Vai al contenuto

Appliance NDR

Le appliance di integrazione Sophos Network Detection and Response (NDR) possono utilizzare le esportazioni di syslog per ricevere dati da Sophos NDR o da prodotti di terze parti e inoltrarli al Sophos Data Lake a scopo di analisi.

Per visualizzare le appliance NDR, selezionare NDR > Appliance. Si verrà reindirizzati alla scheda Appliance di integrazione della pagina Integrazioni configurate.

Per informazioni sulla configurazione di NDR, incluso come creare un’appliance di integrazione NDR, vedere Sophos NDR su ESXi o Hyper-V o Sophos NDR per AWS.

Per i requisiti per l’appliance Sophos, vedere Requisiti dell’appliance.

Elenco di Appliance di integrazione

L’elenco mostra tutte le appliance di integrazione. Possono includere appliance per NDR, integrazioni di prodotti di terze parti o entrambi.

L’elenco indica i seguenti dettagli:

  • Integrazioni: il numero di integrazioni di prodotti NDR o di terze parti che utilizzano l’appliance.
  • CPU: Utilizzo della CPU.
  • Memoria: Utilizzo della memoria.
  • Archiviazione 1: l’unità principale.
  • Archiviazione 2: l’unità dati.
  • Tipo: Piattaforma virtuale.
  • Protocollo di rete: le impostazioni della rete con connessione Internet. DHCP o Manuale.
  • IP del syslog
  • Log richiesto: indica se è stata inviata una richiesta Raccogli log.

Elenco di Appliance di integrazione.

Visualizzazione delle integrazioni

È possibile visualizzare le integrazioni ospitate su ogni appliance.

Nell’elenco Appliance di integrazione, cliccare sulla freccia accanto al nome di un’appliance. Le integrazioni ospitate su quell’appliance verranno quindi elencate con i rispettivi dettagli. L’esempio riportato di seguito mostra un’appliance NDR.

  • Nome dell’integrazione
  • Vendor: Sophos o un vendor di terze parti.
  • Protocollo: NDR.
  • Porta
  • Tipo di configurazione: il tipo di integrazione configurato. Inserimento dei dati o Azioni di risposta.
  • Off/On

Per modificare o eliminare l’integrazione, cliccare sui tre punti nella prima colonna a destra Icona con i tre puntini..

Integrazioni ospitate dall’appliance.

Aggiunta di un’appliance

È possibile aggiungere un’appliance di integrazione come parte della configurazione di un’integrazione NDR o di terze parti. Per istruzioni per ciascun prodotto, vedere Integrazioni.

In alternativa, è possibile aggiungere un’appliance dalla scheda Appliance di integrazione. Si crea così un’immagine che viene distribuita sulla rete virtuale.

  1. Aprire Centro di analisi delle minacce > Integrazioni > Configurato e selezionare la scheda Appliance di integrazione.
  2. Cliccare su Aggiungi appliance.

    Pulsante Aggiungi appliance.

  3. Configurare l’appliance come segue:

    1. Inserire un Nome e una Descrizione.
    2. Selezionare la Piattaforma virtuale: VMware ESXi, Microsoft Hyper-V o AWS.
    3. Specificare le Impostazioni della porta di rete con connessione Internet. Viene così configurata l’interfaccia di gestione.

      • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

        Nota

        Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

      • Selezionare Manuale per specificare le impostazioni di rete.

    4. Cliccare su Salva.

    Impostazioni dell’appliance di integrazione.

  4. Trovare la nuova appliance nell’elenco di appliance. Se si passa il cursore del mouse sul nome, compare la dicitura “In attesa di distribuzione”.

  5. Attendere la creazione di un’immagine. L’operazione potrebbe richiedere fino a cinque minuti.

  6. Nella prima colonna a destra, cliccare sui tre puntini Icona con i tre puntini. e selezionare Scarica immagine.

Ora è necessario distribuire l’immagine nel proprio ambiente virtuale. Vedere Implementazione di una VM per le integrazioni.

Quando si configura un’integrazione in un secondo momento, è possibile selezionare questa appliance per ospitarla.