Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=veeam

Veeam Backup & Replication

Protokollsammler

Sie benötigen das Integrations-Lizenz-Paket „Backup and Recovery Integration Pack“, um diese Funktion nutzen zu können.

Sie benötigen Veeam Backup & Replication Version 12.1 oder höher.

Sie können Veeam Backup & Replication in Sophos Central integrieren, sodass Ereignisse an Sophos zur Analyse gesendet werden.

Diese Integration ist eine reine On-Premise-Bereitstellung.

Die Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Instanzen von Veeam zu derselben Appliance hinzufügen.

Richten Sie dazu Ihre Veeam-Integration in Sophos Central ein und konfigurieren Sie dann eine Veeam-Instanz, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen Instanzen, um Protokolle an dieselbe Sophos-Appliance zu senden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die wichtigsten Schritte zum Hinzufügen einer Integration sind die Folgenden:

  • Fügen Sie eine Integration für dieses Produkt hinzu. Dadurch wird ein Image zur Verwendung auf einer VM konfiguriert.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrer Appliance.
  • Konfigurieren Sie Veeam so, dass Daten an die Appliance gesendet werden.
  • Holen Sie sich zusätzliche Daten von Veeam. Diese Funktion verwendet die Vier-Augen-Funktion und ist optional.

Voraussetzungen

Sophos Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.

Eine neue Integration hinzufügen

Verfahren Sie zur Integration von Veeam in Sophos Central wie folgt:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Klicken Sie auf Veeam Backup & Replication.

    Die Seite Veeam Backup & Replication wird geöffnet. Sie können hier Integrationen konfigurieren und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrations-Einrichtungsschritte wird angezeigt.

VM konfigurieren

In den Integrations-Einrichtungsschritten konfigurieren Sie eine VM als Appliance so, dass sie Daten von Veeam empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Fügen Sie für die neue Integration einen Namen und eine Beschreibung hinzu.

  2. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.

    Wenn Sie bereits eine Sophos-Appliance eingerichtet haben, können Sie diese aus einer Liste auswählen.

  3. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir VMware ESXi 6.7 Update 3 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

  4. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die VM eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

  5. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie Veeam so konfigurieren, dass Daten an Ihre Appliance gesendet werden.

  6. Wählen Sie ein Protokoll aus.

    Sie müssen dasselbe Protokoll verwenden, wenn Sie Veeam zum Senden von Daten an Ihre Appliance konfigurieren.

  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie Veeam so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das VM-Image bereit ist.

VM bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das VM-Image, um die VM bereitzustellen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe VM für Integrationen bereitstellen.

Veeam konfigurieren

Sie konfigurieren nun Veeam Backup & Replication so, dass Daten an uns gesendet werden.

So richten Sie die Ereignisweiterleitung über Syslog ein:

  1. Öffnen Sie die Veeam Backup & Replication-Konsole.

  2. Wählen Sie im Hauptmenü die Option Options.

    Hauptmenü der Veeam-Konsole.

  3. Wählen Sie auf der Seite Options die Registerkarte Event Forwarding aus.

    Seite mit den Veeam-Optionen.

  4. Klicken Sie im Bereich Syslog servers auf Add.

    Optionen der Ereignisweiterleitung in Veeam.

  5. Gehen Sie in Add Syslog server wie folgt vor:

    1. Geben Sie unter Server die Server-IP und den Port ein (Standardwert ist 514).
    2. Geben Sie unter Transport das Netzwerktransportprotokoll ein: UDP, TCP oder TLS.
    3. Klicken Sie auf OK.

    Sie müssen dieselbe IP-Adresse und dieselben Port- und Protokoll-Einstellungen eingeben, die Sie in Sophos Central eingegeben haben, als Sie die Integration hinzugefügt haben.

    Dialogfeld zum Hinzufügen des Syslog-Servers.

  6. Klicken Sie auf der Registerkarte Event Forwarding auf OK.

Zusätzliche Daten von Veeam beziehen

Um Daten über weitere Veeam-Ereignisse zu erhalten, empfehlen wir Ihnen, die Vier-Augen-Autorisierung von Veeam zu aktivieren.

Die Vier-Augen-Autorisierung erfordert, dass Sie zusätzliche Autorisierung von anderen Administratoren für Maßnahmen einholen, die sich auf sensible Daten auswirken könnten, zum Beispiel das Löschen von Backups. Wenn Sie die Funktion aktivieren, werden Details dieser Autorisierungsereignisse zur Analyse an Sophos gesendet.

Bevor Sie die Vier-Augen-Autorisierung aktivieren, überprüfen Sie, ob Sie die folgenden Anforderungen erfüllen:

  • Sie benötigen mindestens zwei Benutzer mit der Rolle Veeam Backup Administrator. Die Rolle kann Benutzern oder einer Gruppe zugewiesen werden, der sie angehören.
  • Sie müssen E-Mail-Benachrichtigungen für Administratoren konfigurieren. Veeam kann dann Administratoranfragen zur Genehmigung von Aktionen senden. Siehe Konfigurieren globaler Einstellungen für E-Mail-Benachrichtigungen.

Gehen Sie wie folgt vor, um die Vier-Augen-Autorisierung zu aktivieren:

  1. Öffnen Sie die Veeam Backup & Replication-Konsole.
  2. Wählen Sie im Hauptmenü Users and Roles aus.

  3. Gehen Sie zur Registerkarte Authorization und verfahren Sie wie folgt:

    1. Wählen Sie Require additional approval for sensitive operations aus.
    2. Geben Sie den Zeitraum an, in dem der angeforderte Vorgang genehmigt oder abgelehnt werden muss (mindestens 1 Tag, maximal 30).
    3. Klicken Sie auf OK.

    Registerkarte „Veeam Authorization“ auf der Seite „Users and Roles“.

Weitere Informationen