Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=Nebula

Malwarebytes Endpoint Protection

Protokollsammler

Diese Funktion ist unter Umständen noch nicht für alle Kunden verfügbar.

Sie können Malwarebytes Endpoint Protection in Sophos Central integrieren, sodass Daten an Sophos zur Analyse gesendet werden.

Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Instanzen der Malwarebytes Endpoint Protection zu derselben Appliance hinzufügen.

Richten Sie dazu die Integration von Malwarebytes Endpoint Protection in Sophos Central ein und konfigurieren Sie dann eine Instanz, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen Instanzen von Malwarebytes Endpoint Protection so, dass Protokolle an dieselbe Sophos-Appliance gesendet werden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die Hauptschritte:

  • Konfigurieren Sie eine Integration für dieses Produkt. Dadurch wird ein Image zur Verwendung auf einer VM konfiguriert.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrer Appliance.
  • Konfigurieren Sie Malwarebytes Endpoint Protection so, dass Daten an die Appliance gesendet werden.

Voraussetzungen

Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.

Integration konfigurieren

Verfahren Sie zur Integration von Endpoint Protection in Sophos Central wie folgt:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Klicken Sie auf Malwarebytes Endpoint Protection.

    Die Seite Malwarebytes Endpoint Protection wird geöffnet. Sie können hier Integrationen konfigurieren und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrationsschritte wird angezeigt.

VM konfigurieren

In den Integrations-Einrichtungsschritten konfigurieren Sie Ihre VM als Appliance so, dass sie Daten von Endpoint Protection empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Fügen Sie für die neue Integration einen Namen und eine Beschreibung hinzu.

  2. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.

    Wenn Sie bereits eine Sophos-Appliance eingerichtet haben, können Sie diese aus einer Liste auswählen.

  3. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir VMware ESXi 6.7 Update 3 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

  4. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die VM eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

  5. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie Endpoint Protection so konfigurieren, dass Daten an Ihre Appliance gesendet werden.

  6. Wählen Sie ein Protokoll aus.

    Sie müssen dasselbe Protokoll verwenden, wenn Sie Endpoint Protection zum Senden von Daten an Ihre Appliance konfigurieren.

  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie Endpoint Protection so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das VM-Image bereit ist.

VM bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das VM-Image, um die VM bereitzustellen. Verfahren Sie wie folgt:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe VM für Integrationen bereitstellen.

Endpoint Protection konfigurieren

Endpoint Protection ruft Ereignisdaten ab und leitet sie wie folgt weiter:

  • Endpoints melden Bedrohungserkennungen, Quarantäne und andere Ereignisse an Malwarebytes Endpoint Protection.
  • Ein Malwarebytes-Syslog-Kommunikations-Endpoint ruft Ereignisse vom Malwarebytes-Endpoint-Schutz ab.
  • Der Kommunikations-Endpoint leitet Ereignisse im CEF-Format an den Syslog-Server weiter.

Ihre Appliance fungiert als Syslog-Server.

Vorbereitende Schritte

Sie müssen wie folgt vorgehen:

  • Ein aktives Abonnement oder eine Testversion für eines der folgenden Malwarebytes Endpoint-Protection-Plattform-Produkte:

    • Malwarebytes Endpoint Detection and Response
    • Malwarebytes Endpoint Protection
    • Malwarebytes Incident Response

  • Die IP-Adresse Ihrer Appliance.

  • Netzwerkzugriff zwischen einem Ihrer Malwarebytes Syslog-Kommunikations-Endpoints und einem SIEM- oder Syslog-Server. TCP über Port 514 wird standardmäßig verwendet.

Konfiguration

  1. Gehen Sie zu Settings > Syslog Logging.
  2. Klicken Sie auf Add > Syslog Settings.

  3. Geben Sie die folgenden Informationen zu Ihrer Appliance an:

    • IP Address/Host: IP-Adresse oder Hostname Ihrer virtuellen Maschine.
    • Port: Port auf Ihrer virtuellen Maschine.

    • Protocol: Wählen Sie TCP- oder UDP-Protokoll.

      Sie müssen dieselben Einstellungen eingeben, die Sie in Sophos Central eingegeben haben, als Sie die Integration hinzugefügt haben.

    • Severity: Wählen Sie einen Schweregrad aus der Liste aus. Dadurch wird der Schweregrad aller Malwarebytes-Ereignisse festgelegt, die an Syslog gesendet werden.

    • Communication Interval: Legt fest, wie oft der Kommunikations-Endpoint Syslog-Daten vom Malwarebytes-Server in Minuten sammelt.

    Wenn der Endpoint keine Verbindung zu Malwarebytes aufnehmen kann, puffert er Daten der letzten 24 Stunden. Daten, die älter als 24 Stunden sind, werden nicht gesendet.

  4. Klicken Sie auf Speichern.

  5. Gehen Sie zu Endpoints.
  6. Klicken Sie auf Ihre virtuelle Maschine.

Im Abschnitt Agent Information wird die SIEM-Versionsnummer angezeigt. Dies bestätigt, dass das SIEM-Plugin auf dem Endpoint aktiv ist.

Der Endpoint sendet nun Daten an die Appliance. Sie sollten nach der Validierung im Sophos Data Lake angezeigt werden.

Syslog-Einstellungen ändern

Wenn Sie Ihre Appliance zu einem späteren Zeitpunkt ändern müssen, verfahren Sie wie folgt:

  1. Gehen Sie zu Settings > Syslog Logging.
  2. Klicken Sie auf Remove, um die virtuelle Maschine herunterzustufen.
  3. Klicken Sie auf Add, um eine neue virtuelle Maschine hochzustufen. Siehe die Schritte im Abschnitt Konfiguration.

Sie können einen Kommunikations-Endpoint vorübergehend mit dem Ein-/Aus-Schalter herunterstufen. Das vorübergehende Herunterstufen eines Kommunikations-Endpoint kann bei der Fehlerbehebung Ihrer Syslog-Einstellungen nützlich sein.