Integrationen in AWS hinzufügen
Sie können Produkte von Drittanbietern in Sophos Central integrieren, indem Sie eine Sophos-Integrations-Appliance auf AWS bereitstellen.
Die Appliance hostet einen Protokollsammler, der Syslog verwendet, um Warnmeldungen vom Drittanbieterprodukt zu empfangen und an Sophos weiterzuleiten.
Auf dieser Seite erfahren Sie, wie Sie eine Appliance auf AWS konfigurieren und bereitstellen. Die Schritte gelten für alle Drittanbieterprodukte, die Sie integrieren möchten, vorausgesetzt, das Produkt wird auf AWS gehostet.
Hinweis
Sie können Sophos Network Detection and Response (NDR) auch mit AWS integrieren. Siehe NDR auf AWS.
Voraussetzungen
Um eine Appliance in AWS bereitzustellen, müssen Sie die folgenden Anforderungen erfüllen:
- Ein AWS-Konto. Ihr Drittanbieterprodukt muss auf AWS gehostet werden und Sie müssen die Appliance auf demselben AWS-Konto bereitstellen.
- Ein Sophos Central-Konto mit einer XDR- oder MDR-Lizenz.
- Ein Sophos Integrations-Lizenzpaket für den Produkttyp, den Sie integrieren möchten, zum Beispiel Firewall.
- EC2-Instanzen. Die unterstützten Typen sind c5n.2xlarge, c6i.4xlarge, c7i.16xlarge (Nitro-Virtualisierung).
- VPCs, Subnetze und Verfügbarkeitszonen. Sie können die bereits vorhandenen verwenden.
- Eine Sicherheitsgruppe für SSH.
- Mindestens eine zugewiesene Elastic-IP-Adresse für die Verwaltungsschnittstelle.
Hinweis
Wenn Sie nicht sicher sind, welches Lizenzpaket Sie benötigen, gehen Sie zu Bedrohungsanalyse-Center > Integrationen > Marketplace. Die Kachel für Ihr Produkt zeigt den erforderlichen Lizenztyp an.
Sie müssen auch Folgendes tun:
- Ihren privaten
ssh
-Schlüssel für das AWS-Konto erstellen und speichern.
Wichtige Schritte
Die Hauptschritte:
- Eine CloudFormation-Vorlage für Ihre Appliance erstellen.
- Die CloudFormation-Vorlage herunterladen.
- „Sophos Integration Appliance“ in AWS abonnieren.
- Erstellen Sie einen Stapel.
- AWS-Sicherheitsgruppen bearbeiten.
- Ein Kennwort für Appliance Manager festlegen.
CloudFormation-Vorlage erstellen
Erstellen Sie wie folgt eine CloudFormation-Vorlage (CFT) für Ihre Appliance:
- Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
- Suchen Sie das Produkt eines Drittanbieters, das Sie integrieren möchten, und klicken Sie darauf.
-
Klicken Sie auf der Seite „Integrationen“ unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.
-
Geben Sie in den Integrations-Einrichtungsschritten einen Namen und eine Beschreibung für die Integration ein.
- Klicken Sie auf Neue Appliance erstellen.
- Geben Sie einen Namen und eine Beschreibung für die Appliance ein.
-
Wählen Sie unter Virtualisierungsplattform AWS aus.
-
Wählen Sie unter Protokoll ein Protokoll aus.
-
Klicken Sie auf Speichern. Eine CloudFormation (CF)-JSON-Datei (
ndr_<product-name>_cf_latest.json
) wird erstellt.
CloudFormation-Vorlage herunterladen
- Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Konfiguriert.
- Wählen Sie den Tab Integrations-Appliances aus und suchen Sie Ihre Appliance.
-
Klicken Sie in der rechten Spalte auf die drei Punkte und wählen Sie Bild herunterladen aus.
Jetzt können Sie AWS abonnieren und die Sophos Appliance bereitstellen.
Sophos Integrations-Appliance abonnieren
Sie müssen die Sophos Integrations-Appliance auf dem AWS Marketplace abonnieren. Dadurch wird sichergestellt, dass AWS Ihre CloudFormation-Vorlage erkennt und die Ressourcen in Ihrem AWS-Konto installieren kann.
Verfahren Sie zum Abonnieren wie folgt:
- Gehen Sie zur Seite AWS Marketplace und suchen Sie „Sophos Integrations-Appliance“.
-
Klicken Sie auf der Seite Product Overview auf Continue to Subscribe.
-
Akzeptieren Sie auf der Seite Subscribe to this software die Geschäftsbedingungen und klicken Sie auf Continue to Configuration.
-
Prüfen Sie auf der Seite Configure this software die Version und die Region und klicken Sie auf Continue to Launch.
-
Klicken Sie auf der Seite Launch this software auf Usage instructions, um zu erfahren, wie Sie auf Sophos Appliance Manager zugreifen.
-
Klicken Sie auf Launch.
AWS öffnet die Seite Create Stack.
Stapel erstellen
Jetzt verwenden Sie die heruntergeladene CloudFormation-Vorlage, um die Sophos Appliance für Ihr AWS-Konto bereitzustellen. Dazu erstellen Sie einen Stapel wie folgt:
-
Gehen Sie auf der Seite Create stack wie folgt vor:
- Lassen Sie Template is ready ausgewählt.
- Wählen Sie unter Specify template die Option Upload a template file.
-
Klicken Sie auf Datei auswählen und wählen Sie
ndr_<appliance-name>_cf_latest.json
aus.Der
appliance-name
-Name ist der Name, den Sie der Appliance beim Erstellen der CFT in Sophos Central gegeben haben. -
Klicken Sie auf Weiter.
-
Geben Sie auf der Seite Specify stack details einen Namen und die folgenden Details zur Netzwerkkonfiguration ein:
- Eine vorhandene VPC, die Sie für die Appliance verwenden möchten.
- Ein Subnetz für die Verwaltungsschnittstelle. Dies ist ein öffentliches Subnetz.
- Ein Subnetz für die Syslog-Schnittstelle.
- Die Sicherheitsgruppe, die Administratoren SSH-Zugriff auf die Sophos Integrations-Appliance gewährt.
Die Details der abgeschlossenen Netzwerkkonfiguration sehen wie folgt aus:
-
Geben Sie unter EC2 Instance Configuration den SSH-Schlüssel ein, der für den Zugriff auf die EC2-Instanz der Sophos Integrations-Appliance erforderlich ist und klicken Sie auf Next.
Hinweis
Sie haben dieses SSH-Schlüsselpaar bereits erstellt und gespeichert.
-
Übernehmen Sie auf der Seite Configure Stack options die AWS-Standardeinstellungen oder nehmen Sie gegebenenfalls Änderungen vor. Klicken Sie auf Senden.
Die CloudFormation-Vorlage wählt automatisch die richtigen Regionen und AMIs basierend auf der AWS-Region des Kontos aus, das Sie zum Hochladen der Vorlage verwendet haben.
Warten Sie, bis die Sophos Integrations-Appliance erstellt wurde. Dies kann fünf bis sechs Minuten dauern.
Sicherheitsgruppen bearbeiten
Sie müssen die AWS-Sicherheitsgruppen bearbeiten. Dadurch können Sie die folgenden Änderungen vornehmen:
- Zulassen, dass Syslog-Datenverkehr an die Appliance weitergeleitet wird.
- Gewähren Sie Sophos Appliance Manager Zugriff.
Um eine Sicherheitsgruppen zu bearbeiten, gehen Sie wie folgt vor:
-
Gehen Sie in AWS zu den Sicherheitsdetails der Sophos Integrations-Appliance.
Geben Sie dazu den Gerätenamen in die Suchleiste der AWS-Konsole ein. Wenn Sie sie gefunden haben, wählen Sie den Tab EC2 und klicken Sie auf die Instanz Sophos Integrations-Appliance.
-
Blättern Sie auf der Seite Instanz-Übersicht nach unten zu den Tabs und wählen Sie den Tab Sicherheit aus.
-
Suchen Sie die
InternalSyslogSG
-Gruppe, und geben Sie die Quelle ein, aus der Sie Datenverkehr für die Protokollsammlung zulassen möchten. -
Suchen Sie die Sicherheitsgruppe
InternalMgmtSG
. Die CloudFormation-Vorlage hat diese für Sie erstellt. Fügen Sie Ihre Administratoren der Gruppe hinzu und gewähren Sie ihnen Zugriff auf Port 8443 unter Eingehende Regel.
Bevor Sie Sophos Appliance Manager verwenden können, müssen Sie ein Kennwort festlegen.
Kennwort für Sophos Appliance Manager festlegen
Der Benutzername für Sophos Appliance Manager lautet zadmin
. Um das Kennwort festzulegen, gehen Sie folgendermaßen vor:
- Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Konfiguriert.
-
Klicken Sie auf den Tab Integrations-Appliances.
-
Suchen Sie Ihre Appliance. Klicken Sie in der rechten Spalte auf die drei Punkte und wählen Sie Appliance Manager öffnen aus.
-
Klicken Sie im Bestätigungsdialog auf Zurücksetzen.
Alle anderen Administratoren, die Appliance Manager verwenden möchten, müssen ebenfalls ein Kennwort festlegen.
Sie haben die Bereitstellung der Appliance abgeschlossen.
Ihre Integration ist jetzt bereit. Sie können den Status und die Aktivität der Appliance im Sophos Appliance Manager überwachen.