Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Über MDR- und XDR-Integrationen

Auf dieser Seite werden die verschiedenen Integrationstypen und Setup-Methoden erläutert. Wenn Sie nur anfangen möchten, lesen Sie Erste Schritte.

Suchen Sie nach Hilfe zur Registerkarte „Integrations-Appliances“? Siehe Integrations-Appliances.

Mit Sophos MDR- und XDR-Integrationen können Sie andere Sicherheitsprodukte in Sophos Central integrieren. Dabei kann es sich um andere Produkte von Sophos oder Produkte von Drittanbietern handeln.

Sie können zwei Arten der Integration einrichten:

  • Datenerfassung: Das Produkt sendet Erkennungsdaten in den Sophos Data Lake. Sie können diese Daten dann in unserem Bedrohungsanalyse-Center abfragen.
  • Reaktionsmaßnahme: Sie können erkannte Probleme von Sophos Central über ein Produkt eines Drittanbieters beheben.

Integrationen für Reaktionsmaßnahmen sind noch nicht für alle Produkte verfügbar.

Einrichtungsmethoden der Integration

Es gibt verschiedene Integrationstypen mit unterschiedlichen Einrichtungsmethoden:

  • REST API
  • Protokollsammler
  • Sophos-Produkt (zum Beispiel Sophos NDR oder Sophos Firewall)

Für Protokollsammler-Integrationen und Sophos NDR ist eine virtuelle Maschine (VM) erforderlich. Für REST-API-Integrationen nicht.

Welche Einrichtungsmethoden Sie verwenden können, hängt von dem Produkt ab, das Sie integrieren möchten.

REST-API-Integrationen

Um ein Produkt zu integrieren, das eine API verwendet, benötigen Sie Authentifizierungsinformationen über Ihr Konto für dieses Produkt.

Die Informationen, die Sie benötigen, unterscheiden sich von Produkt zu Produkt. Unser Integrationsassistent fordert Sie zur Eingabe der Informationen auf.

API-Integrationen erfordern Anmeldeinformationen für den Zugriff auf das Drittanbieterprodukt. Sie können dies während der Integrationseinrichtung erstellen oder unseren Anmeldeinformationen-Manager verwenden. Siehe Zugangsdaten zur Integration.

Integrationen von Protokollsammlern

Protokollsammler-Integrationen verwenden den Protokollsammler von Sophos, um Daten aus dem Drittanbieterprodukt zu sammeln und dem Sophos Data Lake hinzuzufügen.

Sie installieren den Protokollsammler auf einer virtuellen Maschine. Unser Assistent unterstützt Sie bei der Konfiguration einer Image-Datei, die Sie herunterladen und auf einer VM bereitstellen. Die Image-Datei enthält die Protokollsammleranwendung.

Eine Sophos-Appliance ist eine virtuelle Maschine, die einen Protokollsammler hostet.

Anschließend konfigurieren Sie das Drittanbieterprodukt so, dass Daten an die Appliance gesendet werden. Dabei wird die Syslog-Exportfunktion des Drittanbieterprodukts verwendet. Sie geben die Verbindungsdetails Ihrer Appliance anstelle eines Syslog-Servers an.

Weitere Informationen finden Sie in der Hilfe zur Integration, die Sie hinzufügen möchten.

Für Voraussetzungen an Sophos Appliances siehe Appliance-Anforderungen.

Für Hilfe zum Einsammeln von Sophos-Appliance-Protokollen für die Fehlersuche siehe Appliance-Protokolle.

Mehrere Integrationen

Sie können Daten von mehreren Integrationen an dieselbe Appliance senden:

  • Wenn Sie Sophos NDR bereits eingerichtet haben, fügen Sie Integrationen von Drittanbietern hinzu und wählen Sie dieselbe Appliance in Sophos Central aus.
  • Wenn Sie bereits eine Integration von Drittanbietern eingerichtet haben, fügen Sie andere Integrationen von Drittanbietern hinzu und wählen Sie dieselbe Appliance in Sophos Central.

Sie können auch mehrere Integrationen desselben Produkts einrichten, um eine einzelnen Appliance zu verwenden. Verfahren Sie wie folgt:

  1. Richten Sie eine Integration für Sophos Central ein.
  2. Konfigurieren Sie Ihr Drittanbieterprodukt für die Verwendung Ihrer Appliance.
  3. Wiederholen Sie die Konfiguration des Drittanbieterprodukts für die zusätzlichen Instanzen des Produkts.

    Leiten Sie diese Instanzen an dieselbe Appliance weiter.

    Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.