Vai al contenuto
Avanet

Attivare e gestire Sophos Firewall Central Reporting

Con Central Firewall Reporting, Sophos Firewall invia dati di log selezionati a Sophos Central. Questo consente di valutare, memorizzare e condividere report centralmente quando necessario.

L’articolo spiega come attivare il Central Reporting, quali punti verificare in anticipo e come controllare se i dati di log arrivano a Sophos Central.

Quale articolo di logging è adatto?

Central Firewall Reporting è un componente dell’architettura di log. A seconda dell’obiettivo, un altro punto di partenza potrebbe essere più adatto:

Questa distinzione è importante: Central Reporting è utile per report, ricerca e cronologia in Sophos Central. Per il troubleshooting in tempo reale sul firewall, pacchetti di log per il supporto, correlazione SIEM o analisi dei flussi, sono necessari altri strumenti.

Quando Central Firewall Reporting è utile

Central Firewall Reporting è particolarmente utile quando si gestiscono più firewall o quando i report devono essere valutati regolarmente.

Esempi tipici:

  • Panoramica centrale su più firewall.
  • Report regolari per gestione o operazioni.
  • Analisi di eventi web, applicazioni, IPS, VPN o di rete.
  • Conservazione più lunga e ricerca più semplice nei dati di log.
  • Supporto nel troubleshooting e nelle revisioni di sicurezza.

Per un’analisi in tempo reale direttamente sul firewall, spesso sono sufficienti i log locali. Per valutazioni a lungo termine, Central Reporting è decisamente più comodo. Se invece i log devono essere inviati a un proprio SIEM o server di log esterno, è più adatto Inviare Syslog di Sophos Firewall a SIEM.

Prerequisiti

Prima dell’attivazione, è necessario verificare:

  • Il firewall è registrato in Sophos Central.
  • Il firewall ha accesso a Internet per i servizi Sophos necessari.
  • DNS e orario funzionano correttamente.
  • La licenza utilizzata supporta la funzione di reporting desiderata.
  • Il firewall è visibile in Sophos Central.

Se il firewall non è ancora registrato in Sophos Central, è necessario farlo prima. Senza registrazione, Central Firewall Reporting non può essere attivato.

Attivare Central Reporting

Central Firewall Reporting viene attivato in due fasi: prima sul firewall e poi in Sophos Central.

  1. Accedere al WebAdmin di Sophos Firewall.
  2. Aprire System > Sophos Central.
  3. Sotto Sophos Central registration, verificare se il firewall è registrato.
  4. Se il firewall non è registrato, selezionare Register e accedere con l’account Sophos Central appropriato.
  5. Attivare Sophos Central services o selezionare Configure se il servizio è già attivo.
  6. Attivare Send reports and logs to Sophos Central.
  7. Facoltativamente, attivare Manage from Sophos Central se si desidera gestire centralmente anche il firewall.
  8. Facoltativamente, attivare Send configuration backups to Sophos Central se si desidera memorizzare centralmente i backup di configurazione.
  9. Selezionare Apply.
Sophos Firewall - Attivare i servizi di Sophos Central con Send reports and logs to Sophos Central
Sophos Firewall - System > Sophos Central > Sophos Central services

Dopo il salvataggio, il servizio deve essere confermato in Sophos Central:

  1. Accedere a Sophos Central.
  2. Aprire My Products > Firewall Management > Firewalls.
  3. Cercare il firewall con lo stato o il simbolo Approval pending.
  4. Selezionare Accept services.

Dopo l’attivazione, il firewall crea automaticamente una voce Syslog per Central reporting e inizia a inviare dati di log a Sophos Central. Trasmissione ed elaborazione non avvengono necessariamente subito. Il firewall invia dati a Sophos Central almeno ogni cinque minuti. Successivamente l’elaborazione in Central può richiedere altri minuti; Sophos indica tipicamente da cinque a trenta minuti per l’elaborazione nel database. Per il primo controllo non conviene quindi continuare a modificare la configurazione subito dopo il salvataggio.

Quali dati vengono trasmessi

Quali tipi di log vengono inviati a Sophos Central vengono definiti direttamente sul firewall.

Il percorso del menu è Configure > System services > Log settings.

Sotto Log settings c’è una colonna dedicata Central reporting. Qui si può decidere per ogni tipo di log se questo viene inviato localmente, a Central o a entrambi i destinatari.

Aree tipiche sono:

  • Regole del firewall.
  • Web Protection.
  • Application Control.
  • IPS.
  • Active Threat Response.
  • Zero-Day Protection.
  • SD-WAN.
  • VPN.
  • Wireless, se gli eventi access point e SSID devono essere visibili centralmente.
  • Eventi di sistema.
Sophos Firewall - Impostazioni di log con colonna Central reporting
Sophos Firewall - System services > Log settings > Central reporting

Non tutte le ambienti devono inviare tutti i dati a Sophos Central. In ambienti produttivi, è opportuno verificare quali tipi di log sono realmente necessari e se vengono rispettate le normative interne sulla protezione dei dati.

⚠️ Più tipi di log vengono inviati a Sophos Central, più velocemente verrà consumato lo spazio disponibile. Per ambienti produttivi, è importante decidere consapevolmente quali log sono realmente necessari per operazioni, sicurezza e conformità.

È importante anche distinguere tra log e report: la selezione in Central reporting controlla quali event log vengono inviati a Sophos Central. Questa selezione non sostituisce automaticamente i report locali on-box e non equivale a un pacchetto completo di log per il supporto.

Quanto tempo Sophos conserva i log

La durata della conservazione dipende dalla licenza e dallo spazio disponibile. È importante: vale sempre il limite che viene raggiunto per primo. Se lo spazio è pieno, i dati più vecchi vengono rimossi secondo il principio FIFO.

  • Central Firewall Reporting senza licenza di reporting aggiuntiva: Fino a 7 giorni Disponibile con abbonamento firewall attivo. Lo spazio è limitato e dipende dal modello.
  • Xstream Protection Bundle: Fino a 30 giorni Corrisponde a un’autorizzazione limitata di Central Firewall Reporting Advanced.
  • Sophos Central Firewall Reporting Advanced: Fino a 365 giorni. Ogni licenza CFR Advanced aumenta lo storage disponibile di 100 GB. I firewall con volume di log molto elevato possono richiedere più di una unità da 100 GB per raggiungere realisticamente la retention massima.

La licenza Sophos Central Firewall Reporting Advanced può essere acquistata presso Avanet: Sophos Central Firewall Reporting Advanced. Il datasheet descrive Central Firewall Reporting anche come reporting basato su cloud con ricerca, report e fino a 365 giorni di conservazione: Datasheet Sophos Central Firewall Reporting.

In tutte le varianti, storage e retention massima agiscono insieme. Non appena viene raggiunto un limite, i dati più vecchi vengono rimossi secondo il principio first-in-first-out. Una licenza con una retention massima lunga quindi non garantisce automaticamente che ogni firewall conservi davvero i dati così a lungo.

Pianificare conservazione e responsabilità

Central Reporting non dovrebbe essere attivato solo tecnicamente. Prima deve essere chiaro quali tipi di log sono davvero necessari, per quanto tempo i dati devono essere disponibili e chi controlla regolarmente i report.

Per l’operatività, questi punti dovrebbero essere documentati:

  • Scopo della raccolta dati: troubleshooting, revisione della sicurezza, audit, report di gestione o supporto.
  • Tipi di log necessari, ad esempio firewall, web, IPS, VPN o Active Threat Response.
  • Durata di conservazione desiderata e licenza appropriata.
  • Proprietario per modelli di report, report pianificati ed escalation.
  • Normative sulla protezione dei dati o conformità per dati utente, URL e di rete.
  • Decisione se è necessario anche Syslog o SIEM.

Se i log sono rilevanti per Incident Response o audit, non si dovrebbe aspettare un guasto per verificare se i dati sono completi. Un breve report di controllo mensile è spesso sufficiente per vedere se i tipi di log previsti arrivano e se il consumo di spazio è in linea con la conservazione pianificata.

Verificare l’arrivo dei log

Dopo l’attivazione, i dati non appaiono sempre immediatamente in Sophos Central. È consigliabile prevedere alcuni minuti di ritardo.

Successivamente, verificare questi punti:

  1. Accedere a Sophos Central.
  2. Aprire My Products > Firewall Management > Report Hub.
  3. Selezionare il firewall interessato.
  4. Verificare la visibilità degli eventi attuali.
  5. Creare un report semplice per test.
Sophos Central - Report Hub di firewall reporting
Sophos Central - Firewall Management > Report Hub

Se non sono visibili dati, si dovrebbe prima verificare connessione, licenza e impostazioni di log.

Validare il reporting in modo mirato

Un report con dati non prova ancora che Central Reporting sia completamente utilizzabile per l’operatività. Dopo l’attivazione, dovrebbe essere eseguito almeno un piccolo piano di validazione.

  • Arrivano i log delle regole del firewall?: Attivare una regola di test loggata e cercare nel Report Hub per Source, Destination e Rule ID. L’evento è visibile con il firewall corretto, l’ora e l’azione.
  • Vengono trasmessi eventi web o applicativi?: Eseguire un test noto di Web o Application Control. Categoria, utente o IP client appaiono nel report appropriato.
  • Sono visibili eventi VPN?: Stabilire e interrompere una connessione di test. Login, connessione e disconnessione sono visibili nel periodo scelto.
  • La base temporale è corretta?: Confrontare l’ora del firewall, il periodo di Sophos Central e il fuso orario locale. Gli eventi non appaiono in un periodo inaspettato.
  • La conservazione è sufficiente?: Verificare dati più vecchi nel Report Hub e osservare il consumo di spazio. La conservazione è in linea con la licenza e lo scopo interno.
  • Controllare i log settings: In System services > Log settings, verificare che le regole firewall generino Log firewall traffic e che le regole SSL/TLS inspection abbiano Log connections attivo quando necessario.

Con più firewall, si dovrebbe inoltre verificare se nome host, numero di serie, modello o posizione sono chiaramente riconoscibili. Altrimenti, un futuro caso di sicurezza o supporto diventa inutilmente complicato, poiché gli eventi sono presenti ma non possono essere rapidamente associati al dispositivo corretto.

Utilizzare i report

Sophos Central può visualizzare, filtrare e, a seconda della licenza, anche pianificare report.

Report utili per l’operatività:

  • Applicazioni più bloccate.
  • Categorie web con traffico elevato.
  • Connessioni VPN.
  • Eventi IPS.
  • Eventi NDR e Active Threat Response.
  • Regole principali per numero di hit.
  • Valutazioni basate su utente o host.

Se le categorie web non devono solo essere valutate, ma segnalate attivamente in caso di accessi critici, è adatto Utilizzare categorie web di Sophos Firewall e avvisi istantanei.

Per controlli operativi ricorrenti, è possibile pianificare report o salvarli come modelli. Se si utilizzano NDR Essentials o NDR Active Threat Intelligence, il flusso di lavoro da Gestire Sophos Firewall NDR e Active Threat Response dovrebbe essere collegato con Central Reporting o valutazione SIEM.

Risoluzione dei problemi

Nessun dato in Sophos Central

Verificare se il firewall è online e può comunicare con Sophos Central. Inoltre, dovrebbero essere verificati DNS, gateway predefinito e orario. Successivamente, controllare sul firewall sotto System > Sophos Central se Send reports and logs to Sophos Central è ancora attivo e se in Sophos Central è in sospeso una conferma del servizio.

Se il firewall è gestito tramite Sophos Central ma non fornisce report, l’accesso di gestione e il reporting devono comunque essere verificati separatamente. Un login Central funzionante sul firewall non prova automaticamente che tutti i tipi di log selezionati arrivino anche nel Report Hub.

Mancano solo alcuni tipi di log

Verificare le impostazioni di log locali del firewall. Se un’area non viene loggata localmente, non può essere trasferita in modo significativo a Central Reporting.

Spesso non manca la connessione Central, ma l’evento effettivo:

  • Le regole del firewall non hanno attivato Log firewall traffic.
  • Sotto System services > Log settings, la colonna Central reporting per il tipo di log non è attiva.
  • Il report scelto considera un altro periodo o un altro firewall.
  • I report utente o web rimangono vuoti perché il firewall non vede l’identità dell’utente.
  • Mancano eventi NDR o Active Threat Response perché la funzione è attiva globalmente, ma non completamente integrata in regole o logging.

I report mostrano dati vecchi

Central Reporting non lavora in tempo reale. Verificare il periodo selezionato nel report e attendere alcuni minuti prima di modificare di nuovo la configurazione. Per i nuovi eventi un ritardo è normale, perché il firewall invia i dati periodicamente e Sophos Central li elabora dopo.

Se i dati sembrano costantemente ritardati o incompleti, non si dovrebbe ripetere più volte la stessa impostazione. È meglio un test definito con orario, Source, Destination, tipo di log e firewall previsto. Successivamente, è possibile confrontare in modo pulito Log Viewer, Central Report Hub e, se necessario, Syslog o log locali.

Troppi o troppo pochi dati

Adattare la selezione dei log e i filtri in Sophos Central. Per audit o casi di supporto, può essere utile raccogliere più dati. Per l’operatività normale, spesso sono sufficienti report mirati.

Troppi dati non sono solo un problema di spazio. Anche l’analisi diventa più difficile se nessuno controlla regolarmente i report. Troppi pochi dati sono invece critici se in un incidente mancano esattamente eventi di firewall, VPN, web o IPS. Pertanto, la selezione dei log non dovrebbe essere impostata una volta per tutte, ma dovrebbe adattarsi ai casi d’uso pianificati.

Verificare Central Reporting dopo modifiche

Dopo determinate modifiche, Central Reporting dovrebbe essere controllato consapevolmente:

  • Aggiornamento firmware o rollback.
  • Failover HA o sostituzione di un dispositivo.
  • Modifica alla registrazione o ai servizi di Sophos Central.
  • Nuove regole del firewall, policy web, policy IPS o profili VPN.
  • Cambio di licenza, bundle o autorizzazione Reporting-Advanced.
  • Reimage, ripristino o migrazione a un nuovo modello.

Per modifiche centrali tramite Sophos Central, è adatta anche la Sophos Central Firewall Management Task Queue. Lì si può vedere se Central ha applicato con successo una modifica al firewall. Per modifiche di configurazione locali, si dovrebbero includere Audit Trail Logs e, in caso di problemi con le regole, il Log Viewer con Policy Test e Packet Capture.

Salvare i log per casi di supporto

Central Reporting non sostituisce ogni analisi locale dei log. Se il supporto Sophos o Avanet richiede una raccolta completa di log locali, è possibile esportare i log del firewall.

Per casi di supporto, è quindi importante distinguere chiaramente:

  • Mostrare cronologia, report, utenti interessati o eventi principali: Central Reporting
  • Verificare singola connessione in tempo reale: Log Viewer, Policy Test e Packet Capture
  • Verificare errori di servizio, log di debug o stato del modulo: file di log locali e log di servizio
  • Fornire pacchetto completo per supporto Sophos o Avanet: esportazione log locale o rapporto di troubleshooting consolidato

Nella pratica, Central Reporting è spesso il miglior punto di partenza, poiché consente di restringere rapidamente la finestra temporale, il firewall, l’utente, l’IP di origine e la regola interessata. Tuttavia, per l’analisi delle cause effettive, sono spesso necessari anche log locali, specialmente per problemi di VPN, WAF, IPS, HA, sistema o servizi. Il flusso di lavoro è descritto in Salvare i log di Sophos Firewall per supporto e analisi. Per l’assegnazione di moduli e servizi, aiuta anche Risoluzione dei problemi di Sophos Firewall: Servizi e Log.

Raccomandazioni operative

Central Firewall Reporting è particolarmente utile quando si gestiscono più firewall o si necessitano report regolarmente. Per il troubleshooting, è utile utilizzare insieme log locali e Central Reporting: Central per panoramica e cronologia, log locali per analisi dettagliata direttamente sul firewall.

In ambienti produttivi, Central Reporting dovrebbe essere trattato come un processo operativo:

  • Selezionare i tipi di log in base allo scopo, non attivare semplicemente tutto.
  • Assegnare un proprietario del report che controlli realmente i report pianificati e le tendenze anomale.
  • Controllare regolarmente il consumo di spazio e i dati più vecchi disponibili.
  • Dopo aggiornamenti firmware, failover HA, ripristino o cambio di licenza, eseguire un breve test di reporting.
  • Definire almeno un test di incidente: ritrovare IP di origine, ID regola, utente VPN o categoria web nel Report Hub.
  • Per le operazioni di sicurezza, decidere quali eventi rimangono in Central e quali vengono inviati anche a un SIEM.

Per ambienti piccoli, spesso è sufficiente un controllo mensile su report di firewall, web, VPN e IPS. In caso di più sedi, operazioni MSP o requisiti di conformità, dovrebbe esistere un appuntamento fisso di revisione. Quindi si verifica se i tipi di log previsti arrivano ancora, se spazio e licenza corrispondono alla conservazione desiderata e se i report rispondono rapidamente alle domande giuste in caso di emergenza.

Se i log sono rilevanti per operazioni di sicurezza, Incident Response o conformità, dovrebbe essere deciso anche se è necessario Syslog a un SIEM. Central Reporting è molto utile per le valutazioni di Sophos Central, ma non sostituisce automaticamente un archivio di log multi-vendor o un processo SOC.

FAQ

Central Firewall Reporting sostituisce il Log Viewer?

No. Central Reporting è pensato per report centrali, ricerca e cronologia in Sophos Central. Il Log Viewer rimane importante per il troubleshooting in tempo reale, ID regola, decisioni di policy e analisi rapida del flusso di pacchetti.

Perché non sono visibili dati di Central Reporting?

Spesso non manca la registrazione Central, ma l’attivazione del reporting, la conferma del servizio in Sophos Central, la selezione dei log appropriata sotto System services > Log settings o il logging nella regola del firewall interessata.

Quanto tempo Sophos Central conserva i log del firewall?

La conservazione dipende dalla licenza e dallo spazio disponibile. A seconda dell’autorizzazione, sono possibili brevi retrospettive, fino a 30 giorni o con Central Firewall Reporting Advanced fino a 365 giorni. Se lo spazio è pieno prima, i dati più vecchi vengono rimossi.

Serve ancora Syslog nonostante Central Reporting?

Per semplici report di Sophos Central non è strettamente necessario. Se i log sono necessari a lungo termine in un proprio SIEM, SOC, archivio di audit o processo di rilevamento multi-vendor, Syslog è ancora utile.

Quali tipi di log dovrebbero essere inviati a Central Reporting?

Dipende dallo scopo. Per operazioni e sicurezza, sono spesso rilevanti firewall, web, Application Control, IPS, VPN, eventi di sistema e Active Threat Response. È fondamentale che i tipi di log selezionati vengano poi effettivamente controllati e utilizzati.