Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=f5bigipasm

Integrar F5

Coletor de log Firewall

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o F5 BIG-IP ASM ao Sophos Central para o envio de alertas à Sophos.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo de integração. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Esta página descreve a integração usando um dispositivo no ESXi ou Hyper-V. Se você quiser integrar usando um dispositivo na AWS, consulte Integrações na AWS.

Etapas principais

As principais etapas em uma integração são as seguintes:

  • Adicione uma integração deste produto. Nesta etapa, você cria uma imagem do dispositivo.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o F5 BIG-IP ASM para enviar dados para o dispositivo.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Clique em F5 BIG-IP ASM.

    A página F5 BIG-IP ASM é aberta. Você pode adicionar integrações aqui e ver uma lista daquelas que você já adicionou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Fornecer seus detalhes de domínio e IP.

    Etapas de configuração de integração aparece.

Configurar o dispositivo

Em Etapas de configuração de integração, você pode configurar um novo dispositivo ou usar um existente.

Presumimos aqui que você queira configurar um novo dispositivo. Para fazer isso, crie uma imagem da seguinte forma:

  1. Insira um nome de integração e uma descrição.
  2. Clique em Criar um novo dispositivo.
  3. Insira um nome e uma descrição para o dispositivo.
  4. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  5. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento do dispositivo.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  6. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o F5 BIG-IP ASM para enviar dados ao seu dispositivo.

  7. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar o F5 BIG-IP ASM para enviar dados ao seu dispositivo.

  8. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o F5 BIG-IP ASM para enviar dados.

    Pode levar alguns minutos para que a imagem do dispositivo fique pronta.

Implantar o dispositivo

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem para implantar o dispositivo da seguinte forma:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar dispositivos.

Configurar F5 BIG-IP ASM

Agora você configura o F5 BIG-IP ASM para nos enviar alertas usando o encaminhamento de syslog.

Nota

Você pode configurar várias instâncias do F5 BIG-IP ASM para enviar dados para a Sophos através do mesmo dispositivo. Depois de concluir a integração, repita as etapas nesta seção para suas outras instâncias do F5 BIG-IP ASM. Você não precisa repetir as etapas no Sophos Central.

Para configurar o encaminhamento de alertas, siga este procedimento:

Criar um perfil de log

Você deve criar um perfil de log personalizado para registrar eventos de segurança do aplicativo.

  1. Na guia Main, clique em Security > Event Logs > Logging Profiles.

  2. Em Logging Profiles, clique em Create.

    A tela New Logging Profile é aberta.

  3. Em Profile Name, digite um nome exclusivo para o perfil.

  4. Selecione Application Security.

    A tela exibe campos adicionais.

  5. Na guia Application Security, em Configuration, selecione Advanced.

  6. Selecione Remote Storage para armazenar logs remotamente.

  7. Na lista Response Logging, selecione For Illegal Requests Only.

    Por padrão, o sistema registra os primeiros 10.000 bytes de respostas em log, até 10 respostas por segundo. Você pode alterar os limites usando as variáveis do sistema de log de respostas.

    Por padrão, o sistema registra todas as solicitações em log. Para limitar o tipo de solicitações que o sistema ou servidor registra no log, configure o Storage Filter.

Continue para configurar o registro remoto em log.

Configurar o registro remoto em log

Você pode configurar seu perfil de log para registrar eventos de segurança de aplicativos remotamente em um servidor syslog.

  1. Na guia Main, clique em Security > Event Logs > Logging Profiles.
  2. Em Logging Profiles, clique no nome do perfil de log para o qual deseja configurar o registro em log remoto.

  3. Selecione Remote Storage.

    Na lista Remote Storage Type, selecione Remote. As mensagens estão no formato syslog.

  4. Em Logging Format, selecione Common Event Format (ArcSight). As mensagens de log estão no formato CEF (Common Event Format).

  5. Em Protocol, selecione o protocolo que você definiu no Sophos Central: UDP ou TCP.

    O protocolo selecionado aplica-se a todas as configurações do servidor remoto nesta tela, incluindo todos os endereços IP do servidor.

  6. Em Server Addresses, especifique o servidor no qual o tráfego deve ser registrado. Insira o endereço IP e o número da porta especificados anteriormente no Sophos Central e clique em Add.

  7. Em Facility, selecione a categoria do tráfego registrado em log. Para essa integração, não importa qual você escolher.
  8. Na configuração Storage Format, você pode especificar como o log exibe informações, quais itens de tráfego o servidor registra no log e em que ordem ele os registra.
  9. Em Maximum Query String Size, você pode especificar quanto de uma solicitação o servidor registra no log. Selecione Any.
  10. Em Maximum Entry Length, você pode especificar quanto do comprimento de entrada o servidor registra no log. Aceite o comprimento padrão (1K para servidores remotos que suportam UDP e 2K para servidores remotos que suportam TCP).
  11. Selecione Report Detected Anomalies. O sistema enviará um relatório para o log do sistema remoto quando um ataque de força bruta ou ataque de espionagem na web começar e terminar.
  12. Na área Storage Filter, faça as alterações conforme necessário.
  13. Clique em Concluído.

Quando você cria um perfil de log para armazenamento remoto, o sistema armazena os dados da política de segurança associada em um ou mais sistemas remotos.

Associar um perfil de log a uma política de segurança

Um perfil de log registra solicitações no servidor virtual. Por padrão, quando você cria uma política de segurança, o sistema associa o perfil Log Ilegal Requests ao servidor virtual usado pela política.

Você pode alterar o perfil de log associado à política de segurança ou atribuir um novo perfil editando o servidor virtual.

  1. Clique em Local Traffic > Virtual Servers.
  2. Clique no nome do servidor virtual usado pela política de segurança. O sistema exibe as propriedades gerais do servidor virtual.

  3. No menu Security, selecione Policies.

    O sistema exibe as configurações da política do servidor virtual.

  4. Certifique-se de que a configuração Application Security Policy esteja habilitada e que a política esteja definida para a política de segurança desejada.

  5. Em Log Profile, siga este procedimento:

    • Verifique se ele está definido como Enabled.
    • Na lista Disponível, selecione o perfil a ser usado para a política de segurança e mova-o para a lista Selecionado.

  6. Clique em Atualizar.

As informações relacionadas ao tráfego controlado pela política de segurança são registradas usando o perfil de log ou perfis especificados no servidor virtual.