Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=ApexCentral

Trend Micro Apex Central

Protokollsammler

Sie können Apex Central in Sophos Central integrieren, sodass Überwachungsdaten an Sophos zur Analyse gesendet werden.

Diese Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Appliance bezeichnet. Die Appliance empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Instanzen von Apex Central zu derselben Appliance hinzufügen.

Richten Sie dazu Ihre Apex Central-Integration in Sophos Central ein und konfigurieren Sie dann eine Apex Central-Instanz, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen Apex Central-Instanzen, um Protokolle an dieselbe Sophos-Appliance zu senden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die wichtigsten Schritte zum Hinzufügen einer Integration sind die Folgenden:

  • Konfigurieren Sie eine Integration für dieses Produkt. Dadurch wird ein Image zur Verwendung auf einer VM konfiguriert.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird zu Ihrer Appliance.
  • Konfigurieren Sie Apex Central so, dass Daten an die Appliance gesendet werden.

Voraussetzungen

Appliances haben System- und Netzwerkzugriffsanforderungen. Um zu überprüfen, ob Sie diese erfüllen, lesen Sie Appliance-Anforderungen.

Integration konfigurieren

Verfahren Sie zur Integration von Apex Central in Sophos Central wie folgt:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Klicken Sie auf Trend Micro Apex Central.

    Die Seite Trend Micro Apex Central wird geöffnet. Sie können hier Integrationen konfigurieren und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrations-Einrichtungsschritte wird angezeigt.

VM konfigurieren

In den Integrations-Einrichtungsschritten konfigurieren Sie Ihre VM als Appliance so, dass sie Daten von Apex Central empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Fügen Sie für die neue Integration einen Namen und eine Beschreibung hinzu.

  2. Geben Sie einen Namen und eine Beschreibung für die Appliance ein.

    Wenn Sie bereits eine Sophos-Appliance eingerichtet haben, können Sie diese aus einer Liste auswählen.

  3. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir VMware ESXi 6.7 Update 3 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

  4. Legen Sie die IP-Einstellungen für die internetseitigen Netzwerk-Ports fest. Dadurch wird die Verwaltungsschnittstelle für die VM eingerichtet.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

  5. Wählen Sie die Syslog-IP-Version aus und geben Sie die Syslog-IP-Adresse ein.

    Sie benötigen diese Syslog-IP-Adresse später, wenn Sie Apex Central so konfigurieren, dass Daten an Ihre Appliance gesendet werden.

  6. Wählen Sie ein Protokoll aus.

    Sie müssen dasselbe Protokoll verwenden, wenn Sie Apex Central zum Senden von Daten an Ihre Appliance konfigurieren.

  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt.

    In den Integrationsdetails sehen Sie die Portnummer für die Appliance. Sie benötigen dies später, wenn Sie Apex Central so konfigurieren, dass Daten dorthin gesendet werden.

    Es kann einige Minuten dauern, bis das VM-Image bereit ist.

VM bereitstellen

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine weitere VM bereitstellen müssen, müssen Sie in Sophos Central noch eine OVA-Datei erstellen.

Verwenden Sie das VM-Image, um die VM bereitzustellen. Verfahren Sie wie folgt:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf die Download-Aktion für Ihre Plattform, zum Beispiel OVA herunterladen für ESXi.
  2. Wenn der Download des Image abgeschlossen ist, stellen Sie es auf Ihrer VM bereit. Siehe VM für Integrationen bereitstellen.

Apex Central konfigurieren

Konfigurieren Sie jetzt Apex Central so, dass Überwachungsdaten wie folgt an Ihre Appliance gesendet werden:

  1. Gehen Sie zu Erkennungen > Benachrichtigungen > Einstellungen für Benachrichtigungsmethoden.

  2. Nehmen Sie im Bereich Syslog-Einstellungen die folgenden Einstellungen vor:

    • Server-IP-Adresse: Die Syslog-IP-Adresse Ihrer Appliance. Sie haben diese Einstellung bereits in Sophos Central vorgenommen.
    • Port: Geben Sie die Portnummer Ihrer Appliance ein.
    • Facility: Wählen Sie den Facility-Code aus.

  3. Klicken Sie auf Speichern.

Syslog-Weiterleitung aktivieren

Wir verwenden Syslog-Weiterleitung, um Daten an die Sophos-Appliance zu senden.

So leiten Sie Syslog-Datenverkehr weiter:

  1. Melden Sie sich mit einem Administratorkonto bei der Apex Central-Konsole an.
  2. Gehen Sie zu Administration > Syslog > Syslog Settings.
  3. Wählen Sie Enable syslog forwarding.

  4. Konfigurieren Sie folgende Einstellungen:

    • Serveradresse: Die Syslog-IP-Adresse Ihrer Appliance.
    • Port: Die Portnummer Ihrer Sophos-Appliance.
    • Protokoll: Wählen Sie TCP oder UDP. Wählen Sie dieselbe Option aus, die Sie für die Appliance eingerichtet haben.

  5. Wählen Sie CEF als Protokollformat aus:

  6. Wählen Sie die Protokolltypen aus, die weitergeleitet werden sollen:

    1. Wählen Sie eine Protokollkategorie aus der Dropdown-Liste Protokolltyp aus:

      • Sicherheitsprotokolle
      • Produktinformationen

    2. Aktivieren Sie die Kontrollkästchen für die Protokolle, die Sie weiterleiten möchten. APEX Central zeigt die Gesamtzahl der ausgewählten Protokolltypen neben der Liste Protokolltyp an.

    3. Sie können eine andere Protokollkategorie aus der Dropdown-Liste Protokolltyp auswählen.

  7. Klicken Sie auf Verbindung testen, um die Serververbindung zu testen. Der Verbindungsstatus des Syslog-Servers wird oben auf dem Bildschirm angezeigt.

  8. Klicken Sie auf Speichern.

    APEX Central leitet die Protokolle an Ihre Appliance weiter. Die Daten sollten nach der Validierung im Sophos Data Lake angezeigt werden.

    Um den Status der Protokollweiterleitung zu überwachen, gehen Sie zu Administration > Command Tracking und wählen Sie Forward Syslog aus der Dropdown-Liste Command aus.

Mehr Informationen