Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Malwarebytes Endpoint Protection

Recopilador de registros

Esta función puede que todavía no esté disponible para todos los clientes.

Puede integrar Malwarebytes Endpoint Protection con Sophos Central para que envíe datos a Sophos para analizarlos.

Esta integración utiliza un recopilador de registros en una máquina virtual (VM). El recopilador de registros recibe datos de terceros y los envía a Sophos Data Lake.

Nota

Puede añadir varias instancias de Malwarebytes Endpoint Protection al mismo recopilador de registros.

Para ello, configure la integración de Malwarebytes Endpoint Protection en Sophos Central y, a continuación, configure una instancia para que le envíe registros. Luego, configure las demás instancias de Malwarebytes Endpoint Protection para enviar registros al mismo recopilador de registros de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Los pasos clave para añadir una integración son los siguientes:

  • Añadir una integración para el producto. Esto configura un archivo de dispositivo virtual abierto (OVA).
  • Desplegar el archivo OVA en el servidor ESXi. Esto se convierte en su recopilador de registros.
  • Configurar Malwarebytes Endpoint Protection para enviar datos al recopilador de registros.

Añadir una integración

Para integrar Malwarebytes Endpoint Protection con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas y haga clic en Integraciones.
  2. Haga clic en Malwarebytes Endpoint Protection.

    Si ya ha configurado conexiones con Malwarebytes Endpoint Protection, puede verlas aquí.

  3. Haga clic en Añadir una integración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de integración.

Configurar la VM

En Pasos de integración configurará una VM para recibir los datos de Malwarebytes Endpoint Protection. Puede utilizar una máquina virtual existente o crear una nueva.

Para configurar la VM, haga lo siguiente:

  1. Añada un nombre y una descripción para la nueva integración.
  2. Introduzca un nombre y una descripción para la VM.
  3. Seleccione la plataforma virtual. (Actualmente solo ofrecemos soporte para VMware).
  4. Especifique los puertos de red conectados a Internet.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

    Necesitará la dirección de la máquina virtual más tarde, cuando configure Malwarebytes Endpoint Protection para que le envíe datos.

  5. Seleccione un Protocolo.

  6. Rellene los campos restantes del formulario.
  7. Haga clic en Guardar.

    Creamos la integración y aparece en la lista. El archivo OVA puede tardar unos minutos en descargarse.

Implementar la VM

Restricción

El archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Una vez desplegado, no se puede volver a utilizar.

Si tiene que desplegar una VM nueva, deberá volver a realizar todos estos pasos para vincular esta integración con Sophos Central.

Utilice el archivo OVA para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en Descargar OVA.
  2. Cuando finalice la descarga del archivo OVA, despliéguelo en el servidor ESXi. Un asistente le guiará durante el proceso. Consulte Desplegar una VM para integraciones.

Cuando haya desplegado la VM, la integración se mostrará como Conectada.

Configurar Malwarebytes Endpoint Protection

Malwarebytes Endpoint Protection obtiene los datos de eventos y los reenvía de la siguiente manera:

  • Las estaciones informan de la detección de amenazas, la cuarentena y otros eventos a Malwarebytes Endpoint Protection.
  • Una estación de comunicación de Syslog de Malwarebytes extrae eventos de Malwarebytes Endpoint Protection.
  • La estación de comunicación reenvía los eventos al servidor de Syslog en formato CEF.

El recopilador de registros actúa como servidor de Syslog.

Antes de empezar

Necesita lo siguiente:

  • Una suscripción o evaluación activa para uno de los siguientes productos de la plataforma Malwarebytes Endpoint Protection:
    • Malwarebytes Endpoint Detection and Response
    • Malwarebytes Endpoint Protection
    • Malwarebytes Incident Response
  • La dirección IP de la máquina virtual.
  • Acceso a la red entre una de sus estaciones de comunicación de Syslog de Malwarebytes y un servidor de Syslog o SIEM. Por defecto, se utiliza TCP en el puerto 514.

Configuración

  1. Vaya a Configuración > Registro de Syslog.
  2. Haga clic en Añadir > Configuración de Syslog.
  3. Rellene la siguiente información sobre la máquina virtual:

    • Dirección IP/Host: Dirección IP o nombre de host de la máquina virtual.
    • Puerto: Puerto en la máquina virtual.
    • Protocolo: Elija el protocolo TCP o UDP.
    • Gravedad: Seleccione una Gravedad de la lista. Esto determina la gravedad de todos los eventos de Malwarebytes enviados a Syslog.
    • Intervalo de comunicación: Determina la frecuencia con la que la estación de comunicación recopila datos de Syslog del servidor de Malwarebytes, en minutos.

    Si la estación no puede ponerse en contacto con Malwarebytes, almacenará en el búfer los datos recogidos durante las 24 horas anteriores. Los datos con más de 24 horas de antigüedad no se envían.

  4. Haga clic en Guardar.

  5. Vaya a Estaciones de trabajo.
  6. Haga clic en su máquina virtual.

En la sección Información del agente, verá el número de versión de SIEM. Esto confirma que el complemento de SIEM está activo en la estación.

La estación envía los datos al recopilador de registros. Deberían aparecer en Sophos Data Lake después de la validación.

Cambiar la configuración de Syslog

Si necesita cambiar el recopilador de registros, haga lo siguiente:

  1. Vaya a Configuración > Registro de Syslog.
  2. Haga clic en Eliminar para rebajar el nivel de la máquina virtual.
  3. Haga clic en Añadir para promocionar una nueva máquina virtual. Consulte los pasos en la sección Configuración.

Puede rebajar el nivel de una estación de comunicación temporalmente mediante el botón Activar/Desactivar. Descender de categoría una estación de comunicación de forma temporal puede ser útil a la hora de solucionar problemas con la configuración de Syslog.