Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=ubiquitiunifi

Integrar o Ubiquiti UNIFI

Coletor de log Firewall

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar o Ubiquiti UniFi ao Sophos Central para que ele envie alertas de firewall à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo de integração. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Esta página descreve a integração usando um dispositivo no ESXi ou Hyper-V. Se você quiser integrar usando um dispositivo na AWS, consulte Integrações na AWS.

Etapas principais

As principais etapas em uma integração são as seguintes:

  • Adicione uma integração deste produto. Nesta etapa, você cria uma imagem do dispositivo.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o Ubiquiti UniFi para enviar dados ao dispositivo.

Requisitos

Seu produto Ubiquiti deve ser capaz de gerar alertas de segurança. Os produtos que podem fazer isso incluem:

  • UDM Pro (Dream Machine)
  • USG - Unifi Security

Os dispositivos de integração têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Clique em Ubiquiti UNIFI.

    A página Ubiquiti UniFi é aberta. Você pode adicionar integrações aqui e ver uma lista daquelas que você já adicionou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Fornecer seus detalhes de domínio e IP.

    Etapas de configuração de integração aparece.

Configurar o dispositivo

Em Etapas de configuração de integração, você pode configurar um novo dispositivo ou usar um existente.

Presumimos aqui que você queira configurar um novo dispositivo. Para fazer isso, crie uma imagem da seguinte forma:

  1. Insira um nome de integração e uma descrição.
  2. Clique em Criar um novo dispositivo.
  3. Insira um nome e uma descrição para o dispositivo.
  4. Selecione a plataforma virtual. Atualmente, aceitamos VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  5. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento do dispositivo.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  6. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Ubiquiti UniFi para enviar dados ao seu dispositivo.

  7. Em Protocolo, selecione UDP.

    Você deve usar o mesmo protocolo ao configurar a Ubiquiti UniFi para enviar dados ao seu dispositivo.

  8. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    O número da porta do dispositivo é mostrada nos detalhes da integração. Você precisará dele mais tarde, ao configurar o Ubiquiti UniFi para enviar dados.

    Pode levar alguns minutos para que a imagem do dispositivo fique pronta.

Implantar o dispositivo

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se você implementar outra VM, deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem para implantar o dispositivo da seguinte forma:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar dispositivos.

Quando você tiver implantado o dispositivo, a integração será exibida como Conectado.

Configurar Ubiquiti UniFi

Agora você configura a Ubiquiti UniFi para nos enviar alertas usando o encaminhamento de syslog.

Nota

Você pode configurar várias instâncias do Ubiquiti UniFi para enviar dados para a Sophos através do mesmo dispositivo. Depois de concluir a integração, repita as etapas nesta seção para suas outras instâncias do Ubiquiti UniFi. Você não precisa repetir as etapas no Sophos Central.

Você pode configurar o modo de encaminhamento de log na interface de usuário do Ubiquiti UniFi OS, mas deve configurá-lo em cada site separadamente.

Os nomes das configurações variam ligeiramente entre diferentes versões do sistema operacional UniFi, mas as etapas básicas são as mesmas para todos.

Para configurar o encaminhamento de alertas, siga este procedimento:

  1. Vá até as configurações de log: Settings > System > Advanced > Remote Logging Location.

    Nas versões anteriores, vá até as configurações de log da seguinte forma:

    • Settings > Site > Remote Logging (UniFi versão 5)
    • Settings > System > System Logging (UniFi versão 7)

  2. Configure o log da seguinte forma, utilizando as configurações apropriadas para a sua versão:

    • Defina Logging Levels como Auto.
    • Ative o Syslog.
    • Não ative Debug logging, Debug logs ou Netconsole.
    • Ative Enable remote syslog server.
    • Defina Remote Logging Location como Remote Server.

  3. Insira os seguintes detalhes para o dispositivo Sophos que você configurou anteriormente:

    • Remote IP Address ou Syslog Host: O endereço IP do seu dispositivo. Este deve ser o mesmo endereço IP do syslog que você inseriu no Sophos Central.
    • Port ou Syslog Port: O número da porta que você definiu no Sophos Central.

  4. Clique em Apply Changes para salvar as configurações. O dispositivo UniFi inicia o encaminhamento de logs para a Sophos.