Informazioni sulle integrazioni MDR e XDR

Le integrazioni Sophos MDR e XDR permettono di integrare altri prodotti di sicurezza con Sophos Central. Può trattarsi di altri prodotti Sophos oppure di prodotti di terze parti.

Si possono configurare due tipi di integrazione:

• Inserimento dei dati: il prodotto invia dati al Sophos Data Lake. I dati possono poi essere utilizzati per eseguirvi una query dal nostro Centro di analisi delle minacce.
• Azione di risposta: è possibile risolvere i problemi rilevati da Sophos Central con un prodotto di terze parti.

Le integrazioni Azione di risposta non sono ancora disponibili per tutti i prodotti.

Metodi di configurazione dell’integrazione

Esistono diversi tipi di integrazione, con vari metodi di configurazione:

• REST API
• Agente di raccolta log
• Prodotto Sophos (ad esempio Sophos NDR o Sophos Firewall)

Le integrazioni di un agente di raccolta log e di Sophos NDR richiedono una virtual machine (VM). Per le integrazioni REST API, invece, non è necessaria.

I metodi di configurazione utilizzabili dipendono dal prodotto che si desidera integrare.

Integrazioni REST API

Per integrare un prodotto che utilizza un’API, è necessario raccogliere, per tale prodotto, delle informazioni di autenticazione sul proprio account.

Le informazioni richieste variano da prodotto a prodotto. Il nostro assistente all’integrazione chiederà le informazioni necessarie.

Le integrazioni API richiedono un set di credenziali per l’accesso al prodotto di terze parti. Può essere creato durante la configurazione dell’integrazione; in alternativa, è possibile utilizzare la nostra Gestione credenziali. Vedere Credenziali di integrazione.

Integrazioni di tipo agente di raccolta log

Le integrazioni di tipo agente di raccolta log utilizzano l’agente di raccolta log Sophos per raccogliere i dati dal prodotto di terze parti e aggiungerli al Sophos Data Lake.

L’agente di raccolta log viene installato su una virtual machine. Il nostro assistente aiuta a configurare un file di immagine che può essere scaricato e distribuito su una VM. Il file di immagine include l’applicazione dell’agente di raccolta log.

Un’appliance Sophos è una virtual machine che ospita un agente di raccolta log.

Successivamente, è possibile configurare il prodotto di terze parti per l’invio dei dati all’appliance. Questo processo sfrutta la funzione di esportazione dei dati di syslog del prodotto di terze parti. Invece dei dettagli di un server syslog, si specificheranno quelli della propria appliance.

Per maggiori informazioni, consultare la guida in linea per l’integrazione che si desidera aggiungere.

Per i requisiti per l’appliance Sophos, vedere Requisiti dell’appliance.

Per informazioni sulla raccolta di log dell’appliance Sophos a scopo di risoluzione dei problemi, vedere Log dell’appliance.

Integrazioni multiple

È possibile inviare dati di più integrazioni alla stessa appliance:

• Se è già stata configurata Sophos NDR, aggiungere integrazioni di terze parti e selezionare la stessa appliance in Sophos Central.
• Se è già stata configurata un’integrazione di terze parti, aggiungere altre integrazioni di terze parti e selezionare la stessa appliance in Sophos Central.

È anche possibile configurare più integrazioni dello stesso prodotto da utilizzare in un’unica appliance. Per farlo, procedere come segue:

1. Configurare un’integrazione in Sophos Central.
2. Configurare il prodotto di terze parti da utilizzare con l’appliance.

3. Ripetere la configurazione del prodotto di terze parti per le altre istanze del prodotto.

   Indirizzare queste istanze sulla stessa appliance.

   Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.