Adicionar integrações na AWS
Você pode integrar produtos de terceiros ao Sophos Central implantando um dispositivo de integração Sophos na AWS.
O dispositivo hospeda um coletor de log que usa o syslog para receber alertas do produto de terceiros e encaminhá-los para a Sophos.
Esta página mostra como configurar e implantar um dispositivo na AWS. As etapas se aplicam a qualquer produto de terceiros que você deseje integrar, desde que o produto esteja hospedado na AWS.
Nota
Você também pode integrar o Sophos Network Detection and Response (NDR) usando a AWS. Consulte NDR na AWS.
Requisitos
Para implantar um dispositivo na AWS, você deve atender aos seguintes requisitos:
- Uma conta da AWS. Seu produto de terceiros deve estar hospedado na AWS e você deve implantar o dispositivo na mesma conta da AWS.
- Uma conta do Sophos Central com uma licença XDR ou MDR.
- Um pacote de licença de integrações da Sophos para o tipo de produto que você deseja integrar, por exemplo, Firewall.
- Instâncias EC2. Os tipos suportados são c5n.2xlarge, c6i.4xlarge, c7i.16xlarge (virtualização Nitro).
- VPCs, sub-redes e zonas de disponibilidade. Você pode usar aquelas que você já tem.
- Um grupo de segurança para SSH.
- Pelo menos um endereço IP elástico alocado para a interface de gerenciamento.
Nota
Se você não tiver certeza de qual pacote de licença precisa, vá para Centro de Análise de Ameaças > Integrações > Marketplace. O bloco do seu produto mostra o tipo de licença necessário.
Você também deve seguir este procedimento:
- Criar e salvar sua chave privada
ssh
para a conta da AWS.
Etapas principais
As etapas principais são as seguintes:
- Crie um modelo do CloudFormation para o seu dispositivo.
- Baixe o modelo do CloudFormation.
- Registre-se no "Sophos Integration Appliance" na AWS.
- Crie um stack.
- Edite os grupos de segurança da AWS.
- Defina uma senha para o Appliance Manager.
Criar um modelo do CloudFormation
Crie um modelo do CloudFormation (CFT) para o seu dispositivo da seguinte forma:
- Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
- Encontre o produto de terceiros que deseja integrar e clique nele.
-
Na página de integrações, em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.
-
Em Etapas de configuração de integração, insira um nome e uma descrição para a integração.
- Clique em Criar um novo dispositivo.
- Insira um nome e uma descrição para o dispositivo.
-
Na Plataforma virtual, selecione AWS.
-
Em Protocolo, selecione um protocolo.
-
Clique em Salvar. Um arquivo JSON de CloudFormation (CF)
ndr_<product-name>_cf_latest.json
é criado.
Baixar o modelo de CloudFormation
- No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.
- Selecione a guia Dispositivos de integração e localize o seu dispositivo.
-
Na coluna mais à direita, clique nos três pontos e selecione Download da imagem.
Agora você está pronto para se inscrever na AWS e implantar o Sophos Appliance.
Inscrever-se no Sophos Integration Appliance
Você deve se inscrever no Sophos Integration Appliance no AWS Marketplace. Isso garante que a AWS reconheça seu modelo do CloudFormation e permita que você instale seus recursos em sua conta da AWS.
Para se inscrever, faça o seguinte:
- Vá para a página AWS Marketplace e localize "Sophos Integration Appliance".
-
Na página Product Overview, clique em Continue to Subscribe.
-
Na página Subscribe to this software, aceite os termos e condições e clique em Continue to Configuration.
-
Na página Configure this software, verifique a versão e a região e clique em Continue to Launch.
-
Na página Launch this software, clique em Usage instructions para ver como acessar o Sophos Appliance Manager.
-
Clique em Launch.
A AWS abre a página Create stack.
Criar um stack
Agora você usa o modelo do CloudFormation baixado para implantar um dispositivo Sophos em sua conta da AWS. Para fazer isso, você cria um stack da seguinte forma:
-
Na página Create stack, faça o seguinte:
- Deixe Template is ready selecionado.
- Em Specify template, selecione Upload a template file.
-
Clique em Choose File e selecione
ndr_<appliance-name>_cf_latest.json
.O nome
appliance-name
é aquele que você deu ao dispositivo quando criou o CFT no Sophos Central. -
Clique em Avançar.
-
Na página Specify stack details, insira um nome e os seguintes detalhes de Network Configuration:
- Uma VPC existente que você deseja usar para o dispositivo.
- Uma sub-rede para a interface de gerenciamento. Esta é uma sub-rede pública.
- Uma sub-rede para a interface de syslog.
- O grupo de segurança que dá aos administradores acesso SSH à instância do Sophos Integration Appliance.
Os detalhes de configuração de rede concluídos são semelhantes a este exemplo:
-
Em EC2 Instance Configuration, digite a chave SSH necessária para acessar a instância do Sophos Integration Appliance EC2 e clique em Next.
Nota
Você criou e salvou esse par de chaves SSH anteriormente.
-
Na página Configure Stack options, aceite as configurações padrão da AWS ou faça alterações se desejar. Clique em Enviar.
O modelo de CloudFormation escolhe automaticamente as regiões e AMIS certas com base na região da AWS da conta que você usou para carregar o modelo.
Aguarde até que o Sophos Integration Appliance seja criado. Isso pode levar cinco ou seis minutos.
Editar os grupos de segurança
Você precisa editar os grupos de segurança da AWS. Isso permite que você faça essas alterações:
- Permita que o tráfego de syslog vá para o dispositivo.
- Dê acesso ao Sophos Appliance Manager.
Para editar grupos de segurança, faça o seguinte:
-
Na AWS, acesse os detalhes de segurança do dispositivo do Sophos Integration.
Para fazer isso, digite o nome do dispositivo na barra de pesquisa do console da AWS. Quando o encontrar, selecione a guia EC2 e clique na instância Sophos Integration Appliance.
-
Na página Instance Summary, role para baixo até as páginas com guias e selecione a guia Security.
-
Localize o grupo
InternalSyslogSG
e insira a origem a partir da qual você deseja permitir o tráfego para a coleta de log. -
Encontre o grupo de segurança
InternalMgmtSG
. O modelo de CloudFormation o criou para você. Adicione seus administradores ao grupo e dê a eles acesso à porta 8443 em Inbound rule.
Antes de poder usar o Sophos Appliance Manager, você também precisa definir uma senha.
Defina uma senha para o Sophos Appliance Manager.
O nome de usuário do Sophos Appliance Manager é zadmin
. Para definir a senha, faça o seguinte:
- No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.
-
Vá para a guia Dispositivos de integração.
-
Localize o seu dispositivo. Na coluna mais à direita, clique nos três pontos e selecione Abrir Appliance Manager.
-
Na caixa de diálogo de confirmação, clique em redefini-la.
Qualquer outro admin que queira usar o Appliance Manager também deve definir uma senha.
A implantação do dispositivo está concluída.
A sua integração agora está completa. Você pode monitorar o status e a atividade do dispositivo no Sophos Appliance Manager.