跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=barracudacloudgen

整合 Barracuda CloudGen

記錄收集器 防火牆

MSP Flex 客戶必須具備防火牆整合授權包才能使用此功能。

您可以將Barracuda CloudGen整合至Sophos Central,從而將警報發送至Sophos。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為整合設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

本頁說明如何透過部署於 ESXi 或 Hyper-V 的設備進行整合。若您希望使用部署於 AWS 的設備進行整合,請參閱 在 AWS 上的整合

主要步驟

整合的主要步驟如下:

  • 新增此產品的整合。此步驟中,您將建立整合設備的映像檔。
  • 下載並部署圖像至虛擬機器。這將成為您的設備。
  • 設定 Barracuda CloudGen 以將資料傳送到設備。

需求

設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求

新增整合

若要新增整合,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場

  2. 點擊Barracuda CloudGen

    The Barracuda CloudGen page opens.您可以在此處新增整合並查看已新增的所有整合清單。

  3. 資料擷取(安全警示)中,按一下新增設定

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱提供您的域和IP詳細資訊

    螢幕上將顯示整合設定步驟

設定設備

整合設定步驟 中,您可以設定新的設備,或使用既有的設備。

此處我們假設您要設定新的設備。請依以下步驟建立映像檔:

  1. 輸入整合名稱和說明。
  2. 按一下建立新設備
  3. 輸入設備的名稱和說明。
  4. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  5. 指定面向網際網路的網路連接埠的 IP 設定。這將設定設備的管理介面。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

  6. 選取 Syslog IP 版本並輸入 Syslog IP 位址

    稍後設定 Barracuda CloudGen 以向設備傳送資料時,您將需要該 syslog IP 位址。

  7. 通訊協定中,預先選取了 TCP。不能變更。

    當您設定 Barracuda CloudGen 以傳送資料至設備時,您必須確保其使用相同的通訊協定。

  8. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。

    在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 Barracuda CloudGen 以向其傳送資料時,您將需要該編號。

    設備映像檔可能需要幾分鐘的時間才能準備好。

部署設備

限制

如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。

請依下列方式使用映像檔部署設備:

  1. 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參閱部署設備

配置 Barracuda CloudGen

現在,您可以將 Barracuda CloudGen 設定為使用 syslog 轉寄功能向我們傳送警示。

注意

您可以配置多個 Barracuda CloudGen 的實例,通過相同的設備將數據發送到 Sophos。完成整合後,請重複執行此部分的步驟,以處理您其他的 Barracuda CloudGen 實例。無須重複執行 Sophos Central 中的設定步驟。

啟用系統日誌串流

在Barracuda CloudGen Firewall上啟用syslog串流如下:

  1. 前往CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming
  2. 點擊鎖定
  3. 啟用 Syslog 流式傳輸設置為
  4. 點擊傳送變更啟用

啟用詳細的防火牆報告

  1. 前往設定樹 > 基礎設施服務 > 一般防火牆設定
  2. 點擊鎖定
  3. 在左側選單中,選擇稽核和報告
  4. 日誌原則下,將活動日誌模式設置為記錄管線分隔的鍵-值列表
  5. 按一下發送更改啟用

具有 Log-Pipe-Separated-Key-Value-List 的範例輸出:

2024 05 07 10:02:51 +00:00 Info     Allow: type=LOUT|proto=TCP|srcIF=dhcp|srcIP=10.0.0.4|srcPort=47542|srcMAC=00:0d:3a:46:14:a3|dstIP=168.63.129.16|dstPort=32526|dstService=|dstIF=|rule=PASSALL|info=0|srcNAT=10.0.0.4|dstNAT=168.63.129.16|duration=0|count=1|receivedBytes=0|sentBytes=0|receivedPackets=0|sentPackets=0|user=|protocol=|application=|target=|content=|urlcat=

設定logdata篩選器

指定要串流的日誌檔案類型。

  1. 前往 CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming
  2. 在左側選單中,選擇Logdata Filters
  3. 點擊鎖定

  4. 篩選器表中,點擊 "+" 以新增新的篩選器。

    開啟\過濾器\視窗。

  5. 輸入一個名稱,例如"Sophos MDR integration"。

  6. 按一下確定

  7. 資料選取表中,新增要串流的頂層記錄資料日誌檔案。您可以選取:

    • 致命紀錄
    • 恐慌日誌
    • 防火牆稽核日誌

    對於\<交換標籤2>Firewall_Audit_Log\,必須啟用和配置防火牆審核日誌,並將\<交換標籤3>審核交付\設置為\<交換標籤4>Syslog Proxy\。參閱如何啟用防火牆審計日誌服務

將Sophos配置為日誌流目的地

設定防火牆將 syslog 流向 Sophos Central。

  1. 前往CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming
  2. 選擇左側選單中的Logstream Destinations
  3. 點擊鎖定

  4. 目的地表中,點擊「+」以新增新篩選器。

    開啟\目的地\頁面。

  5. 請輸入一個名稱,然後按一下確定

  6. 日誌串流目的地中,選擇您在配置日誌資料篩選器時輸入的名稱(在我們的範例中為“Sophos MDR 整合”)。
  7. 目的地 IP 位址
  8. 按一下發送更改啟用

配置logdata串流

將 logdata 過濾器和 logstream 目的地結合,設定 logdata 流。

  1. 前往CONFIGURATION > Configuration Tree > Box > Infrastructure Services > Syslog Streaming
  2. 在左側選單中,選擇Logdata Streams
  3. 點擊鎖定

  4. Streams表中,按下 "+" 以新增一個新的 syslog 流。

    打開Streams視窗。

  5. 輸入名稱。在先前章節中使用相同的名稱(在我們的範例中為"Sophos MDR integration")。

  6. 按一下確定
  7. Active Stream設置為yes
  8. 日誌目的地表中,點擊“+”並選擇您之前配置的日誌流目的地。
  9. 日誌篩選器表中,按下「+」,然後選擇您之前配置的日誌資料過濾器。
  10. 按一下確定
  11. 按一下發送更改啟用

所有由logdata過濾器覆蓋的日誌現在都會串流到Sophos。