Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integrar Veeam Backup & Replication

Debe tener el paquete de licencia de integración de Copia de seguridad y recuperación para utilizar esta función.

Debe tener Veeam Backup & Replication versión 12.1 o posterior.

Puede integrar Veeam Backup & Replication con Sophos Central para que envíe eventos a Sophos para su análisis.

Esta integración solo se puede desplegar localmente.

La integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo de integración. El dispositivo recibe datos de terceros y los envía a Sophos Data Lake.

En esta página se describe la integración mediante un dispositivo en ESXi o Hyper-V. Si desea integrar con un dispositivo en AWS, consulteIntegraciones en AWS.

Pasos clave

Los pasos clave de una integración son los siguientes:

  • Añadir una integración para el producto. En este paso, se crea una imagen del dispositivo.
  • Descargar y desplegar la imagen en su VM. Esto se convierte en su dispositivo.
  • Configurar Veeam para enviar datos al dispositivo.
  • Obtener datos adicionales de Veeam. Esto utiliza la función de doble validación y es opcional.

Requisitos

Los dispositivos de Sophos tienen requisitos de acceso de sistema y de red. Para comprobar que los cumple, consulte Requisitos del dispositivo .

Añadir una integración

Para integrar Veeam con Sophos Central, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
  2. Haga clic en Veeam Backup & Replication.

    Se abre la página Veeam Backup & Replication. Puede añadir integraciones aquí y ver una lista de cualquiera que ya haya añadido.

  3. En Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Nota

    Si es la primera integración que añade, le pediremos detalles de sus direcciones IP y dominios internos. Consulte Mis direcciones IP y dominios.

    Aparece Pasos de configuración de la integración.

Configurar el dispositivo

En Pasos de configuración de la integración, puede configurar un nuevo dispositivo o utilizar uno existente.

Asumimos aquí que va a configurar un nuevo dispositivo. Para ello, cree una imagen de la siguiente manera:

  1. Añada un nombre y una descripción para la nueva integración.
  2. Haga clic en Crear un nuevo dispositivo.
  3. Introduzca un nombre y una descripción para el dispositivo.
  4. Seleccione la plataforma virtual. Actualmente, admitimos VMware ESXi 6.7 Update 3 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.
  5. Especifique la configuración IP para los puertos de red conectados a Internet. Esto configura la interfaz de administración para el dispositivo.

    • Seleccione DHCP para asignar la dirección IP automáticamente.

      Nota

      Si selecciona DHCP, debe reservar la dirección IP.

    • Seleccione Manual para especificar la configuración de la red.

  6. Seleccione la versión de IP de Syslog e introduzca la dirección IP de Syslog.

    Necesitará esta dirección IP de syslog más tarde, cuando configure Veeam para que envíe datos a su dispositivo.

  7. Seleccione un Protocolo.

    Debe utilizar el mismo protocolo cuando configure Veeam para enviar datos al dispositivo.

  8. Haga clic en Guardar.

    Creamos la integración y aparece en la lista.

    En los detalles de integración, puede ver el número de puerto del dispositivo. Necesitará esto más tarde cuando configure Veeam para que le envíe datos.

    La imagen del dispositivo puede tardar unos minutos en estar lista.

Desplegar el dispositivo

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar otra VM, debe volver a crear un archivo OVA en Sophos Central.

Utilice la imagen para desplegar el dispositivo de la siguiente manera:

  1. En la lista de integraciones, en Acciones, haga clic en la acción de descarga de la plataforma, por ejemplo, Descargar OVA para ESXi.
  2. Cuando finalice la descarga de la imagen, despliéguela en la VM. Consulte Desplegar un dispositivo.

Configurar Veeam

Ahora puede configurar Veeam Backup & Replication para que nos envíe datos.

Nota

Puede configurar varias instancias de Veeam para enviar datos a Sophos a través del mismo dispositivo. Una vez finalizada la integración, repita los pasos de esta sección para sus otras instancias de Veeam. No es necesario que repita los pasos en Sophos Central.

Para configurar el reenvío de eventos a través de syslog, haga lo siguiente:

  1. Abra la consola de Veeam Backup & Replication.
  2. En el menú principal, seleccione Opciones.

    Menú principal de la consola Veeam.

  3. En la página Opciones, seleccione la pestaña Reenvío de eventos.

    Página Opciones de Veeam.

  4. En la sección Servidores de syslog, haga clic en Añadir.

    Opciones de reenvío de eventos de Veeam.

  5. En Añadir servidor de syslog, haga lo siguiente.

    1. En Servidor, introduzca la IP y el puerto del servidor (por defecto es 514).
    2. En Transporte, introduzca el protocolo de transporte de red: UDP, TCP o TLS.
    3. Haga clic en Aceptar.

    Debe introducir la misma dirección IP y protocolo que introdujo en Sophos Central al añadir la integración.

    Cuadro de diálogo Añadir servidor de syslog.

  6. En la pestaña Reenvío de eventos, haga clic en Aceptar.

Obtener datos adicionales de Veeam

Para obtener datos sobre eventos adicionales de Veeam, le recomendamos que active la autorización de doble validación de Veeam.

La autorización de doble validación requiere que obtenga autorización adicional de otros administradores para acciones que puedan afectar a datos confidenciales, por ejemplo, eliminar copias de seguridad. Si activa la función, los detalles de estos eventos de autorización se envían a Sophos para su análisis.

Antes de activar la autorización de doble validación, compruebe que cumple con los requisitos:

  • Necesita al menos dos usuarios con el rol Administrador de copia de seguridad de Veeam. El rol se puede asignar a los usuarios o a un grupo del que sean miembros.
  • Debe configurar las notificaciones por correo electrónico para los administradores. Veeam puede enviar solicitudes a los administradores para aprobar acciones. Consulte Establecer la configuración global de las notificaciones por correo electrónico.

Para activar la autorización de doble validación, haga lo siguiente:

  1. Abra la consola de Veeam Backup & Replication.
  2. En el menú principal, seleccione Usuarios y roles.
  3. Vaya a la pestaña Autorización y haga lo siguiente:

    1. Seleccione Requerir aprobación adicional para operaciones sensibles.
    2. Especifique el periodo de tiempo durante el cual la operación solicitada debe ser aprobada o rechazada (mínimo 1 día, máximo 30).
    3. Haga clic en Aceptar.

    Pestaña Autorización de Veeam en la página Usuarios y roles.

Más información