Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Integrar o Barracuda CloudGen

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o Barracuda CloudGen ao Sophos Central para o envio de alertas à Sophos.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo de integração. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Esta página descreve a integração usando um dispositivo no ESXi ou Hyper-V. Se você quiser integrar usando um dispositivo na AWS, consulte Integrações na AWS.

Etapas principais

As principais etapas em uma integração são as seguintes:

  • Adicione uma integração deste produto. Nesta etapa, você cria uma imagem do dispositivo.
  • Baixe e implante a imagem em uma VM. Isso se torna o seu dispositivo.
  • Configure o Barracuda CloudGen para enviar dados ao dispositivo.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
  2. Clique em Barracuda CloudGen.

    A página Barracuda CloudGen é aberta. Você pode adicionar integrações aqui e ver uma lista daquelas que você já adicionou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de configuração de integração aparece.

Configurar o dispositivo

Em Etapas de configuração de integração, você pode configurar um novo dispositivo ou usar um existente.

Presumimos aqui que você queira configurar um novo dispositivo. Para fazer isso, crie uma imagem da seguinte forma:

  1. Insira um nome de integração e uma descrição.
  2. Clique em Criar um novo dispositivo.
  3. Insira um nome e uma descrição para o dispositivo.
  4. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.
  5. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento do dispositivo.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  6. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Barracuda CloudGen para enviar dados ao seu dispositivo.

  7. Em Protocolo, TCP está pré-selecionado. Você não pode alterar isso.

    Ao configurar o Barracuda CloudGen para enviar dados ao seu dispositivo, você deve se certificar de que está usando o mesmo protocolo.

  8. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o Barracuda CloudGen para enviar dados.

    Pode levar alguns minutos para que a imagem do dispositivo fique pronta.

Implantar o dispositivo

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem para implantar o dispositivo da seguinte forma:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar um dispositivo.

Configurar o Barracuda CloudGen

Agora, configure o Barracuda CloudGen para nos enviar alertas usando o encaminhamento de syslog.

Nota

Você pode configurar várias instâncias do Barracuda CloudGen para enviar dados para a Sophos através do mesmo dispositivo. Depois de concluir a integração, repita as etapas nesta seção para suas outras instâncias do Barracuda CloudGen. Você não precisa repetir as etapas no Sophos Central.

Habilitar o streaming do syslog

Ative o streaming de syslog no Barracuda CloudGen Firewall da seguinte forma:

  1. Vá para CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming.
  2. Clique em Lock.
  3. Defina Enable Syslog Streaming como yes.
  4. Clique em Send Changes e Activate.

Habilitar relatórios detalhados de firewall

  1. Vá para Configuration Tree > Infrastructure Services > General Firewall Configuration.
  2. Clique em Lock.
  3. No menu à esquerda, selecione Audit and Reporting.
  4. Em Log Policy, defina Activity Log Mode como Log-Pipe-Separated-Key-Value-List.
  5. Clique em Send Changes e Activate.

Exemplo de saída com Log-Pipe-Separated-Key-Value-List:

2024 05 07 10:02:51 +00:00 Info     Allow: type=LOUT|proto=TCP|srcIF=dhcp|srcIP=10.0.0.4|srcPort=47542|srcMAC=00:0d:3a:46:14:a3|dstIP=168.63.129.16|dstPort=32526|dstService=|dstIF=|rule=PASSALL|info=0|srcNAT=10.0.0.4|dstNAT=168.63.129.16|duration=0|count=1|receivedBytes=0|sentBytes=0|receivedPackets=0|sentPackets=0|user=|protocol=|application=|target=|content=|urlcat=

Configurar filtros de logdata

Especifique os tipos de arquivo de log a serem transmitidos.

  1. Vá para CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming.
  2. No menu à esquerda, selecione Logdata Filters.
  3. Clique em Lock.
  4. Na tabela Filters, clique em "+" para adicionar um novo filtro.

    A janela Filters é aberta.

  5. Insira um nome, por exemplo, "Sophos MDR integration".

  6. Clique em OK.
  7. Na tabela Data Selection, adicione os arquivos de log Top Level Logdata para streaming. Você pode selecionar:

    • Fatal_log
    • Panic Log
    • Firewall_Audit_Log

    Para Firewall_Audit_Log, o log de auditoria de firewall deve ser habilitado e configurado e Audit Delivery deve ser definido como Syslog Proxy. Consulte How to Enable the Firewall Audit Log Service.

Configurar a Sophos como destino de logstream

Configure o firewall para enviar o stream de syslog para o Sophos Central.

  1. Vá para CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming.
  2. No menu à esquerda, selecione Logstream Destinations.
  3. Clique em Lock.
  4. Na tabela Destinations, clique em "+" para adicionar um novo filtro.

    A página Destinations é aberta.

  5. Insira um nome e clique em OK.

  6. Em Logstream Destination, selecione o nome que você inseriu quando configurou os filtros de logdata ("Sophos MDR integration" em nosso exemplo).
  7. Em Destination IP Address e Destination Port, insira o endereço IP e a porta que você configurou anteriormente no Sophos Central.
  8. Clique em Send Changes e Activate.

Configurar o stream de logdata

Combine os filtros de logdata e o destino de logstream para configurar o streaming de logdata.

  1. Vá para CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming.
  2. No menu à esquerda, selecione Logdata Streams.
  3. Clique em Lock.
  4. Na tabela Streams, clique em "+" para adicionar um novo stream de syslog.

    A janela Streams é aberta.

  5. Insira um Nome. Use o mesmo nome usado nas seções anteriores ("Sophos MDR integration" em nosso exemplo).

  6. Clique em OK.
  7. Defina Active Stream como yes.
  8. Na tabela Log Destinations, clique em "+" e selecione o destino de logstream que você configurou anteriormente.
  9. Na tabela Log Filters, clique em "+" e selecione o filtro de logdata que você configurou anteriormente.
  10. Clique em OK.
  11. Clique em Send Changes e Activate.

Agora, a Sophos recebe o streaming de todos os logs cobertos pelo filtro de logdata.