Aller au contenu
Découvrez comment nous prenons en charge MDR.

Malwarebytes Endpoint Protection

Collecteur de journaux

Cette fonction n’est pas encore disponible pour tous les clients.

Vous pouvez intégrer Malwarebytes Endpoint Protection à Sophos Central afin de lui permettre d’envoyer des données à Sophos pour analyse.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils sont appelés collecteur de données. Le collecteur de données reçoit des données tierces et les envoie à Sophos Data Lake.

Remarque

Vous pouvez ajouter plusieurs instances Malwarebytes Endpoint Protection au même collecteur de données.

Pour ce faire, configurez votre intégration Malwarebytes Endpoint Protection dans Sophos Central, puis configurez une instance pour lui envoyer des journaux. Configurez ensuite vos autres instances Malwarebytes Endpoint Protection pour envoyer des journaux au même collecteur de données Sophos.

Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.

Les étapes clés pour ajouter une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. Ceci configure un fichier OVA (Open Virtual Appliance).
  • Déployer le fichier OVA sur votre hôte ESXi. Ceci devient votre collecteur de données.
  • Configurer Malwarebytes Endpoint Protection pour qu’il envoie des données au collecteur de données.

Ajouter une intégration

Pour intégrer Endpoint Protection à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces, cliquez sur Intégrations.
  2. Cliquez sur MalwareBytes Endpoint Protection.

    Si vous avez déjà configuré des connexions à Endpoint Protection, vous les voyez ici.

  3. Cliquez sur Ajouter.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

    Les Étapes d’intégration s’affichent.

Configurer la machine virtuelle

Dans les Étapes de configuration de l’intégration, vous configurez votre machine virtuelle pour lui permettre de recevoir des données provenant de Endpoint Protection. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.

Pour configurer la machine virtuelle, procédez de la manière suivante :

  1. Ajoutez un nom et une description pour la nouvelle intégration.
  2. Saisissez le nom et la description du collecteur de données.

    Si vous avez déjà configuré une intégration de collecteur de données, vous pouvez la sélectionner dans une liste.

  3. Sélectionnez la plate-forme virtuelle. (Actuellement, nous ne prenons en charge que VMware).

  4. Indiquez le ports du réseau connecté à Internet.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

    Vous aurez besoin de l’adresse de la machine virtuelle plus tard, pour lui permettre de recevoir des données à partir de Endpoint Protection.

  5. Sélectionnez un Protocole.

  6. Remplissez les champs restants du formulaire.
  7. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste. Le fichier OVA sera prêt au téléchargement en l’espace de quelques minutes.

Déployer la machine virtuelle

Restriction

Le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Une fois déployé, il ne peut plus être utilisé.

Si vous devez déployer une nouvelle machine virtuelle, veuillez effectuer de nouveau toutes ces étapes pour lier cette intégration à Sophos Central.

Utilisez le fichier OVA pour déployer la machine virtuelle. Procédez de la manière suivante :

  1. Dans la liste des intégrations, dans Actions, cliquez sur Télécharger la version OVA.
  2. Une fois le téléchargement du fichier OVA terminé, déployez-le sur votre serveur ESXi. Un assistant d’installation vous guide tout au long du processus. Voir Déployer une machine virtuelle pour les intégrations.

Lorsque vous avez déployé la machine virtuelle, l’intégration s’affiche comme Connecté.

Configurer Endpoint Protection

Endpoint Protection récupère les données d’événement et les transmet de la manière suivante :

  • Les terminaux signalent la détection des menaces, la quarantaine ainsi que d’autres événements à Malwarebytes Endpoint Protection.
  • Un terminal de communication Syslog de Malwarebytes extrait des événements à partir de Malwarebytes Endpoint Protection.
  • La terminal de communication transmet les événements au serveur Syslog au format CEF.

Votre collecteur de données fait office de serveur Syslog.

Avant de commencer

Vous avez besoin de :

  • Un abonnement actif ou d’évaluation pour l’un des produits de la plate-forme Malwarebytes Endpoint Protection suivants :

    • Malwarebytes Endpoint Detection and Response
    • Malwarebytes Endpoint Protection
    • Malwarebytes Incident Response
  • L’adresse IP de votre machine virtuelle.

  • Un accès réseau entre l’un de vos terminaux de communication Syslog Malwarebytes et un serveur SIEM ou Syslog. TCP sur le port 514 est utilisé par défaut.

Configuration

  1. Allez dans Paramètres > Journalisation Syslog.
  2. Cliquez sur Ajouter > Paramètres Syslog.
  3. Renseignez les informations suivantes concernant votre machine virtuelle :

    • Adresse IP/Nom d’hôte : Adresse IP ou nom d’hôte de votre machine virtuelle.
    • Port : Port sur votre machine virtuelle.
    • Protocole : Choisissez le protocole TCP ou UDP.
    • Gravité : Choisissez un Niveau de gravité dans la liste. Ceci détermine la gravité de tous les événements Malwarebytes envoyés à Syslog.
    • Intervalle de communication : Détermine la fréquence à laquelle le terminal de communication collecte les données Syslog du serveur Malwarebytes, en minutes.

    Si le terminal ne parvient pas à contacter Malwarebytes, il met en mémoire tampon les données recueillies pendant les 24 heures précédentes. Les données de plus de 24 heures ne sont pas envoyées.

  4. Cliquez sur Enregistrer.

  5. Allez dans Terminaux.
  6. Cliquez sur votre machine virtuelle.

Dans la section Informations sur l’agent, vous verrez le numéro de version SIEM. Ceci confirme que le plug-in SIEM est actif sur le terminal.

Le terminal envoie maintenant des données à votre collecteur de données. Il doit apparaître dans Sophos Data Lake après validation.

Modifier les paramètres Syslog

Si vous devez changer votre collecteur de données, procédez de la manière suivante :

  1. Allez dans Paramètres > Journalisation Syslog.
  2. Cliquez sur Supprimer pour rétrograder votre machine virtuelle.
  3. Cliquez sur Ajouter pour promouvoir une nouvelle machine virtuelle. Reportez-vous aux étapes énoncées dans la section Configuration.

Vous pouvez rétrograder temporairement un terminal de communication à l’aide du bouton Marche/Arrêt. La rétrogradation temporaire d’un terminal de communication peut s’avérer utile lors du dépannage de vos paramètres Syslog.