コンテンツにスキップ
MDR のサポート提供の詳細はこちら

SonicWall SonicOS

ログコレクタ

この機能を使用するには、「Firewall」統合ライセンスパックが必要です。

SonicOS セキュリティアプライアンスを Sophos Central と統合して、ソフォスでの解析用にイベントメッセージを送信することができます。

この統合では、仮想マシン (VM) 上のログコレクタを使用します。ログコレクタはサードパーティのデータを受信し、Sophos Data Lake に送信します。

SonicWall ファイアウォールの複数のインスタンスを同じログコレクタに追加できます。

これを行うには、SonicWall SonicOS 統合を Sophos Central で設定した後、1台のファイアウォールがログを送信するように設定します。次に、他の SonicWall ファイアウォールを設定して、この同じソフォスのログコレクタにログが送信されるようにします。

Sophos Central での設定ステップを繰り返す必要はありません。

統合を追加する主な手順は、次のとおりです。

  • この製品の統合を追加します。これにより、Open Virtual Appliance (OVA) ファイルが設定されます。
  • OVA ファイルを ESXi サーバーに導入します。これがログコレクタになります。
  • ログコレクタにデータを送信するように SonicOS を設定します。

統合の追加

Sophos Central に SonicOS を統合するには、次の手順を実行します。

  1. Sophos Central で「脅威解析センター」に移動して、「統合」をクリックします。
  2. SonicWall SonicOS」をクリックします。

    既に SonicOS への接続を設定済みの場合は、ここに表示されます。

  3. 統合の追加」をクリックします。

    これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。

    統合手順が表示されます。

VM の設定

統合手順」では、SonicOS からデータを受信するように VM を構成します。既存の VM を使用することも、新しい VM を作成することもできます。

VM を構成するには、以下の手順に従います。

  1. 新しい統合の名前と説明を入力します。
  2. VM の名前と説明を入力します。
  3. 仮想プラットフォームを選択します。(現在、VMware のみに対応しています)。
  4. インターネットに接続するネットワークポートを指定します。

    • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      DHCP を選択した場合は、IP アドレスを予約する必要があります。

    • ネットワーク設定を指定するには、「手動」を選択します。

    データを送信するように SonicOS を設定する場合は、後で VM のアドレスが必要になります。

  5. プロトコル」を選択します。

  6. フォームの残りのフィールドに入力します。
  7. 保存」をクリックします。

    統合が作成され、リストに表示されます。QVA ファイルの準備が完了するまで、数分かかることがあります。

VM の導入

制限事項

OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。導入後、再び使用することはできません。

新しい VM を導入する必要がある場合は、ここでの手順をすべて再度実行して、この統合を Sophos Central にリンクする必要があります。

OVA ファイルを使用して VM を展開します。これには、次の手順を実行します。

  1. 統合のリストの、「アクション」で「OVAのダウンロード」をクリックします。
  2. OVA ファイルのダウンロードが完了したら、ESXi サーバー上に展開します。設定アシスタントの指示に従って手順を実行します。詳細は、統合用の VM の導入を参照してください。

VM を展開すると、統合は「接続済み」として表示されます。

SonicOS の設定

ここで SonicOS を設定してデータをソフォスに送信します。

ファイアーウォール上で syslog 設定の構成を行うには、次の手順を実行します。

SonicWall の Global Management System (GMS) を使用してファイアーウォールを管理する場合、syslog形式 (デフォルト) または syslog ID (ファイアウォール) は変更できません。その他の設定は変更できます。次の手順では GMS は使用しません。

  1. ログ」 > 「syslog」に移動します。
  2. syslog サーバー」を選択して「追加」をクリックします。
  3. VM のアドレス詳細を入力します。
  4. Syslog 形式」で「ArcSight」を選択します。ソフォスのログコレクタは、ArcSight CEF 形式の警告を受信します。

    ArcSight」を選択すると、「設定」アイコンがアクティブになります。

  5. 設定」アイコンをクリックします。「ArcSight CEF フィールド設定」の設定ウィンドウが表示されます。

  6. ログ記録する ArcSight オプションを選択します。ほとんどの場合、これが手順のすべてです。すべてのオプションを選択するには、「すべて選択」をクリックします。
  7. 保存」をクリックします。
  8. Syslog Id」ボックスに、syslog ID を入力します。

    Syslog ID」フィールドは、生成されるすべてのメッセージに含まれます。このフィールドの前には id=が付いています。

    たとえば、ファイアーウォールの場合、デフォルト値には、すべての syslog メッセージに id=firewallが含まれます。0~32 文字、数字、およびアンダースコアで構成される ID が設定できます。

    Syslog 設定値を報告するソフトウェアの設定値で上書きする」オプションがオンの場合、「Syslog ID」フィールドは「Firewall」に固定されます。変更はできません。

  9. ページ上部の「同意する」をクリックします。

  10. ソフォスにどのアラートを転送するか設定するには、「ログ」 > 「設定」に移動します。
  11. ログレベル」で「警告」を選択する必要があります。

    これにより、優先度の低いイベントが除外されます。

  12. ログ」 > 「設定」ページでは、「イベント属性」に従ってイベントをフィルタ処理することもできます。

    1. カテゴリを選択して、「設定」をクリックします。
    2. ログカテゴリの編集」で、特定のカテゴリの syslog チェックボックスをオンにします。

      変更内容は、選択したカテゴリのすべてのグループとイベントに適用されます。

詳細情報