Aller au contenu
Découvrez comment nous prenons en charge MDR.

ManageEngine ADAudit Plus

Collecteur de journaux

Vous pouvez intégrer ADAudit Plus à Sophos Central pour qu’il envoie des données sur l’activité de sécurité à Sophos.

Cette intégration utilise un outil de collecte des journaux sur une machine virtuelle (VM). L’outil de collecte des journaux reçoit des données tierces et les envoie à Sophos Data Lake.

Remarque

Vous pouvez ajouter plusieurs instances ADAudit Plus au même collecteur de journaux.

Pour ce faire, configurez votre intégration ADAudit Plus dans Sophos Central, puis configurez une instance ADAudit Plus pour lui envoyer des journaux. Configurez ensuite vos autres instances ADAudit Plus pour envoyer des journaux au même collecteur de journaux Sophos.

Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.

Les étapes clés pour ajouter une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. Ceci configure un fichier OVA (Open Virtual Appliance).
  • Déployer le fichier OVA sur votre hôte ESXi. Ceci devient votre outil de collecte des journaux.
  • Configurer ADAudit Plus pour qu’il envoie des données à l’outil de collecte des journaux.

Ajouter une intégration

Pour intégrer ADAudit Plus à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces, cliquez sur Intégrations.
  2. Cliquez sur ADAudit plus.

    Si vous avez déjà configuré des connexions à ADAudit Plus, vous les voyez ici.

  3. Cliquez sur Ajouter une intégration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

    Les Étapes d’intégration s’affichent.

Configurer la machine virtuelle

Dans les Étapes d’intégration, vous configurez votre machine virtuelle pour recevoir des données d’ADAudit plus. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.

Pour configurer la machine virtuelle, procédez de la manière suivante :

  1. Ajoutez un nom et une description pour la nouvelle intégration.
  2. Saisissez le nom et la description de la machine virtuelle.
  3. Sélectionnez la plate-forme virtuelle. (Actuellement, nous ne prenons en charge que VMware).
  4. Indiquez le ports du réseau connecté à Internet.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

    Vous aurez besoin de l’adresse de la machine virtuelle plus tard, pour lui permettre de recevoir des données à partir de ADAudit Plus.

  5. Sélectionnez un Protocole.

  6. Remplissez les champs restants du formulaire.
  7. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste. Le fichier OVA sera prêt au téléchargement en l’espace de quelques minutes.

Déployer la machine virtuelle

Restriction

Le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Une fois déployé, il ne peut plus être utilisé.

Si vous devez déployer une nouvelle machine virtuelle, veuillez effectuer de nouveau toutes ces étapes pour lier cette intégration à Sophos Central.

Utilisez le fichier OVA pour déployer la machine virtuelle. Procédez de la manière suivante :

  1. Dans la liste des intégrations, dans Actions, cliquez sur Télécharger la version OVA.
  2. Une fois le téléchargement du fichier OVA terminé, déployez-le sur votre serveur ESXi. Un assistant d’installation vous guide tout au long du processus. Voir Déployer une machine virtuelle pour les intégrations.

Lorsque vous avez déployé la machine virtuelle, l’intégration s’affiche comme Connecté.

Configurer ADAudit Plus

Configurez maintenant ADAudit Plus pour qu’il envoie des données à votre outil de collecte des journaux.

Procédez de la manière suivante :

  1. Dans la fenêtre principale, cliquez sur l’onglet Administration.
  2. Sélectionnez Intégration SIEM.
  3. Sélectionnez Activer le transfert des données ADAudit Plus.
  4. Choisissez ArcSight.
  5. Saisissez le nom de votre machine virtuelle dans le champ Nom du serveur ArcSight/CEF.
  6. Choisissez TCP comme protocole préféré.
  7. Saisissez le numéro de port de votre machine virtuelle.
  8. Enregistrez la configuration et choisissez les catégories à transférer.

Retrouvez plus de renseignements sur Intégration SIEM.