Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=integrations-on-aws

Ajouter des intégrations sur AWS

Vous pouvez intégrer des produits tiers à Sophos Central en déployant une appliance d’intégration Sophos sur AWS.

L’appliance héberge un collecteur de journaux qui utilise syslog pour recevoir des alertes du produit tiers et les transmettre à Sophos.

Cette page vous explique comment configurer et déployer une appliance sur AWS. Les étapes s’appliquent à tout produit tiers que vous souhaitez intégrer, à condition que le produit soit hébergé sur AWS.

Remarque

Vous pouvez également intégrer Sophos Network Detection and Response (NDR) à l’aide d’AWS. Voir NDR sur AWS.

Conditions requises

Pour déployer une appliance dans AWS, vous devez répondre aux exigences suivantes :

  • Un compte AWS. Votre produit tiers doit être hébergé sur AWS et vous devez déployer l’appliance sur le même compte AWS.
  • Un compte Sophos Central avec une licence XDR ou MDR.
  • Un forfait de licences d’intégration Sophos pour le type de produit que vous souhaitez intégrer, par exemple, le pare-feu.
  • Des instances EC2. Les types pris en charge sont c5n.2xlarge, c6i.4xlarge, c7i.16xlarge (virtualisation Nitro).
  • Un VPC, des sous-réseaux et des Zones de disponibilité. Vous pouvez utiliser ceux que vous avez déjà à disposition.
  • Un groupe de sécurité pour SSH.
  • Au moins une adresse IP élastique allouée à l’interface de gestion.

Remarque

Si vous n’êtes pas sûr du forfait de licences dont vous avez besoin, allez dans Centre d’analyse des menaces > Intégrations > Marketplace. La mosaïque de votre produit affiche le type de licence requis.

Procédez comme suit :

  • Créez et enregistrez votre clé privée ssh pour le compte AWS.

Étapes clés

Les étapes essentielles sont les suivantes :

  • Créez un modèle CloudFormation pour votre appliance.
  • Téléchargez le modèle CloudFormation.
  • Abonnez-vous à « Sophos Integration Appliance » dans AWS.
  • Créez une pile.
  • Modifiez les groupes de sécurité AWS.
  • Définissez un mot de passe pour le Gestionnaire d’appliances.

Créer un modèle CloudFormation

Créez un modèle CloudFormation (CFT) pour votre appliance comme suit :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Trouvez le produit tiers que vous souhaitez intégrer et cliquez dessus.

  3. Sur la page des intégrations, dans Ingestion de données (Alertes de sécurité), cliquez sur Ajouter une configuration.

    Page d’intégration pour votre produit.

  4. Dans Étapes de configuration de l’intégration, saisissez le nom et la description de l’intégration.

  5. Cliquez sur Créer une nouvelle appliance.
  6. Saisissez le nom et la description de l’appliance.

  7. Dans Plate-forme virtuelle, sélectionnez AWS.

    Paramètres de l’appliance avec AWS sélectionné comme plate-forme.

  8. Dans Protocole, sélectionnez un protocole.

  9. Cliquez sur Enregistrer. Un fichier JSON CloudFormation (CF) ndr_<product-name>_cf_latest.json est créé.

Télécharger le modèle CloudFormation

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Configuré.
  2. Sélectionnez l’onglet Appliances d’intégration et recherchez votre appliance.

  3. Dans la colonne la plus à droite, cliquez sur le menu à trois points (ellipse) et sélectionnez Télécharger l’image.

Vous êtes maintenant prêt à vous abonner à AWS et à déployer l’appliance Sophos.

S’abonner à l’appliance d’intégration Sophos

Vous devez vous abonner à l’appliance d’intégration Sophos sur AWS Marketplace. Ceci permettra à AWS de reconnaître votre modèle CloudFormation et vous permettra d’installer ses ressources sur votre compte AWS.

Pour vous abonner, procédez comme suit :

  1. Allez sur la page AWS Marketplace et recherchez « Sophos Integration Appliance ».

  2. Sur la page Présentation du produit, cliquez sur Continuer pour vous abonner.

    Page « Présentation du produit » AWS.

  3. Sur la page S’abonner à ce logiciel, acceptez les conditions générales et cliquez sur Continuer vers la configuration.

    Page « S’abonner à ce logiciel » d’AWS.

  4. Sur la page Configurer ce logiciel, vérifiez la version et la région, puis cliquez sur Continuer vers le lancement.

    Page « Configurer ce logiciel » d’AWS.

  5. Sur la page Lancer ce logiciel, cliquez sur Instructions d’utilisation pour savoir comment accéder au Gestionnaire d’appliances Sophos.

    Page « Lancer ce logiciel » d’AWS.

  6. Cliquez sur Lancer.

    AWS ouvre la page Créer une pile.

Créer une pile

Utilisez maintenant le modèle CloudFormation téléchargé pour déployer l’appliance Sophos sur votre compte AWS. Pour ce faire, créez une pile comme suit :

  1. Sur la page Création de pile, procédez comme suit :

    1. Gardez l’option Le modèle est prêt sélectionnée.
    2. Dans Spécifier un modèle, sélectionnez Télécharger un fichier modèle.

    3. Cliquez sur Choisir un fichier et sélectionnez ndr_<appliance-name>_cf_latest.json.

      appliance-name est le nom que vous avez donné à l’appliance lors de la création du modèle CloudFormation dans Sophos Central.

    4. Cliquez sur Suivant.

    Page « Créer une pile » affichant le choix du fichier modèle.

  2. Sur la page Spécifier les détails de la pile, saisissez un nom et les détails de Configuration réseau suivants :

    1. Un VPC existant que vous souhaitez utiliser pour l’appliance.
    2. Un sous-réseau pour l’interface de gestion. Il s’agit d’un sous-réseau public.
    3. Un sous-réseau pour l’interface syslog.
    4. Le groupe de sécurité qui donne aux administrateurs un accès SSH à l’instance de l’appliance d’intégration Sophos.

    Une fois terminée, la configuration réseau ressemble à l’exemple suivant :

    Page « Spécifier les détails de la pile ».

  3. Sous Configuration de l’instance EC2, saisissez la clé SSH nécessaire pour accéder à l’instance EC2 de Sophos Integration Appliance, puis cliquez sur Suivant.

    Remarque

    Vous avez créé et enregistré cette paire de clés SSH auparavant.

    Champ « Configuration de l’instance EC2 ».

  4. Sur la page Configurer les options de pile, acceptez les paramètres AWS par défaut ou apportez des modifications si vous le souhaitez. Cliquez sur Envoyer.

Le modèle CloudFormation choisit automatiquement les bonnes régions et AMI en fonction de la région AWS du compte que vous avez utilisé pour télécharger le modèle.

Attendez que Sophos Integration Appliance soit créée. Cela peut prendre cinq ou six minutes.

Modifier les groupes de sécurité

Vous devez modifier les groupes de sécurité AWS. Ceci vous permettra d’effectuer les modifications suivantes :

  • Autorisez le trafic syslog à accéder à l’appliance.
  • Accordez l’accès au Gestionnaire d’appliances Sophos.

Pour modifier un groupe, procédez comme suit :

  1. Dans AWS, accédez aux détails de sécurité de Sophos Integration Appliance.

    Pour ce faire, saisissez le nom de l’appliance dans la barre de recherche de la console AWS. Lorsque vous l’avez trouvée, sélectionnez l’onglet EC2, puis cliquez sur l’instance Sophos Integration Appliance.

  2. Sur la page Résumé de l’instance, faites défiler jusqu’aux pages à onglets et sélectionnez l’onglet Sécurité.

  3. Recherchez le groupe InternalSyslogSG et saisissez la source à partir de laquelle vous souhaitez autoriser le trafic pour la collecte des journaux.

  4. Recherchez le groupe de sécurité InternalMgmtSG. Le modèle CloudFormation l’a créé pour vous. Ajoutez vos administrateurs au groupe et donnez-leur accès au port 8443 dans Règle de trafic entrant.

    Règles de trafic entrant des groupes de sécurité.

Avant de pouvoir utiliser le Gestionnaire d’appliances Sophos, veuillez également définir un mot de passe.

Définir un mot de passe pour le Gestionnaire d’appliances Sophos

Le nom d’utilisateur pour le Gestionnaire d’appliances Sophos est zadmin. Pour réinitialiser le mot de passe, procédez comme suit :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Configuré.

  2. Allez dans l’onglet Appliances d’intégration.

  3. Trouvez votre appareil. Dans la colonne la plus à droite, cliquez sur le menu à trois points (ellipse) et sélectionnez Ouvrir le Gestionnaire d’appliances.

    Menu Actions de l’appliance.

  4. Dans la boîte de dialogue de confirmation, cliquez sur Réinitialiser.

    Boîte de dialogue de confirmation.

Tous les autres administrateurs qui souhaitent utiliser le Gestionnaire d’appliances doivent également définir un mot de passe.

Vous avez terminé le déploiement de l’appliance.

Votre intégration est maintenant terminée. Vous pouvez surveiller l’état et l’activité de l’appliance dans le Gestionnaire d’appliances Sophos.