Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

SonicWall SonicOS

Coletor de log

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o dispositivo de segurança SonicOS com o Sophos Central para que envie mensagens de eventos à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar várias instâncias dos firewalls SonicWall ao mesmo coletor de dados.

Para isso, configure a sua integração do SonicWall SonicOS no Sophos Central e depois configure um firewall para enviar logs para ele. Em seguida, configure seus outros firewalls SonicWall para enviar logs para o mesmo coletor de dados da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura um arquivo OVA (Open Virtual Appliance).
  • Implemente o arquivo OVA em seu servidor ESXi. Ele se torna seu coletor de dados.
  • Configure o SonicOS para enviar dados ao coletor de dados.

Adicionar uma integração

Para integrar o SonicOS ao Sophos Central, faça o seguinte:

  1. No Sophos Central, vá para o Centro de Análise de Ameaças e clique em Integrações.
  2. Clique em SonicWall SonicOS.

    Se já tiver configurado as conexões ao SonicOS, você as verá aqui.

  3. Clique em Adicionar.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura uma VM para receber dados do SonicOS. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Adicione um nome e uma descrição para a nova integração.
  2. Insira um nome e uma descrição para o coletor de dados.

    Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.

  3. Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)

  4. Especifique as portas de rede voltadas à Internet.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

    Você precisará do endereço da VM mais tarde, ao configurar o SonicOS para enviar dados a ela.

  5. Selecione um Protocolo.

  6. Preencha todos os campos restantes no formulário.
  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista. Pode levar alguns minutos para que o arquivo OVA esteja pronto.

Implantar a VM

Restrição

O arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Depois de implantado, ele não pode ser usado novamente.

Se precisar implantar uma nova VM, você deve executar todas essas etapas novamente para vincular a integração ao Sophos Central.

Use o arquivo OVA para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique em Baixar OVA.
  2. Quando o download do arquivo OVA for concluído, implante-o em seu servidor ESXi. Um assistente conduzirá você pelas etapas. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o SonicOS

Agora você configura o SonicOS para nos enviar os dados.

Para configurar os parâmetros de syslog no seu firewall, faça o seguinte:

Nota

Se você usar o GMS (Global Management System) do SonicWall para gerenciar seu firewall, não poderá alterar o formato do syslog (Default) ou o ID do syslog (Firewall). Você pode alterar as outras configurações. As instruções a seguir não usam o GMS.

  1. Vá para Log > Syslog.
  2. Selecione Syslog Servers e clique em Add.
  3. Insira os detalhes do endereço da sua VM.
  4. Em Syslog Format, escolha ArcSight. O coletor de dados da Sophos recebe alertas no formato ArcSight CEF.

    Quando você seleciona ArcSight, o ícone Configurar fica ativo.

  5. Clique no ícone Configurar. A janela de configuração ArcSight CEF fields Settings é exibida.

  6. Selecione as opções de ArcSight que você deseja registrar em log. Na maioria dos casos, é All. Para selecionar todas as opções, clique em Select All.
  7. Clique em Salvar.
  8. Na caixa Syslog ID, digite o ID do syslog desejado.

    Um campo Syslog ID é incluído em todas as mensagens geradas, com o prefixo id=.

    Por exemplo, no firewall, no valor padrão, todas as mensagens de syslog incluem id=firewall. Você pode definir um ID que consista em 0 a 32 letras, números e sublinhados.

    Nota

    Quando a opção Override Syslog Settings with Reporting Software Settings é ativada, o campo Syslog ID é fixado como "Firewall". Você não pode alterar isso.

  9. Clique em Accept na parte superior da página.

  10. Vá para Log > Settings para configurar quais alertas serão encaminhados para a Sophos.
  11. Em Logging Level, você deve selecionar Warning.

    Isso filtra os eventos de prioridade mais baixa.

  12. Na página Log > Settings, você também pode filtrar os eventos de acordo com os atributos em Event Attributes.

    1. Selecione uma categoria e clique em Configure.
    2. Em Edit Log Category, marque a caixa de seleção do syslog para as categorias específicas.

      Suas alterações se aplicam a todos os grupos e eventos na categoria selecionada.

Mais Informações