Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=darktrace

Darktrace DETECT

Agente di raccolta log Rete

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Rete”.

Darktrace DETECT può essere integrato con Sophos Central per l’invio di avvisi a Sophos.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance di integrazione”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

In questa pagina viene descritta l’integrazione mediante un’appliance su ESXi o Hyper-V. Se si desidera eseguire l’integrazione utilizzando un’appliance su AWS, vedere Integrazioni su AWS.

Passaggi principali

I passaggi principali in un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo passaggio viene creata un’immagine dell’appliance.
  • Scaricare e distribuire l’immagine sulla propria VM. Questa diventa l’appliance.
  • Configurare Darktrace DETECT in modo che invii dati all’appliance.

Requisiti

Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Darktrace. Assicurarsi di cliccare sulla scheda di Darktrace DETECT, non Darktrace Email.

    Si apre la pagina Darktrace. Qui è possibile aggiungere integrazioni e visualizzare un elenco delle integrazioni che sono già state aggiunte.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere Immissione dei dettagli di dominio e IP.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

Configurazione dell’appliance

In Passaggi di configurazione dell’integrazione, è possibile configurare una nuova appliance o utilizzarne una esistente.

In queste istruzioni si presuppone che si stia configurando una nuova appliance. Per farlo, creare un’immagine procedendo come segue:

  1. Inserire un nome e una descrizione per l’integrazione.
  2. Cliccare su Crea nuova appliance.
  3. Inserire un nome e una descrizione per l’appliance.
  4. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  5. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per l’appliance.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  6. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Darktrace DETECT per l’invio dei dati all’appliance.

  7. In Protocollo, TCP è preselezionato. Non potrà essere modificato.

    Quando si configura Darktrace DETECT per l’invio dei dati all’appliance, è necessario assicurarsi che utilizzi lo stesso protocollo.

  8. Cliccare su Save (Salva).

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di Darktrace DETECT per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine dell’appliance sia pronta.

Distribuzione dell’appliance

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine per distribuire l’appliance, procedendo come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Distribuzione delle appliance.

Configurazione di Darktrace DETECT

È ora possibile configurare Darktrace DETECT utilizzando l’inoltro di syslog, in modo che invii avvisi a Sophos.

Nota

È possibile configurare più istanze di Darktrace DETECT per l’invio di dati a Sophos attraverso la stessa appliance. Una volta completata l’integrazione, ripetere i passaggi descritti in questa sezione per le altre istanze di Darktrace DETECT. Non è necessario ripetere i passaggi in Sophos Central.

Per configurare l’inoltro degli avvisi, procedere come segue:

  1. Accedere a Darktrace DETECT.
  2. Nel Threat Visualizer (Visualizzatore minacce), selezionare Admin (Amministrazione).
  3. Sotto System Configuration (Configurazione del sistema), cliccare su Modules (Moduli).
  4. Nella pagina Modules, cliccare su Workflow Integrations (Integrazioni per il flusso di lavoro).
  5. Trovare Syslog e cliccarci sopra.
  6. Nella pagina Syslog, selezionare la scheda Syslog CEF.

  7. Cliccare su New (Nuovo).

    Verranno visualizzate le impostazioni di configurazione di Syslog. Si consiglia di eseguire tutte le operazioni di configurazione prima di attivare Send Alerts (Invia avvisi).

  8. In Server, l’*IP* address (Indirizzo IP) della propria appliance.

  9. In Server Port (Porta server), immettere la Port (Porta) di ascolto della propria appliance.

    Occorrerà inserire le stesse impostazioni per indirizzo IP e porta che sono state specificate in Sophos Central al momento dell’aggiunta dell’integrazione.

  10. Attivare Show Advanced Options (Mostra opzioni avanzate).

    Nella prima sezione, attivare Send Alerts Using TCP (Invia avvisi utilizzando TCP).

  11. Attivare Send AI Analyst Alerts (Invia avvisi di analisi basata su IA).

  12. Impostare il Minimum AI Analyst Incident Event Score (Punteggio minimo per gli eventi nell’analisi basata su IA) e Minimum AI Analyst Incident Score (Punteggio minimo per gli incidenti nell’analisi basata su IA) su 0. In questo modo Sophos riceverà tutti gli avvisi.
  13. Cliccare su Add (Aggiungi).
  14. Tornare all’inizio della pagina e cliccare su *Verify alert sending* (Verifica invio degli avvisi). Con questa operazione, verrà inviato un avviso di test all’appliance.
  15. Attivare Send Alerts e salvare le modifiche.

Gli avvisi di Darktrace DETECT verranno visualizzati nel Sophos Data Lake dopo la convalida.