跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=barracudacloudgen

集成Barracuda CloudGen

記錄收集器 防火牆

要使用此功能,您必須擁有「防火牆」整合授權套件。

您可以將 Barracuda CloudGen 與 Sophos Central 整合,以便其將警示傳送到 Sophos 進行分析。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

此頁面介紹使用ESXi或Hyper-V上的設備進行集成 如果要使用AWS上的設備進行集成,請參閱 AWS上的集成

關鍵步驟

設定整合的主要步驟如下:

  • 新增此產品的整合。在此步驟中,您將創建設備的映像。
  • 在 VM 上下載並部署映像。這將成為您的設備。
  • 設定 Barracuda CloudGen 以將資料傳送到設備。

需求

設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求

新增整合

若要新增整合,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場

  2. 單擊 Barracuda CloudGen

    **** 此時將打開Barracuda CloudGen頁面。您可以在此處設定整合並查看已設定的所有整合清單。

  3. 資料擷取(安全警示)中,按一下新增設定

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱提供您的域和IP詳細資訊

    螢幕上將顯示整合設定步驟

配置設備

集成設定步驟中,您可以配置新設備或使用現有設備。

我們假定您在此配置新設備。要執行此操作,請按以下步驟創建映像:

  1. 輸入整合名稱和說明。
  2. 按一下建立新設備
  3. 輸入設備的名稱和說明。
  4. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  5. 指定面向網際網路的網路連接埠的 IP 設定。這將為 VM 設定管理介面。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

  6. 選取 Syslog IP 版本並輸入 Syslog IP 位址

    稍後設定 Barracuda CloudGen 以向設備傳送資料時,您將需要該 syslog IP 位址。

  7. 通訊協定中,預先選取了 TCP。不能變更。

    當您設定 Barracuda CloudGen 以傳送資料至設備時,您必須確保其使用相同的通訊協定。

  8. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。

    在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 Barracuda CloudGen 以向其傳送資料時,您將需要該編號。

    VM 映像可能需要幾分鐘的時間才能準備就緒。

部署設備

限制

如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。

使用映像部署設備,如下所示:

  1. 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參閱部署設備

配置Barracuda CloudGen

現在,您可以將 Barracuda CloudGen 設定為使用 syslog 轉寄功能向我們傳送警示。

注意

您可以配置Barracuda CloudGen的多個實例,以便通過同一設備向Sophos發送數據。完成集成後,對Barracuda CloudGen的其他實例重複本節中的步驟。您不需要重複Sophos Central中的步驟。

啟用syslog流

在Barracuda CloudGen防火牆上啟用syslog流,如下所示:

  1. 轉至 配置 > 配置樹 > > 基礎架構服務 > Syslog流
  2. 單擊 鎖定
  3. Enable Syslog Streaming (啟用系統日誌流 ) ****
  4. 單擊 發送更改啟動

啟用詳細的防火牆報告

  1. 轉至 配置樹 > 基礎結構服務 > 常規防火牆配置
  2. 單擊 鎖定
  3. 在左側菜單中,選擇 Audit and Reporting(審計和報告)。
  4. 日誌策略下,將 活動日誌模式設置Log-Pipe-Separed-Key-Value-List
  5. 單擊 發送更改啟動

使用Log-Pipe-Separed-Key-Value-List的輸出示例:

2024 05 07 10:02:51 +00:00 Info     Allow: type=LOUT|proto=TCP|srcIF=dhcp|srcIP=10.0.0.4|srcPort=47542|srcMAC=00:0d:3a:46:14:a3|dstIP=168.63.129.16|dstPort=32526|dstService=|dstIF=|rule=PASSALL|info=0|srcNAT=10.0.0.4|dstNAT=168.63.129.16|duration=0|count=1|receivedBytes=0|sentBytes=0|receivedPackets=0|sentPackets=0|user=|protocol=|application=|target=|content=|urlcat=

配置日誌數據過濾器

指定要流化的日誌文件類型。

  1. 轉至 配置 > 配置樹 > > 基礎架構服務 > Syslog流
  2. 在左側功能表中,選擇身分認證提供者
  3. 單擊 鎖定

  4. 在" 篩選器 "表中,單擊"+"添加新篩選器。

    **** 此時將打開“過濾器”窗口。

  5. 輸入 名稱,例如“Sophos MDR integration”。

  6. 按一下確定

  7. 在“ 數據選擇 ”表中,添加 **** 要流化的頂級Logdata日誌文件。您可以選取:

    • fatal_log
    • 應急日誌
    • Firewall_Audit_Log

    對於 Firewall_Audit_Log,必須啓用和配置防火牆審計日誌,並且 * 必須將審計傳送設置爲 *Syslog代理。請參見 How to Enable the Firewall Audit Log Service

將Sophos配置為日誌流目標

配置防火牆以將syslog流發送到Sophos Central。

  1. 轉至 配置 > 配置樹 > > 基礎架構服務 > Syslog流
  2. 在左側功能表中,選擇身分認證提供者
  3. 單擊 鎖定

  4. 目的地 表格中,按一下「+」以新增篩選。

    Darktrace 頁面隨即打開。

  5. 輸入 名稱 ,然後單擊 確定

  6. Logstream Destination中,選擇配置日誌數據過濾器時輸入的名稱(本例中爲“Sophos MDR integration”)。
  7. “Destination IP Address (目標IP地址)”和 “Destination Port (目標端口)”中,輸入您先前在Sophos Central中配置的
  8. 單擊 發送更改啟動

配置日誌數據流

將日誌數據過濾器和日誌流目標組合在一起,以設置日誌數據流。

  1. 轉至 配置 > 配置樹 > > 基礎架構服務 > Syslog流
  2. 在左側功能表中,選擇身分認證提供者
  3. 單擊 鎖定

  4. Streams 表中,單擊"+"添加新的syslog流。

    **** 此時將打開流窗口。

  5. 輸入名稱。請使用前面部分中使用的相同名稱(本例中的“Sophos MDR integration”)。

  6. 按一下確定
  7. 活動流設定
  8. 在“ 日誌目標 ”表中,單擊“+”並選擇您先前配置的日誌流目標。
  9. 在“ 日誌篩選器 ”表中,單擊“+”並選擇您先前配置的日誌數據篩選器。
  10. 按一下確定
  11. 單擊 發送更改啟動

現在,日誌數據過濾器涵蓋的所有日誌都將流化到Sophos。