Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=aryaka

Integrar Aryaka

Los clientes MSP Flex deben tener la licencia Network Integration Pack para utilizar esta función.

Puede integrar Aryaka con Sophos Central para que envíe alertas a Sophos para analizarlas.

Estos son los pasos clave:

  • Añadir una integración para el producto. En este paso, se crea una imagen del dispositivo.
  • Descargar y desplegar la imagen en una VM. Esto se convierte en su dispositivo.
  • Configurar Aryaka para enviar datos al dispositivo.

Añadir una integración

Para añadir la integración, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.

  2. Haga clic en Aryaka.

    Se abre la página Aryaka. Puede añadir integraciones aquí y ver una lista de cualquiera que ya haya añadido.

  3. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Proporcionar los detalles de su dominio y dirección IP.

Aparece Pasos de configuración de la integración.

Configurar el dispositivo

En Pasos de configuración de la integración, puede configurar un nuevo dispositivo o utilizar uno existente.

Asumimos aquí que va a configurar un nuevo dispositivo. Para ello, cree una imagen de la siguiente manera:

  1. Introduzca un nombre y una descripción de la integración.
  2. Haga clic en Crear un nuevo dispositivo.
  3. Introduzca un nombre y una descripción para el dispositivo.
  4. Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.

  5. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de administración para el dispositivo.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  6. Seleccione la Versión de IP de Syslog e introduzca la Dirección IP de Syslog.

    Necesitará esta dirección IP de Syslog más tarde, cuando configure Aryaka para que envíe datos a su dispositivo.

  7. En Protocolo, el TCP está preseleccionado. No se puede modificar.

    Cuando configure Aryaka para enviar datos a su dispositivo, debe asegurarse de que utiliza el mismo protocolo.

  8. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    En los detalles de integración, puede ver el número de puerto del dispositivo. Necesitará esto más tarde cuando configure Aryaka para que le envíe datos.

    La imagen del dispositivo puede tardar unos minutos en estar lista.

Desplegar el dispositivo

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen para desplegar el dispositivo de la siguiente manera:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar dispositivos.

Configurar Aryaka

Para configurar Aryaka para enviar datos al dispositivo, haga lo siguiente:

  1. Inicie sesión en MyAryaka.
  2. En el menú superior, pulse Configuración.
  3. En el menú de la izquierda, haga clic en Seguridad.
  4. Haga clic en el mosaico SIEM.
  5. Pulse Añadir configuración SIEM.

  6. En el panel Detalles de SIEM, introduzca un nombre y una descripción para esta conexión.

    La Funcionalidad del proveedor viene predeterminada en Genérica y no se puede editar.

  7. En el panel Detalles de conectividad, haga lo siguiente:

    1. Haga clic en la lista desplegable Método de transporte de registros SIEM y seleccione Puerto de red.
    2. Introduzca la Dirección IP de Syslog que configuró anteriormente.
    3. Haga clic en la lista desplegable Protocolo y seleccione TCP.

    4. Introduzca el puerto de escucha para esta conexión que configuró anteriormente en el campo Número de puerto.

      Aryaka asume que el número de puerto es 443 si no lo especifica.

  8. En el panel Tipos de registro, puede elegir los registros que desea enviar a Sophos. Pulse las siguientes opciones:

    • Registros de seguridad - Enviar los registros desde su servicio Aryaka SmartSecure NGFW-SWG: los registros incluyen información de los motores de seguridad SASE y no SASE.
    • Registros de eventos IPS - Enviar los registros desde su servicio Aryaka SmartSecure IPS: esta opción solo se muestra si tiene el servicio complementario Aryaka SmartSecure IPS.
    • Registros de flujo - Enviar los registros desde su servicio SD-WAN: los registros contienen detalles básicos de conexión y estadísticas de tráfico. Estos registros no contienen detalles del motor de seguridad.
    • Registros de acceso privado - Enviar los registros desde su servicio de acceso privado: esta opción solo se muestra si hay al menos una región de acceso privado habilitada.

  9. Haga clic en Enviar.

    Un mensaje le advierte de que no puede editar la configuración SIEM hasta que el equipo de asistencia técnica de Aryaka haya completado la configuración.

  10. Haga clic en Aceptar.

    Un mensaje confirma que la solicitud ha sido enviada. El Estado se establece en Aprovisionamiento.

Cuando se completa la solicitud de cambio, la página SIEM (Configuración > Seguridad > SIEM) muestra un mosaico con el nombre SIEM, el tipo de proveedor Genérico y el estado Configurado.

Ahora, Aryaka envía a Sophos todos los tipos de registro que ha seleccionado.