跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

AWS上的集成

通過在AWS上部署Sophos集成設備,您可以將第三方產品與Sophos Central集成。

設備託管日誌收集器,該日誌收集器使用syslog接收來自第三方產品的警報並將其轉發到Sophos。

此頁面告訴您如何在AWS上配置和部署設備。這些步驟適用於您要集成的任何第三方產品,前提是該產品託管在AWS上。

注意

您也可以使用AWS集成Sophos Network Detection and Response (NDR)。請參閱 AWS上的NDR

需求

要在AWS中部署設備,您必須滿足以下要求:

  • AWS帳戶。您的第三方產品必須託管在AWS上,並且必須在同一AWS帳戶上部署設備。
  • 具有XDR或MDR許可證的Sophos Central帳戶。
  • 要集成的產品類型的Sophos集成許可證包,例如防火牆。
  • EC2 執行個體。支援的類型為c5n.2xlarge,c6i.4xlarge,c7i.16xlarge (Nitro虛擬化)。
  • VPC,子網和可用性區域。您可以使用已有的。
  • SSH的安全組。
  • 至少一個為管理接口分配的彈性IP地址。

注意

如果您不確定所需的許可證包,請進入 威脅分析中心 > 集成 > 市場。產品的磁跕顯示需要許可證類型。

您必須執行以下動作:

  • 創建並保存 ssh AWS帳戶的私鑰。

關鍵步驟

主要步驟描述如下:

  • 為您的設備創建CloudFormation模板。
  • 部署 CloudFormation 範本
  • 訂閱AWS中的"Sophos Integration Appliance"。
  • 創建堆棧。
  • 編輯AWS安全組。
  • 設定Appliance Manager的密碼。

創建CloudFormation模板

為您的設備創建CloudFormation模板(CFT),如下所示:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場
  2. 找到要集成的第三方產品並單擊它。
  3. 在 NDR 頁面的資料擷取(安全警示)中,按一下新增設定

    產品的集成頁面。

  4. 步驟 1 中,輸入整合的名稱和說明。

  5. 按一下建立新設備
  6. 輸入設備的名稱和說明。
  7. “Virtual平台”(虛擬磁盤管理)中,選擇 AWS

    將AWS選為平台的設備設定。

  8. Protocol(協議)中,選擇一個協議。

  9. 按一下儲存ndr_<product-name>_cf_latest.json此時將創建CloudFormation (CF) JSON文件()。

部署 CloudFormation 範本

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定
  2. 選擇 Integration Appliances (集成設備)選項卡並找到您的設備。
  3. 在最右邊的欄位中,按一下三個點,然後選取打開 Appliance Manager

現在,您可以在AWS中訂閱並部署Sophos設備。

訂閱Sophos集成設備

您必須在AWS Marketplace中訂閱Sophos Integration Appliance。這可確保AWS識別您的CloudFormation模板,並允許您在AWS帳戶中安裝其資源。

若要報告,請執行以下操作:

  1. 轉至 AWS Marketplace 頁面,找到"Sophos Integration Appliance"。
  2. 在“ 產品概述 ”頁面上,單擊 “繼續訂閱”。

    AWS "Product Overview"頁面。

  3. Subscribe to this software (訂閱此軟件 ****)頁面上,接受條款和條件,然後單擊Continue to Configuration (繼續配置)。

    AWS "訂閱此軟體"頁面。

  4. Configure this software (配置此軟件)頁面上,檢查版本和區域,然後單擊 Continue to Launch(繼續啓動)

    AWS "Configure this software"頁面。

  5. 啟動此軟體 頁面上,單擊 使用說明 以查看如何訪問Sophos Appliance Manager。

    AWS "Launch this software"頁面。

  6. 單擊 啟動

    AWS會開啟「 建立堆疊 」頁面。

創建堆棧

現在,您可以使用下載的CloudFormation模板為您的AWS帳戶部署Sophos設備。要執行此操作,請按以下步驟創建堆棧:

  1. 快速建立堆疊頁面上,請執行以下操作:

    1. **** 選擇了離開模板已就緒。
    2. 指定模板中,選擇 上載模板文件
    3. 按一下選擇檔案,然後選取 ndr_<appliance-name>_cf_latest.json

      appliance-name 是您在Sophos Central中創建CFT時為設備指定的名稱。

    4. 按一下下一步

    顯示模板文件選項的"創建堆棧"頁面。

  2. Specify stack details (指定堆棧詳細資訊)頁面上,輸入名稱和以下 Network Configuration (網路配置)詳細資訊:

    1. 要用於設備的現有VPC。
    2. 管理接口的子網。這是一個公用子網。
    3. syslog接口的子網。
    4. 授予管理員對Sophos Integration Appliance實例SSH訪問權限的安全組。

    完成的網路配置詳細資訊如下所示:

    "指定堆棧詳細資訊"頁面。

  3. “EC2 Instance Configuration”(IPv6實例配置)下,輸入訪問Sophos Integration Appliance EC2實例所需的SSH密鑰,然後單擊 “Next”(下一步)

    注意

    您先前創建並保存了此SSH密鑰對。

    “EC2實例配置”字段。

  4. 配置堆棧選項 頁面上,接受預設AWS設定,或根據需要進行更改。按一下 送出

CloudFormation模板根據您用於上傳模板的帳戶的AWS區域自動選擇正確的區域和AMIS。

等待創建Sophos集成設備。這可能需要五到六分鐘。

編輯安全組

您需要編輯AWS安全組。這樣您就可以進行以下更改:

  • 允許syslog流量進入設備。
  • 授予對Sophos Appliance Manager的訪問權限。

要編輯群組,請執行以下操作:

  1. 在AWS中,轉到Sophos集成設備的安全詳細資訊。

    要執行此操作,請在AWS控制臺搜尋欄中輸入設備名稱。找到 * *Sophos Integration Appliance 實例後,選擇EC2選項卡,然後單擊Sophos Integration Appliance實例。

  2. 在“ 實例摘要 ”頁面上,向下滾動到選項卡頁面,然後選擇 “安全” 選項卡。

  3. 找到 InternalSyslogSG 組並輸入要允許日誌收集通信的來源。

  4. 查找 InternalMgmtSG 安全組。CloudFormation模板為您創建了此模板。將您的管理員添加到組中,並授予他們對 入站規則中端口8443的訪問權限

    安全組入站規則。

在使用Sophos Appliance Manager之前,您還需要設定密碼。

設定Sophos Appliance Manager的密碼

Sophos Appliance Manager的用戶名是 zadmin。若要設定權限,請依照以下方式操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定
  2. 移至整合設備索引標籤。

  3. 尋找您的設備。在最右邊的欄位中,按一下三個點,然後選取打開 Appliance Manager

    設備動作功能表。

  4. 在確認對話方塊中,按一下重設

    確認對話方塊。

任何其他想要使用Appliance Manager的管理員也必須設定密碼。

您已完成部署設備。

您的配置現在已完成。您可以在Sophos Appliance Manager中監控設備狀態和活動。