Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=aryaka

Intégrer Aryaka

Les clients MSP Flex doivent disposer du pack de licence d’intégrations Network pour utiliser cette fonction.

Vous pouvez intégrer Aryaka à Sophos Central afin de lui permettre d’envoyer des alertes à Sophos pour analyse.

Les étapes essentielles sont les suivantes :

  • Ajouter une intégration pour ce produit. À cette étape, vous créez une image de l’appliance.
  • Télécharger et déployer l’image sur une machine virtuelle. Cela devient votre appliance.
  • Configurer Aryaka pour qu’il envoie des données à l’appliance.

Ajouter une intégration

Pour ajouter l’intégration, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.

  2. Cliquez sur Aryaka.

    La page Aryaka s’ouvre. Vous pouvez ajouter les intégrations et voir une liste de celles que vous avez déjà ajoutées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Fournir les détails de votre domaine et de votre adresse IP.

Les Étapes de configuration de l’intégration s’affichent.

Configurer l’appliance

Dans les Étapes de configuration de l’intégration, vous pouvez configurer une nouvelle appliance ou utiliser une appliance existante.

Nous supposons ici que vous configurez une nouvelle appliance. Pour ce faire, créez une image comme suit :

  1. Saisissez le nom de domaine et sa description.
  2. Cliquez sur Créer une nouvelle appliance.
  3. Saisissez le nom et la description de l’appliance.
  4. Sélectionnez la plate-forme virtuelle. Actuellement, nous prenons en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.

  5. Spécifiez les paramètres IP pour les Ports du réseau connecté à Internet. Cette opération configure l’interface de gestion de l’appliance.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

  6. Sélectionnez la Version IP syslog et saisissez l’Adresse IP syslog.

    Vous aurez besoin de l’adresse IP syslog lorsque vous configurerez Aryaka pour qu’il envoie des données à votre appliance.

  7. Dans Protocole, TCP est présélectionné. Ce paramètre ne peut pas être modifié.

    Lorsque vous configurerez Aryaka pour qu’il envoie des données à votre appliance, assurez-vous qu’il utilise le même protocole.

  8. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste.

    Dans les détails d’intégration, vous pouvez voir le numéro de port de l’appliance. Vous aurez besoin de cette information lorsque vous configurerez Aryaka pour qu’il lui envoie des données.

    L’image de l’appliance sera prête au téléchargement en l’espace de quelques minutes.

Déployer l’appliance

Restriction

Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une autre machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.

Utilisez l’image pour déployer l’appliance comme suit :

  1. Dans la liste des intégrations, dans Actions, cliquez sur l’action de téléchargement de votre plate-forme, par exemple Télécharger la version OVA pour ESXi.
  2. Une fois le téléchargement de l’image terminé, déployez-la sur votre machine virtuelle. Voir Déployer des appliances.

Configurer Aryaka

Pour configurer Aryaka pour qu’il envoie des données à l’appliance, procédez de la manière suivante.

  1. Connectez-vous à MyAryaka.
  2. Dans le menu supérieur, cliquez sur Config.
  3. Dans le menu de gauche, cliquez sur Sécurité.
  4. Cliquez sur la tuile SIEM.
  5. Cliquez sur Ajouter une configuration SIEM.

  6. Dans le volet Détails SIEM, saisissez le nom et la description de la connexion.

    Fonctionnalité du fournisseur est défini par défaut sur Générique et ne peut pas être modifié.

  7. Sur le volet Détails de connexion, procédez de la manière suivante :

    1. Cliquez sur la liste déroulante Méthode de transport des journaux SIEM et sélectionnez Port réseau.
    2. Veuillez saisir l'adresse IP syslog que vous avez configurée précédemment.
    3. Cliquez sur la liste déroulante Protocole et sélectionnez TCP.

    4. Dans le champ Port Number, saisissez le port d'écoute pour la connexion que vous avez configuré précédemment.

      Si vous ne saisissez rien, Aryaka lui attribuera par défaut le numéro de port 443.

  8. Dans le volet Types de journaux, vous pouvez choisir quels journaux à envoyer à Sophos. Saisissez les options suivantes :

    • Journal de sécurité - Envoyez les journaux de votre service Aryaka SmartSecure NGFW-SWG Les journaux incluent des informations provenant des moteurs de sécurité SASE et non SASE.
    • Journaux d'événements IPS - Envoyez les journaux de votre service IPS Aryaka SmartSecure: Cette option n'est affichée que si vous souscrivez au service complémentaire Aryaka SmartSecure IPS.
    • Journaux de flux - Envoyer des journaux depuis votre service SD-WAN Les journaux contiennent des informations de base sur la connexion et des statistiques concernant le trafic. Ces journaux ne contiennent pas de détails sur le moteur de sécurité.
    • Journaux d'accès privés - Envoyez les journaux de votre service d'accès privé: Cette option n'est affichée que si au moins une région d'accès privé est activée.

  9. Cliquez sur Envoyer.

    Un message vous avertit que vous ne pouvez pas modifier la configuration SIEM avant que l'équipe de support d’Aryaka ait terminé la configuration.

  10. Cliquez sur OK.

    Un message confirme que la demande a été envoyée. État est défini sur Approvisionnement.

Une fois la demande de changement terminée, la page SIEM ( Config > Sécurité > SIEM ) affiche une mosaïque avec le nom du SIEM, le type de fournisseur Générique et le statut Configuré.

Aryaka envoie désormais tous les types de journaux que vous avez sélectionnés à Sophos.