Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

SonicWall SonicOS

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o dispositivo de segurança SonicWall SonicOS com o Sophos Central para que envie mensagens de eventos à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo de integração. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Esta página descreve a integração usando um dispositivo no ESXi ou Hyper-V. Se você quiser integrar usando um dispositivo na AWS, consulte Adicionar integrações na AWS.

Etapas principais

As principais etapas em uma integração são as seguintes:

  • Adicione uma integração deste produto. Nesta etapa, você cria uma imagem do dispositivo.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o SonicOS para enviar dados ao dispositivo.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Adicionar uma integração

Para integrar o SonicOS ao Sophos Central, faça o seguinte:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
  2. Clique em SonicWall SonicOS.

    A página SonicWall SonicOS é aberta. Você pode adicionar integrações aqui e ver uma lista daquelas que você já adicionou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Fornecer seus detalhes de domínio e IP.

    Etapas de configuração de integração aparece.

Configurar o dispositivo

Em Etapas de configuração de integração, você pode configurar um novo dispositivo ou usar um existente.

Presumimos aqui que você queira configurar um novo dispositivo. Para fazer isso, crie uma imagem da seguinte forma:

  1. Adicione um nome e uma descrição para a nova integração.
  2. Clique em Criar um novo dispositivo.
  3. Insira um nome e uma descrição para o dispositivo.
  4. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.
  5. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento do dispositivo de VM.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  6. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o SonicOS para enviar dados ao seu dispositivo.

  7. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar o SonicOS para enviar dados ao seu dispositivo.

  8. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o SonicOS para enviar dados.

    Pode levar alguns minutos para que a imagem do dispositivo fique pronta.

Implantar o dispositivo

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem para implantar o dispositivo da seguinte forma:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar dispositivos.

Configurar o SonicOS

Agora você configura o SonicOS para nos enviar os dados.

Nota

Você pode configurar várias instâncias do SonicOS para enviar dados para a Sophos através do mesmo dispositivo. Depois de concluir a integração, repita as etapas nesta seção para suas outras instâncias do SonicOS. Você não precisa repetir as etapas no Sophos Central.

Nota

Se você usar o GMS (Global Management System) do SonicWall para gerenciar seu firewall, não poderá alterar o formato do syslog (Default) ou o ID do syslog (Firewall). Você pode alterar as outras configurações. As instruções a seguir não usam o GMS.

Para configurar o encaminhamento de alerta de syslog no seu firewall SonicOS, faça o seguinte:

  1. Vá para as configurações de syslog:

    • No Sonicwall 7.x, vá para Device > Log > Syslog.
    • No Sonicwall 6.5, vá para Manage > Log Settings > Syslog.
  2. Na página Syslog Servers, clique em Add.

  3. Insira o endereço IP do syslog definido para o seu dispositivo.

    Você deve inserir a mesma configuração inserida no Sophos Central quando adicionou a integração.

  4. Em Syslog Format, escolha ArcSight. O dispositivo da Sophos recebe alertas no formato ArcSight CEF.

    Quando você seleciona ArcSight, o ícone Configurar fica ativo.

  5. Clique no ícone Configurar. A janela de configuração ArcSight CEF fields Settings é exibida.

  6. Selecione as opções de ArcSight que você deseja registrar em log. Na maioria dos casos, é All. Para selecionar todas as opções, clique em Select All.
  7. Clique em Salvar.
  8. Na caixa Syslog ID, digite o ID do syslog desejado.

    Um campo Syslog ID é incluído em todas as mensagens geradas, com o prefixo id=.

    Por exemplo, no firewall, no valor padrão, todas as mensagens de syslog incluem id=firewall. Você pode definir um ID que consista em 0 a 32 letras, números e sublinhados.

    Nota

    Quando a opção Override Syslog Settings with Reporting Software Settings é ativada, o campo Syslog ID é fixado como "Firewall". Você não pode alterar isso.

  9. Clique em Accept na parte superior da página.

  10. Vá para Log > Settings para configurar quais alertas serão encaminhados para a Sophos.
  11. Em Logging Level, você deve selecionar Warning.

    Isso filtra os eventos de prioridade mais baixa.

  12. Na página Log > Settings, você também pode filtrar os eventos de acordo com os atributos em Event Attributes.

    1. Selecione uma categoria e clique em Configure.
    2. Em Edit Log Category, marque a caixa de seleção do syslog para as categorias específicas.

      Suas alterações se aplicam a todos os grupos e eventos na categoria selecionada.

Nota

O SonicOS 7.x pode enviar dados formatados incorretamente. Se você seguiu todas as nossas etapas de integração, mas não obteve detecções SonicWALL no Sophos Central, tente solicitar suporte à SonicWALL para obter o hotfix 46333.

Mais Informações