Attivazione di Sophos MDR

Benvenuti in Sophos

Abbiamo realizzato questa guida introduttiva per aiutare gli utenti a iniziare subito a utilizzare Sophos MDR (Managed Detection and Response).

Sia che sia la prima volta che si utilizza Sophos o che si stia semplicemente aggiungendo MDR al proprio account Sophos, questa guida offrirà una descrizione dettagliata dei processi di attivazione della licenza, configurazione del servizio MDR e aggiunta del software endpoint richiesto.

Tip

I nostri Professional Services offrono diverse soluzioni per accelerare e semplificare la distribuzione. Maggiori informazioni.

Informazioni su Sophos MDR

Managed Detection and Response è un servizio di threat hunting, rilevamento delle minacce e incident response completamente gestito e operativo 24/7.

Il nostro team MDR Ops risponde agli attacchi che colpiscono computer, server, reti, workload del cloud e account e-mail. Il team valuta anche la sicurezza del sistema e aiuta a potenziarla.

Per saperne di più su MDR, guardare questo video.

Checklist

[ ] Verifica dei requisiti
[ ] Attivazione della licenza MDR
[ ] Configurazione del servizio MDR
- [ ] Aggiunta dei contatti autorizzati per MDR
- [ ] Selezione della modalità di risposta alle minacce
- [ ] Facoltativo - Specificazione del tipo di settore, della posizione dell’azienda e altro
- [ ] Facoltativo - Aggiunta di impostazioni di telemetria
[ ] Installazione o upgrade del software endpoint
- [ ] Nuovi clienti
- [ ] Clienti attuali
[ ] Integrazione di prodotti di terze parti

Verifica dei requisiti

Verificare di rispettare tutti i requisiti:

Un account Sophos Central.

Se non si ha un account Sophos Central, vedere Creazione di un account e Attivazione dell'account e download del software.
Licenze MDR

La licenza MDR include le funzionalità di Sophos XDR e l’agente Sophos richiesto su endpoint e server.

Per maggiori dettagli, vedere “Managed Detection and Response” nelle Linee guida per le licenze.

Cronologia dell’attivazione

Ecco una cronologia che può aiutare a pianificare l’attivazione del servizio MDR.

Giorno 0-2

Giorno 2-30

Giorno 30-60

Giorno 60 o dopo

Imposta

Attivazione delle licenze.
Impostazione del servizio MDR.
Quando tutto è pronto, iniziare a installare il software Sophos Endpoint.

Distribuzione e integrazione

Installazione del software Sophos Endpoint sul 50% dei dispositivi.
Integrazione di MDR con il proprio ambiente Microsoft.

Estensione della copertura

Incremento della copertura del software Sophos Endpoint al 90%.
Integrazione di MDR con prodotti di terze parti.

Monitoraggio e ottimizzazione

Controllo dei casi MDR per vedere come agisce la protezione Sophos.
Lettura dei report per ottenere i nostri consigli sulla sicurezza.
Contatto regolare con il nostro team MDR Ops.

Attivazione della licenza MDR

Per prima cosa, occorre attivare la licenza MDR, a meno che il proprio Partner Sophos non si occupi di questa operazione.

La chiave di licenza si trova nell’allegato alla licenza da noi inviato. Per utilizzare la chiave, aprire il Profilo in Sophos Central, che ha questo aspetto:

Icona del Profilo.

Selezionare quindi Licenze e applicare la chiave.

Vedere Attivazione della licenza.

Configurazione del servizio MDR

La prima volta che si accede a Sophos Central dopo aver attivato la licenza, verrà chiesto di configurare il servizio.

La configurazione va effettuata non appena possibile, per permetterci di proteggere i sistemi. Se si desidera modificare le impostazioni più tardi, è possibile farlo in qualsiasi momento da Prodotti > MDR > Impostazioni di MDR.

Flusso di lavoro integrato nel prodotto

Guardare questo video o seguire i link nel resto di questa sezione.

Aggiunta di contatti autorizzati

Aggiungere contatti autorizzati della propria organizzazione, per farci sapere a chi dobbiamo rivolgerci qualora si verificasse un incidente. I contatti devono essere amministratori di Sophos Central.

Warning

Occorre aggiungere almeno un contatto. In caso contrario, non saremo in grado di fornire il servizio.

Vedere Impostare i contatti autorizzati.

Assicurarsi che le nostre notifiche e i nostri messaggi e-mail possano raggiungere i contatti indicati. Se si filtrano le e-mail, aggiungere i seguenti indirizzi all’elenco dei mittenti autorizzati.

do-not-reply@central.sophos.com
mdr-ops@sophos.com
mdr-ops@mdr.sophos.com
do-not-reply@mdr.sophos.com
customersuccess@sophos.com
no-reply@churnzero.net

Configurazione della modalità di risposta alle minacce

È necessario configurare una modalità di risposta alle minacce. Questa informazione serve a comunicarci se si desidera che intraprendiamo un’azione contro le minacce non appena vengono rilevate, oppure se si preferisce che consultiamo i contatti forniti prima di agire.

Per i Clienti, l’impostazione predefinita è Collabora. Interveniamo per rimuovere le minacce solo dopo aver consultato i contatti indicati. Questa impostazione può essere modificata in qualsiasi momento.

Per gli account dei Clienti che sono stati creati da un Partner Sophos, l’impostazione predefinita viene ereditata dalle impostazioni del Partner.

Warning

Consigliamo vivamente di selezionare “Autorizza” o “Collabora”. In caso contrario, non saremo in grado di intervenire per rimuovere le minacce.

Note

Con MDR Complete, Sophos isola le minacce ed effettua una pulizia completa, con attività di correzione. Con MDR Essentials, occorre effettuare la pulizia e la correzione autonomamente.

Vedere Impostare la risposta alle minacce.

Facoltativo - Aggiunta della posizione e del tipo di settore

Per aiutarci a comprendere meglio l’organizzazione e le sue esigenze, nella scheda Impostazioni aggiuntive, inserire ulteriori dettagli sul proprio settore, sulla posizione geografica e sulle reti.

Vedere Impostazioni aggiuntive.

Facoltativo - Aggiunta di impostazioni di telemetria

È possibile inviarci dati e log o file sospetti a scopo di analisi. Queste informazioni ci aiutano a migliorare la protezione.

Per attivare queste opzioni, vedere Impostazioni di telemetria per MDR.

Installazione o upgrade del software endpoint

In tutti i computer o server dovranno esserci software Sophos Endpoint che supportano MDR. Se questo non dovesse essere il caso o se non si è sicuri, seguire la procedura appropriata riportata di seguito.

Clienti attuali

Se si ha già l’agente Sophos Endpoint sui propri dispositivi ma si è appena acquistata una licenza MDR, selezionare Il mio ambiente > Computer e server e utilizzare Gestisci il software per aggiornare gli endpoint.

Vedere Clienti attuali.

Nuovi clienti

Assicurarsi che i dispositivi soddisfino i requisiti minimi di sistema per Sophos Endpoint. Vedere Sophos Central Windows Endpoint: Requisiti di sistema e Sophos Endpoint for macOS: Requisiti di sistema.

Dispositivi macOS

Per i dispositivi macOS, leggere la pagina della documentazione (../../PeopleAndDevices/ProtectDevices/EndpointProtection/MacCheckSecurityPermissions.md)Autorizzazioni di sicurezza su macOS.

È possibile installare il software endpoint manualmente oppure utilizzare una distribuzione con script. Cliccare sulla scheda applicabile.

Installazione manualeDistribuzione su WindowsDistribuzione su macOSDistribuzione su Linux

Se i dispositivi sono pochi o se si desidera testare il prodotto prima di distribuirlo nel resto dell’ambiente informatico, è possibile scaricare ed eseguire manualmente il programma di installazione.

Installazione su Windows e macOS

Vedere Endpoint.

Installazione su Linux

Vedere Installazione dell’agente Sophos su Linux.

Per un metodo di distribuzione più automatizzato, è possibile creare una distribuzione basata su script per i dispositivi Windows.

Vedere Sophos Central Endpoint: Automatizzazione della distribuzione del software sui dispositivi Windows.

È anche possibile creare un’immagine gold da utilizzare con ambienti Citrix o VDI, quando si desidera configurare un’immagine modello da replicare per gli utenti finali. Vedere Creazione di immagini gold e clonazione di nuovi dispositivi.

Sophos offre una procedura dettagliata per automatizzare la distribuzione sui dispositivi macOS utilizzando Jamf Pro. Vedere Installazione di Endpoint con Jamf Pro.

Note

Lo script e i file di configurazione forniti per la distribuzione sui dispositivi macOS sono indipendenti dal prodotto. Anche abbiamo reso disponibile solo la documentazione per Jamf Pro, questi file funzioneranno con qualsiasi distribuzione.

Per istruzioni per la distribuzione manuale o con script sui dispositivi Linux, vedere Download ed esecuzione del programma di installazione per Linux Server.

Se si ha un ambiente con virtual machine, Auto Scaling o bilanciamento del carico, oppure una quantità elevata di dispositivi Linux su cui installare Sophos, è consigliabile utilizzare il processo che prevede l’uso di un’immagine gold. Vedere Creazione di un’immagine gold per Linux.

Integrazione di prodotti di terze parti

I clienti MDR possono integrare i propri prodotti di sicurezza di terze parti con Sophos Central. Questi prodotti possono poi inviare avvisi al Sophos Data Lake, dove potranno essere analizzati autonomamente o dal nostro team MDR Ops.

Per saperne di più sulle integrazioni, vedere Informazioni sulle integrazioni MDR e XDR.

La licenza MDR consente di integrare gratuitamente alcuni prodotti di terze parti molto comuni.

Integrazioni con Microsoft 365

Integrazione di Sophos MDR con l’ambiente Microsoft 365, per offrire funzionalità avanzate di rilevamento delle minacce. Vedere Integrazioni con Microsoft 365.
Integrazioni con prodotti di terze parti

Come integrare prodotti di sicurezza di terze parti con Sophos MDR in modo che possano inviarci dati per l’analisi e il rilevamento delle minacce. Vedere Comincia subito.

Cosa succede dopo?

Effettueremo un controllo integrità iniziale. Il team MDR Ops valuterà le impostazioni di MDR attuali e consiglierà modifiche della configurazione e dei criteri per ottimizzare il servizio.

Invieremo inoltre un’e-mail sul webinar Sophos “Segreti per il successo”. Questa sessione offre una panoramica del servizio, descrive come sfruttarne il pieno potenziale e introduce la dashboard di MDR. Descrive inoltre il supporto per l’integrazione con i prodotti Sophos e di terze parti.

Richiesta di assistenza

Per configurare MDR, parlare del proprio account, risolvere problemi relativi al prodotto, affrontare un incidente attivo o per qualsiasi altra necessità, siamo a disposizione per offrire assistenza.

Per scoprire a chi rivolgersi e come fare per contattare gli esperti giusti, vedere Assistenza per MDR.

Risorse

Risorse della community

Sophos ha una community molto attiva, con numerosi articoli self-help che possono includere indicazioni che tipicamente non vengono fornite dal Supporto Sophos.
- Blogs: i Product Manager pubblicano informazioni e consigli utili per i nostri clienti sul rilascio di funzionalità e prodotti nuovi e futuri. Consigliamo ai clienti di iscriversi ai blog sui prodotti a cui sono maggiormente interessati.
- Letture consigliate: articoli self-help.
- Thread di discussione: i membri della Sophos Community che cercano assistenza possono trovare sviluppatori, Product Manager, tecnici Sophos e membri della Sophos Community che commentano e interagiscono per trovare soluzioni.
- Eventi e webinar: unisciti a noi in diretta e rivolgici domande sugli argomenti degli eventi.
Altre risorse
- Iscrizione alla Pagina di stato di Sophos e ai Feed RSS del forum della community
  
  Per rimanere al passo con le ultime notizie o con l’impatto sul servizio di eventi come una manutenzione pianificata, iscriviti alla Pagina di stato di Sophos per ricevere avvisi tramite SMS ed e-mail per la tua area geografica.
  
  Iscriviti per ricevere comunicazioni su manutenzione o incidenti
- Apertura di un ticket di supporto tecnico
  
  Per facilitare e garantire un’esperienza di supporto ottimale, consulta le seguenti linee guida:
  
  Best practice per l’apertura di un caso con il Supporto tecnico Sophos