Comme vous le savez probablement, Splunk est un leader mondial en matière de gestion de données et de solution SIEM (Security Information and Event Management) et complète ainsi parfaitement Sophos Firewall et Sophos Central au niveau du stockage et de l’analyse des logs de pare-feu sur-site (on-premise).
L’intégration de Splunk dans Sophos Firewall comprend deux applications Splunk :
- Sophos Firewall Technology Add-on (TA) pour Splunk, qui analyse les données collectées à partir du Sophos Firewall.
- Sophos App for Splunk, qui fournit une série de tableaux de bord prédéfinis pour visualiser les données de votre Sophos Firewall dans Splunk.
Voici quelques exemples de ce que vous pourrez voir dans Splunk avec l’application :
Top 10 des applications de pare-feu
Menaces bloquées dans le temps et classées par source (ATP, AV, Sandboxing, WAF)
Il existe des widgets de tableau de bord pour :
- Les menaces.
- L’utilisation et l’activité du pare-feu.
- Le trafic Web, la bande passante et l’activité.
- Les applications et les clients les plus importants.
- Les types de trafic et le chiffrement TLS associé.
- Les utilisateurs et les connexions.
- Le VPN.
Cette nouvelle intégration Splunk dans Sophos Firewall complète parfaitement le reporting au niveau du pare-feu dans Sophos Central Cloud, ce qui est utile pour le reporting sur-site (on-premise) ou pour intégrer Sophos Firewall dans votre solution Splunk SIEM.
Comment bien démarrer ?
Vous aurez besoin de SFOS v18 MR1 build 396 ou d’une version ultérieure s’exécutant sur votre Sophos Firewall pour bénéficier de ce programme d’accès anticipé (EAP).
Tous les détails sur les prérequis, les liens de téléchargement et les instructions en termes de configuration sont disponibles via la communauté Sophos.
Obtenez plus d’informations et partagez vos commentaires sur les forums de la communauté.
Billet inspiré de Splunk integration for Sophos Firewall, sur le Blog Sophos.