Aller au contenu
Avanet

Activer et gérer le reporting centralisé de Sophos Firewall

Avec le Central Firewall Reporting, le Sophos Firewall envoie des données de journaux sélectionnées à Sophos Central. Cela permet d’évaluer, de stocker et de partager les rapports de manière centralisée si nécessaire.

Cet article explique comment activer le reporting centralisé, quels points vérifier au préalable et comment contrôler si les données de journaux arrivent dans Sophos Central.

Quel article de journalisation convient ?

Le Central Firewall Reporting est un élément de l’architecture de journalisation. Selon l’objectif, un autre point d’entrée peut être plus approprié :

Cette distinction est importante : le reporting centralisé est idéal pour les rapports, la recherche et l’historique dans Sophos Central. Pour le dépannage en direct sur le firewall, les paquets de journaux de support, la corrélation SIEM ou l’analyse de flux, d’autres outils sont nécessaires.

Quand le Central Firewall Reporting est-il utile ?

Le Central Firewall Reporting est particulièrement utile lorsque plusieurs firewalls sont gérés ou lorsque des rapports doivent être évalués régulièrement.

Exemples typiques :

  • Vue d’ensemble centralisée de plusieurs firewalls.
  • Rapports réguliers pour la gestion ou l’exploitation.
  • Analyse des événements Web, Application, IPS, VPN ou réseau.
  • Rétention prolongée et recherche simplifiée dans les données de journaux.
  • Support pour le dépannage et les revues de sécurité.

Pour une analyse en direct purement sur le firewall, les journaux locaux suffisent souvent. Pour des évaluations à long terme, le reporting centralisé est nettement plus confortable. Si les journaux doivent être envoyés à un SIEM ou serveur de journaux externe, Envoyer des journaux Syslog de Sophos Firewall à un SIEM est plus approprié.

Prérequis

Avant l’activation, il convient de vérifier :

  • Le firewall est enregistré dans Sophos Central.
  • Le firewall a accès à Internet pour les services Sophos nécessaires.
  • Le DNS et l’heure fonctionnent correctement.
  • La licence utilisée prend en charge la fonction de reporting souhaitée.
  • Le firewall est visible dans Sophos Central.

Si le firewall n’est pas encore enregistré dans Sophos Central, cela doit être fait en premier. Sans enregistrement, le Central Firewall Reporting ne peut pas être activé.

Activer le reporting centralisé

Le Central Firewall Reporting est activé à deux endroits : d’abord sur le firewall, puis dans Sophos Central.

  1. Connectez-vous au WebAdmin de Sophos Firewall.
  2. Ouvrez System > Sophos Central.
  3. Sous Sophos Central registration, vérifiez si le firewall est enregistré.
  4. Si le firewall n’est pas encore enregistré, sélectionnez Register et connectez-vous avec le compte Sophos Central approprié.
  5. Activez Sophos Central services ou sélectionnez Configure si le service est déjà actif.
  6. Activez Send reports and logs to Sophos Central.
  7. Facultativement, activez Manage from Sophos Central si le firewall doit également être géré de manière centralisée.
  8. Facultativement, activez Send configuration backups to Sophos Central si les sauvegardes de configuration doivent être stockées de manière centralisée.
  9. Sélectionnez Apply.
Sophos Firewall - Activer les services Sophos Central avec Send reports and logs to Sophos Central
Sophos Firewall - System > Sophos Central > Sophos Central services

Après l’enregistrement, le service doit être confirmé dans Sophos Central :

  1. Connectez-vous à Sophos Central.
  2. Ouvrez My Products > Firewall Management > Firewalls.
  3. Recherchez le firewall avec le statut ou le symbole Approval pending.
  4. Sélectionnez Accept services.

Après l’activation, le firewall crée automatiquement une entrée Syslog pour Central reporting et commence à envoyer des données de journaux à Sophos Central. La transmission et le traitement ne sont pas forcément immédiats. Le firewall envoie des données à Sophos Central au moins toutes les cinq minutes. Ensuite, le traitement dans Central peut encore prendre plusieurs minutes; Sophos indique typiquement cinq à trente minutes pour le traitement en base de données. Pour le premier contrôle, il ne faut donc pas modifier à nouveau la configuration immédiatement après l’enregistrement.

Quelles données sont transférées

Les types de journaux envoyés à Sophos Central sont définis directement sur le firewall.

Le chemin de menu est Configure > System services > Log settings.

Sous Log settings, il y a une colonne dédiée Central reporting. Vous pouvez décider pour chaque type de journal s’il est envoyé localement, à Central ou aux deux destinations.

Les domaines typiques sont :

  • Règles de firewall.
  • Protection Web.
  • Contrôle des applications.
  • IPS.
  • Active Threat Response.
  • Zero-Day Protection.
  • SD-WAN.
  • VPN.
  • Wireless, si les événements access point et SSID doivent être visibles de manière centralisée.
  • Événements système.
Sophos Firewall - Paramètres de journaux avec colonne Central reporting
Sophos Firewall - System services > Log settings > Central reporting

Toutes les environnements n’ont pas besoin d’envoyer toutes les données à Sophos Central. Dans les environnements de production, il convient de vérifier quels types de journaux sont réellement nécessaires et si les directives internes de protection des données sont respectées.

⚠️ Plus vous envoyez de types de journaux à Sophos Central, plus l’espace de stockage disponible sera consommé rapidement. Pour les environnements de production, il est conseillé de décider consciemment quels journaux sont réellement nécessaires pour l’exploitation, la sécurité et la conformité.

La différence entre logs et rapports est également importante: la sélection sous Central reporting détermine quels event logs sont envoyés à Sophos Central. Cette sélection ne remplace pas automatiquement les rapports locaux on-box et n est pas identique à un paquet complet de logs pour le support.

Combien de temps Sophos conserve les journaux

La durée de rétention dépend de la licence et de l’espace de stockage disponible. L’important est : la limite qui est atteinte en premier s’applique toujours. Si l’espace de stockage est plein, les données plus anciennes sont supprimées selon le principe FIFO.

  • Central Firewall Reporting sans licence de reporting supplémentaire: Jusqu’à 7 jours Disponible avec un abonnement firewall actif. L’espace de stockage dépend du modèle et est limité.
  • Xstream Protection Bundle: Jusqu’à 30 jours Cela correspond à une autorisation limitée de Central Firewall Reporting Advanced.
  • Sophos Central Firewall Reporting Advanced: Jusqu’à 365 jours. Chaque licence CFR Advanced augmente le stockage disponible de 100 Go. Les firewalls avec un très fort volume de logs peuvent nécessiter plus d’une unité de 100 Go pour atteindre de manière réaliste la rétention maximale.

La licence Sophos Central Firewall Reporting Advanced peut être obtenue auprès d’Avanet : Sophos Central Firewall Reporting Advanced. La fiche technique décrit également le Central Firewall Reporting comme un reporting basé sur le cloud avec recherche, rapports et jusqu’à 365 jours de rétention : Fiche technique Sophos Central Firewall Reporting.

Dans toutes les variantes, l’espace de stockage et la durée maximale de rétention agissent ensemble. Dès qu’une limite est atteinte, les données les plus anciennes sont supprimées selon le principe first-in-first-out. Une licence avec une longue rétention maximale ne garantit donc pas automatiquement que chaque firewall conserve réellement les données aussi longtemps.

Planifier la rétention et la responsabilité

Le reporting centralisé ne doit pas seulement être activé techniquement. Il doit être clair au préalable quels types de journaux sont réellement nécessaires, combien de temps les données doivent être disponibles et qui vérifie régulièrement les rapports.

Pour l’exploitation, ces points doivent être documentés :

  • Objectif de la collecte de données : dépannage, revue de sécurité, audit, rapport de gestion ou support.
  • Types de journaux nécessaires, par exemple firewall, Web, IPS, VPN ou Active Threat Response.
  • Durée de rétention souhaitée et licence appropriée.
  • Propriétaire des modèles de rapport, rapports planifiés et escalades.
  • Directives de protection des données ou de conformité pour les données utilisateur, URL et réseau.
  • Décision si Syslog ou SIEM est également nécessaire.

Si les journaux sont pertinents pour la réponse aux incidents ou les audits, il ne faut pas attendre une panne pour vérifier si les données sont complètes. Un court rapport de contrôle mensuel suffit souvent pour voir si les types de journaux attendus arrivent et si la consommation de stockage correspond à la rétention planifiée.

Vérifier l’arrivée des journaux

Après l’activation, les données n’apparaissent pas toujours immédiatement dans Sophos Central. Quelques minutes de délai doivent être prévues.

Ensuite, vérifiez ces points :

  1. Connectez-vous à Sophos Central.
  2. Ouvrez My Products > Firewall Management > Report Hub.
  3. Sélectionnez le firewall concerné.
  4. Vérifiez la visibilité des événements actuels.
  5. Créez un rapport simple à titre de test.
Sophos Central - Report Hub de reporting firewall
Sophos Central - Firewall Management > Report Hub

Si aucune donnée n’est visible, vérifiez d’abord la connexion, la licence et les paramètres de journaux.

Valider le reporting de manière ciblée

Un rapport avec des données ne prouve pas encore que le reporting centralisé est entièrement utilisable pour l’exploitation. Après l’activation, au moins un petit plan de validation doit être exécuté.

  • Les journaux de règles de firewall arrivent-ils ?: Déclenchez une règle de test enregistrée et recherchez la source, la destination et l’ID de règle dans le Report Hub. L’événement est visible avec le bon firewall, l’heure et l’action.
  • Les événements Web ou Application sont-ils transférés ?: Effectuez un test connu de contrôle Web ou d’application. La catégorie, l’utilisateur ou l’IP client apparaissent dans le rapport approprié.
  • Les événements VPN sont-ils visibles ?: Établissez et terminez une connexion de test. La connexion, la connexion et la déconnexion sont visibles dans la période choisie.
  • La base de temps est-elle correcte ?: Comparez l’heure du firewall, la période de Sophos Central et le fuseau horaire local. Les événements n’apparaissent pas dans une période inattendue.
  • La rétention est-elle suffisante ?: Vérifiez les données plus anciennes dans le Report Hub et observez la consommation de stockage. La rétention correspond à la licence et à l’objectif interne.
  • Vérifier les log settings: Sous System services > Log settings, vérifier que les règles firewall génèrent Log firewall traffic et que les règles SSL/TLS inspection ont Log connections activé si nécessaire.

Pour plusieurs firewalls, il convient également de vérifier si le nom d’hôte, le numéro de série, le modèle ou l’emplacement sont clairement identifiables. Sinon, un futur cas de sécurité ou de support devient inutilement fastidieux, car les événements sont présents mais ne peuvent pas être rapidement attribués au bon appareil.

Utiliser les rapports

Sophos Central peut afficher, filtrer et, selon la licence, planifier des rapports.

Rapports utiles pour l’exploitation :

  • Applications les plus bloquées.
  • Catégories Web avec un trafic élevé.
  • Connexions VPN.
  • Événements IPS.
  • Événements NDR et Active Threat Response.
  • Règles principales par nombre de hits.
  • Évaluations basées sur l’utilisateur ou l’hôte.

Si les catégories Web doivent être non seulement évaluées mais également signalées activement en cas d’accès critiques, Utiliser les catégories Web et les alertes instantanées de Sophos Firewall est approprié.

Pour les contrôles d’exploitation récurrents, vous pouvez planifier des rapports ou les enregistrer comme modèles. Si NDR Essentials ou NDR Active Threat Intelligence est utilisé, le processus de Gérer NDR et Active Threat Response sur Sophos Firewall doit être lié au reporting centralisé ou à l’évaluation SIEM.

Dépannage

Aucune donnée dans Sophos Central

Vérifiez si le firewall est en ligne et peut communiquer avec Sophos Central. De plus, vérifiez le DNS, la passerelle par défaut et l’heure. Ensuite, vérifiez sur le firewall sous System > Sophos Central si Send reports and logs to Sophos Central est toujours actif et si une confirmation de service est en attente dans Sophos Central.

Si le firewall est géré via Sophos Central mais ne fournit pas de rapports, l’accès à la gestion et le reporting doivent être vérifiés séparément. Un login Central fonctionnel sur le firewall ne prouve pas automatiquement que tous les types de journaux sélectionnés arrivent également dans le Report Hub.

Seuls certains types de journaux manquent

Vérifiez les paramètres de journaux locaux du firewall. Si une zone n’est pas enregistrée localement, elle ne peut pas être transférée de manière significative au reporting centralisé.

Il est particulièrement fréquent que la connexion centrale ne manque pas, mais l’événement réel :

  • Les règles de firewall n’ont pas activé Log firewall traffic.
  • Sous System services > Log settings, la colonne Central reporting pour le type de journal n’est pas active.
  • Le rapport choisi examine une autre période ou un autre firewall.
  • Les rapports utilisateur ou Web restent vides car le firewall ne voit pas l’identité de l’utilisateur.
  • Les événements NDR ou Active Threat Response manquent car la fonction est active globalement mais pas entièrement intégrée dans les règles ou la journalisation.

Les rapports montrent des données anciennes

Le reporting centralisé ne fonctionne pas en temps réel. Vérifier la période choisie dans le rapport et attendre quelques minutes avant de modifier à nouveau la configuration. Pour les nouveaux événements, un délai est normal, car le firewall envoie les données périodiquement et Sophos Central les traite ensuite.

Si les données semblent constamment retardées ou incomplètes, il ne faut pas cocher plusieurs fois les mêmes cases. Il est préférable de faire un test défini avec l’heure, la source, la destination, le type de journal et le firewall attendu. Ensuite, vous pouvez comparer proprement le Log Viewer, le Central Report Hub et, si nécessaire, le Syslog ou les journaux locaux.

Trop ou trop peu de données

Ajustez la sélection des journaux et les filtres dans Sophos Central. Pour les audits ou les cas de support, il peut être judicieux de collecter plus de données. Pour l’exploitation normale, des rapports ciblés suffisent souvent.

Trop de données ne sont pas seulement un problème de stockage. L’évaluation devient également plus difficile si personne ne vérifie régulièrement les rapports. Trop peu de données sont critiques si, lors d’un incident, les événements de firewall, VPN, Web ou IPS manquent. Par conséquent, la sélection des journaux ne doit pas être définie une fois pour toutes, mais doit correspondre aux cas d’utilisation planifiés.

Vérifier le reporting centralisé après des changements

Après certaines modifications, le reporting centralisé doit être contrôlé consciemment :

  • Mise à jour ou restauration du firmware.
  • Basculement HA ou remplacement d’un appareil.
  • Modification de l’enregistrement ou des services Sophos Central.
  • Nouvelles règles de firewall, politiques Web, politiques IPS ou profils VPN.
  • Changement de licence, de bundle ou d’autorisation Reporting Advanced.
  • Réimagerie, restauration ou migration vers un nouveau modèle.

Pour les modifications centrales via Sophos Central, la Sophos Central Firewall Management Task Queue est également appropriée. Vous pouvez y voir si Central a appliqué avec succès une modification au firewall. Pour les modifications de configuration locales, vous devez inclure les journaux de piste d’audit et, en cas de problèmes de règles, le Log Viewer avec Policy Test et Packet Capture.

Sauvegarder les journaux pour les cas de support

Le reporting centralisé ne remplace pas chaque analyse de journaux locale. Si le support Sophos ou Avanet nécessite une collecte complète de journaux locaux, vous pouvez également exporter les journaux du firewall.

Pour les cas de support, il convient donc de séparer clairement :

  • Montrer l’historique, les rapports, les utilisateurs concernés ou les principaux événements: Reporting centralisé
  • Vérifier une connexion individuelle en direct: Log Viewer, Policy Test et Packet Capture
  • Vérifier les erreurs de service, les journaux de débogage ou l’état du module: fichiers journaux locaux et journaux de service
  • Fournir un paquet complet pour le support Sophos ou Avanet: exportation de journaux locaux ou rapport de dépannage consolidé

En pratique, le reporting centralisé est souvent le meilleur point de départ, car vous pouvez restreindre plus rapidement la fenêtre temporelle, le firewall, l’utilisateur, l’IP source et la règle concernée. Pour l’analyse des causes réelles, des journaux locaux sont souvent nécessaires, en particulier pour les problèmes de VPN, WAF, IPS, HA, système ou service. Le processus est décrit dans Sauvegarder les journaux Sophos Firewall pour le support et l’analyse. Pour l’attribution des modules et des services, Dépannage Sophos Firewall : Services et journaux est également utile.

Recommandation d’exploitation

Le Central Firewall Reporting est particulièrement utile pour plusieurs firewalls ou des rapports régulièrement nécessaires. Pour le dépannage, il est utile d’utiliser conjointement les journaux locaux et le reporting centralisé : Central pour la vue d’ensemble et l’historique, les journaux locaux pour l’analyse détaillée directement sur le firewall.

Dans les environnements de production, le reporting centralisé doit être traité comme un processus d’exploitation :

  • Sélectionner les types de journaux en fonction de l’objectif, ne pas simplement tout activer.
  • Désigner un propriétaire de rapport qui vérifie réellement les rapports planifiés et les tendances inhabituelles.
  • Contrôler régulièrement la consommation de stockage et les données disponibles les plus anciennes.
  • Effectuer un court test de reporting après les mises à jour de firmware, les basculements HA, les restaurations ou les changements de licence.
  • Définir au moins un test d’incident : retrouver l’IP source concernée, l’ID de règle, l’utilisateur VPN ou la catégorie Web dans le Report Hub.
  • Décider pour les opérations de sécurité quels événements restent dans Central et lesquels vont également à un SIEM.

Pour les petits environnements, un coup d’œil mensuel sur les rapports de firewall, Web, VPN et IPS suffit souvent. Pour plusieurs sites, une exploitation MSP ou des exigences de conformité, un rendez-vous de révision fixe doit exister. Ensuite, il est vérifié si les types de journaux attendus arrivent encore, si le stockage et la licence correspondent à la rétention souhaitée et si les rapports répondent rapidement aux bonnes questions en cas de besoin.

Si les journaux sont pertinents pour les opérations de sécurité, la réponse aux incidents ou la conformité, il convient également de décider si Syslog vers un SIEM est nécessaire. Le reporting centralisé est très utile pour les évaluations Sophos Central, mais ne remplace pas automatiquement une archive de journaux multi-fournisseurs ou un processus SOC.

FAQ

Le Central Firewall Reporting remplace-t-il le Log Viewer ?

Non. Le reporting centralisé est destiné aux rapports centraux, à la recherche et à l’historique dans Sophos Central. Le Log Viewer reste important pour le dépannage en direct, l’ID de règle, les décisions de politique et l’analyse rapide des flux de paquets.

Pourquoi aucune donnée de reporting centralisé n'est-elle visible ?

Souvent, ce n’est pas l’enregistrement central qui manque, mais l’activation du reporting, la confirmation du service dans Sophos Central, le choix approprié des journaux sous System services > Log settings ou la journalisation dans la règle de firewall concernée.

Combien de temps Sophos Central conserve-t-il les journaux de firewall ?

La rétention dépend de la licence et de l’espace de stockage disponible. Selon l’autorisation, des rétrospectives courtes, jusqu’à 30 jours ou avec Central Firewall Reporting Advanced jusqu’à 365 jours sont possibles. Si l’espace de stockage est plein avant, les données plus anciennes sont supprimées.

A-t-on encore besoin de Syslog malgré le reporting centralisé ?

Pour de simples rapports Sophos Central, ce n’est pas obligatoire. Si les journaux sont nécessaires à long terme dans un SIEM, un SOC, une archive d’audit ou un processus de détection multi-fournisseurs, Syslog reste pertinent.

Quels types de journaux doit-on envoyer au reporting centralisé ?

Cela dépend de l’objectif. Pour l’exploitation et la sécurité, les journaux de firewall, Web, Application Control, IPS, VPN, événements système et Active Threat Response sont souvent pertinents. Il est crucial que les types de journaux sélectionnés soient ensuite vérifiés et utilisés.