SonicWall SonicOS
Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.
Você pode integrar o dispositivo de segurança SonicOS com o Sophos Central para que envie mensagens de eventos à Sophos para análise.
Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.
Nota
Você pode adicionar várias instâncias dos firewalls SonicWall ao mesmo dispositivo.
Para isso, configure a sua integração do SonicWall SonicOS no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seus outros firewalls SonicWall para enviar logs para o mesmo dispositivo da Sophos.
Você não precisa repetir a parte Sophos Central da configuração.
As etapas principais são as seguintes:
- Configure uma integração para este produto. Isso configura uma imagem para ser usada em uma VM.
- Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
- Configure o SonicOS para enviar dados ao dispositivo.
Requisitos
Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.
Configurar uma integração
Para integrar o SonicOS ao Sophos Central, faça o seguinte:
- Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
-
Clique em SonicWall SonicOS.
A página SonicWall SonicOS é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.
-
Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.
Nota
Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.
Etapas de configuração de integração aparece.
Configurar a VM
Em Etapas de configuração de integração, você configura a sua VM como um dispositivo para receber dados do SonicOS. Você pode usar uma VM existente ou criar uma nova.
Para configurar a VM, faça o seguinte:
- Adicione um nome e uma descrição para a nova integração.
-
Insira um nome e uma descrição para o dispositivo.
Se você já tiver configurado um dispositivo da Sophos, poderá escolhê-lo em uma lista.
-
Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.
-
Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.
-
Selecione DHCP para atribuir o endereço IP automaticamente.
Nota
Se você selecionar DHCP, deverá reservar o endereço IP.
-
Selecione Manual para especificar as configurações de rede.
-
-
Selecione a Versão de IP do syslog e insira o endereço IP de syslog.
Você precisará desse endereço IP de syslog mais tarde, ao configurar o SonicOS para enviar dados ao seu dispositivo.
-
Selecione um Protocolo.
Você deve usar o mesmo protocolo ao configurar o SonicOS para enviar dados ao seu dispositivo.
-
Clique em Salvar.
Nós criamos a integração e ela aparece na sua lista.
Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o SonicOS para enviar dados.
Pode levar alguns minutos para que a imagem da VM fique pronta.
Implantar a VM
Restrição
Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.
Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:
- Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
- Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.
Configurar o SonicOS
Agora você configura o SonicOS para nos enviar os dados.
Para configurar os parâmetros de syslog no seu firewall, faça o seguinte:
Nota
Se você usar o GMS (Global Management System) do SonicWall para gerenciar seu firewall, não poderá alterar o formato do syslog (Default) ou o ID do syslog (Firewall). Você pode alterar as outras configurações. As instruções a seguir não usam o GMS.
- Vá para Log > Syslog.
- Selecione Syslog Servers e clique em Add.
-
Insira o endereço IP do syslog definido para o seu dispositivo.
Você deve inserir a mesma configuração inserida no Sophos Central quando adicionou a integração.
-
Em Syslog Format, escolha ArcSight. O dispositivo da Sophos recebe alertas no formato ArcSight CEF.
Quando você seleciona ArcSight, o ícone Configurar fica ativo.
-
Clique no ícone Configurar. A janela de configuração ArcSight CEF fields Settings é exibida.
- Selecione as opções de ArcSight que você deseja registrar em log. Na maioria dos casos, é All. Para selecionar todas as opções, clique em Select All.
- Clique em Salvar.
-
Na caixa Syslog ID, digite o ID do syslog desejado.
Um campo Syslog ID é incluído em todas as mensagens geradas, com o prefixo
id=
.Por exemplo, no firewall, no valor padrão, todas as mensagens de syslog incluem
id=firewall
. Você pode definir um ID que consista em 0 a 32 letras, números e sublinhados.Nota
Quando a opção Override Syslog Settings with Reporting Software Settings é ativada, o campo Syslog ID é fixado como "Firewall". Você não pode alterar isso.
-
Clique em Accept na parte superior da página.
- Vá para Log > Settings para configurar quais alertas serão encaminhados para a Sophos.
-
Em Logging Level, você deve selecionar Warning.
Isso filtra os eventos de prioridade mais baixa.
-
Na página Log > Settings, você também pode filtrar os eventos de acordo com os atributos em Event Attributes.
- Selecione uma categoria e clique em Configure.
-
Em Edit Log Category, marque a caixa de seleção do syslog para as categorias específicas.
Suas alterações se aplicam a todos os grupos e eventos na categoria selecionada.