Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Integrar F5

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o F5 BIG-IP ASM ao Sophos Central para o envio de alertas à Sophos.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar várias instâncias F5 BIG-IP ASM ao mesmo dispositivo.

Para isso, configure a sua integração do F5 BIG-IP ASM no Sophos Central e depois configure uma instância do F5 BIG-IP ASM para enviar logs para ele. Em seguida, configure suas outras instâncias F5 BIG-IP ASM para enviar logs ao mesmo dispositivo da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As etapas principais são as seguintes:

  • Configure uma integração para este produto. Isso configura uma imagem para ser usada em uma VM.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o F5 BIG-IP ASM para enviar dados para o dispositivo.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Configurar uma integração

Para configurar uma integração, siga este procedimento:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
  2. Clique em F5 BIG-IP ASM.

    A página F5 BIG-IP ASM é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de configuração de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura a sua VM como um dispositivo para receber dados do F5 BIG-IP ASM. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Insira um nome de integração e uma descrição.
  2. Insira um nome e uma descrição para o dispositivo.

    Se você já tiver configurado um dispositivo da Sophos, poderá escolhê-lo em uma lista.

  3. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  4. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  5. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o F5 BIG-IP ASM para enviar dados ao seu dispositivo.

  6. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar o F5 BIG-IP ASM para enviar dados ao seu dispositivo.

  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o F5 BIG-IP ASM para enviar dados.

    Pode levar alguns minutos para que a imagem da VM fique pronta.

Implantar a VM

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.

Configurar F5 BIG-IP ASM

Agora você configura o F5 BIG-IP ASM para nos enviar alertas usando o encaminhamento de syslog.

Para configurar o encaminhamento de alertas, siga este procedimento:

Criar um perfil de log

Você deve criar um perfil de log personalizado para registrar eventos de segurança do aplicativo.

  1. Na guia Main, clique em Security > Event Logs > Logging Profiles.
  2. Em Logging Profiles, clique em Create.

    A tela New Logging Profile é aberta.

  3. Em Profile Name, digite um nome exclusivo para o perfil.

  4. Selecione Application Security.

    A tela exibe campos adicionais.

  5. Na guia Application Security, em Configuration, selecione Advanced.

  6. Selecione Remote Storage para armazenar logs remotamente.
  7. Na lista Response Logging, selecione For Illegal Requests Only.

    Por padrão, o sistema registra os primeiros 10.000 bytes de respostas em log, até 10 respostas por segundo. Você pode alterar os limites usando as variáveis do sistema de log de respostas.

    Por padrão, o sistema registra todas as solicitações em log. Para limitar o tipo de solicitações que o sistema ou servidor registra no log, configure o Storage Filter.

Continue para configurar o registro remoto em log.

Configurar o registro remoto em log

Você pode configurar seu perfil de log para registrar eventos de segurança de aplicativos remotamente em um servidor syslog.

  1. Na guia Main, clique em Security > Event Logs > Logging Profiles.
  2. Em Logging Profiles, clique no nome do perfil de log para o qual deseja configurar o registro em log remoto.
  3. Selecione Remote Storage.

    Na lista Remote Storage Type, selecione Remote. As mensagens estão no formato syslog.

  4. Em Protocol, selecione o protocolo que você definiu no Sophos Central: UDP ou TCP.

    O protocolo selecionado aplica-se a todas as configurações do servidor remoto nesta tela, incluindo todos os endereços IP do servidor.

  5. Em Server Addresses, especifique o servidor no qual o tráfego deve ser registrado. Insira o endereço IP e o número da porta especificados anteriormente no Sophos Central e clique em Add.

  6. Em Facility, selecione a categoria do tráfego registrado em log. Para essa integração, não importa qual você escolher.
  7. Na configuração Storage Format, você pode especificar como o log exibe informações, quais itens de tráfego o servidor registra no log e em que ordem ele os registra.
  8. Em Maximum Query String Size, você pode especificar quanto de uma solicitação o servidor registra no log. Selecione Any.
  9. Em Maximum Entry Length, você pode especificar quanto do comprimento de entrada o servidor registra no log. Aceite o comprimento padrão (1K para servidores remotos que suportam UDP e 2K para servidores remotos que suportam TCP).
  10. Selecione Report Detected Anomalies. O sistema enviará um relatório para o log do sistema remoto quando um ataque de força bruta ou ataque de espionagem na web começar e terminar.
  11. Na área Storage Filter, faça as alterações conforme necessário.
  12. Clique em Concluído.

Quando você cria um perfil de log para armazenamento remoto, o sistema armazena os dados da política de segurança associada em um ou mais sistemas remotos.

Associar um perfil de log a uma política de segurança

Um perfil de log registra solicitações no servidor virtual. Por padrão, quando você cria uma política de segurança, o sistema associa o perfil Log Ilegal Requests ao servidor virtual usado pela política.

Você pode alterar o perfil de log associado à política de segurança ou atribuir um novo perfil editando o servidor virtual.

  1. Clique em Local Traffic > Virtual Servers.
  2. Clique no nome do servidor virtual usado pela política de segurança. O sistema exibe as propriedades gerais do servidor virtual.
  3. No menu Security, selecione Policies.

    O sistema exibe as configurações da política do servidor virtual.

  4. Certifique-se de que a configuração Application Security Policy esteja habilitada e que a política esteja definida para a política de segurança desejada.

  5. Em Log Profile, siga este procedimento:

    • Verifique se ele está definido como Enabled.
    • Na lista Disponível, selecione o perfil a ser usado para a política de segurança e mova-o para a lista Selecionado.
  6. Clique em Atualizar.

As informações relacionadas ao tráfego controlado pela política de segurança são registradas usando o perfil de log ou perfis especificados no servidor virtual.