Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=veeam

Veeam Backup & Replication

Agente di raccolta log

Per utilizzare questa funzionalità, occorre la licenza Backup and Recovery Integration Pack.

Bisogna utilizzare Veeam Backup & Replication versione 12.1 o successiva.

Veeam Backup & Replication può essere integrato con Sophos Central per l’invio degli eventi a Sophos, a scopo di analisi.

Questa integrazione è una distribuzione disponibile solo on-premise.

L’integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più istanze di Veeam sulla stessa appliance.

Per farlo, occorre configurare l’integrazione di Veeam in Sophos Central e successivamente configurare un’istanza di Veeam per l’invio dei log. A questo punto, sarà necessario configurare altre istanze per l’invio dei log alla stessa appliance Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. Questa azione configura un’immagine da utilizzare su una VM.
  • Scaricare e distribuire l’immagine sulla propria VM, che diventa l’appliance.
  • Configurare Veeam in modo che invii dati all’appliance.
  • Ottenere ulteriori dati da Veeam. Questo passaggio utilizza la funzionalità “Four-Eyes” ed è facoltativo.

Requisiti

Le appliance Sophos hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.

Aggiunta di un’integrazione

Per integrare Veeam con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Veeam Backup & Replication.

    Si aprirà la pagina Veeam Backup & Replication. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare una VM come appliance, in modo che riceva dati da Veeam. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Aggiungere un nome e una descrizione per la nuova integrazione.

  2. Inserire un nome e una descrizione per l’appliance.

    Se è già stata configurata un’integrazione per l’appliance Sophos, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  4. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per la VM.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  5. Seleziona la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Veeam per l’invio dei dati all’appliance.

  6. Selezionare un Protocollo.

    Utilizzare lo stesso protocollo quando si configura Veeam per l’invio dei dati all’appliance.

  7. Clicca su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di Veeam per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine VM sia pronta.

Distribuzione della VM

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine VM per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Implementazione di una VM per le integrazioni.

Configurazione di Veeam

A questo punto, è possibile configurare Veeam Backup & Replication per l’invio dei dati a Sophos.

Per impostare l’inoltro degli eventi tramite syslog, procedere come segue:

  1. Aprire la console di Veeam Backup & Replication.

  2. Dal menu principale, selezionare Options (Opzioni).

    Menu principale della console di Veeam.

  3. Nella pagina Options, selezionare la scheda Event Forwarding (Inoltro eventi).

    Pagina Options in Veeam.

  4. Nella sezione Syslog servers (server syslog), cliccare su Add (Aggiungi).

    Opzioni Event Forwarding in Veeam.

  5. In Add Syslog server (Aggiungi server syslog), procedere come segue:

    1. In Server, inserire l’IP e la porta del server (il valore predefinito è 514).
    2. In Transport (trasporto), inserire il protocollo di trasporto della rete: UDP, TCP o TLS.
    3. Cliccare su OK.

    Occorre inserire lo stesso indirizzo IP e lo stesso protocollo che sono stati specificati in Sophos Central al momento dell’aggiunta dell’integrazione.

    Finestra di dialogo Add Syslog Server.

  6. Nella scheda Event Forwarding, cliccare su OK.

Recupero di ulteriori dati da Veeam

Per ottenere dati su ulteriori eventi Veeam, si consiglia di attivare l’autorizzazione Four-Eyes di Veeam.

L’autorizzazione Four-Eyes richiede un’autorizzazione aggiuntiva da parte di altri amministratori per le azioni che potrebbero influire sui dati di natura sensibile, ad esempio l’eliminazione dei backup. Se si attiva questa funzionalità, i dettagli di questi eventi di autorizzazione verranno inviati a Sophos a scopo di analisi.

Prima di attivare l’autorizzazione Four-Eyes, assicurarsi che vengano soddisfatti i seguenti requisiti:

  • Occorrono almeno due utenti con il ruolo Veeam Backup Administrator. Il ruolo può essere assegnato agli utenti o a un gruppo di cui fanno parte.
  • È necessario configurare le notifiche e-mail per gli amministratori. Veeam potrà quindi inviare agli amministratori richieste di approvazione per le azioni. Vedere Configurazione delle impostazioni globali per le notifiche e-mail.

Per attivare l’autorizzazione Four-Eyes, procedere come segue:

  1. Aprire la console di Veeam Backup & Replication.
  2. Dal menu principale, selezionare Users and Roles (Utenti e ruoli).

  3. Cliccare sulla scheda Authorization (Autorizzazione) e procedere come segue:

    1. Selezionare Require additional approval for sensitive operations (Richiedi ulteriore approvazione per le operazioni di natura sensibile).
    2. Specificare il periodo di tempo durante il quale l’operazione richiesta deve essere approvata o rifiutata (minimo 1 giorno, massimo 30).
    3. Cliccare su OK.

    Scheda Authorization in Veeam, nella pagina Users and Roles.

Maggiori informazioni