Intégrer Veeam Backup & Replication
Vous devez avoir un pack de licence d’intégration « Sauvegarde et restauration » pour utiliser cette fonction.
Vous devez disposer de Veeam Backup & Replication à partir de la version 12.1.
Vous pouvez intégrer Veeam Backup & Replication à Sophos Central afin de lui permettre d’envoyer des événements à Sophos pour analyse.
Cette intégration est un déploiement local uniquement.
L’intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils s’appellent appliance. L’appliance reçoit des données tierces et les envoie à Sophos Data Lake.
Remarque
Vous pouvez ajouter plusieurs instances de Veeam à la même appliance.
Pour ce faire, configurez votre intégration Veeam dans Sophos Central, puis configurez une instance Veeam pour lui envoyer des journaux. Configurez ensuite vos autres instances pour envoyer des journaux à la même appliance Sophos.
Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.
Les étapes clés pour ajouter une intégration sont les suivantes :
- Ajouter une intégration pour ce produit. Cette option permet de configurer une image à utiliser sur une machine virtuelle.
- Télécharger et déployer l’image sur votre machine virtuelle. Cela devient votre appliance.
- Configurer Veeam pour qu’il envoie des données à l’appliance.
- Obtenez des données supplémentaires de Veeam. Cette fonction utilise la fonction « Four-Eyes » et est facultative.
Conditions requises
Les appliances Sophos ont des exigences en matière d’accès au système et au réseau. Pour vérifier que vous y adhérez, consultez Exigences relatives à l’appliance.
Ajouter une intégration
Pour intégrer Veeam à Sophos Central, procédez comme suit :
- Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
-
Cliquez sur Veeam Backup & Replication.
La page Veeam Backup & Replication s’ouvre. Vous pouvez configurer les intégrations et voir une liste de celles que vous avez déjà configurées.
-
Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.
Remarque
S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.
Les Étapes de configuration de l’intégration s’affichent.
Configurer la machine virtuelle
Dans les Étapes de configuration de l’intégration, vous configurez une machine virtuelle comme une appliance pour lui permettre de recevoir des données provenant de Veeam. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.
Pour configurer la machine virtuelle, procédez de la manière suivante :
- Ajoutez un nom et une description pour la nouvelle intégration.
-
Saisissez le nom et la description de l’appliance.
Si vous avez déjà configuré une appliance Sophos, vous pouvez la sélectionner dans une liste.
-
Sélectionnez la plate-forme virtuelle. Actuellement, nous prenons en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.
-
Spécifiez les paramètres IP pour les Ports du réseau connecté à Internet. Cette opération configure l’interface de gestion de la machine virtuelle.
-
Sélectionnez DHCP pour assigner automatiquement l’adresse IP.
Remarque
Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.
-
Sélectionnez Manuel pour spécifier les paramètres réseau.
-
-
Sélectionnez la version IP syslog et saisissez l’adresse IP syslog.
Vous aurez besoin de l’adresse IP syslog ultérieurement lorsque vous allez configurer Veeam pour qu’il envoie des données à votre appliance.
-
Sélectionnez un Protocole.
Vous devez utiliser le même protocole lorsque vous configurez Veeam pour envoyer des données à votre appliance.
-
Cliquez sur Enregistrer.
Nous créons l’intégration et celle-ci apparaît dans votre liste.
Dans les détails d’intégration, vous pouvez voir le numéro de port de l’appliance. Vous aurez besoin de cette information ultérieurement lorsque vous allez configurer Veeam pour qu’il lui envoie des données.
L’image VM sera prête au téléchargement en l’espace de quelques minutes.
Déployer la machine virtuelle
Restriction
Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une autre machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.
Utilisez l’image VM pour déployer la machine virtuelle. Procédez comme suit :
- Dans la liste des intégrations, dans Actions, cliquez sur l’action de téléchargement de votre plate-forme, par exemple Télécharger la version OVA pour ESXi.
- Une fois le téléchargement de l’image terminé, déployez-la sur votre machine virtuelle. Voir Déployer une machine virtuelle pour les intégrations.
Configurer Veeam
Vous configurez désormais Veeam Backup & Replication pour lui permettre de nous envoyer des données.
Pour configurer le transfert d’événements via Syslog, procédez comme suit :
- Ouvrez la console Veeam Backup & Replication.
-
Dans le menu principal, sélectionnez Options.
-
Sur la page Options, sélectionnez l’onglet Transfert d’événement.
-
Dans la section Serveurs Syslog, cliquez sur Ajouter.
-
Dans Ajouter un serveur Syslog, procédez comme suit :
- Dans Serveur, saisissez l’adresse IP et le port du serveur (la valeur par défaut est 514).
- Dans Transport, saisissez le protocole de transport réseau : UDP, TCP ou TLS.
- Cliquez sur OK.
Vous devez saisir la même adresse IP et le même de protocole que ceux saisi dans Sophos Central lorsque vous avez ajouté l’intégration.
-
Dans l’onglet Transfert d’événements, cliquez sur OK.
Obtenir des données supplémentaires de Veeam
Pour obtenir des données sur des événements Veeam supplémentaires, nous vous recommandons d’activer l’autorisation Four-Eyes (quatre yeux) de Veeam.
L’autorisation Four-Eyes nécessite l’obtention d’une autorisation supplémentaire de la part d’autres administrateurs pour les actions susceptibles d’affecter les données sensibles, par exemple la suppression de sauvegardes. Si vous activez cette fonction, les détails de ces événements d’autorisation sont envoyés à Sophos pour analyse.
Avant d’activer l’autorisation Four-Eyes, vérifiez que vous répondez aux exigences suivantes :
- Vous devez disposer d’au moins deux utilisateurs avec le rôle Administrateur Veeam Backup. Le rôle peut être assigné aux utilisateurs ou à un groupe dont ils sont membres.
- Vous devez configurer les notifications par email pour les administrateurs. Veeam peut ensuite envoyer aux administrateurs des demandes d’autorisation d’actions. Voir Configuration des paramètres généraux de notification par email.
Pour activer l’autorisation Four-Eyes, procédez comme suit :
- Ouvrez la console Veeam Backup & Replication.
- Dans le menu principal, sélectionnez Utilisateurs et rôles.
-
Accédez à l’onglet Autorisation et procédez comme suit :
- Sélectionnez Exiger une autorisation supplémentaire pour les opérations sensibles.
- Spécifiez la période pendant laquelle l’opération demandée doit être autorisée ou rejetée (minimum 1 jour, maximum 30).
- Cliquez sur OK.