Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=integrations

À propos des intégrations MDR et XDR

Cette page vous présente les différents types d'intégration et méthodes de configuration. Si vous souhaitez uniquement commencer à utiliser ces produits, consultez Que dois-je faire.

Vous recherchez de l’aide sur l’onglet Appliances d’intégration ? Voir Appliances d’intégration.

Les intégrations Sophos MDR et XDR vous permettent d'intégrer d'autres produits de sécurité avec Sophos Central. Il peut s’agir d’autres produits Sophos ou des produits de fournisseurs tiers.

Vous pouvez configurer deux types d’intégration :

  • Ingestion de données : Le produit envoie les données de détection à Sophos Data Lake Vous pouvez ensuite interroger ces données dans notre Centre d’analyse des menaces.
  • Action de réponse : Vous pouvez résoudre les problèmes détectés par Sophos Central à l’aide d’un produit tiers.

Les intégrations Action de réponse ne sont pas encore disponibles pour tous les produits.

Méthodes de configuration de l’intégration

Il existe plusieurs types d’intégration, avec différentes méthodes de configuration :

  • API REST
  • Collecteur de journaux
  • Produit Sophos (par exemple Sophos NDR ou Sophos Firewall)

Les intégrations de l’outil de collecte des journaux et de Sophos NDR exigent l’utilisation d’une machine virtuelle (VM). Les intégrations d’API REST peuvent faire sans.

Les méthodes de configuration que vous pouvez utiliser dépendent du produit que vous souhaitez intégrer.

Intégrations d’API REST

Pour intégrer un produit qui utilise une API, vous devez recueillir des informations d’authentification sur votre compte pour ce produit.

Les informations dont vous avez besoin diffèrent d’un produit à l’autre. Notre assistant d’intégration vous indique les informations à fournir.

Les intégrations API nécessitent un identifiant pour accéder au produit tiers. Vous pouvez le créer lors de la configuration de l’intégration ou utiliser notre gestionnaire d’identifiants. Voir Identifiants d’intégration.

Intégrations de l’outil de collecte des journaux

Les intégrations de l’outil de collecte des journaux utilisent l’outil de collecte des journaux de Sophos pour recueillir les données du produit tiers et les ajouter dans Sophos Data Lake.

Vous installez l’outil de collecte de journaux sur une machine virtuelle. Notre assistant vous aide à configurer un fichier image que vous téléchargez et déployez sur une machine virtuelle. Le fichier image inclut l’application de collecteur de journaux.

Une appliance Sophos est une machine virtuelle hébergeant un collecteur de journaux.

Vous configurez ensuite votre produit tiers pour lui permettre d’envoyer des données à l’appliance. Cette opération utilise la fonction d’exportation Syslog du produit tiers. Vous donnerez les détails de connexion de votre appliance au lieu d’un serveur syslog.

Retrouvez plus de renseignements dans l’aide correspondant à l’intégration que vous souhaitez ajouter.

Retrouvez plus de renseignements sur la configuration requise de l’appliance Sophos sur Exigences relatives à l’appliance.

Retrouvez plus d’aide sur la collecte des journaux de l’appliance Sophos pour le dépannage sur Journaux de l’appliance.

Intégrations multiples

Vous pouvez envoyer des données à partir de plusieurs intégrations vers la même appliance :

  • Si vous avez déjà configuré Sophos NDR, ajoutez des intégrations tierces et sélectionnez la même appliance dans Sophos Central.
  • Si vous avez déjà configuré une intégration tierce, ajoutez d’autres intégrations tierces et sélectionnez la même appliance dans Sophos Central.

Vous pouvez également configurer plusieurs intégrations du même produit pour utiliser une seule appliance. Procédez de la manière suivante :

  1. Configurez une intégration dans Sophos Central.
  2. Configurez votre produit tiers pour utiliser votre appliance.

  3. Répétez la configuration du produit tiers pour les instances supplémentaires du produit.

    Dirigez ces instances vers la même appliance.

    Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.