Appliances NDR
Les appliances d'intégration Sophos Network Detection and Response (NDR) peuvent recevoir des données de Sophos NDR ou de produits tiers via des exportations syslog, puis les transférer au Data Lake Sophos pour analyse.
Pour voir vos appliances NDR, allez dans NDR > Appliances. Vous êtes redirigé vers l'onglet Appliances d'intégration de la page Intégrations configurées.
Pour obtenir de l'aide sur la configuration de NDR, y compris la création d'une appliance d'intégration de NDR, consultez Sophos NDR sur ESXi ou Hyper-V ou Sophos NDR sur AWS.
Retrouvez plus de renseignements sur la configuration requise de l’appliance Sophos sur Exigences relatives à l’appliance.
Liste des appliances d’intégration
La liste affiche toutes vos appliances d'intégration. Il peut s'agir d’appliances pour NDR, d'intégrations de produits tiers ou des deux.
La liste affiche les informations suivantes :
- Intégrations : Nombre d'intégrations NDR ou de produits tiers utilisant l'appliance.
- Processeur : Activités du processeur.
- Mémoire : Utilisation de la mémoire.
- Stockage 1 : Le lecteur principal.
- Stockage 2 : Le lecteur de données.
- Type : Plate-forme virtuelle.
- Protocole réseau : Paramètres du réseau connecté à Internet. DHCP ou Manuel.
- Adresse IP syslog
- Journal demandé : Indique si vous avez envoyé une demande de Collecte de journaux.
Afficher les intégrations
Vous pouvez afficher les intégrations hébergées sur chaque appliance.
Dans la liste appliances d'intégration, cliquez sur la flèche en regard du nom d'une appliance. Les intégrations hébergées sur cette appliance sont ensuite répertoriées avec leurs détails. L'exemple ci-dessous montre une appliance NDR.
- Nom d’intégration
- Éditeur : Sophos ou un fournisseur tiers.
- Protocole : NDR.
- Port
- Type de configuration : Le type d'intégration que vous avez configuré. Ingestion de données ou Actions de réponse.
- Désactivé/Activé
Pour modifier ou supprimer l'intégration, cliquez sur les trois points dans la colonne la plus à droite .
Ajouter un appareil
Vous pouvez ajouter une appliance d'intégration dans le cadre de la configuration d'une intégration NDR ou tierce. Retrouvez des instructions pour chaque produit sur Intégrations.
Vous pouvez également ajouter une appliance à partir de l'onglet Appliances d’intégration. Ceci crée une image que vous pouvez déployer sur votre réseau virtuel.
- Allez dans Centre d’analyse des menaces > Intégrations > Configuré et sélectionnez l’onglet Appliances d’intégration.
-
Cliquez sur Ajouter une appliance.
-
Configurez l’appliance de la manière suivante :
- Saisissez un Nom et une Description.
- Sélectionnez la Plate-forme virtuelle. VMware ESXi, Microsoft Hyper-V ou AWS.
-
Indiquez les Paramètres des ports du réseau connecté à Internet. Cette opération configure l’interface de gestion.
-
Sélectionnez DHCP pour assigner automatiquement l’adresse IP.
Remarque
Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.
-
Sélectionnez Manuel pour spécifier les paramètres réseau.
-
-
Cliquez sur Enregistrer.
-
Recherchez le nouvel appareil dans la liste des appareils. Si vous passez le curseur sur le nom, vous verrez « En attente de déploiement ».
-
Attendez que l’image soit créée. L’opération peut prendre jusqu’à 5 minutes.
-
Dans la colonne la plus à droite, cliquez sur le menu à trois points (ellipse) et sélectionnez Télécharger l’image.
Déployez maintenant l’image sur votre environnement virtuel. Voir Déployer une appliance.
Lorsque vous configurerez une intégration plus tard, vous pourrez sélectionner cette appliance pour l'héberger.