Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Trend Micro Apex Central

Protokollsammler

Sie können Apex Central in Sophos Central integrieren, sodass Überwachungsdaten an Sophos zur Analyse gesendet werden.

Diese Integration verwendet einen Protokollsammler auf einer virtuellen Maschine (VM). Der Protokollsammler empfängt Daten von Drittanbietern und sendet sie an den Sophos Data Lake.

Hinweis

Sie können mehrere Instanzen von Apex Central zu demselben Protokollsammler hinzufügen.

Richten Sie dazu Ihre Apex Central-Integration in Sophos Central ein und konfigurieren Sie dann eine Apex Central-Instanz, um Protokolle an sie zu senden. Konfigurieren Sie dann Ihre anderen Apex Central-Instanzen, um Protokolle an denselben Sophos-Protokollsammler zu senden.

Sie müssen den Sophos Central-Abschnitt des Setups nicht wiederholen.

Die wichtigsten Schritte zum Hinzufügen einer Integration sind die Folgenden:

  • Fügen Sie eine Integration für dieses Produkt hinzu. Damit wird eine Open Virtual Appliance (OVA)-Datei konfiguriert.
  • Stellen Sie die OVA-Datei auf Ihrem ESXi-Server bereit. Dies wird zu Ihrem Protokollsammler.
  • Konfigurieren Sie Apex Central so, dass Daten an den Protokollsammler gesendet werden.

Eine neue Integration hinzufügen

Verfahren Sie zur Integration von Apex Central in Sophos Central wie folgt:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center und klicken Sie auf Integrationen.
  2. Klicken Sie auf Trend Micro Apex Central.

    Wenn Sie bereits Verbindungen zu Apex Central eingerichtet haben, sehen Sie diese hier.

  3. Klicken Sie auf Integration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

    Integrationsschritte wird angezeigt.

VM konfigurieren

In den Integrationsschritten konfigurieren Sie Ihre VM so, dass sie Daten von Apex Central empfängt. Sie können eine vorhandene VM verwenden oder eine neue erstellen.

Um die VM zu konfigurieren, gehen Sie wie folgt vor:

  1. Fügen Sie für die neue Integration einen Namen und eine Beschreibung hinzu.
  2. Geben Sie einen Namen und eine Beschreibung für die VM ein.
  3. Wählen Sie die virtuelle Plattform aus. (Derzeit unterstützen wir nur VMware).
  4. Geben Sie die internetseitigen Netzwerk-Ports an.

    • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      Hinweis

      Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

    • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.

    Sie benötigen die Adresse der VM später, wenn Sie Apex Central so konfigurieren, dass Daten an die VM gesendet werden.

  5. Wählen Sie ein Protokoll aus.

  6. Füllen Sie alle übrigen Felder im Formular aus.
  7. Klicken Sie auf Speichern.

    Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt. Es kann einige Minuten dauern, bis die OVA-Datei zum Download bereit ist.

VM bereitstellen

Einschränkung

Die OVA-Datei wird von Sophos Central verifiziert und kann nur einmal verwendet werden. Nachdem Sie die VM bereitgestellt haben, können Sie die Datei nicht noch einmal verwenden.

Wenn Sie eine neue VM bereitstellen wollen, müssen Sie alle diese Schritte wiederholen, um diese Integration mit Sophos Central zu verbinden.

Verwenden Sie die OVA-Datei, um die VM bereitzustellen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in der Liste der Integrationen unter Aktionen auf OVA herunterladen.
  2. Wenn der Download der OVA-Datei abgeschlossen ist, stellen Sie sie auf Ihrem ESXi-Server bereit. Ein Assistent führt Sie durch den Prozess. Siehe VM für Integrationen bereitstellen.

Wenn Sie die VM bereitgestellt haben, wird die Integration als Verbunden angezeigt.

Apex Central konfigurieren

Konfigurieren Sie jetzt Apex Central so, dass Überwachungsdaten wie folgt an die VM gesendet werden:

  1. Gehen Sie zu Erkennungen > Benachrichtigungen > Einstellungen für Benachrichtigungsmethoden.
  2. Nehmen Sie im Bereich Syslog-Einstellungen die folgenden Einstellungen vor:

    • Server-IP-Adresse: Geben Sie die IPv6- oder IPv4-Adresse des Syslog-Servers ein.
    • Port: Die Portnummer des Syslog-Servers.
    • Facility: Wählen Sie den Facility-Code aus.
  3. Klicken Sie auf Speichern.

Syslog-Weiterleitung aktivieren

Wir verwenden Syslog-Weiterleitung, um Daten an den Sophos-Protokollsammler zu senden.

So leiten Sie Syslog-Datenverkehr weiter:

  1. Melden Sie sich mit einem Administratorkonto bei der Apex Central-Konsole an.
  2. Gehen Sie zu Administration > Syslog > Syslog Settings.
  3. Wählen Sie Enable syslog forwarding.
  4. Konfigurieren Sie folgende Einstellungen:

    • Serveradresse: FQDN oder IP-Adresse der VM, die Ihren Sophos-Protokollsammler hostet.
    • Port: Geben Sie die Portnummer Ihres Sophos-Protokollsammlers ein.
    • Protokoll: Wählen Sie TCP oder UDP. Wählen Sie dieselbe Option aus, die Sie für den Protokollsammler eingerichtet haben.
  5. Wählen Sie CEF als Protokollformat aus:

  6. Wählen Sie die Protokolltypen aus, die weitergeleitet werden sollen:

    1. Wählen Sie eine Protokollkategorie aus der Dropdown-Liste Protokolltyp aus:

      • Sicherheitsprotokolle
      • Produktinformationen
    2. Aktivieren Sie die Kontrollkästchen für die Protokolle, die Sie weiterleiten möchten. APEX Central zeigt die Gesamtzahl der ausgewählten Protokolltypen neben der Liste Protokolltyp an.

    3. Sie können eine andere Protokollkategorie aus der Dropdown-Liste Protokolltyp auswählen.
  7. Klicken Sie auf Verbindung testen, um die Serververbindung zu testen. Der Verbindungsstatus des Syslog-Servers wird oben auf dem Bildschirm angezeigt.

  8. Klicken Sie auf Speichern.

    APEX Central leitet die Protokolle an Ihren Protokollsammler weiter. Die Daten sollten nach der Validierung im Sophos Data Lake angezeigt werden.

    Um den Status der Protokollweiterleitung zu überwachen, gehen Sie zu Administration > Command Tracking und wählen Sie Forward Syslog aus der Dropdown-Liste Command aus.

Mehr Informationen