Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Malwarebytes Endpoint Protection

Recopilador de registros

Esta función puede que todavía no esté disponible para todos los clientes.

Puede integrar Malwarebytes Endpoint Protection con Sophos Central para que envíe datos a Sophos para analizarlos.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo. El dispositivo recibe datos de terceros y los envía a Sophos Data Lake.

Nota

Puede añadir varias instancias de Malwarebytes Endpoint Protection al mismo dispositivo.

Para ello, configure la integración de Malwarebytes Endpoint Protection en Sophos Central y, a continuación, configure una instancia para que le envíe registros. Luego, configure las demás instancias de Malwarebytes Endpoint Protection para enviar registros al mismo dispositivo de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Estos son los pasos clave:

  • Configurar una integración para este producto. Esto configura una imagen para usarla en una VM.
  • Descargar y desplegar la imagen en su VM. Esto se convierte en su dispositivo.
  • Configurar Malwarebytes Endpoint Protection para enviar datos al dispositivo.

Requisitos

Los dispositivos tienen requisitos de acceso de sistema y de red. Para comprobar que los cumple, consulte Requisitos del dispositivo .

Configurar una integración

Para integrar Malwarebytes Endpoint Protection con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
  2. Haga clic en Malwarebytes Endpoint Protection.

    Se abre la página Malwarebytes Endpoint Protection. Puede configurar integraciones aquí y ver una lista de cualquiera que ya haya configurado.

  3. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de integración.

Configurar la VM

En Pasos de configuración de la integración, configure su VM como dispositivo para recibir los datos de Endpoint Protection. Puede utilizar una máquina virtual existente o crear una nueva.

Para configurar la VM, haga lo siguiente:

  1. Añada un nombre y una descripción para la nueva integración.
  2. Introduzca un nombre y una descripción para el dispositivo.

    Si ya ha configurado un dispositivo de Sophos, puede elegirlo de una lista.

  3. Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.

  4. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de gestión para la VM.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  5. Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.

    Necesitará esta dirección IP de syslog más tarde, cuando configure Endpoint Protection para que envíe datos a su dispositivo.

  6. Seleccione un Protocolo.

    Debe utilizar el mismo protocolo cuando configure Endpoint Protection para enviar datos al dispositivo.

  7. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    En los detalles de integración, puede ver el número de puerto del dispositivo. Necesitará esto más tarde cuando configure Endpoint Protection para que le envíe datos.

    La imagen de VM puede tardar unos minutos en estar lista.

Implementar la VM

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen de VM para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar una VM para integraciones.

Configurar Malwarebytes Endpoint Protection

Malwarebytes Endpoint Protection obtiene los datos de eventos y los reenvía de la siguiente manera:

  • Las estaciones informan de la detección de amenazas, la cuarentena y otros eventos a Malwarebytes Endpoint Protection.
  • Una estación de comunicación de Syslog de Malwarebytes extrae eventos de Malwarebytes Endpoint Protection.
  • La estación de comunicación reenvía los eventos al servidor de Syslog en formato CEF.

El dispositivo actúa como servidor de Syslog.

Antes de empezar

Necesita lo siguiente:

  • Una suscripción o evaluación activa para uno de los siguientes productos de la plataforma Malwarebytes Endpoint Protection:

    • Malwarebytes Endpoint Detection and Response
    • Malwarebytes Endpoint Protection
    • Malwarebytes Incident Response
  • Dirección IP del dispositivo.

  • Acceso a la red entre una de sus estaciones de comunicación de Syslog de Malwarebytes y un servidor de Syslog o SIEM. Por defecto, se utiliza TCP en el puerto 514.

Configuración

  1. Vaya a Configuración > Registro de Syslog.
  2. Haga clic en Añadir > Configuración de Syslog.
  3. Rellene la siguiente información sobre su dispositivo:

    • Dirección IP/Host: Dirección IP o nombre de host de la máquina virtual.
    • Puerto: Puerto en la máquina virtual.
    • Protocolo: Elija el protocolo TCP o UDP.

      Debe introducir la misma configuración que introdujo en Sophos Central al añadir la integración.

    • Gravedad: Seleccione una Gravedad de la lista. Esto determina la gravedad de todos los eventos de Malwarebytes enviados a Syslog.

    • Intervalo de comunicación: Determina la frecuencia con la que la estación de comunicación recopila datos de Syslog del servidor de Malwarebytes, en minutos.

    Si la estación no puede ponerse en contacto con Malwarebytes, almacenará en el búfer los datos recogidos durante las 24 horas anteriores. Los datos con más de 24 horas de antigüedad no se envían.

  4. Haga clic en Guardar.

  5. Vaya a Estaciones de trabajo.
  6. Haga clic en su máquina virtual.

En la sección Información del agente, verá el número de versión de SIEM. Esto confirma que el complemento de SIEM está activo en la estación.

La estación envía los datos al dispositivo. Deberían aparecer en Sophos Data Lake después de la validación.

Cambiar la configuración de Syslog

Si necesita cambiar el dispositivo, haga lo siguiente:

  1. Vaya a Configuración > Registro de Syslog.
  2. Haga clic en Eliminar para rebajar el nivel de la máquina virtual.
  3. Haga clic en Añadir para promocionar una nueva máquina virtual. Consulte los pasos en la sección Configuración.

Puede rebajar el nivel de una estación de comunicación temporalmente mediante el botón Activar/Desactivar. Descender de categoría una estación de comunicación de forma temporal puede ser útil a la hora de solucionar problemas con la configuración de Syslog.