コンテンツにスキップ
MDR のサポート提供の詳細はこちら

F5 の統合

この機能を使用するには、「Firewall」統合ライセンスパックが必要です。

F5 BIG-IP ASM を Sophos Central と統合して、ソフォスに警告を送信することができます。

この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。それらは共にアプライアンスと呼ばれています。アプライアンスはサードパーティのデータを受信し、Sophos Data Lake に送信します。

F5 BIG-IP ASM の複数のインスタンスを同じアプライアンスに追加できます。

これを行うには、F5 BIG-IP ASM 統合を Sophos Central で設定した後、F5 BIG-IP ASM の 1つのインスタンスがログを送信するように設定します。次に、他の F5 BIG-IP ASM を設定して、この同じソフォスのアプライアンスにログが送信されるようにします。

Sophos Central での設定ステップを繰り返す必要はありません。

主なステップは次のとおりです。

  • この製品の統合を設定します。これにより、VM で使用するイメージが設定されます。
  • イメージをダウンロードして VM に展開します。これがアプライアンスになります。
  • アプライアンスにデータを送信するよう F5 BIG-IP ASM を設定します。

要件

アプライアンスには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、アプライアンスの要件を参照してください。

統合の設定

統合を設定するには、以下の手順に従います。

  1. Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
  2. F5 BIG-IP ASM」をクリックします。

    F5 BIG-IP ASM」ページが開きます。ここで統合を設定し、既に設定されているすべてのリストを表示できます。

  3. データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。

    これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。

    統合のセットアップ手順」が表示されます。

VM の設定

統合のセットアップ手順」で は、 F5 BIG-IP ASM からデータを受信するように VM をアプライアンスとして構成します。既存の VM を使用することも、新しい VM を作成することもできます。

VM を構成するには、以下の手順に従います。

  1. 統合名と説明を入力します。
  2. アプライアンスの名前と説明を入力します。

    ソフォスのアプライアンスの統合を既に設定済みの場合は、リストから選択できます。

  3. 仮想プラットフォームを選択します。現在、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 以降をサポートしています。

  4. インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、VM の管理インターフェースが設定されます。

    • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      DHCP を選択した場合は、IP アドレスを予約する必要があります。

    • ネットワーク設定を指定するには、「手動」を選択します。

  5. Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。

    この syslog IP アドレスは、後で、データをアプライアンスに送信するように F5 BIG-IP ASM を設定する際に必要になります。

  6. プロトコル」を選択します。

    データをアプライアンスに送信するようにF5 BIG-IP ASM を設定する際には、同じプロトコルを使用する必要があります。

  7. 保存」をクリックします。

    統合が作成され、リストに表示されます。

    統合の詳細に、アプライアンスのポート番号が表示されます。これは、後で、データをアプライアンスに送信するように F5 BIG-IP ASM を設定する際に必要になります。

    VM イメージの準備が完了するまで、数分かかることがあります。

VM の展開

制限事項

ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。別の VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。

VM ファイルを使用して VM を導入します。これには、次の手順を実行します。

  1. 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
  2. イメージのダウンロードが完了したら、VM に導入します。詳細は、統合用の VM の導入を参照してください。

F5 BIG-IP ASM の設定

次に、syslog 転送を使用して警告を送信するように F5 BIG-IP ASM を設定します。

警告の転送を設定するには、次の手順を実行します。

ログプロファイルの作成

アプリケーション セキュリティ イベントをログに記録するには、カスタム ログ プロファイルを作成する必要があります。

  1. Main」タブで「Security > Event Logs > Logging Profiles」の順にクリックします。
  2. Logging Profiles」で「Create」をクリックします。

    New Logging Profile」画面が開きます。

  3. Profile Name」に、一意のプロファイル名を入力します。

  4. Application Security」を選択します。

    画面には、追加のフィールドが表示されます。

  5. Application Security」タブの「Configuration」で、「Advanced」を選択します。

  6. Remote Storage」を選択して、ログをリモートで保存します。
  7. Response Logging」リストで、「For Illegal Requests Only」を選択します。

    デフォルトでは、システムは応答の最初の 10,000バイトを記録し、1秒あたりの 10応答まで記録します。応答ログシステム変数を使用して、制限を変更できます。

    デフォルトでは、システムはすべての要求をログに記録します。システムまたはサーバーがログに記録する要求の種類を制限するには、 「Storage Filter」を設定します。

リモートログの設定を続行します。

リモートログの設定

アプリケーション セキュリティ イベントを syslog サーバーにリモートで記録するように、ログプロファイルを設定できます。

  1. Main」タブで「Security > Event Logs > Logging Profiles」の順にクリックします。
  2. Logging Profiles」で、リモートログを設定するログプロファイルの名前をクリックします。
  3. Remote Storage」を選択します。

    Remote Storage Type」リストで「Remote」を選択します。メッセージは syslog 形式です。

  4. Protocol」で Sophos Central で設定したものと同じプロトコルを選択します。UDP または TCP

    選択したプロトコルは、すべてのサーバー IP アドレスを含む、この画面のすべてのリモートサーバー設定に適用されます。

  5. Server Addresses」で、トラフィックを記録するサーバーを指定します。Sophos Central で上記で指定した IP AddressPort Number を入力し、「Add」をクリックします。

  6. Facility」でログに記録されたトラフィックのカテゴリを選択します。この統合では、どちらを選択しても構いません。
  7. Storage Format」設定では、ログに情報を表示する方法、サーバーがログに記録するトラフィック項目、およびログに記録する順序を指定できます。
  8. Maximum Query String Size」では、サーバーがログに記録するリクエストの量を指定できます。「Any」を選択します。
  9. Maximum Entry Length」では、サーバーがログに記録するエントリの長さを指定できます。デフォルトの長さ (UDP をサポートするリモートサーバーの場合は 1K、TCP をサポートするリモートサーバーの場合は 2K) を受け入れます。
  10. Report Detected Anomalies」を選択します。ブルートフォース攻撃または Web スクレイピング攻撃が開始および終了すると、システムはリモート システム ログにレポートを送信します。
  11. Storage Filter」領域で、必要に応じて変更を行います。
  12. Finished」をクリックします。

リモートストレージのログプロファイルを作成すると、システムは 1つまたは複数のリモートシステムに関連付けられたセキュリティポリシーのデータを保存します。

ログプロファイルとセキュリティポリシーの関連付け

ログプロファイルは、仮想サーバーへの要求を記録します。デフォルトでは、セキュリティポリシーを作成すると、「Log Illegal Requests」プロファイルが、ポリシーで使用される仮想サーバーに関連付けられます。

セキュリティポリシーに関連付けられているログプロファイルを変更したり、仮想サーバーを編集して新しいログプロファイルを割り当てることができます。

  1. Local Traffic > Virtual Servers」の順にクリックします。
  2. セキュリティポリシーで使用される仮想サーバーの名前をクリックします。仮想サーバーの一般プロパティが表示されます。
  3. Security」メニューから「Policies」を選択します。

    仮想サーバーのポリシー設定が表示されます。

  4. Application Security Policy」設定が「Enabled」になっており、 「Policy」が目的のセキュリティポリシーに設定されていることを確認します。

  5. Log Profile」には、次の手順を実行します。

    • Enabled」に設定されていることを確認します。
    • Available」リストから、セキュリティポリシーに使用するプロファイルを選択し、「Selected」リストに移動します。
  6. Update」をクリックします。

セキュリティポリシーによって制御されるトラフィックに関連する情報は、仮想サーバーで指定されたログプロファイルを使用して記録されます。