Sophos XG Firewallは、以前はSophos Astaro Security Gatewayとして知られていました。 DSM RPMの名称は、引き続き「Sophos Astaro Security Gateway」となります。 Sophos XG Firewall DSM は syslog を使用してイベントを受信するため IBM
QRadar 、すべての関連イベントを記録することができます QRadar 。
このタスクについて
Sophos XG Firewall の syslog を設定するには:
手順
- Sophos XG Firewall コンソールにログインします。
- ナビゲーションメニューから、 を選択します。
- 「 Syslog サーバー 」セクションで、 「追加」 をクリックします。
- 以下のパラメーターを構成します。
- 名前 -syslog サーバーの名前を入力します。
- IPアドレス/ドメイン :syslogサーバーのIPアドレスまたはドメイン名。 ログはこのサーバーに送信されます
- ログの安全な送信 : TLS を使用して、syslog サーバーに送信されるログを暗号化します。
- ポート :通常は 514( UDP / TCP 用)または、セキュリティ保護された TLS ポート。
- ファシリティ :ファシリティはプロセスやデーモンの名前を表し、ログの発信元をsyslogサーバーに通知します。
- デーモン :デーモンサービスとして実行されているプロセス
- カーネル :カーネルプロセス
- USER : ログイン中のユーザーが開始したプロセス
- LOCAL0~LOCAL7 :これらを自由に利用できます。 例:ファイアウォール 1 で ` LOCAL1 ` を、ファイアウォール 2 で ` LOCAL2 ` を設定すると、syslog サーバーはログとともにそれぞれのファシリティ値を受け取ります。
- セキュリティレベル :報告されるメッセージの最低深刻度レベル。 Sophos Firewall は、選択したレベル以上の重大度を持つすべてのメッセージをログに記録します。 たとえば、 「エラー」 を選択すると、エラーとしてタグ付けされたすべてのメッセージに加え、重大、警告、緊急としてタグ付けされたすべてのメッセージがログに記録されます。 「デバッグ」 を選択すると、すべてのメッセージが表示されます。 「アラート」 とは、直ちに対処が必要であることを意味します。 これは 「Critical」 よりも深刻度が高いです。
- 形式 :ログ形式。 サードパーティ製のsyslogサーバーでは、以下のいずれかのログ形式を使用できます:
- 標準のsyslogプロトコル :中央レポート機能では、この形式のみが使用されます。
- 「Central Reporting Format 」は、「標準syslogプロトコル」 に名称が変更されました。
- デバイス標準フォーマット(レガシー) :モジュールごとにログデータフィールドの数が異なるカスタムフォーマット
- 「保存」 をクリックします。
- 「ログ設定」 に移動し、syslogサーバーに送信したいログを選択してください。 QRadarこれで、. 内のログソースを設定できるようになりました。
- Sophos XG Firewall デバイスからイベントを受信するように設定 QRadar するには、 [ログソースの種類 ] リストから [Sophos XG Firewall ] を選択します。
- IBM
QRadarSophos XG Firewall のサンプルイベントメッセージを使用して、との統合が正常に行われていることを確認できます。