Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=Firepower

Cisco Firepower

Coletor de log

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o Firepower ao Sophos Central para o envio de dados de auditoria à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Você pode adicionar coletores de log a uma VM existente executando o Sophos NDR VA e outros coletores de log. Você também pode criar uma nova VM para a integração.

Nota

Você pode adicionar vários firewalls Cisco Firepower ao mesmo dispositivo da Sophos.

Para isso, configure a sua integração do Cisco Firepower no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seus outros firewalls Cisco Firepower para enviar logs para o mesmo dispositivo da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As etapas principais são as seguintes:

  • Configure uma integração para este produto. Isso configura uma imagem para ser usada em uma VM.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o Firepower para enviar dados. As etapas a seguir dependem do dispositivo que você possui.
  • Conecte o Firepower à sua VM.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Configurar uma integração

Para integrar o Firepower ao Sophos Central, faça o seguinte:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Clique em Cisco Firepower.

    A página Cisco Firepower é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de configuração de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura a sua VM como um dispositivo para receber dados do Firepower. Você pode usar uma VM existente ou criar uma nova.

Você talvez precise acessar o Firepower para obter algumas das informações necessárias para preencher o formulário.

Para configurar a VM, faça o seguinte:

  1. Adicione um nome e uma descrição para a nova integração.

  2. Insira um nome e uma descrição para o dispositivo.

    Se você já tiver configurado um dispositivo da Sophos, poderá escolhê-lo em uma lista.

  3. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  4. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  5. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Firepower para enviar dados ao seu dispositivo.

  6. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar o Firepower para enviar dados ao seu dispositivo.

  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o Firepower para enviar dados.

    Pode levar alguns minutos para que a imagem da VM fique pronta.

Implantar a VM

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.

Configurar o Firepower

Agora, configure o Firepower para enviar dados ao seu dispositivo. O dispositivo atua como um servidor syslog, de modo que você usa o recurso de servidor syslog do seu firewall para enviar dados a ele.

As etapas a seguir dependem da versão do firmware do seu dispositivo e do método de gerenciamento Cisco que você está usando.

Para firewalls com o Firepower Threat Defense (FTD) versões 6.3 ou posterior, clique na guia do método de gerenciamento que você está usando. Você pode usar o Firepower Management Console (FMC) ou o Firepower Defence Manager (FDM).

Para firewalls com versões do Firepower Threat Defense (FTD) anteriores à versão 6.3, clique na guia de Dispositivos clássicos.

Nota

Evite caracteres especiais, inclusive vírgulas, em nomes de objetos, como nomes de políticas e regras. O dispositivo na VM pode tratar os caracteres como separadores.

Para usar o Firepower Management Console (FMC) para se conectar a um firewall com Firepower Threat Defense (FTD) versão 6.3 ou posterior ao seu dispositivo da Sophos, faça o seguinte.

Configurar os parâmetros de syslog

  1. No FMC, clique em Devices > Platform Settings.
  2. Selecione a plataforma que deseja conectar ao seu dispositivo e clique no ícone de edição.
  3. Clique em Syslog.
  4. Clique em Syslog Servers > Add.

  5. Insira os seguintes detalhes de conexão do seu dispositivo da Sophos.

    1. Endereço de IP. Este é o endereço IP do syslog que você definiu no Sophos Central.
    2. Tipo de protocolo. Se você selecionou UDP, não deve ativar o formato EMBLEM.
    3. Número de porta.

    Você deve inserir as mesmas configurações inseridas no Sophos Central quando adicionou a integração.

  6. Não selecione Enable secure syslog.

  7. Em Reachable By, digite os detalhes da rede que permitem que o seu firewall acesse o dispositivo da Sophos.

  8. Clique em OK.

    Para obter mais informações sobre as configurações do servidor syslog para firewalls Cisco Firepower, consulte Configure a Syslog Server.

  9. Clique em Syslog Settings e defina as configurações da seguinte maneira:

    1. Ative Enable timestamp on Syslog Messages.
    2. Em Timestamp Format, selecione RFC 5424.
    3. Ative Enable Syslog Device ID e selecione Host Name.
    4. Não ative Netflow Equivalent Settings.

  10. Clique em Salvar.

  11. Clique em Logging Setup.
  12. Selecione Enable Logging.

  13. Você não deve selecionar o seguinte:

    1. Enable logging on the failover standby unit
    2. Send syslogs in EMBLEM format
    3. Send debug messages as syslogs

  14. Se você quiser encaminhar eventos de VPN para o dispositivo da Sophos, faça o seguinte:

    1. Na seção VPN Logging Settings, selecione Enable Logging to Firewall Management Center.
    2. Escolha Debug para o Logging Level.

  15. Não é necessário inserir informações em Specify FTP Server Information ou Specify Flash Size.

  16. Clique em Salvar.

Definir as configurações de log para controle de acesso

Você também deve definir as configurações de log para a política de controle de acesso, incluindo o log de arquivo e malware.

Para isso, siga este procedimento:

  1. Clique em Policies > Access Control.
  2. Clique no ícone de edição da política de controle de acesso que você deseja configurar.
  3. Clique em Logging.
  4. Selecione Use the syslog settings configured in the FTD Platform Settings policy deployed on the device.
  5. Em Syslog Severity, selecione ALERT.
  6. Ative Send Syslog messages for IPS events.
  7. Ative Send Syslog messages for File and Malware events.
  8. Clique em Salvar.

Ativar o registro no log de eventos do Security Intelligence

  1. Na mesma política de controle de acesso, clique em Security Intelligence.
  2. Clique no ícone de opções DNS Policy.

  3. Em DNS Blacklist Logging Options, ative o seguinte:

    • Log Connections.
    • Firewall Management Center
    • Syslog Server.

  4. Clique em OK.

  5. Em Blacklist, clique em Network.

  6. Em Network Blacklist Logging Options, ative o seguinte:

    • Log Connections
    • Firewall Management Center
    • Servidor Syslog

  7. Clique em OK.

  8. Role a lista Blacklist para baixo até encontrar o ícone de opções URL.

  9. Em URL Blacklist Logging Options, ative o seguinte:

    • Log Connections
    • Firewall Management Center
    • Servidor Syslog

  10. Clique em OK.

  11. Clique em Salvar.

Ativar o registro em log do syslog para cada regra de controle de acesso

Certifique-se de que todas as regras na política de controle de acesso tenham o registro de syslog ativado.

Para isso, para cada regra na política, faça o seguinte.

  1. Na mesma política de controle de acesso, clique na guia Rules.
  2. Clique em uma regra para editá-la.
  3. Em Editing Rule, clique em Logging.

  4. Escolha se deseja registrar no log o início das conexões, o fim das conexões, ou ambos.

    O log de conexão gera muitos dados. Fazer o log inicial e final gera aproximadamente o dobro de dados. Nem todas as conexões podem ter um registro de log no início e no fim. Para obter mais detalhes, faça login na sua conta da Cisco e vá para a seção Connection Logging do Firepower Management Center Configuration Guide, versão 6.2. Consulte Connection, Logging.

  5. Se quiser registrar o log de eventos de arquivo, selecione Log Files.

  6. Ative Syslog Server.
  7. Clique em Salvar.

Ativar o log de eventos de invasão

Você também deve ativar o log de eventos na política de invasão associada à sua política de controle de acesso.

  1. Clique em Policies > Intrusion.
  2. Encontre a política de invasão associada à sua política de controle de acesso e clique em Snort 2 Version.
  3. Em Policy Information, clique em Advanced Settings.
  4. Em Advanced Settings, vá para Syslog Alerting.
  5. Clique em Enabled.
  6. Clique em Back.
  7. Em Policy Information, clique em Commit Changes.
  8. Insira uma descrição das alterações e clique em OK.

Nota

Evite caracteres especiais, inclusive vírgulas, em nomes de objetos, como nomes de políticas e regras. O dispositivo na VM pode tratar os caracteres como separadores.

Para conectar um dispositivo Firepower ao seu dispositivo da Sophos usando FDM, faça o seguinte.

Ativar o registro em log de eventos de malware e arquivos.

Para ativar o registro em log de arquivos e eventos de malware e adicionar os detalhes de conexão do dispositivo da Sophos ao firewall, faça o seguinte.

  1. Faça login no FDM no dispositivo que deseja configurar e vá para a guia Device:<name>.
  2. Em System Settings, clique em Logging Settings.
  3. Ative FILE/MALWARE LOGGING.
  4. Clique em Syslog Server para ver os servidores disponíveis.
  5. Se você já adicionou o dispositivo da Sophos a este dispositivo, selecione-o. Caso contrário, clique em Create new Syslog Server.

  6. Insira os seguintes detalhes de conexão do seu dispositivo da Sophos.

    1. Endereço de IP. Este é o endereço IP do syslog que você definiu no Sophos Central.
    2. Tipo de protocolo.
    3. Número de porta.

    Você deve inserir as mesmas configurações inseridas no Sophos Central quando adicionou a integração.

  7. Se necessário, selecione a interface de dados ou interface de gerenciamento mais adequada para o seu ambiente de rede.

  8. Clique em OK.
  9. Seu novo servidor aparece em Syslog Servers. Clique nele para selecioná-lo.
  10. Em Log at Severity Level, selecione Debug.
  11. Clique em SAVE.

Configurar políticas

Em cada política, você deve ativar o registro em log das atividades que deseja enviar ao seu dispositivo da Sophos. Você pode ativar o controle de acesso e os eventos de invasão.

Para isso, siga este procedimento:

  1. Clique em Policies > Access Control.
  2. Encontre a política que deseja configurar e clique no ícone de edição.
  3. Clique em Logging.
  4. Em SELECT LOG ACTION, escolha se deseja fazer o registro do log no início ou no fim das conexões ou se não deseja fazer o log.
  5. Em FILE EVENTS, ative Log Files
  6. Se quiser registrar eventos de invasão no log, em Intrusion Policy ative INTRUSION POLICY.
  7. Selecione a política de invasão que deseja aplicar.

  8. Se quiser registrar os eventos de arquivos no log, em File Policy, selecione a política de arquivo que deseja aplicar. Escolha entre:

    • Block Malware All
    • Malware Cloud Lookup - No Block

  9. Em SEND CONNECTION EVENTS TO:, selecione seu dispositivo da Sophos.

  10. Clique em OK.
  11. Clique em Intrusion.
  12. Encontre a política que deseja configurar e clique no ícone de configurações.
  13. Em Edit Logging Settings, clique no ícone de mais e selecione seu dispositivo da Sophos.
  14. Clique em OK.

Repita essas etapas para cada política que enviará dados para o dispositivo da Sophos.

Salvar as alterações

Suas alterações não são ativadas no dispositivo até que você as implante. Para isso, siga este procedimento:

  1. Clique no ícone de implantação.

    O ponto no ícone aparece quando há alterações não implantadas.

  2. Em Alterações pendentes, revise as alterações.

  3. Clique em IMPLANTAR AGORA.

Para obter mais detalhes sobre esse processo, consulte a documentação da Cisco. Consulte Creating a Syslog Alert Response.

Nota

Evite caracteres especiais, inclusive vírgulas, em nomes de objetos, como nomes de políticas e regras. O dispositivo na VM pode tratar os caracteres como separadores.

Para conectar os dispositivos clássicos do Firepower ao seu dispositivo da Sophos, faça o seguinte:

Configurar os parâmetros de syslog

  1. Faça login no seu Firepower Management Center (FMC).
  2. Clique em Policies > Actions > Alerts.
  3. Em Create Alert, selecione Create Syslog Alert.
  4. Insira um Nome para o alerta, por exemplo SophosIntegration.
  5. Digite o endereço IP do seu dispositivo da Sophos em Host.
  6. Insira a porta configurada no seu dispositivo da Sophos em Port.

  7. Selecione Facility.

    O dispositivo da Sophos aceita quaisquer dados em Facility. Você encontra a lista de opções de dados na documentação da Cisco. Consulte a Tabela 1. Available Syslog Facilities.

  8. Selecione um nível em Severity.

    O dispositivo da Sophos aceita qualquer nível de severidade que você escolher. Você encontra a lista de opções na documentação da Cisco. Consulte a Tabela 2. Syslog Severity Levels.

  9. Clique em Salvar.

Quando você ativa Send Audit Log to Syslog e fornece informações de Host, as mensagens de syslog são enviadas ao host e aos logs de auditoria. Se desejar alterar isso, consulte a documentação da Cisco. Consulte Filter Syslogs from Audit Logs.

Definir as configurações de syslog para o controle de acesso

  1. Faça login no seu dispositivo.
  2. Clique em Policies > Access Control.
  3. Edite a política de controle de acesso aplicável.
  4. Clique em Logging.
  5. Selecione Send using specific syslog alert.
  6. Selecione o alerta de syslog criado acima.
  7. Clique em Salvar.

Ativar o registro em log de eventos de malware e arquivos

  1. Selecione Send Syslog messages for File and Malware events.
  2. Clique em Salvar.

Ativar o log de eventos de invasão

  1. Vá para a política de invasão associada à sua política de controle de acesso.
  2. Na política de invasão, clique em Advanced Settings > Syslog Alerting > Enabled.
  3. Clique em Back.
  4. Em Policy Information, clique em Commit Changes.
  5. Insira uma descrição das alterações e clique em OK.

Seus alertas do Cisco Firepower devem aparecer no Sophos Data Lake após a validação.