Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Integrationen in AWS hinzufügen

Sie können Produkte von Drittanbietern in Sophos Central integrieren, indem Sie eine Sophos-Integrations-Appliance auf AWS bereitstellen.

Die Appliance hostet einen Protokollsammler, der Syslog verwendet, um Warnmeldungen vom Drittanbieterprodukt zu empfangen und an Sophos weiterzuleiten.

Auf dieser Seite erfahren Sie, wie Sie eine Appliance auf AWS konfigurieren und bereitstellen. Die Schritte gelten für alle Drittanbieterprodukte, die Sie integrieren möchten, vorausgesetzt, das Produkt wird auf AWS gehostet.

Hinweis

Sie können Sophos Network Detection and Response (NDR) auch mit AWS integrieren. Siehe NDR auf AWS.

Voraussetzungen

Um eine Appliance in AWS bereitzustellen, müssen Sie die folgenden Anforderungen erfüllen:

  • Ein AWS-Konto. Ihr Drittanbieterprodukt muss auf AWS gehostet werden und Sie müssen die Appliance auf demselben AWS-Konto bereitstellen.
  • Ein Sophos Central-Konto mit einer XDR- oder MDR-Lizenz.
  • Ein Sophos Integrations-Lizenzpaket für den Produkttyp, den Sie integrieren möchten, zum Beispiel Firewall.
  • EC2-Instanzen. Die unterstützten Typen sind c5n.2xlarge, c6i.4xlarge, c7i.16xlarge (Nitro-Virtualisierung).
  • VPCs, Subnetze und Verfügbarkeitszonen. Sie können die bereits vorhandenen verwenden.
  • Eine Sicherheitsgruppe für SSH.
  • Mindestens eine zugewiesene Elastic-IP-Adresse für die Verwaltungsschnittstelle.

Hinweis

Wenn Sie nicht sicher sind, welches Lizenzpaket Sie benötigen, gehen Sie zu Bedrohungsanalyse-Center > Integrationen > Marketplace. Die Kachel für Ihr Produkt zeigt den erforderlichen Lizenztyp an.

Sie müssen auch Folgendes tun:

  • Ihren privaten ssh-Schlüssel für das AWS-Konto erstellen und speichern.

Wichtige Schritte

Die Hauptschritte:

  • Eine CloudFormation-Vorlage für Ihre Appliance erstellen.
  • Die CloudFormation-Vorlage herunterladen.
  • „Sophos Integration Appliance“ in AWS abonnieren.
  • Erstellen Sie einen Stapel.
  • AWS-Sicherheitsgruppen bearbeiten.
  • Ein Kennwort für Appliance Manager festlegen.

CloudFormation-Vorlage erstellen

Erstellen Sie wie folgt eine CloudFormation-Vorlage (CFT) für Ihre Appliance:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
  2. Suchen Sie das Produkt eines Drittanbieters, das Sie integrieren möchten, und klicken Sie darauf.
  3. Klicken Sie auf der Seite „Integrationen“ unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Integrationsseite für Ihr Produkt.

  4. Geben Sie in den Integrations-Einrichtungsschritten einen Namen und eine Beschreibung für die Integration ein.

  5. Klicken Sie auf Neue Appliance erstellen.
  6. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.
  7. Wählen Sie unter Virtualisierungsplattform AWS aus.

    Appliance-Einstellungen, bei denen AWS als Plattform ausgewählt ist.

  8. Wählen Sie unter Protokoll ein Protokoll aus.

  9. Klicken Sie auf Speichern. Eine CloudFormation (CF)-JSON-Datei (ndr_<product-name>_cf_latest.json) wird erstellt.

CloudFormation-Vorlage herunterladen

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Konfiguriert.
  2. Wählen Sie den Tab Integrations-Appliances aus und suchen Sie Ihre Appliance.
  3. Klicken Sie in der rechten Spalte auf die drei Punkte und wählen Sie Bild herunterladen aus.

Jetzt können Sie AWS abonnieren und die Sophos Appliance bereitstellen.

Sophos Integrations-Appliance abonnieren

Sie müssen die Sophos Integrations-Appliance auf dem AWS Marketplace abonnieren. Dadurch wird sichergestellt, dass AWS Ihre CloudFormation-Vorlage erkennt und die Ressourcen in Ihrem AWS-Konto installieren kann.

Verfahren Sie zum Abonnieren wie folgt:

  1. Gehen Sie zur Seite AWS Marketplace und suchen Sie „Sophos Integrations-Appliance“.
  2. Klicken Sie auf der Seite Product Overview auf Continue to Subscribe.

    Produktübersichtsseite zu AWS.

  3. Akzeptieren Sie auf der Seite Subscribe to this software die Geschäftsbedingungen und klicken Sie auf Continue to Configuration.

    AWS-Seite „Subscribe to this software“.

  4. Prüfen Sie auf der Seite Configure this software die Version und die Region und klicken Sie auf Continue to Launch.

    AWS-Seite „Configure this software“.

  5. Klicken Sie auf der Seite Launch this software auf Usage instructions, um zu erfahren, wie Sie auf Sophos Appliance Manager zugreifen.

    AWS-Seite „Launch this software“.

  6. Klicken Sie auf Launch.

    AWS öffnet die Seite Create Stack.

Stapel erstellen

Jetzt verwenden Sie die heruntergeladene CloudFormation-Vorlage, um die Sophos Appliance für Ihr AWS-Konto bereitzustellen. Dazu erstellen Sie einen Stapel wie folgt:

  1. Gehen Sie auf der Seite Create stack wie folgt vor:

    1. Lassen Sie Template is ready ausgewählt.
    2. Wählen Sie unter Specify template die Option Upload a template file.
    3. Klicken Sie auf Datei auswählen und wählen Sie ndr_<appliance-name>_cf_latest.json aus.

      Der appliance-name-Name ist der Name, den Sie der Appliance beim Erstellen der CFT in Sophos Central gegeben haben.

    4. Klicken Sie auf Weiter.

    Seite „Create stack“, auf der die Auswahl der Vorlagendatei angezeigt wird.

  2. Geben Sie auf der Seite Specify stack details einen Namen und die folgenden Details zur Netzwerkkonfiguration ein:

    1. Eine vorhandene VPC, die Sie für die Appliance verwenden möchten.
    2. Ein Subnetz für die Verwaltungsschnittstelle. Dies ist ein öffentliches Subnetz.
    3. Ein Subnetz für die Syslog-Schnittstelle.
    4. Die Sicherheitsgruppe, die Administratoren SSH-Zugriff auf die Sophos Integrations-Appliance gewährt.

    Die Details der abgeschlossenen Netzwerkkonfiguration sehen wie folgt aus:

    Seite zum Angeben der Stapeldetails.

  3. Geben Sie unter EC2 Instance Configuration den SSH-Schlüssel ein, der für den Zugriff auf die EC2-Instanz der Sophos Integrations-Appliance erforderlich ist und klicken Sie auf Next.

    Hinweis

    Sie haben dieses SSH-Schlüsselpaar bereits erstellt und gespeichert.

    Feld für die EC2-Instanzkonfiguration.

  4. Übernehmen Sie auf der Seite Configure Stack options die AWS-Standardeinstellungen oder nehmen Sie gegebenenfalls Änderungen vor. Klicken Sie auf Senden.

Die CloudFormation-Vorlage wählt automatisch die richtigen Regionen und AMIs basierend auf der AWS-Region des Kontos aus, das Sie zum Hochladen der Vorlage verwendet haben.

Warten Sie, bis die Sophos Integrations-Appliance erstellt wurde. Dies kann fünf bis sechs Minuten dauern.

Sicherheitsgruppen bearbeiten

Sie müssen die AWS-Sicherheitsgruppen bearbeiten. Dadurch können Sie die folgenden Änderungen vornehmen:

  • Zulassen, dass Syslog-Datenverkehr an die Appliance weitergeleitet wird.
  • Gewähren Sie Sophos Appliance Manager Zugriff.

Um eine Sicherheitsgruppen zu bearbeiten, gehen Sie wie folgt vor:

  1. Gehen Sie in AWS zu den Sicherheitsdetails der Sophos Integrations-Appliance.

    Geben Sie dazu den Gerätenamen in die Suchleiste der AWS-Konsole ein. Wenn Sie sie gefunden haben, wählen Sie den Tab EC2 und klicken Sie auf die Instanz Sophos Integrations-Appliance.

  2. Blättern Sie auf der Seite Instanz-Übersicht nach unten zu den Tabs und wählen Sie den Tab Sicherheit aus.

  3. Suchen Sie die InternalSyslogSG-Gruppe, und geben Sie die Quelle ein, aus der Sie Datenverkehr für die Protokollsammlung zulassen möchten.

  4. Suchen Sie die Sicherheitsgruppe InternalMgmtSG. Die CloudFormation-Vorlage hat diese für Sie erstellt. Fügen Sie Ihre Administratoren der Gruppe hinzu und gewähren Sie ihnen Zugriff auf Port 8443 unter Eingehende Regel.

    Eingehende Regeln für Sicherheitsgruppen.

Bevor Sie Sophos Appliance Manager verwenden können, müssen Sie ein Kennwort festlegen.

Kennwort für Sophos Appliance Manager festlegen

Der Benutzername für Sophos Appliance Manager lautet zadmin. Um das Kennwort festzulegen, gehen Sie folgendermaßen vor:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Konfiguriert.
  2. Klicken Sie auf den Tab Integrations-Appliances.

  3. Suchen Sie Ihre Appliance. Klicken Sie in der rechten Spalte auf die drei Punkte und wählen Sie Appliance Manager öffnen aus.

    Menü „Appliance-Aktionen“.

  4. Klicken Sie im Bestätigungsdialog auf Zurücksetzen.

    Bestätigungsfenster.

Alle anderen Administratoren, die Appliance Manager verwenden möchten, müssen ebenfalls ein Kennwort festlegen.

Sie haben die Bereitstellung der Appliance abgeschlossen.

Ihre Integration ist jetzt bereit. Sie können den Status und die Aktivität der Appliance im Sophos Appliance Manager überwachen.