Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Trend Micro Apex Central

Recopilador de registros

Puede integrar Apex Central con Sophos Central para que envíe los datos de auditoría a Sophos para analizarlos.

Esta integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se les denomina recopilador de datos. El recopilador de datos recibe datos de terceros y los envía a Sophos Data Lake.

Nota

Puede añadir varias instancias de Apex Central al mismo recopilador de datos.

Para ello, configure la integración de Apex Central en Sophos Central y, a continuación, configure una instancia de Apex Central para que le envíe registros. Luego, configure las demás instancias de Apex Central para enviar registros al mismo recopilador de datos de Sophos.

No es necesario repetir la parte de la configuración de Sophos Central.

Los pasos clave para añadir una integración son los siguientes:

  • Añadir una integración para el producto. Esto configura un archivo de dispositivo virtual abierto (OVA).
  • Desplegar el archivo OVA en el servidor ESXi. Esto se convierte en su recopilador de datos.
  • Configurar Apex Central para enviar datos al recopilador de datos.

Añadir una integración

Para integrar Apex Central con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas y haga clic en Integraciones.
  2. Haga clic en Trend Micro Apex Central.

    Si ya ha configurado conexiones con Apex Central, puede verlas aquí.

  3. Haga clic en Añadir.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de integración.

Configurar la VM

En Pasos de configuración de la integración configurará una VM para recibir los datos de Apex Central. Puede utilizar una máquina virtual existente o crear una nueva.

Para configurar la VM, haga lo siguiente:

  1. Añada un nombre y una descripción para la nueva integración.
  2. Introduzca un nombre y una descripción para el recopilador de datos.

    Si ya ha configurado una integración de recopilador de datos, puede elegirla de una lista.

  3. Seleccione la plataforma virtual. (Actualmente solo ofrecemos soporte para VMware).

  4. Especifique los puertos de red conectados a Internet.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

    Necesitará la dirección de la máquina virtual más tarde, cuando configure Apex Central para que le envíe datos.

  5. Seleccione un Protocolo.

  6. Rellene los campos restantes del formulario.
  7. Haga clic en Guardar.

    Creamos la integración y aparece en la lista. El archivo OVA puede tardar unos minutos en descargarse.

Implementar la VM

Restricción

El archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Una vez desplegado, no se puede volver a utilizar.

Si tiene que desplegar una VM nueva, deberá volver a realizar todos estos pasos para vincular esta integración con Sophos Central.

Utilice el archivo OVA para desplegar la VM. Para ello, haga lo siguiente:

  1. En la lista de integraciones, en Acciones, haga clic en Descargar OVA.
  2. Cuando finalice la descarga del archivo OVA, despliéguelo en el servidor ESXi. Un asistente le guiará durante el proceso. Consulte Desplegar una VM para integraciones.

Cuando haya desplegado la VM, la integración se mostrará como Conectada.

Configurar Apex Central

Ahora configure Apex Central para enviar los datos de auditoría a la VM, de la siguiente manera:

  1. Vaya a Detecciones > Notificaciones > Configuración del método de notificación.
  2. En la sección Configuración de Syslog, introduzca lo siguiente:

    • Dirección IP del servidor: Escriba la dirección IPv6 o IPv4 del servidor de Syslog.
    • Puerto: El número de puerto del servidor de Syslog.
    • Recurso: Seleccione el código del recurso.
  3. Haga clic en Guardar.

Activar el reenvío de Syslog

Utilizamos el reenvío de Syslog para enviar datos al recopilador de datos de Sophos.

Para reenviar el tráfico de Syslog, haga lo siguiente:

  1. Inicie sesión en la consola de Apex Central utilizando una cuenta de administrador.
  2. Vaya a Administración > Configuración > Configuración de Syslog.
  3. Seleccione Activar reenvío de Syslog.
  4. Configure las siguientes opciones:

    • Dirección de servidor: FQDN o dirección IP de la VM que aloja el recopilador de datos de Sophos.
    • Puerto: Introduzca el número de puerto del recopilador de datos de Sophos.
    • Protocolo: Seleccione TCP o UDP. Elija el mismo que ha configurado para el recopilador de datos.
  5. Seleccione CEF como formato de registro.

  6. Seleccione los tipos de registro que desea reenviar:

    1. Seleccione una categoría de registro en la lista desplegable Tipo de registro:

      • Registros de seguridad
      • Información del producto
    2. Seleccione las casillas de los registros que desea reenviar. Apex Central muestra el número total de tipos de registro seleccionados junto a la lista Tipo de registro.

    3. Puede seleccionar otra categoría de registro en la lista desplegable Tipo de registro.
  7. Haga clic en Probar conexión para probar la conexión con el servidor. El estado de conexión del servidor de Syslog aparece en la parte superior de la pantalla.

  8. Haga clic en Guardar.

    Apex Central comienza a reenviar los registros a su recolector de datos. Los datos deberían aparecer en Sophos Data Lake después de la validación.

    Para supervisar el estado del reenvío de registros, vaya a Administración > Seguimiento de comandos y seleccione Reenviar Syslog en la lista desplegable Comando.

Más información