SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

Sophos Threat Advisorの紹介

Sophos
2023.03.31

皆さんこんにちは!SB C&Sで Sophos製品のプリセールスを担当している長谷川です。

今回は、Sophos MDRサービスのライセンスの一つである、Sophos Threat Advisor について、紹介いたします。

Sophos MDRサービス

Sophos MDR サービスには、3つのレベルがございます。

サービスレベルの一番低い Sophos Threat Advisor ではありますが、他社製品との連携が可能です。

Sophos_Threat_Advisor (0).png

連携には、2つの方法がございます。

連携方法については、連携先の製品によって異なりますが、コレクタ連携もしくは、API連携のいずれかになります。

Sophos_Threat_Advisor (2).png

検証環境

Sophos Threat Advisorでは、様々な製品と連携ができます。
https://www.sophos.com/ja-jp/marketplace?field_marketplace_sophos_product_target_id%5B3876%5D=3876

今回は、FortiGateで発生したインシデントを、Sophos Threat Advisorで収集する構成で実施します。

Sophos_Threat_Advisor (3).png

FortiGateと連携する場合は、あらかじめコレクタを用意の上、FortiGateからコレクタへSyslogを出力という構成です。

コレクタは、Syslogの受付ポートと、Sophos Centralへ接続するポートを分ける構成になります。

Sophos_Threat_Advisor (4).png

Sophos Central操作

Sophos_Threat_Advisor (5).png

Sophos Centralから、脅威解析センター >> 統合 と進みます。

Sophos_Threat_Advisor (6).png

Sophos_Threat_Advisor (7).png

FortiGate用のコレクタをダウンロードします。

Sophos_Threat_Advisor (8).png

初回、内部IPや内部ドメインをCentral側に認識させるために、ドメインとIPアドレス 設定に進みます。

Sophos_Threat_Advisor (9).png

Sophos_Threat_Advisor (10).png

コレクタには、あらかじめ環境に合わせたパラメータを追加します。

この後OVAをダウンロードしますが、ここで設定したパラメータが組み込まれた状態となります。

Sophos_Threat_Advisor (11).png

Sophos_Threat_Advisor (12).png

Sophos_Threat_Advisor (13).png

OVAファイルは、1ギガバイトを超えるサイズとなります。

Sophos_Threat_Advisor (14).png

VMware ESXiへデプロイした後、コンソール画面で設定情報を確認できます。

Sophos_Threat_Advisor (15).png

Sophos_Threat_Advisor (16).png

ネットワーク状況が整うと、コレクタは自動的にSophos Centralへ接続します。

Sophos_Threat_Advisor (17).png

Syslogのポート番号は、10514を利用します。

Sophos_Threat_Advisor (18).png

FortiGate Syslog設定

FortiGate側では、Syslogの設定が必要となります。

一部CLIでしか設定ができないパラメータがあります。

Sophos_Threat_Advisor (19).png

Sophos Threat Advisor の動作検証

Sophos_Threat_Advisor (20).png

今回は、IPSを利用しますがイベントログや、 ウェブフィルタログ、アンチウィルスログなども活用できます。

Sophos_Threat_Advisor (21).png

ログについては、コレクタが自動的にSophos Centralへ送信します。

リスクレベル1以上のログが表示されるようになります。

Sophos_Threat_Advisor (22).png

Sophos_Threat_Advisor (23).png

いかがでしたでしょうか。

Sophos Threat Advisorは、様々なベンダーの製品と連携ができ、1つの管理画面でインシデントがまとまるため、複数のセキュリティ商材を利用している環境で活用が期待できます。

本サービスは、あくまでお客様主導型のサービスですので、ここからのアクションはお客様にゆだねる形になりますが、ベンダーの違う複数の製品を1つで管理できることにメリットがあります。

自社製品だけを管理するのではなく、このような製品もあるという気付きとなれば幸いです。

以上、ご拝読ありがとうございました。

著者紹介

SB C&S株式会社
技術統括部 第2技術部 1課
長谷川 聡