Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 38 subscribers
  • Views 994 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[TUTO] Configurer Cloud Discovery avec Sophos XG

Régis SCHERMESSER

Bonjour à tous,

Après plusieurs jours de recherche, je n'ai trouvé aucune solution sur aucun forum.
Je vais donc essayer de répondre à vos interrogations pour les futures personnes souhaitant configurer Sophos XG avec Microsoft Cloud Discovery. 

Étape 1 :

Tout d'abord, vous devez configurer une source de données dans Microsoft 365 Defender.
Sélectionnez le type de réception comme étant « syslog – UDP ».



Étape 2 :

Ensuite, configurez un collecteur de journaux (toujours dans Microsoft 365 Defender).


L'adresse IP doit correspondre au serveur où Docker sera hébergé. Dans mon cas, notre collecteur est hébergé sur un NAS avec Docker Container Manager installé.

La source de données correspond à celle que vous avez configurée à l'étape 1.

À la fin de cette étape, une ligne de commande est générée. Gardez-la précieusement, elle ressemble à ceci :


Attention, si la valeur de « SYSLOG=false » est présente, vous devez la modifier dans votre ligne de commande pour la passer à « SYSLOG=true ».

Étape 3 :

Il faut installer Docker Container Manager sur votre NAS si ce n’est pas déjà fait (ou Docker Desktop sur un système Windows).

Connectez-vous en SSH sur votre NAS et copiez/collez la ligne de commande de l'étape 2. Cela créera le conteneur Microsoft.


Étape 4 :

Connectez-vous à Sophos XG et accédez à « System Services », puis à « Log Settings », et ajoutez un nouveau serveur Syslog.


Attribuez un nom à votre nouveau serveur Syslog.

Dans l'adresse IP, ajoutez l'IP de votre serveur (ou NAS) où Docker est hébergé (comme configuré à l'étape 2).

Le port 514 est le port par défaut pour les journaux système.

Pour l'option de facilité, gardez DEAMON par défaut.

Dans le niveau de sévérité, choisissez « information ».

Ensuite, dans le format, sélectionnez « Standard syslog protocol ».



Sélectionnez ensuite « all log type » pour votre nouveau serveur Syslog. N'oubliez pas d'appliquer vos changements.


Après 5 minutes, sur votre système hébergeant vos conteneurs, vous devriez voir dans les journaux les données récupérées par votre collecteur Docker de votre pare-feu.



Dans Microsoft Defender, sous « Journal de gouvernance », vous devriez voir apparaître vos analyses de journaux qui sont récupérées et analysées toutes les 5 minutes.



Voilà, vous avez correctement configuré Cloud Discovery avec le pare-feu XG.

J'espère que cela pourra aider certains d'entre vous.



This thread was automatically locked due to age.
Unfiltered HTML