Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Adicionar integrações na AWS

Você pode integrar produtos de terceiros ao Sophos Central implantando um dispositivo de integração Sophos na AWS.

O dispositivo hospeda um coletor de log que usa o syslog para receber alertas do produto de terceiros e encaminhá-los para a Sophos.

Esta página mostra como configurar e implantar um dispositivo na AWS. As etapas se aplicam a qualquer produto de terceiros que você deseje integrar, desde que o produto esteja hospedado na AWS.

Nota

Você também pode integrar o Sophos Network Detection and Response (NDR) usando a AWS. Consulte NDR na AWS.

Requisitos

Para implantar um dispositivo na AWS, você deve atender aos seguintes requisitos:

  • Uma conta da AWS. Seu produto de terceiros deve estar hospedado na AWS e você deve implantar o dispositivo na mesma conta da AWS.
  • Uma conta do Sophos Central com uma licença XDR ou MDR.
  • Um pacote de licença de integrações da Sophos para o tipo de produto que você deseja integrar, por exemplo, Firewall.
  • Instâncias EC2. Os tipos suportados são c5n.2xlarge, c6i.4xlarge, c7i.16xlarge (virtualização Nitro).
  • VPCs, sub-redes e zonas de disponibilidade. Você pode usar aquelas que você já tem.
  • Um grupo de segurança para SSH.
  • Pelo menos um endereço IP elástico alocado para a interface de gerenciamento.

Nota

Se você não tiver certeza de qual pacote de licença precisa, vá para Centro de Análise de Ameaças > Integrações > Marketplace. O bloco do seu produto mostra o tipo de licença necessário.

Você também deve seguir este procedimento:

  • Criar e salvar sua chave privada ssh para a conta da AWS.

Etapas principais

As etapas principais são as seguintes:

  • Crie um modelo do CloudFormation para o seu dispositivo.
  • Baixe o modelo do CloudFormation.
  • Registre-se no "Sophos Integration Appliance" na AWS.
  • Crie um stack.
  • Edite os grupos de segurança da AWS.
  • Defina uma senha para o Appliance Manager.

Criar um modelo do CloudFormation

Crie um modelo do CloudFormation (CFT) para o seu dispositivo da seguinte forma:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
  2. Encontre o produto de terceiros que deseja integrar e clique nele.
  3. Na página de integrações, em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Página de integração do seu produto.

  4. Em Etapas de configuração de integração, insira um nome e uma descrição para a integração.

  5. Clique em Criar um novo dispositivo.
  6. Insira um nome e uma descrição para o dispositivo.
  7. Na Plataforma virtual, selecione AWS.

    Configurações do dispositivo com a plataforma AWS selecionada.

  8. Em Protocolo, selecione um protocolo.

  9. Clique em Salvar. Um arquivo JSON de CloudFormation (CF) ndr_<product-name>_cf_latest.json é criado.

Baixar o modelo de CloudFormation

  1. No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.
  2. Selecione a guia Dispositivos de integração e localize o seu dispositivo.
  3. Na coluna mais à direita, clique nos três pontos e selecione Download da imagem.

Agora você está pronto para se inscrever na AWS e implantar o Sophos Appliance.

Inscrever-se no Sophos Integration Appliance

Você deve se inscrever no Sophos Integration Appliance no AWS Marketplace. Isso garante que a AWS reconheça seu modelo do CloudFormation e permita que você instale seus recursos em sua conta da AWS.

Para se inscrever, faça o seguinte:

  1. Vá para a página AWS Marketplace e localize "Sophos Integration Appliance".
  2. Na página Product Overview, clique em Continue to Subscribe.

    Página "Product Overview" de AWS.

  3. Na página Subscribe to this software, aceite os termos e condições e clique em Continue to Configuration.

    Página "Subscribe to this software" da AWS.

  4. Na página Configure this software, verifique a versão e a região e clique em Continue to Launch.

    Página "Configure this software" da AWS.

  5. Na página Launch this software, clique em Usage instructions para ver como acessar o Sophos Appliance Manager.

    Página "Launch this software" da AWS.

  6. Clique em Launch.

    A AWS abre a página Create stack.

Criar um stack

Agora você usa o modelo do CloudFormation baixado para implantar um dispositivo Sophos em sua conta da AWS. Para fazer isso, você cria um stack da seguinte forma:

  1. Na página Create stack, faça o seguinte:

    1. Deixe Template is ready selecionado.
    2. Em Specify template, selecione Upload a template file.
    3. Clique em Choose File e selecione ndr_<appliance-name>_cf_latest.json.

      O nome appliance-name é aquele que você deu ao dispositivo quando criou o CFT no Sophos Central.

    4. Clique em Avançar.

    Página "Create stack" mostrando a escolha do arquivo de modelo.

  2. Na página Specify stack details, insira um nome e os seguintes detalhes de Network Configuration:

    1. Uma VPC existente que você deseja usar para o dispositivo.
    2. Uma sub-rede para a interface de gerenciamento. Esta é uma sub-rede pública.
    3. Uma sub-rede para a interface de syslog.
    4. O grupo de segurança que dá aos administradores acesso SSH à instância do Sophos Integration Appliance.

    Os detalhes de configuração de rede concluídos são semelhantes a este exemplo:

    Página "Specify stack details".

  3. Em EC2 Instance Configuration, digite a chave SSH necessária para acessar a instância do Sophos Integration Appliance EC2 e clique em Next.

    Nota

    Você criou e salvou esse par de chaves SSH anteriormente.

    Campo "EC2 Instance Configuration".

  4. Na página Configure Stack options, aceite as configurações padrão da AWS ou faça alterações se desejar. Clique em Enviar.

O modelo de CloudFormation escolhe automaticamente as regiões e AMIS certas com base na região da AWS da conta que você usou para carregar o modelo.

Aguarde até que o Sophos Integration Appliance seja criado. Isso pode levar cinco ou seis minutos.

Editar os grupos de segurança

Você precisa editar os grupos de segurança da AWS. Isso permite que você faça essas alterações:

  • Permita que o tráfego de syslog vá para o dispositivo.
  • Dê acesso ao Sophos Appliance Manager.

Para editar grupos de segurança, faça o seguinte:

  1. Na AWS, acesse os detalhes de segurança do dispositivo do Sophos Integration.

    Para fazer isso, digite o nome do dispositivo na barra de pesquisa do console da AWS. Quando o encontrar, selecione a guia EC2 e clique na instância Sophos Integration Appliance.

  2. Na página Instance Summary, role para baixo até as páginas com guias e selecione a guia Security.

  3. Localize o grupo InternalSyslogSG e insira a origem a partir da qual você deseja permitir o tráfego para a coleta de log.

  4. Encontre o grupo de segurança InternalMgmtSG. O modelo de CloudFormation o criou para você. Adicione seus administradores ao grupo e dê a eles acesso à porta 8443 em Inbound rule.

    Regras de entrada de grupos de segurança.

Antes de poder usar o Sophos Appliance Manager, você também precisa definir uma senha.

Defina uma senha para o Sophos Appliance Manager.

O nome de usuário do Sophos Appliance Manager é zadmin. Para definir a senha, faça o seguinte:

  1. No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.
  2. Vá para a guia Dispositivos de integração.

  3. Localize o seu dispositivo. Na coluna mais à direita, clique nos três pontos e selecione Abrir Appliance Manager.

    Menu de ações do dispositivo.

  4. Na caixa de diálogo de confirmação, clique em redefini-la.

    Caixa de diálogo de confirmação.

Qualquer outro admin que queira usar o Appliance Manager também deve definir uma senha.

A implantação do dispositivo está concluída.

A sua integração agora está completa. Você pode monitorar o status e a atividade do dispositivo no Sophos Appliance Manager.