Sophos UTM

Sophos UTM是一款来自Sophos的一体化设备,可以提供多种日志类型。

在你开始之前

与其他防火墙和VPN解析器一样,您可以将来自Sophos UTM的所有日志定向到收集器上的单个事件源端口,并且所有日志都是从同一流解析的。

使用单个端口通常很容易配置,但如果所有防火墙只有一个事件源,则在故障排除期间在InsightIDR中更难管理。

  • 相同端口:如果将所有防火墙配置为发送日志数据到相同的端口,例如UDP端口10000,那么在InsightIDR中所有防火墙都有一个事件源。
  • 不同的端口:如果您将每个防火墙配置为发送到不同的、唯一的端口,则每个防火墙将有单独的事件源。
  • 例如:Firewall1发送UDP端口10001,Firewall2发送UDP端口10002

确定了不同数据流的发送方式后,需要配置Sophos UTM发送syslog。阅读如何做到这一点:https://community.sophos.com/kb/en-us/123292

如何在InsightIDR中配置该事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击防火墙图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 配置您的默认域和任何高级事件源设置
  8. 选择一个收集的方法并指定端口和协议。
    • 可以选择加密事件源,如果选择TCP通过下载Rapid7证书
  9. 点击保存