Aller au contenu
Découvrez comment nous prenons en charge MDR.

Trend micro Apex Central

Collecteur de journaux

Vous pouvez intégrer Apex Central à Sophos Central afin de lui permettre d’envoyer des données d’audit à Sophos pour analyse.

Cette intégration utilise un outil de collecte des journaux sur une machine virtuelle (VM). L’outil de collecte des journaux reçoit des données tierces et les envoie à Sophos Data Lake.

Remarque

Vous pouvez ajouter plusieurs instances Apex Central au même collecteur de journaux.

Pour ce faire, configurez votre intégration Apex Central dans Sophos Central, puis configurez une instance Apex Central pour lui envoyer des journaux. Configurez ensuite vos autres instances Apex Central pour envoyer des journaux au même collecteur de journaux Sophos.

Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.

Les étapes clés pour ajouter une intégration sont les suivantes :

  • Ajouter une intégration pour ce produit. Ceci configure un fichier OVA (Open Virtual Appliance).
  • Déployer le fichier OVA sur votre hôte ESXi. Ceci devient votre outil de collecte des journaux.
  • Configurer Apex Central pour qu’il envoie des données à l’outil de collecte des journaux.

Ajouter une intégration

Pour intégrer Apex Central à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces, cliquez sur Intégrations.
  2. Cliquez sur Trend Micro Apex Central.

    Si vous avez déjà configuré des connexions à Apex Central, vous les voyez ici.

  3. Cliquez sur Ajouter une intégration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

    Les Étapes d’intégration s’affichent.

Configurer la machine virtuelle

Dans les Étapes d’intégration, vous configurez votre machine virtuelle pour lui permettre de recevoir des données provenant de Apex Central. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.

Pour configurer la machine virtuelle, procédez de la manière suivante :

  1. Ajoutez un nom et une description pour la nouvelle intégration.
  2. Saisissez le nom et la description de la machine virtuelle.
  3. Sélectionnez la plate-forme virtuelle. (Actuellement, nous ne prenons en charge que VMware).
  4. Indiquez le ports du réseau connecté à Internet.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

    Vous aurez besoin de l’adresse de la machine virtuelle plus tard, pour lui permettre de recevoir des données à partir de Apex Central.

  5. Sélectionnez un Protocole.

  6. Remplissez les champs restants du formulaire.
  7. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste. Le fichier OVA sera prêt au téléchargement en l’espace de quelques minutes.

Déployer la machine virtuelle

Restriction

Le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Une fois déployé, il ne peut plus être utilisé.

Si vous devez déployer une nouvelle machine virtuelle, veuillez effectuer de nouveau toutes ces étapes pour lier cette intégration à Sophos Central.

Utilisez le fichier OVA pour déployer la machine virtuelle. Procédez de la manière suivante :

  1. Dans la liste des intégrations, dans Actions, cliquez sur Télécharger la version OVA.
  2. Une fois le téléchargement du fichier OVA terminé, déployez-le sur votre serveur ESXi. Un assistant d’installation vous guide tout au long du processus. Voir Déployer une machine virtuelle pour les intégrations.

Lorsque vous avez déployé la machine virtuelle, l’intégration s’affiche comme Connecté.

Configurer Apex Central

Configurez ensuite Apex Central pour lui permettre d’envoyer des données d’audit à la machine virtuelle, de la manière suivante :

  1. Accédez à Détections > Notifications > Paramètres de méthode de notification.
  2. Dans la section Paramètres Syslog, saisissez les informations suivantes :

    • Adresse IP du serveur : Saisissez l’adresse IPv6 ou IPv4 du serveur Syslog.
    • Port : Le numéro de port du serveur syslog.
    • Installation : Sélectionnez le code d’installation.
  3. Cliquez sur Enregistrer.

Activer le transfert Syslog

Nous utilisons le transfert Syslog pour envoyer des données à l’outil de collecte des journaux Sophos.

Pour transférer le trafic Syslog, procédez de la manière suivante :

  1. Connectez-vous à la console Apex Central à l’aide d’un compte Administrateur.
  2. Accédez à Administration > Paramètres > Paramètres Syslog.
  3. Sélectionnez Activer le transfert Syslog.
  4. Configurez les paramètres suivants :

    • Adresse du serveur : Nom FQDN ou adresse IP de la machine virtuelle hébergeant votre outil de collecte des journaux Sophos.
    • Port : Saisissez le numéro de port de votre outil de collecte des journaux Sophos.
    • Protocole : Sélectionnez TCP ou UDP. Choisissez le même que celui que vous avez configuré pour votre outil de collecte des journaux.
  5. Sélectionnez CEF comme format de journal :

  6. Sélectionnez les types de journal à transférer :

    1. Sélectionnez une catégorie de journal dans la liste déroulante Type de journal.

      • Journaux de sécurité
      • Informations sur le produit
    2. Cochez les cases correspondant aux journaux que vous souhaitez transférer. APEX Central affiche le nombre total de types de journal sélectionnés en regard de la liste Type de journal.

    3. Vous pouvez sélectionner une autre catégorie de journal dans la liste déroulante Type de journal.
  7. Cliquez sur Tester la connexion pour tester la connexion au serveur. L’état de la connexion au serveur Syslog s’affiche en haut de l’écran.

  8. Cliquez sur Enregistrer.

    APEX Central commence à transférer les journaux vers votre outil de collecte des journaux. Les données devraient apparaître dans Sophos Data Lake après validation.

    Pour surveiller l’état de la transmission du journal, allez dans Administration > Suivi des commandes et sélectionnez Transférer Syslog dans la liste déroulante Commandes.

Plus d’informations