皆さんこんにちは!SB C&Sで Sophos製品のプリセールスを担当している長谷川です。
今回は、Sophos MDRサービスのライセンスの一つである、Sophos Threat Advisor について、紹介いたします。
Sophos MDRサービス
Sophos MDR サービスには、3つのレベルがございます。
サービスレベルの一番低い Sophos Threat Advisor ではありますが、他社製品との連携が可能です。
連携には、2つの方法がございます。
連携方法については、連携先の製品によって異なりますが、コレクタ連携もしくは、API連携のいずれかになります。
検証環境
Sophos Threat Advisorでは、様々な製品と連携ができます。
https://www.sophos.com/ja-jp/m
今回は、FortiGateで発生したインシデントを、Sophos Threat Advisorで収集する構成で実施します。
FortiGateと連携する場合は、あらかじめコレクタを用意の上、FortiGateからコレクタへSyslogを出力という構成です。
コレクタは、Syslogの受付ポートと、Sophos Centralへ接続するポートを分ける構成になります。
Sophos Central操作
Sophos Centralから、脅威解析センター >> 統合 と進みます。
FortiGate用のコレクタをダウンロードします。
初回、内部IPや内部ドメインをCentral側に認識させるために、ドメインとIPアドレス 設定に進みます。
コレクタには、あらかじめ環境に合わせたパラメータを追加します。
この後OVAをダウンロードしますが、ここで設定したパラメータが組み込まれた状態となります。
OVAファイルは、1ギガバイトを超えるサイズとなります。
VMware ESXiへデプロイした後、コンソール画面で設定情報を確認できます。
ネットワーク状況が整うと、コレクタは自動的にSophos Centralへ接続します。
Syslogのポート番号は、10514を利用します。
FortiGate Syslog設定
FortiGate側では、Syslogの設定が必要となります。
一部CLIでしか設定ができないパラメータがあります。
Sophos Threat Advisor の動作検証
今回は、IPSを利用しますがイベントログや、 ウェブフィルタログ、アンチウィルスログなども活用できます。
ログについては、コレクタが自動的にSophos Centralへ送信します。
リスクレベル1以上のログが表示されるようになります。
いかがでしたでしょうか。
Sophos Threat Advisorは、様々なベンダーの製品と連携ができ、1つの管理画面でインシデントがまとまるため、複数のセキュリティ商材を利用している環境で活用が期待できます。
本サービスは、あくまでお客様主導型のサービスですので、ここからのアクションはお客様にゆだねる形になりますが、ベンダーの違う複数の製品を1つで管理できることにメリットがあります。
自社製品だけを管理するのではなく、このような製品もあるという気付きとなれば幸いです。
以上、ご拝読ありがとうございました。
著者紹介
SB C&S株式会社
技術統括部 第2技術部 2課
長谷川 聡
