AWS上的集成
通過在AWS上部署Sophos集成設備,您可以將第三方產品與Sophos Central集成。
設備託管日誌收集器,該日誌收集器使用syslog接收來自第三方產品的警報並將其轉發到Sophos。
此頁面告訴您如何在AWS上配置和部署設備。這些步驟適用於您要集成的任何第三方產品,前提是該產品託管在AWS上。
注意
您也可以使用AWS集成Sophos Network Detection and Response (NDR)。請參閱 AWS上的NDR。
需求
要在AWS中部署設備,您必須滿足以下要求:
- AWS帳戶。您的第三方產品必須託管在AWS上,並且必須在同一AWS帳戶上部署設備。
- 具有XDR或MDR許可證的Sophos Central帳戶。
- 要集成的產品類型的Sophos集成許可證包,例如防火牆。
- EC2 執行個體。支援的類型為c5n.2xlarge,c6i.4xlarge,c7i.16xlarge (Nitro虛擬化)。
- VPC,子網和可用性區域。您可以使用已有的。
- SSH的安全組。
- 至少一個為管理接口分配的彈性IP地址。
注意
如果您不確定所需的許可證包,請進入 威脅分析中心 > 集成 > 市場。產品的磁跕顯示需要許可證類型。
您必須執行以下動作:
- 創建並保存
ssh
AWS帳戶的私鑰。
關鍵步驟
主要步驟描述如下:
- 為您的設備創建CloudFormation模板。
- 部署 CloudFormation 範本
- 訂閱AWS中的"Sophos Integration Appliance"。
- 創建堆棧。
- 編輯AWS安全組。
- 設定Appliance Manager的密碼。
創建CloudFormation模板
為您的設備創建CloudFormation模板(CFT),如下所示:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
- 找到要集成的第三方產品並單擊它。
-
在 NDR 頁面的資料擷取(安全警示)中,按一下新增設定。
-
在步驟 1 中,輸入整合的名稱和說明。
- 按一下建立新設備。
- 輸入設備的名稱和說明。
-
在 “Virtual平台”(虛擬磁盤管理)中,選擇 AWS。
-
在 Protocol(協議)中,選擇一個協議。
-
按一下儲存。
ndr_<product-name>_cf_latest.json
此時將創建CloudFormation (CF) JSON文件()。
部署 CloudFormation 範本
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定。
- 選擇 Integration Appliances (集成設備)選項卡並找到您的設備。
-
在最右邊的欄位中,按一下三個點,然後選取打開 Appliance Manager。
現在,您可以在AWS中訂閱並部署Sophos設備。
訂閱Sophos集成設備
您必須在AWS Marketplace中訂閱Sophos Integration Appliance。這可確保AWS識別您的CloudFormation模板,並允許您在AWS帳戶中安裝其資源。
若要報告,請執行以下操作:
- 轉至 AWS Marketplace 頁面,找到"Sophos Integration Appliance"。
-
在“ 產品概述 ”頁面上,單擊 “繼續訂閱”。
-
在 Subscribe to this software (訂閱此軟件 ****)頁面上,接受條款和條件,然後單擊Continue to Configuration (繼續配置)。
-
在 Configure this software (配置此軟件)頁面上,檢查版本和區域,然後單擊 Continue to Launch(繼續啓動)
-
在 啟動此軟體 頁面上,單擊 使用說明 以查看如何訪問Sophos Appliance Manager。
-
單擊 啟動。
AWS會開啟「 建立堆疊 」頁面。
創建堆棧
現在,您可以使用下載的CloudFormation模板為您的AWS帳戶部署Sophos設備。要執行此操作,請按以下步驟創建堆棧:
-
在快速建立堆疊頁面上,請執行以下操作:
- **** 選擇了離開模板已就緒。
- 在 指定模板中,選擇 上載模板文件。
-
按一下選擇檔案,然後選取
ndr_<appliance-name>_cf_latest.json
。appliance-name
是您在Sophos Central中創建CFT時為設備指定的名稱。 -
按一下下一步。
-
在 Specify stack details (指定堆棧詳細資訊)頁面上,輸入名稱和以下 Network Configuration (網路配置)詳細資訊:
- 要用於設備的現有VPC。
- 管理接口的子網。這是一個公用子網。
- syslog接口的子網。
- 授予管理員對Sophos Integration Appliance實例SSH訪問權限的安全組。
完成的網路配置詳細資訊如下所示:
-
在 “EC2 Instance Configuration”(IPv6實例配置)下,輸入訪問Sophos Integration Appliance EC2實例所需的SSH密鑰,然後單擊 “Next”(下一步)。
注意
您先前創建並保存了此SSH密鑰對。
-
在 配置堆棧選項 頁面上,接受預設AWS設定,或根據需要進行更改。按一下 送出。
CloudFormation模板根據您用於上傳模板的帳戶的AWS區域自動選擇正確的區域和AMIS。
等待創建Sophos集成設備。這可能需要五到六分鐘。
編輯安全組
您需要編輯AWS安全組。這樣您就可以進行以下更改:
- 允許syslog流量進入設備。
- 授予對Sophos Appliance Manager的訪問權限。
要編輯群組,請執行以下操作:
-
在AWS中,轉到Sophos集成設備的安全詳細資訊。
要執行此操作,請在AWS控制臺搜尋欄中輸入設備名稱。找到 * *Sophos Integration Appliance 實例後,選擇EC2選項卡,然後單擊Sophos Integration Appliance實例。
-
在“ 實例摘要 ”頁面上,向下滾動到選項卡頁面,然後選擇 “安全” 選項卡。
-
找到
InternalSyslogSG
組並輸入要允許日誌收集通信的來源。 -
查找
InternalMgmtSG
安全組。CloudFormation模板為您創建了此模板。將您的管理員添加到組中,並授予他們對 入站規則中端口8443的訪問權限。
在使用Sophos Appliance Manager之前,您還需要設定密碼。
設定Sophos Appliance Manager的密碼
Sophos Appliance Manager的用戶名是 zadmin
。若要設定權限,請依照以下方式操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定。
-
移至整合設備索引標籤。
-
尋找您的設備。在最右邊的欄位中,按一下三個點,然後選取打開 Appliance Manager。
-
在確認對話方塊中,按一下重設。
任何其他想要使用Appliance Manager的管理員也必須設定密碼。
您已完成部署設備。
您的配置現在已完成。您可以在Sophos Appliance Manager中監控設備狀態和活動。