Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=ADAuditPlus

ManageEngine ADAudit Plus

Recopilador de registros

Debe tener el paquete de licencia de integración "Identity" para utilizar esta función.

Puede integrar ADAudit Plus con Sophos Central para que envíe datos sobre la actividad relacionada con la seguridad a Sophos.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo. El dispositivo recibe datos de terceros y los envía a Sophos Data Lake.

Nota

Puede añadir varias instancias de ADAudit Plus al mismo dispositivo.

Para ello, configure la integración de ADAudit Plus en Sophos Central y, a continuación, configure una instancia de ADAudit Plus para que le envíe registros. Luego, configure las demás instancias de ADAudit Plus para enviar registros al mismo dispositivo de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Estos son los pasos clave:

  • Configurar una integración para este producto. Esto configura una imagen para usarla en una VM.
  • Descargar y desplegar la imagen en su VM. Esto se convierte en su dispositivo.
  • Configurar ADAudit Plus para enviar datos al dispositivo.

Requisitos

Los dispositivos tienen requisitos de acceso de sistema y de red. Para comprobar que los cumple, consulte Requisitos del dispositivo .

Configurar una integración

Para integrar ADAudit Plus con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.

  2. Haga clic en ADAudit Plus.

    Se abre la página ADAudit Plus. Puede configurar integraciones aquí y ver una lista de cualquiera que ya haya configurado.

  3. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de configuración de la integración.

Configurar la VM

En Pasos de configuración de la integración, configure su VM como dispositivo para recibir los datos de ADAudit Plus. Puede utilizar una máquina virtual existente o crear una nueva.

Para configurar la VM, haga lo siguiente:

  1. Añada un nombre y una descripción para la nueva integración.

  2. Introduzca un nombre y una descripción para el dispositivo.

    Si ya ha configurado un dispositivo de Sophos, puede elegirlo de una lista.

  3. Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.

  4. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de gestión para la VM.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  5. Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.

    Necesitará esta dirección IP de syslog más tarde, cuando configure ADAudit Plus para que envíe datos a su dispositivo.

  6. Seleccione un Protocolo.

    Debe utilizar el mismo protocolo cuando configure ADAudit Plus para enviar datos al dispositivo.

  7. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    En los detalles de integración, puede ver el número de puerto del dispositivo. Necesitará esto más tarde cuando configure ADAudit Plus para que le envíe datos.

    La imagen de VM puede tardar unos minutos en estar lista.

Implementar la VM

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen de VM para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar una VM para integraciones.

Configurar ADAudit Plus

Ahora configure ADAudit Plus para enviar los datos de auditoría a su dispositivo.

Para ello, haga lo siguiente:

  1. En la ventana principal, haga clic en la ficha Administración.
  2. Seleccione Integración de SIEM.
  3. Seleccione Activar reenvío de datos de ADAudit Plus.
  4. Seleccione ArcSight.
  5. Introduzca el nombre del dispositivo en el nombre de Servidor ArcSight/CEF.
  6. Elija TCP como protocolo preferido.

  7. Introduzca el número de puerto del dispositivo.

    Debe introducir la misma configuración de puertos y protocolos que introdujo en Sophos Central al añadir la integración.

  8. Guarde la configuración y elija las categorías que desea reenviar.

Para obtener más información, consulte Integración de SIEM.