Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Cisco Firepower

Coletor de log

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o Firepower ao Sophos Central para o envio de dados de auditoria à Sophos para análise.

Essa integração usa um coletor de log em uma máquina virtual (VM). O coletor de log recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar vários firewalls Cisco Firepower ao mesmo coletor de log da Sophos.

Para isso, configure a sua integração do Cisco Firepower no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seus outros firewalls Cisco Firepower para enviar logs para o mesmo coletor de log da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura um arquivo OVA (Open Virtual Appliance).
  • Implemente o arquivo OVA em seu servidor ESXi. Ele se torna seu coletor de log.
  • Configure o Firepower para enviar dados. As etapas a seguir dependem do dispositivo que você possui.
  • Conecte o Firepower à sua VM.

Adicionar uma integração

Para integrar o Firepower ao Sophos Central, faça o seguinte:

  1. No Sophos Central, vá para o Centro de Análise de Ameaças e clique em Integrações.
  2. Clique em Cisco Firepower.

    Se já tiver configurado as conexões ao Firepower, você as verá aqui.

  3. Clique em Adicionar uma integração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de integração, você configura uma VM para receber dados do Firepower. Você pode usar uma VM existente ou criar uma nova.

Você talvez precise acessar o Firepower para obter algumas das informações necessárias para preencher o formulário.

Para configurar a VM, faça o seguinte:

  1. Adicione um nome e uma descrição para a nova integração.
  2. Insira um nome e uma descrição para a VM.
  3. Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)
  4. Especifique as portas de rede voltadas à Internet.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

    Você precisará do endereço da VM mais tarde, ao configurar o Firepower para enviar dados a ela.

  5. Selecione um Protocolo.

  6. Selecione um Formato de syslog.
  7. Preencha todos os campos restantes.
  8. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista. Pode levar alguns minutos para que o arquivo OVA esteja pronto para download.

Implantar a VM

Restrição

O arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Depois de implantado, ele não pode ser usado novamente.

Se precisar implantar uma nova VM, você deve executar todas essas etapas novamente para vincular a integração ao Sophos Central.

Use o arquivo OVA para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique em Baixar OVA.
  2. Quando o download do arquivo OVA for concluído, implante-o em seu servidor ESXi. Um assistente conduzirá você pelas etapas. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o Firepower

Agora, configure o Firepower para enviar dados ao seu coletor de log.

As etapas a serem seguidas dependem do tipo de dispositivo que você está configurando. Clique na versão do Firepower que você está usando.

Para conectar o Firepower Threat Defense versão 6.3 ou posterior ao seu coletor de log da Sophos, faça o seguinte:

Nota

Evite caracteres especiais, inclusive vírgulas, em nomes de objetos, como nomes de políticas e regras. O coletor de log na VM pode tratar os caracteres como separadores.

Configurar os parâmetros de syslog

  1. Clique em Devices > Platform Settings.
  2. No menu esquerdo, clique em Syslog.
  3. Clique em Syslog Servers e clique em Add.
  4. Insira o servidor, o protocolo, a interface e as informações relacionadas ao coletor de log da Sophos.

    Para obter mais detalhes, consulte Configure a Syslog Server.

  5. Clique em Syslog Settings e defina as configurações da seguinte maneira:

    1. Ative Timestamp em Syslog Messages.
    2. Insira um formato em Timestamp Format.
    3. Ative Syslog Device ID.

    Consulte FTD Platform Settings That Apply to Security Event Syslog Messages.

  6. Clique em Logging Setup.

  7. Selecione se deseja ou não enviar syslogs no formato EMBLEM.
  8. Clique em Salvar.

Definir as configurações de log para controle de acesso

Você deve definir as configurações de log para a política de controle de acesso, incluindo o log de arquivo e malware.

  1. Clique em Policies > Access Control.
  2. Edite a política de controle de acesso aplicável.
  3. Clique em Logging.
  4. Selecione FTD 6.3 and later. Use as configurações de syslog definidas na política FTD Platform Settings implantada no dispositivo.
  5. (Opcional) selecione Syslog Severity.
  6. Se quiser enviar eventos de malware e arquivos, selecione Send Syslog messages for File and Malware events.
  7. Clique em Salvar.

Habilitar o registro em log de eventos de inteligência de segurança

  1. Na mesma política de controle de acesso, clique na guia Security Intelligence.
  2. Em cada um dos locais a seguir, clique em Registro em log. Habilite o servidor Syslog e o início e o fim das conexões:

    1. Ao lado de DNS Policy.
    2. Na caixa de seleção Block List de Networks e de URLs.
  3. Clique em Salvar.

Habilitar o registro em log do syslog para cada regra de controle de acesso

  1. Na mesma política de controle de acesso, clique na guia Rules.
  2. Clique em uma regra para editar.
  3. Clique na guia Logging na regra.
  4. Escolha se deseja registrar no log o início das conexões, o fim das conexões, ou ambos.

    O log de conexão gera muitos dados. Fazer o log inicial e final gera aproximadamente o dobro de dados. Nem todas as conexões podem ter o log registrado no início e no fim.

  5. Se quiser registrar o log de eventos de arquivo, selecione Log Files.

  6. Habilite Syslog Server.
  7. Confirme que a regra é Using default syslog configuration in Access Control Logging.
  8. Clique em Adicionar.
  9. Repita para cada regra na política.

Habilitar o registro em log de eventos de invasão

  1. Vá para a política de invasão associada à sua política de controle de acesso.
  2. Na política de invasão, clique em Advanced Settings > Syslog Alerting > Enabled.
  3. Se necessário, clique em Edit.
  4. Insira as opções da seguinte forma:

    • Logging Host

      A menos que você queira enviar mensagens de syslog de eventos de invasão a um servidor syslog diferente daquele a que você envia outras mensagens de syslog, deixe esta opção em branco. As configurações definidas acima serão usadas.

    • Facility

      Esta configuração é aplicável somente se você especificar um host de log nesta página.

      Para obter as descrições, consulte Syslog Alert Facilities.

    • Severity

      Esta configuração é aplicável somente se você especificar um host de log nesta página.

      Para obter as descrições, consulte Syslog Severity Levels.

  5. Clique em Back.

  6. Clique em Policy Information no menu à esquerda.
  7. Clique em Commit Changes.

Para obter mais detalhes sobre esse processo, consulte a documentação da Cisco. Consulte Creating a Syslog Alert Response.

Nota

Evite caracteres especiais, inclusive vírgulas, em nomes de objetos, como nomes de políticas e regras. O coletor de log na VM pode tratar os caracteres como separadores.

Para conectar os dispositivos clássicos do Firepower ao seu coletor de log da Sophos, faça o seguinte:

Configurar os parâmetros de syslog

  1. Faça login no seu Firepower Management Center (FMC).
  2. Clique em Policies > Actions > Alerts.
  3. Em Create Alert, selecione Create Syslog Alert.
  4. Insira um Nome para o alerta, por exemplo SophosIntegration.
  5. Digite o endereço IP do seu coletor de log da Sophos em Host.
  6. Insira a porta configurada no seu coletor de dados da Sophos em Port.
  7. Selecione Facility.

    O coletor de log da Sophos aceita quaisquer dados em Facility. Você encontra a lista de opções de dados na documentação da Cisco. Consulte a Tabela 1. Available Syslog Facilities.

  8. Selecione um nível em Severity.

    O coletor de log da Sophos aceita qualquer nível de severidade que você escolher. Você encontra a lista de opções na documentação da Cisco. Consulte a Tabela 2. Syslog Severity Levels.

  9. Clique em Salvar.

Quando você ativa Send Audit Log to Syslog e fornece informações de Host, as mensagens de syslog são enviadas ao host e aos logs de auditoria. Se desejar alterar isso, consulte a documentação da Cisco. Consulte Filter Syslogs from Audit Logs.

Definir as configurações de syslog para o controle de acesso

  1. Faça login no seu dispositivo.
  2. Clique em Policies > Access Control.
  3. Edite a política de controle de acesso aplicável.
  4. Clique em Logging.
  5. Selecione Send using specific syslog alert.
  6. Selecione o alerta de syslog criado acima.
  7. Clique em Salvar.

Ativar o registro em log de eventos de malware e arquivos

  1. Selecione Send Syslog messages for File and Malware events.
  2. Clique em Salvar.

Ativar o log de eventos de invasão

  1. Vá para a política de invasão associada à sua política de controle de acesso.
  2. Na política de invasão, clique em Advanced Settings > Syslog Alerting > Enabled.
  3. Se necessário, clique em Edit.
  4. Insira as seguintes opções:

    • Logging Host

      A menos que você queira enviar mensagens de syslog de eventos de invasão a um servidor syslog diferente daquele a que você envia outras mensagens de syslog, deixe esta opção em branco. As configurações definidas acima serão usadas.

    • Facility

      Esta configuração é aplicável somente se você especificar um host de log nesta página.

      Consulte Syslog Alert Facilities.

    • Severity

      Esta configuração é aplicável somente se você especificar um host de log nesta página.

      Consulte Syslog Severity Levels.

  5. Clique em Back.

  6. Clique em Policy Information no menu à esquerda.
  7. Clique em Commit Changes.