentPackets=0|user=|protocol=|application=|target=|content=|urlcat=

ログデータフィルタの設定

ストリーミングを行うログファイルの種類を指定します。

  1. CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming」の順に選択します。
  2. 左側のメニューで、「Logdata Filters」をクリックします。
  3. Lock」をクリックします。

  4. Filters」テーブルで、「+」をクリックして新しいフィルタを追加します。

    Filters」ウィンドウが開きます。

  5. 「」Name」に、"Sophos MDR integration" などを入力します。

  6. OK」をクリックします。

  7. Data Selection」テーブルで、 ストリーム配信する「Top Level Logdata」ログファイルを追加します。選択できるオプションは次のとおりです。

    • Fatal_log
    • Panic Log
    • Firewall_Audit_Log

    Firewall_Audit_Log では、ファイアウォール監査ログを有効にして設定し、「Audit Delivery」を「Syslog Proxy」に設定する必要があります。Microsoft Azure Log Analytics へのログ ストリーミングを構成する方法を参照してください。

ログストリーミングの宛先としてソフォスを設定する

syslog ストリームを Sophos Central 送信するようにファイアウォールを設定します。

  1. CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming」の順に選択します。
  2. 左側のメニューで、「Logstream Destinations」を選択します。
  3. Lock」をクリックします。

  4. Destinations」テーブルで、「+」をクリックして新しいフィルタを追加します。

    Destinations」ページが開きます。

  5. Name」を入力し、「OK」をクリックします

  6. Logstream Destination」で、ログデータフィルタを構成したときに入力した名前を選択します (この例では "Sophos MDR integration")。
  7. Destination IP Address」と「Destination Port」に、Sophos Central で以前に設定した IP アドレスとポートを入力します。
  8. Send Changes」および「Activate」をクリックします。

ログデータ ストリーミングの設定

ログデータフィルタとログストリーミングの宛先を組み合わせて、ログデータ ストリーミングを設定します。

  1. CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming」の順に選択します。
  2. 左側のメニューで、「Logdata Streams」を選択します。
  3. Lock」をクリックします。

  4. Streams」テーブルで、「+」をクリックして新しいs yslog ストリーミングを追加します。

    Streams」ウィンドウが開きます。

  5. 名前」を入力します。前のセクションで使用したのと同じ名前を使用します (この例では "Sophos MDR integration")。

  6. OK」をクリックします。
  7. Active Stream」を「yes」に設定します
  8. Log Destinations」テーブルで「+」をクリックし、前に設定したログストリーミングの宛先を選択します。
  9. Log Filters」テーブルで「+」をクリックし、前に設定したログデータフィルタの宛先を選択します。
  10. OK」をクリックします。
  11. Send Changes」および「Activate」をクリックします。

ログデータフィルタの対象となるすべてのログがソフォスにストリーミングされるようになりました。