ソフォス XG ファイアウォール

Sophos XG Firewallは、以前はSophos Astaro Security Gatewayとして知られていました。 DSM RPMの名称は、引き続き「Sophos Astaro Security Gateway」となります。 Sophos XG Firewall DSM は syslog を使用してイベントを受信するため IBM QRadar 、すべての関連イベントを記録することができます QRadar

このタスクについて

Sophos XG Firewall の syslog を設定するには:

手順

  1. Sophos XG Firewall コンソールにログインします。
  2. ナビゲーションメニューから、 「システムサービス 」>「 ログ設定」 を選択します。
  3. Syslog サーバー 」セクションで、 「追加」 をクリックします。
  4. 以下のパラメーターを構成します。
    1. 名前 -syslog サーバーの名前を入力します。
    2. IPアドレス/ドメイン :syslogサーバーのIPアドレスまたはドメイン名。 ログはこのサーバーに送信されます
    3. ログの安全な送信 : TLS を使用して、syslog サーバーに送信されるログを暗号化します。
    4. ポート :通常は 514( UDP / TCP 用)または、セキュリティ保護された TLS ポート。
    5. ファシリティ :ファシリティはプロセスやデーモンの名前を表し、ログの発信元をsyslogサーバーに通知します。
      • デーモン :デーモンサービスとして実行されているプロセス
      • カーネル :カーネルプロセス
      • USER : ログイン中のユーザーが開始したプロセス
      • LOCAL0~LOCAL7 :これらを自由に利用できます。 例:ファイアウォール 1 で ` LOCAL1 ` を、ファイアウォール 2 で ` LOCAL2 ` を設定すると、syslog サーバーはログとともにそれぞれのファシリティ値を受け取ります。
    6. セキュリティレベル :報告されるメッセージの最低深刻度レベル。 Sophos Firewall は、選択したレベル以上の重大度を持つすべてのメッセージをログに記録します。 たとえば、 「エラー」 を選択すると、エラーとしてタグ付けされたすべてのメッセージに加え、重大、警告、緊急としてタグ付けされたすべてのメッセージがログに記録されます。 「デバッグ」 を選択すると、すべてのメッセージが表示されます。 「アラート」 とは、直ちに対処が必要であることを意味します。 これは 「Critical」 よりも深刻度が高いです。
    7. 形式 :ログ形式。 サードパーティ製のsyslogサーバーでは、以下のいずれかのログ形式を使用できます:
      • 標準のsyslogプロトコル :中央レポート機能では、この形式のみが使用されます。
      • Central Reporting Format 」は、「標準syslogプロトコル」 に名称が変更されました。
      • デバイス標準フォーマット(レガシー) :モジュールごとにログデータフィールドの数が異なるカスタムフォーマット
  5. 「保存」 をクリックします。
  6. 「ログ設定」 に移動し、syslogサーバーに送信したいログを選択してください。 QRadarこれで、. 内のログソースを設定できるようになりました。
  7. Sophos XG Firewall デバイスからイベントを受信するように設定 QRadar するには、 [ログソースの種類 ] リストから [Sophos XG Firewall ] を選択します。
  8. IBM QRadarSophos XG Firewall のサンプルイベントメッセージを使用して、との統合が正常に行われていることを確認できます。