Integraciones en AWS
Puede integrar productos de terceros con Sophos Central desplegando un dispositivo de integración de Sophos en AWS.
El dispositivo aloja un recopilador de registros que utiliza syslog para recibir alertas del producto de terceros y enviarlas a Sophos.
En esta página se le indica cómo configurar y desplegar un dispositivo en AWS. Los pasos se aplican a cualquier producto de terceros que desee integrar, siempre que el producto esté alojado en AWS.
Nota
También puede integrar Sophos Network Detection and Response (NDR) mediante AWS. Consulte NDR en AWS.
Requisitos
Para desplegar un dispositivo en AWS, debe cumplir los siguientes requisitos:
- Una cuenta de AWS. El producto de terceros debe estar alojado en AWS y debe desplegar el dispositivo en la misma cuenta de AWS.
- Una cuenta de Sophos Central con una licencia XDR o MDR.
- Un paquete de licencias de integraciones de Sophos para el tipo de producto que desea integrar, por ejemplo, Firewall.
- Instancias de EC2. Los tipos admitidos son c5n.2xlarge, c6i.4xlarge, c7i.16xlarge (virtualización Nitro).
- VPC, subredes y zonas de disponibilidad. Puede usar las que ya tiene.
- Un grupo de seguridad para SSH.
- Al menos una dirección IP elástica asignada para la interfaz de administración.
Nota
Si tiene dudas sobre qué paquete de licencias necesita, vaya al Centro de análisis de amenazas > Integraciones > Marketplace. El mosaico de su producto muestra el tipo de licencia requerido.
También debe hacer lo siguiente:
- Crear y guardar su clave privada
ssh
para la cuenta de AWS.
Pasos clave
Estos son los pasos clave:
- Crear una plantilla de CloudFormation para su dispositivo.
- Descargar la plantilla de CloudFormation.
- Suscribirse a "Dispositivo de integración de Sophos" en AWS.
- Crear una pila.
- Editar los grupos de seguridad de AWS.
- Establecer una contraseña para Appliance Manager.
Crear una plantilla de CloudFormation
Cree una plantilla de CloudFormation (CFT) para su dispositivo de la siguiente manera:
- En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
- Busque el producto de terceros que desea integrar y haga clic en él.
-
En la página de integraciones, en Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.
-
En Pasos de configuración de la integración, introduzca un nombre y una descripción para la integración.
- Haga clic en Crear un nuevo dispositivo.
- Introduzca un nombre y una descripción para el dispositivo.
-
En Plataforma virtual, seleccione AWS.
-
En Protocolo, seleccione un protocolo.
-
Haga clic en Guardar. Se crea un archivo JSON (
ndr_<product-name>_cf_latest.json
) de CloudFormation (CF).
Descargar la plantilla de CloudFormation
- En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Configurado.
- Seleccione la pestaña Dispositivos de integración y busque el dispositivo.
-
En la columna de la derecha, haga clic en los tres puntos y seleccione Descargar imagen.
Ya puede suscribirse en AWS y desplegar el dispositivo de Sophos.
Suscribirse al dispositivo de integración de Sophos
Debe suscribirse al dispositivo de integración de Sophos en AWS Marketplace. Esto garantiza que AWS reconozca su plantilla de CloudFormation y le permita instalar sus recursos en su cuenta de AWS.
Para suscribirse, haga lo siguiente:
- Vaya a la página AWS Marketplace y busque "Dispositivo de integración de Sophos".
-
En la página Presentación del producto, haga clic en Continuar para suscribirse.
-
En la página Suscribirse a este software, acepte los términos y condiciones y haga clic en Continuar con la configuración.
-
En la página Configurar este software, compruebe la versión y la región y haga clic en Continuar con el inicio.
-
En la página Iniciar este software, haga clic en Instrucciones de uso para ver cómo acceder a Sophos Appliance Manager.
-
Haga clic en Iniciar.
AWS abre la página Crear pila.
Crear una pila
Ahora utilizará la plantilla de CloudFormation descargada para desplegar el dispositivo de Sophos para su cuenta de AWS. Para hacer esto, cree una pila de la siguiente manera:
-
En la página Crear pila, haga lo siguiente:
- Deje la opción La plantilla está lista seleccionada.
- En Especificar plantilla, seleccione Subir un archivo de plantilla.
-
Haga clic en Elegir archivo y seleccione
ndr_<appliance-name>_cf_latest.json
.appliance-name
es el nombre que le dio al dispositivo cuando creó la CFT en Sophos Central. -
Haga clic en Siguiente.
-
En la página Especificar detalles de pila, escriba un nombre y los siguientes detalles de Configuración de red:
- Una VPC existente que quiera utilizar para el dispositivo.
- Una subred para la interfaz de administración. Esta es una subred pública.
- Una subred para la interfaz de syslog.
- El grupo de seguridad que da a los administradores acceso SSH a la instancia del dispositivo de integración de Sophos.
Los detalles de configuración de red completados se parecen a este ejemplo:
-
En Configuración de instancia de EC2, introduzca la clave SSH necesaria para acceder a la instancia de EC2 del dispositivo de integración de Sophos y haga clic en Siguiente.
Nota
Creó y guardó este par de claves SSH anteriormente.
-
En la página Configurar opciones de la pila, acepte la configuración predeterminada de AWS o realice cambios si así lo desea. Haga clic en Enviar.
La plantilla de CloudFormation selecciona automáticamente las regiones y AMI correctas en función de la región de AWS de la cuenta que utilizó para cargar la plantilla.
Espere a que se cree el dispositivo de integración de Sophos. Esto puede tardar cinco o seis minutos.
Editar los grupos de seguridad
Debe editar los grupos de seguridad de AWS. Esto le permite realizar estos cambios:
- Permitir que el tráfico syslog vaya al dispositivo.
- Dar acceso a Sophos Appliance Manager.
Para editar grupos de seguridad, haga lo siguiente:
-
En AWS, vaya a los detalles de seguridad del dispositivo de integración de Sophos.
Para ello, introduzca el nombre del dispositivo en la barra de búsqueda de la consola de AWS. Cuando lo encuentre, seleccione la pestaña EC2 y haga clic en la instancia Dispositivo de integración de Sophos.
-
En la página Resumen de instancias, desplácese hacia abajo hasta las páginas con pestañas y seleccione la pestaña Seguridad.
-
Busque el grupo
InternalSyslogSG
e introduzca la fuente desde la que desea permitir el tráfico para la recopilación de registros. -
Busque el grupo de seguridad
InternalMgmtSG
. La plantilla de CloudFormation lo ha creado. Añada a sus administradores al grupo y proporcióneles acceso al puerto 8443 en Regla de entrada.
Antes de poder usar Sophos Appliance Manager, también necesita establecer una contraseña.
Establecer una contraseña para Sophos Appliance Manager
El nombre de usuario de Sophos Appliance Manager es zadmin
. Para establecer la contraseña, haga lo siguiente:
- En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Configurado.
-
Vaya a la pestaña Dispositivos de integración.
-
Busque el dispositivo. En la columna de la derecha, haga clic en los tres puntos y seleccione Abrir Appliance Manager.
-
En el cuadro de diálogo de confirmación, haga clic en Restablecer.
Cualquier otro administrador que desee usar Appliance Manager también debe establecer una contraseña.
Ha terminado de desplegar el dispositivo.
La integración queda completada. Puede supervisar el estado y la actividad del dispositivo en Sophos Appliance Manager.