跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=f5bigipasm

整合 F5

記錄收集器 防火牆

MSP Flex 客戶必須具備防火牆整合授權包才能使用此功能。

您可以將 F5 BIG-IP ASM 與 Sophos Central 整合,以便將警示傳送到 Sophos。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為整合設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

本頁說明如何透過部署於 ESXi 或 Hyper-V 的設備進行整合。若您希望使用部署於 AWS 的設備進行整合,請參閱 在 AWS 上的整合

主要步驟

整合的主要步驟如下:

  • 新增此產品的整合。在此步驟中,您將建立設備的映像。
  • 在 VM 上下載並部署映像。這將成為您的設備。
  • 配置 F5 BIG-IP ASM 以將數據發送至裝置。

要求

設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求

新增整合

若要新增整合,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場

  2. 按一下F5 BIG-IP ASM.

    頁面開啟F5 BIG-IP ASM。您可以在此處新增整合並查看已新增的所有整合清單。

  3. 資料擷取(安全警示)中,按一下新增設定

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱提供您的域和IP詳細資訊

    螢幕上將顯示整合設定步驟

設定設備

整合設定步驟中,您可以設定新設備或使用現有設備。

此處,我們假定您設定新設備。要執行此動作,請按以下步驟建立映像:

  1. 輸入整合名稱和說明。
  2. 按一下建立新設備
  3. 輸入設備的名稱和說明。
  4. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  5. 指定面向網際網路的網路連接埠的 IP 設定。這將為 設備設定管理介面。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

  6. 選取 Syslog IP 版本並輸入 Syslog IP 位址

    稍後設定 F5 BIG-IP ASM 以向設備傳送資料時,您將需要該 syslog IP 位址。

  7. 選取一項通訊協定

    設定 F5 BIG-IP ASM 以向設備傳送資料時,必須使用相同的通訊協定。

  8. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。

    在整合詳細資料中,您可以看到設備的連接埠號。您將在稍後配置 F5 BIG-IP ASM 以將數據發送到該位置時需要這個。

    設備映像可能需要幾分鐘的時間才能準備就緒。

部署設備

限制

如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。

使用映像部署設備,如下所示:

  1. 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參閱部署設備

配置 F5 BIG-IP ASM

現在,您可以將 F5 BIG-IP ASM 設定為使用 syslog 轉寄功能向我們傳送警示。

注意

您可以配置多個 F5 BIG-IP ASM 實例通過同一設備將數據發送至 Sophos。完成整合後,請重複此部分的步驟,針對您其他的 F5 BIG-IP ASM 實例。您無需在 Sophos Central 中重複這些步驟。

要設定警示轉寄功能,請執行以下動作:

建立一個記錄配置文件

您必須建立自訂記錄配置文件,以記錄應用程式安全事件。

  1. 在\主要\標籤上,按一下\安全性\ > \事件記錄\ > \記錄設定檔\

  2. 日誌配置文件中,點擊建立

    開啟新的日誌配置文件畫面。

  3. Profile Name中,輸入一個獨特的名稱以供此設定使用。

  4. 選擇應用程式安全

    螢幕顯示額外的欄位。

  5. 在\標籤下的\,選擇\

  6. 選擇 遠端儲存 以遠端儲存記錄檔。

  7. 在\回應記錄\清單中,選擇\僅限非法請求\

    預設情況下,系統記錄回應的前 10,000 個位元組,每秒最多 10 個回應。您可以使用響應記錄系統變數來更改限制。

    預設情況下,系統記錄所有請求。為了限制系統或伺服器記錄的請求類型,請設置\儲存過濾器\

繼續設定遠端記錄。

設置遠端記錄

您可以將日誌設定檔配置為遠端記錄應用程式安全事件至 syslog 伺服器。

  1. 在\主要\標籤上,按一下\安全性\ > \事件記錄\ > \記錄配置文件\
  2. 日誌配置中,點擊您想要設置遠端記錄的日誌配置文件的名稱。

  3. 選擇遠端儲存

    遠端儲存類型清單中,選擇遠端。訊息以syslog格式呈現。

  4. 記錄格式中,選擇常見事件格式(ArcSight)。記錄訊息採用通用事件格式(CEF)。

  5. 協議中,請選擇您在Sophos Central中設定的協議:UDPTCP

    所選擇的協定適用於此畫面上所有遠端伺服器設定,包括所有伺服器 IP 位址。

  6. 伺服器位址中,指定記錄流量的伺服器。輸入在 Sophos Central 先前指定的 IP 位址埠號碼,然後按一下 新增

  7. 設施中,選擇已記錄流量的類別。對於這個整合,您選擇哪一個並不重要。
  8. 存儲格式設置中,您可以指定日誌顯示信息的方式,伺服器記錄哪些流量項目,以及記錄它們的順序。
  9. 查詢字串大小上限中,您可以指定伺服器記錄請求的範圍。選擇 任何
  10. 最大輸入長度中,您可以指定伺服器記錄的輸入長度。接受預設長度(對支援 UDP 的遠端伺服器為 1K,對支援 TCP 的遠端伺服器為 2K)。
  11. 選擇偵測到的異常報告。系統將在惡意入侵或網頁爬蟲攻擊開始和結束時,向遠端系統日誌發送報告。
  12. 存儲過濾器區域,根據需要進行任何更改。
  13. 按一下完成

當您為遠端儲存建立記錄檔配置檔案時,系統會將相關安全政策的資料儲存在一個或多個遠端系統上。

將一個記錄配置文件與安全策略關聯

日誌設定檔記錄對虛擬伺服器的請求。預設情況下,當您建立安全原則時,系統將\記錄非法請求\設定檔與原則使用的虛擬伺服器關聯。

您可以透過編輯虛擬伺服器來更改與安全原則關聯的記錄設定檔,或是指派一個新的記錄設定檔。

  1. 點擊本地流量 > 虛擬伺服器
  2. 按一下安全原則使用的虛擬伺服器名稱。系統顯示虛擬伺服器的一般屬性。

  3. 安全性選單中,選擇政策

    系統顯示虛擬伺服器的政策設定。

  4. 請確保 應用程式安全性政策 設定為 已啟用,並將 政策 設定為您所需的安全性政策。

  5. 對於日誌配置文件,請執行以下操作:

    • 請檢查是否設定為啟用
    • 可用清單中選擇要用於安全原則的設定檔案,然後將其移至已選取清單中。

  6. 按一下 更新

有關由安全性原則控制的流量資訊,將使用在虛擬伺服器中指定的日誌檔案記錄設定檔或設定檔進行記錄。