Naar de inhoud
Avanet

Sophos Firewall Central Reporting activeren en beheren

Met Central Firewall Reporting stuurt de Sophos Firewall geselecteerde loggegevens naar Sophos Central. Hierdoor kunnen rapporten centraal worden geanalyseerd, opgeslagen en indien nodig met anderen worden gedeeld.

Dit artikel legt uit hoe je Central Reporting activeert, welke punten vooraf moeten worden gecontroleerd en hoe je controleert of loggegevens in Sophos Central aankomen.

Welke logging-artikel past?

Central Firewall Reporting is een onderdeel van de logarchitectuur. Afhankelijk van het doel past een andere instap beter:

Deze scheiding is belangrijk: Central Reporting is goed voor rapporten, zoekopdrachten en geschiedenis in Sophos Central. Voor live-troubleshooting op de firewall, support-logpakketten, SIEM-correlatie of flow-analyse zijn andere tools nodig.

Wanneer Central Firewall Reporting nuttig is

Central Firewall Reporting is vooral nuttig wanneer meerdere firewalls worden beheerd of wanneer rapporten regelmatig moeten worden geanalyseerd.

Typische voorbeelden:

  • Centraal overzicht over meerdere firewalls.
  • Regelmatige rapporten voor management of operatie.
  • Analyse van web-, applicatie-, IPS-, VPN- of netwerkevenementen.
  • Langere retentie en eenvoudigere zoekopdrachten in loggegevens.
  • Ondersteuning bij troubleshooting en security reviews.

Voor een pure live-analyse direct op de firewall zijn vaak de lokale logs voldoende. Voor langdurige analyses is Central Reporting aanzienlijk comfortabeler. Als logs daarentegen naar een eigen SIEM of een externe logserver moeten gaan, past Sophos Firewall Syslog naar SIEM sturen beter.

Vereisten

Voor de activering moet je controleren:

  • De firewall is geregistreerd in Sophos Central.
  • De firewall heeft internettoegang tot de benodigde Sophos-diensten.
  • DNS en tijd werken correct.
  • De gebruikte licentie ondersteunt de gewenste reporting-functie.
  • In Sophos Central is de firewall zichtbaar.

Als de firewall nog niet in Sophos Central is geregistreerd, moet dit eerst worden gedaan. Zonder registratie kan Central Firewall Reporting niet worden geactiveerd.

Central Reporting activeren

Central Firewall Reporting wordt op twee plaatsen geactiveerd: eerst op de firewall en daarna in Sophos Central.

  1. Meld je aan bij de WebAdmin van de Sophos Firewall.
  2. Open System > Sophos Central.
  3. Controleer onder Sophos Central registration of de firewall is geregistreerd.
  4. Als de firewall nog niet is geregistreerd, selecteer Register en meld je aan met het juiste Sophos Central-account.
  5. Activeer Sophos Central services of selecteer Configure als de dienst al actief is.
  6. Activeer Send reports and logs to Sophos Central.
  7. Optioneel: activeer Manage from Sophos Central als de firewall ook centraal beheerd moet worden.
  8. Optioneel: activeer Send configuration backups to Sophos Central als configuratieback-ups centraal moeten worden opgeslagen.
  9. Selecteer Apply.
Sophos Firewall - Sophos Central services met Send reports and logs to Sophos Central activeren
Sophos Firewall - System > Sophos Central > Sophos Central services

Na het opslaan moet de dienst in Sophos Central worden bevestigd:

  1. Meld je aan bij Sophos Central.
  2. Open My Products > Firewall Management > Firewalls.
  3. Zoek de firewall met de status of het symbool Approval pending.
  4. Selecteer Accept services.

Na activering maakt de firewall automatisch een syslog-vermelding voor Central reporting aan en begint loggegevens naar Sophos Central te sturen. Overdracht en verwerking gebeuren niet noodzakelijk direct. De firewall stuurt minstens elke vijf minuten gegevens naar Sophos Central. Daarna kan verwerking in Central nog enkele minuten duren; Sophos noemt voor databaseverwerking doorgaans vijf tot dertig minuten. Voor de eerste controle moet men dus niet meteen na het opslaan verder aan de configuratie draaien.

Welke gegevens worden overgedragen

Welke logtypen naar Sophos Central worden verzonden, definieer je direct op de firewall.

Het menu pad is Configure > System services > Log settings.

Onder Log settings is er een eigen kolom Central reporting. Daar kun je per logtype beslissen of deze log lokaal, naar Central of naar beide doelen wordt verzonden.

Typische gebieden zijn:

  • Firewall regels.
  • Web Protection.
  • Application Control.
  • IPS.
  • Active Threat Response.
  • Zero-Day Protection.
  • SD-WAN.
  • VPN.
  • Wireless, als access-point- en SSID-events centraal zichtbaar moeten zijn.
  • Systeemevents.
Sophos Firewall - Log settings met Central reporting kolom
Sophos Firewall - System services > Log settings > Central reporting

Niet elke omgeving hoeft alle gegevens naar Sophos Central te sturen. In productieve omgevingen moet je controleren welke logtypen echt nodig zijn en of interne privacyrichtlijnen worden nageleefd.

⚠️ Hoe meer logtypen naar Sophos Central worden verzonden, hoe sneller de beschikbare opslagruimte wordt verbruikt. Voor productieve omgevingen moet je bewust beslissen welke logs voor operatie, beveiliging en compliance echt nodig zijn.

Ook het verschil tussen logs en reports is belangrijk: de selectie onder Central reporting bepaalt welke event logs naar Sophos Central worden gestuurd. Deze selectie vervangt lokale on-box reports niet automatisch en is niet hetzelfde als een volledig support-logpakket.

Hoe lang Sophos de logs bewaart

De bewaartermijn hangt af van de licentie en beschikbare opslagruimte. Belangrijk is: de grens die het eerst wordt bereikt, geldt altijd. Als de opslag vol is, worden oudere gegevens volgens het FIFO-principe verwijderd.

  • Central Firewall Reporting zonder extra reporting-licentie: Tot 7 dagen Beschikbaar met actieve firewall-abonnement. De opslag is modelafhankelijk en beperkt.
  • Xstream Protection Bundle: Tot 30 dagen Dit komt overeen met een beperkte Central Firewall Reporting Advanced-recht.
  • Sophos Central Firewall Reporting Advanced: Tot 365 dagen. Elke CFR Advanced-licentie verhoogt de beschikbare opslag met 100 GB. Firewalls met zeer hoog logvolume kunnen meer dan één 100 GB-eenheid nodig hebben om de maximale retentie realistisch te halen.

De licentie Sophos Central Firewall Reporting Advanced kan bij Avanet worden verkregen: Sophos Central Firewall Reporting Advanced. Het datasheet beschrijft Central Firewall Reporting bovendien als cloudgebaseerde rapportage met zoekopdrachten, rapporten en tot 365 dagen bewaring: Sophos Central Firewall Reporting Datasheet.

Bij alle varianten werken opslagruimte en maximale retentie samen. Zodra een grens wordt bereikt, worden oudere gegevens volgens first-in-first-out verwijderd. Een licentie met lange maximale retentie garandeert dus niet automatisch dat elke firewall de gegevens daadwerkelijk zo lang bewaart.

Bewaring en verantwoordelijkheid plannen

Central Reporting moet niet alleen technisch worden geactiveerd. Van tevoren moet duidelijk zijn welke logtypen echt nodig zijn, hoe lang de gegevens beschikbaar moeten zijn en wie de rapporten regelmatig controleert.

Voor de operatie moeten deze punten worden gedocumenteerd:

  • Doel van gegevensverzameling: troubleshooting, security review, audit, managementrapport of support.
  • Benodigde logtypen, bijvoorbeeld firewall, web, IPS, VPN of Active Threat Response.
  • Gewenste bewaartermijn en passende licentie.
  • Eigenaar voor rapporttemplates, geplande rapporten en escalaties.
  • Privacy- of compliance-vereisten voor gebruikers-, URL- en netwerkgegevens.
  • Beslissing of er daarnaast syslog of SIEM nodig is.

Als logs relevant zijn voor incident response of audits, moet je niet pas bij een storing controleren of de gegevens volledig zijn. Een korte maandelijkse controle van het rapport is vaak voldoende om te zien of de verwachte logtypen binnenkomen en of het opslagverbruik bij de geplande bewaring past.

Aankomst van de logs controleren

Na de activering verschijnen de gegevens niet altijd onmiddellijk in Sophos Central. Enkele minuten vertraging moeten worden ingepland.

Daarna deze punten controleren:

  1. Meld je aan bij Sophos Central.
  2. Open My Products > Firewall Management > Report Hub.
  3. Selecteer de betreffende firewall.
  4. Controleer de zichtbaarheid van actuele gebeurtenissen.
  5. Maak testmatig een eenvoudig rapport.
Sophos Central - Firewall reporting Report Hub
Sophos Central - Firewall Management > Report Hub

Als er geen gegevens zichtbaar zijn, moet je eerst verbinding, licentie en loginstellingen controleren.

Reporting gericht valideren

Een rapport met gegevens bewijst nog niet dat Central Reporting volledig bruikbaar is voor de operatie. Na de activering moet ten minste een klein validatieplan worden uitgevoerd.

  • Komen firewall-regel-logs aan?: Een gelogde testregel activeren en in de Report Hub zoeken naar bron, bestemming en Rule ID. Het evenement is zichtbaar met de juiste firewall, tijd en actie.
  • Worden web- of applicatie-evenementen overgedragen?: Een bekende web- of applicatiecontrole-test uitvoeren. Categorie, gebruiker of client-IP verschijnen in het juiste rapport.
  • Zijn VPN-evenementen zichtbaar?: Een testverbinding opbouwen en verbreken. Inloggen, verbinding en verbreking zijn zichtbaar in de gekozen periode.
  • Past de tijdsbasis?: Vergelijk firewall-tijd, Sophos Central-periode en lokale tijdzone. Gebeurtenissen verschijnen niet in een onverwachte periode.
  • Is de bewaring voldoende?: Controleer oudere gegevens in de Report Hub en observeer het opslagverbruik. Bewaring past bij de licentie en het interne doel.
  • Log settings controleren: Onder System services > Log settings controleren of firewallregels Log firewall traffic genereren en of SSL/TLS-inspection-regels indien nodig Log connections actief hebben.

Bij meerdere firewalls moet je ook controleren of hostnaam, serienummer, model of locatie duidelijk herkenbaar zijn. Anders wordt een latere beveiligings- of supportcase onnodig moeizaam, omdat gebeurtenissen wel aanwezig zijn, maar niet snel aan het juiste apparaat kunnen worden toegewezen.

Rapporten gebruiken

Sophos Central kan rapporten weergeven, filteren en afhankelijk van de licentie ook plannen.

Zinvolle rapporten voor de operatie:

  • Top geblokkeerde applicaties.
  • Webcategorieën met hoog verkeer.
  • VPN-verbindingen.
  • IPS-evenementen.
  • NDR- en Active-Threat-Response-gebeurtenissen.
  • Top-regels op basis van aantal treffers.
  • Gebruikers- of hostgerelateerde analyses.

Als webcategorieën niet alleen moeten worden geanalyseerd, maar bij kritieke toegang actief moeten worden gemeld, past Sophos Firewall Web-categorieën en Instant Alerts gebruiken.

Voor terugkerende operationele controles kun je rapporten plannen of als sjabloon opslaan. Als NDR Essentials of NDR Active Threat Intelligence wordt gebruikt, moet de procedure uit Sophos Firewall NDR en Active Threat Response beheren worden gekoppeld aan Central Reporting of SIEM-evaluatie.

Troubleshooting

Geen gegevens in Sophos Central

Controleer of de firewall online is en met Sophos Central kan communiceren. Daarnaast moeten DNS, standaardgateway en tijd worden gecontroleerd. Daarna moet je op de firewall onder System > Sophos Central controleren of Send reports and logs to Sophos Central nog steeds actief is en of er in Sophos Central nog een servicebevestiging in behandeling is.

Als de firewall via Sophos Central wordt beheerd, maar geen rapporten levert, moeten beheerstoegang en reporting toch afzonderlijk worden gecontroleerd. Een werkende Central-login op de firewall bewijst niet automatisch dat alle geselecteerde logtypen ook in de Report Hub aankomen.

Alleen bepaalde logtypen ontbreken

Controleer de lokale loginstellingen van de firewall. Als een gebied lokaal niet wordt gelogd, kan het ook niet zinvol naar Central Reporting worden overgedragen.

Vaak ontbreekt niet de Central-verbinding, maar het eigenlijke evenement:

  • Firewall-regels hebben Log firewall traffic niet geactiveerd.
  • Onder System services > Log settings is de kolom Central reporting voor het logtype niet actief.
  • Het gekozen rapport bekijkt een andere periode of een andere firewall.
  • Gebruikers- of webrapporten blijven leeg omdat de firewall geen gebruikersidentiteit ziet.
  • NDR- of Active-Threat-Response-gebeurtenissen ontbreken omdat de functie weliswaar globaal actief is, maar niet volledig is geïntegreerd in regels of logging.

Rapporten tonen oude gegevens

Central Reporting werkt niet realtime. Controleer de gekozen periode in het report en wacht enkele minuten voordat de configuratie opnieuw wordt aangepast. Voor nieuwe events is vertraging normaal, omdat de firewall gegevens periodiek verzendt en Sophos Central ze daarna verwerkt.

Als gegevens permanent vertraagd of onvolledig lijken, moet je niet meerdere keren dezelfde vinkjes opnieuw zetten. Beter is een gedefinieerde test met tijd, bron, bestemming, logtype en verwachte firewall. Daarna kunnen Log Viewer, Central Report Hub en indien nodig syslog of lokale logs netjes worden vergeleken.

Te veel of te weinig gegevens

Pas de logselectie en de filters in Sophos Central aan. Voor audits of supportgevallen kan het zinvol zijn om meer gegevens te verzamelen. Voor de normale operatie zijn vaak gerichte rapporten voldoende.

Te veel gegevens zijn niet alleen een opslagprobleem. De evaluatie wordt ook moeilijker als niemand de rapporten regelmatig controleert. Te weinig gegevens zijn daarentegen kritisch als bij een incident precies firewall-, VPN-, web- of IPS-gebeurtenissen ontbreken. Daarom moet de logselectie niet eenmalig terloops worden ingesteld, maar passen bij de geplande use cases.

Central Reporting na wijzigingen controleren

Na bepaalde wijzigingen moet Central Reporting bewust worden gecontroleerd:

  • Firmware-update of rollback.
  • HA-failover of vervanging van een apparaat.
  • Wijziging in Sophos Central-registratie of services.
  • Nieuwe firewall-regels, web-policies, IPS-policies of VPN-profielen.
  • Wissel van licentie, bundel of Reporting-Advanced-recht.
  • Reimage, herstel of migratie naar een nieuw model.

Voor centrale wijzigingen via Sophos Central past daarnaast de Sophos Central Firewall Management Task Queue. Daar zie je of Central een wijziging überhaupt succesvol op de firewall heeft toegepast. Voor lokale configuratiewijzigingen moet je Audit Trail Logs en bij regelproblemen de Log Viewer met Policy Test en Packet Capture betrekken.

Logs voor supportgevallen veiligstellen

Central Reporting vervangt niet elke lokale loganalyse. Als Sophos Support of Avanet een volledige lokale logverzameling nodig heeft, kun je daarnaast de firewall-logs exporteren.

Voor supportgevallen moet je daarom duidelijk scheiden:

  • Geschiedenis, rapporten, getroffen gebruikers of topgebeurtenissen tonen: Central Reporting
  • Individuele verbinding live controleren: Log Viewer, Policy Test en Packet Capture
  • Dienstfouten, debug-logs of module-status controleren: lokale logbestanden en service-logs
  • Volledig pakket voor Sophos Support of Avanet beschikbaar stellen: lokale logexport of Consolidated troubleshooting report

In de praktijk is Central Reporting vaak de beste instap, omdat je tijdvenster, firewall, gebruiker, bron-IP en getroffen regel sneller kunt beperken. Voor de eigenlijke oorzaak-analyse zijn echter vaak ook lokale logs nodig, vooral bij VPN-, WAF-, IPS-, HA-, systeem- of dienstproblemen. De procedure staat in Sophos Firewall Logs voor Support en Analyse veiligstellen. Voor module- en diensttoewijzing helpt daarnaast Sophos Firewall Troubleshooting: Services en Logs.

Bedrijfsaanbeveling

Central Firewall Reporting is vooral nuttig bij meerdere firewalls of regelmatig benodigde rapporten. Voor troubleshooting is het nuttig om lokale logs en Central Reporting samen te gebruiken: Central voor overzicht en geschiedenis, lokale logs voor gedetailleerde analyse direct op de firewall.

In productieve omgevingen moet Central Reporting als een bedrijfsproces worden behandeld:

  • Logtypen selecteren op basis van het doel, niet zomaar alles activeren.
  • Een rapport-eigenaar aanwijzen die geplande rapporten en opvallende trends echt controleert.
  • Opslagverbruik en oudste beschikbare gegevens regelmatig controleren.
  • Na firmware-updates, HA-failover, herstel of licentiewissel een korte reporting-test uitvoeren.
  • Minstens één incident-test definiëren: getroffen bron-IP, Rule ID, VPN-gebruiker of webcategorie in de Report Hub terugvinden.
  • Voor Security Operations beslissen welke gebeurtenissen in Central blijven en welke daarnaast naar een SIEM gaan.

Voor kleine omgevingen is vaak een maandelijkse controle van firewall-, web-, VPN- en IPS-rapporten voldoende. Bij meerdere locaties, MSP-operatie of compliance-eisen moet er een vaste review-afspraak zijn. Dan wordt gecontroleerd of verwachte logtypen nog binnenkomen, of opslag en licentie bij de gewenste bewaring passen en of rapporten in geval van nood snel genoeg de juiste vragen beantwoorden.

Als logs relevant zijn voor Security Operations, Incident Response of Compliance, moet daarnaast worden besloten of Syslog naar een SIEM nodig is. Central Reporting is zeer nuttig voor Sophos-Central-evaluaties, maar vervangt niet automatisch een leverancieronafhankelijk logarchief of een SOC-proces.

FAQ

Vervangt Central Firewall Reporting de Log Viewer?

Nee. Central Reporting is bedoeld voor centrale rapporten, zoekopdrachten en geschiedenis in Sophos Central. De Log Viewer blijft belangrijk voor live-troubleshooting, Rule ID, beleidsbeslissingen en snelle pakketstroomanalyse.

Waarom zijn er geen Central-Reporting-gegevens zichtbaar?

Vaak ontbreekt niet de Central-registratie, maar de reporting-activering, de servicebevestiging in Sophos Central, de juiste logselectie onder System services > Log settings of logging in de betreffende firewall-regel.

Hoe lang bewaart Sophos Central Firewall-logs?

De bewaring hangt af van licentie en beschikbare opslag. Afhankelijk van de rechten zijn korte terugblikken, tot 30 dagen of met Central Firewall Reporting Advanced tot 365 dagen mogelijk. Als de opslag eerder vol is, worden oudere gegevens verwijderd.

Heb je ondanks Central Reporting nog Syslog nodig?

Voor eenvoudige Sophos-Central-rapporten niet noodzakelijk. Als logs op de lange termijn in een eigen SIEM, SOC, audit-archief of leverancieronafhankelijk detectieproces nodig zijn, is Syslog nog steeds zinvol.

Welke logtypen moet je naar Central Reporting sturen?

Dat hangt af van het doel. Voor operatie en beveiliging zijn vaak firewall, web, Application Control, IPS, VPN, systeemevenementen en Active Threat Response relevant. Belangrijk is dat de geselecteerde logtypen later ook worden gecontroleerd en gebruikt.