Sobre integrações do MDR e XDR
Esta página informa sobre os diferentes tipos de integração e métodos de configuração. Para começar, consulte Introdução.
Procurando ajuda sobre a guia Dispositivos de integração? Consulte Dispositivos de integração.
As integrações com o Sophos MDR e XDR permitem que você integre outros produtos de segurança ao Sophos Central. Esses podem ser outros produtos Sophos ou produtos de terceiros.
Você pode configurar dois tipos de integração:
- Ingestão de dados: O produto envia dados de detecção para o Sophos Data Lake. Depois, você pode consultar esses dados em nosso Centro de análise de ameaças.
- Ação de resposta: Você pode resolver problemas detectados do Sophos Central por meio de um produto de terceiros.
As integrações de Ação de Resposta ainda não estão disponíveis para todos os produtos.
Métodos de configuração de integração
Existem vários tipos de integração, com diferentes métodos de configuração:
- API REST
- Coletor de log
- Produto Sophos (por exemplo, Sophos NDR ou Sophos Firewall)
As integrações do coletor de log e o Sophos NDR exigem uma máquina virtual (VM). As integrações da API REST não.
Os métodos de configuração que você pode usar dependem do produto que você deseja integrar.
Integrações da API REST
Para integrar um produto que usa uma API, você deve coletar informações de autenticação sobre sua conta desse produto.
As informações de que você precisa diferem de produto para produto. Nosso assistente de integração lhe solicita as informações.
As integrações de API exigem uma credencial para acesso ao produto de terceiros. Você pode criá-la durante a configuração de integração ou usar nosso gerenciador de credenciais. Consulte Credenciais de integração.
Integrações do coletor de log
As integrações do coletor de log usam o coletor de log da Sophos para coletar dados do produto de terceiros e adicioná-los ao Sophos Data Lake.
Você instala o coletor de log em uma máquina virtual. Nosso assistente o ajuda a configurar um arquivo de imagem que você baixa e implanta em uma VM. O arquivo de imagem inclui o aplicativo coletor de log.
Um dispositivo da Sophos é uma máquina virtual que hospeda um coletor de log.
Depois você configura seu produto de terceiros para enviar dados ao dispositivo. Isso usa a função de exportação syslog do produto de terceiros. Você fornece os detalhes de conexão do seu dispositivo em vez de um servidor syslog.
Para obter mais informações, consulte a ajuda da integração que você deseja adicionar.
Para obter os requisitos do dispositivo da Sophos, consulte Requisitos do dispositivo.
Para obter ajuda com a coleta de logs do dispositivo da Sophos para solucionar problemas, consulte Registros do dispositivo.
Várias integrações
Você pode enviar logs de várias integrações para o mesmo dispositivo:
- Se você já configurou o Sophos NDR, adicione integrações de terceiros e selecione o mesmo dispositivo no Sophos Central.
- Se você já tiver configurado uma integração de terceiros, adicione outras integrações de terceiros e selecione o mesmo dispositivo no Sophos Central.
Você também pode configurar várias integrações do mesmo produto para usar um único dispositivo. Siga este procedimento:
- Configure uma integração no Sophos Central.
- Configure seu produto de terceiros para usar o seu dispositivo.
-
Repita a configuração do produto de terceiros para as instâncias extras do produto.
Direcione essas instâncias para o mesmo dispositivo.
Você não precisa repetir a parte Sophos Central da configuração.