Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=aryaka

Aryaka integrieren

MSP Flex-Kunden benötigen das Integrationslizenzpaket „Netzwerk“, um diese Funktion nutzen zu können.

Sie können Aryaka in Sophos Central integrieren, sodass Alerts zur Analyse an Sophos gesendet werden.

Die Hauptschritte:

  • Fügen Sie eine Integration für dieses Produkt hinzu. In diesem Schritt erstellen Sie ein Image der Appliance.
  • Laden Sie das Image herunter und stellen Sie es auf einer VM bereit. Dies wird zu Ihrer Appliance.
  • Konfigurieren Sie Aryaka so, dass Daten an die Appliance gesendet werden.

Eine neue Integration hinzufügen

Um die Integration hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Klicken Sie auf Aryaka.

    Die Seite Aryaka wird geöffnet. Sie können hier Integrationen hinzufügen und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Details zu Ihren Domänen und IPs eingeben.

Integrations-Einrichtungsschritte wird angezeigt.

Appliance konfigurieren

In den Integrations-Einrichtungsschritten können Sie eine neue Appliance konfigurieren oder eine vorhandene Appliance verwenden.

Hier wird davon ausgegangen, dass Sie eine neue Appliance konfigurieren. Erstellen Sie dazu wie folgt ein Image:

  1. Geben Sie einen Integrationsnamen und eine Beschreibung ein.
  2. Klicken Sie auf Neue Appliance erstellen.
  3. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.
  4. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir VMware ESXi 6.7 Update 3 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

  5. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die Appliance eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

  6. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie Aryaka so konfigurieren, dass Daten an Ihre Appliance gesendet werden.

  7. Unter Protokoll ist TCP vorausgewählt. Sie können dies nicht ändern.

    Wenn Sie Aryaka so konfigurieren, dass Daten an Ihre Appliance gesendet werden, müssen Sie sicherstellen, dass dasselbe Protokoll verwendet wird.

  8. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie Aryaka so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das Appliance-Image bereit ist.

Appliance bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das Image, um die Appliance wie folgt bereitzustellen:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe Appliances bereitstellen.

Aryaka konfigurieren

Gehen Sie wie folgt vor, um Aryaka so zu konfigurieren, dass Daten an die Appliance gesendet werden;

  1. Melden Sie sich bei MyAryaka an.
  2. Klicken Sie im oberen Menü auf Config.
  3. Klicken Sie im linken Menü auf Security.
  4. Klicken Sie auf die Kachel SIEM.
  5. Klicken Sie auf Add SIEM Configuration.

  6. In dem Fenster SIEM Details geben Sie einen Namen und eine Beschreibung für diese Verbindung ein.

    Vendor functionality ist standardmäßig auf Generic festgelegt und kann nicht bearbeitet werden.

  7. Gehen Sie im Fenster *Connectivity Details* folgendermaßen vor:

    1. Klicken Sie auf die Dropdown-Liste SIEM Log Transport Method und wählen Sie Network Port aus.
    2. Geben Sie die Syslog-IP-Adresse ein, die Sie zuvor konfiguriert haben.
    3. Klicken Sie auf die Dropdown-Liste Protocol und wählen Sie TCP aus.

    4. Geben Sie den Listening-Port für diese Verbindung ein, den Sie zuvor im Feld Port Number konfiguriert haben.

      Aryaka geht davon aus, dass der Port 443 ist, wenn Sie ihn nicht angeben.

  8. In der *Log Types*-Ansicht können Sie die Protokolle auswählen, die an Sophos gesendet werden sollen. Klicken Sie auf die folgenden Optionen:

    • Security Logs—Send logs from your Aryaka SmartSecure NGFW-SWG service: Protokolle enthalten Informationen von SASE- und Nicht-SASE-Sicherheits-Engines.
    • IPS Event Logs—Send logs from your Aryaka SmartSecure IPS service: Diese Option wird nur angezeigt, wenn Sie den Aryaka SmartSecure IPS-Add-On-Dienst haben.
    • Flow Logs—Send logs from your SD-WAN service: Protokolle enthalten grundlegende Verbindungsdetails und Verkehrsstatistiken. Diese Protokolle enthalten keine Details zur Sicherheits-Engine.
    • Private Access Logs—Send logs from your Private Access service: Diese Option wird nur angezeigt, wenn mindestens eine Private Access-Region aktiviert ist.

  9. Klicken Sie auf Senden.

    In einer Nachricht wird darauf hingewiesen, dass Sie die SIEM-Konfiguration erst nach Abschluss der Konfiguration durch das Aryaka-Supportteam bearbeiten können.

  10. Klicken Sie auf OK.

    Eine Nachricht bestätigt, dass die Anfrage eingereicht wurde. Status ist auf Provisioning gesetzt.

Nach Abschluss der Änderungsanfrage wird auf der SIEM-Seite (Config > Security > SIEM) eine Kachel mit dem SIEM-Namen, dem Anbietertyp Generic und dem Status Configured angezeigt.

Aryaka sendet jetzt alle von Ihnen ausgewählten Protokolltypen an Sophos.