SonicWall SonicOS
この機能を使用するには、「Firewall」統合ライセンスパックが必要です。
SonicWall SonicOS セキュリティアプライアンスを Sophos Central と統合して、ソフォスでの解析用にイベントメッセージを送信することができます。
この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。それらは共に統合アプライアンスと呼ばれています。アプライアンスはサードパーティのデータを受信し、Sophos Data Lake に送信します。
このページでは、ESXi または Hyper-V 上のアプライアンスを使用した統合について説明します。AWS 上のアプライアンスを使用して統合する場合は、AWS での統合の追加を参照してください。
主な手順
統合の主な手順は、次のとおりです。
- この製品の統合を追加します。この手順では、アプライアンスのイメージを作成します。
- イメージをダウンロードして VM に展開します。これがアプライアンスになります。
- アプライアンスにデータを送信するように SonicOS を設定します。
要件
アプライアンスには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、アプライアンスの要件を参照してください。
統合の追加
Sophos Central に SonicOS を統合するには、次の手順を実行します。
- Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
-
「SonicWall SonicOS」をクリックします。
「SonicWall SonicOS」ページが開きます。ここで統合を追加し、既に追加されているすべてのリストを表示できます。
-
「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。
注
これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP の詳細を入力するを参照してください。
「統合のセットアップ手順」が表示されます。
アプライアンスの設定
「統合のセットアップ手順」では、新しいアプライアンスを設定するか、既存のアプライアンスを使用できます。
ここでは、新しいアプライアンスを設定すると想定します。これを行うには、次のようにイメージを作成します。
- 新しい統合の名前と説明を入力します。
- 「新しいアプライアンスの作成」をクリックします。
- アプライアンスの名前と説明を入力します。
- 仮想プラットフォームを選択します。現在、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 以降をサポートしています。
-
「インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、VM アプライアンスの管理インターフェースが設定されます。
-
IP アドレスを自動的に割り当てるには、「DHCP」を選択します。
注
DHCP を選択した場合は、IP アドレスを予約する必要があります。
-
ネットワーク設定を指定するには、「手動」を選択します。
-
-
「Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。
この syslog IP アドレスは、後で、データをアプライアンスに送信するように SonicOS を設定する際に必要になります。
-
「プロトコル」を選択します。
データをアプライアンスに送信するように SonicOS を設定する際には、同じプロトコルを使用する必要があります。
-
「保存」をクリックします。
統合が作成され、リストに表示されます。
統合の詳細に、アプライアンスのポート番号が表示されます。これは、後で、それにデータを送信するように SonicOS を設定する際に必要になります。
アプライアンスのイメージの準備が完了するまで、数分かかることがあります。
アプライアンスの導入
制限事項
ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。別の VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。
イメージを使用してアプライアンスを導入します。
- 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
- イメージのダウンロードが完了したら、VM に導入します。詳細は、アプライアンスの導入を参照してください。
SonicOS の設定
ここで SonicOS を設定してデータをソフォスに送信します。
注
SonicOS の複数のインスタンスを設定して、同じアプライアンスを介してソフォスにデータを送信できます。統合が完了したら、SonicOs の他のインスタンスに対してこのセクションの手順を繰り返します。Sophos Central でこの手順を繰り返す必要はありません。
注
SonicWall の Global Management System (GMS) を使用してファイアウォールを管理する場合、syslog 形式 (デフォルト) または syslog ID (ファイアウォール) は変更できません。その他の設定は変更できます。次の手順では GMS は使用しません。
SonicOS ファイアウォール上で syslog 警告を転送するには、次の手順を実行します。
-
syslog 設定に移動します。
- Sonicwall 7.x で「Device > Log > Syslog」の順に選択します。
- Sonicwall 6.5 で「Manage > Log Settings > Syslog」の順に選択します。
-
「Syslog Servers」ページで、「Add」をクリックします。
-
アプライアンスに設定した syslog IP アドレスを入力します。
統合を追加した際に Sophos Central で入力した設定と同じ設定を入力する必要があります。
-
「Syslog 形式」で「ArcSight」を選択します。ソフォスのアプライアンスは、ArcSight CEF 形式の警告を受信します。
「ArcSight」を選択すると、「設定」アイコンがアクティブになります。
-
「設定」アイコンをクリックします。「ArcSight CEF フィールド設定」の設定ウィンドウが表示されます。
- ログ記録する ArcSight オプションを選択します。ほとんどの場合、これが手順のすべてです。すべてのオプションを選択するには、「すべて選択」をクリックします。
- 「保存」をクリックします。
-
「Syslog ID」ボックスに、syslog ID を入力します。
「Syslog ID」フィールドは、生成されるすべてのメッセージに含まれます。このフィールドの前には
id=
が付いています。たとえば、ファイアウォールの場合、デフォルト値には、すべての syslog メッセージに
id=firewall
が含まれます。0~32 文字、数字、およびアンダースコアで構成される ID が設定できます。注
「Syslog 設定値を報告するソフトウェアの設定値で上書きする」オプションがオンの場合、「Syslog ID」フィールドは「Firewall」に固定されます。変更はできません。
-
ページ上部の「同意する」をクリックします。
- ソフォスにどの警告を転送するか設定するには、「ログ > 設定」に移動します。
-
「ログレベル」で「警告」を選択する必要があります。
これにより、優先度の低いイベントが除外されます。
-
「ログ > 設定」ページでは、「イベント属性」に従ってイベントをフィルタ処理することもできます。
- カテゴリを選択して、「設定」をクリックします。
-
「ログカテゴリの編集」で、特定のカテゴリの syslog チェックボックスをオンにします。
変更内容は、選択したカテゴリのすべてのグループとイベントに適用されます。
注
SonicOS 7.x が不正にフォーマットされたデータを送信することがあります。Sophos Central で SonicWall が検出されない場合は、Hotfix 46333 に関して SonicWall サポートに問い合わせてください。