Appliance NDR
Le appliance di integrazione Sophos Network Detection and Response (NDR) possono utilizzare le esportazioni di syslog per ricevere dati da Sophos NDR o da prodotti di terze parti e inoltrarli al Sophos Data Lake a scopo di analisi.
Per visualizzare le appliance NDR, selezionare NDR > Appliance. Si verrà reindirizzati alla scheda Appliance di integrazione della pagina Integrazioni configurate.
Per informazioni sulla configurazione di NDR, incluso come creare un’appliance di integrazione NDR, vedere Sophos NDR su ESXi o Hyper-V o Sophos NDR per AWS.
Per i requisiti per l’appliance Sophos, vedere Requisiti dell’appliance.
Elenco di Appliance di integrazione
L’elenco mostra tutte le appliance di integrazione. Possono includere appliance per NDR, integrazioni di prodotti di terze parti o entrambi.
L’elenco indica i seguenti dettagli:
- Integrazioni: il numero di integrazioni di prodotti NDR o di terze parti che utilizzano l’appliance.
- CPU: Utilizzo della CPU.
- Memoria: Utilizzo della memoria.
- Archiviazione 1: l’unità principale.
- Archiviazione 2: l’unità dati.
- Tipo: Piattaforma virtuale.
- Protocollo di rete: le impostazioni della rete con connessione Internet. DHCP o Manuale.
- IP del syslog
- Log richiesto: indica se è stata inviata una richiesta Raccogli log.
Visualizzazione delle integrazioni
È possibile visualizzare le integrazioni ospitate su ogni appliance.
Nell’elenco Appliance di integrazione, cliccare sulla freccia accanto al nome di un’appliance. Le integrazioni ospitate su quell’appliance verranno quindi elencate con i rispettivi dettagli. L’esempio riportato di seguito mostra un’appliance NDR.
- Nome dell’integrazione
- Vendor: Sophos o un vendor di terze parti.
- Protocollo: NDR.
- Porta
- Tipo di configurazione: il tipo di integrazione configurato. Inserimento dei dati o Azioni di risposta.
- Off/On
Per modificare o eliminare l’integrazione, cliccare sui tre punti nella prima colonna a destra .
Aggiunta di un’appliance
È possibile aggiungere un’appliance di integrazione come parte della configurazione di un’integrazione NDR o di terze parti. Per istruzioni per ciascun prodotto, vedere Integrazioni.
In alternativa, è possibile aggiungere un’appliance dalla scheda Appliance di integrazione. Si crea così un’immagine che viene distribuita sulla rete virtuale.
- Aprire Centro di analisi delle minacce > Integrazioni > Configurato e selezionare la scheda Appliance di integrazione.
-
Cliccare su Aggiungi appliance.
-
Configurare l’appliance come segue:
- Inserire un Nome e una Descrizione.
- Selezionare la Piattaforma virtuale: VMware ESXi, Microsoft Hyper-V o AWS.
-
Specificare le Impostazioni della porta di rete con connessione Internet. Viene così configurata l’interfaccia di gestione.
-
Selezionare DHCP per assegnare automaticamente l’indirizzo IP.
Nota
Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.
-
Selezionare Manuale per specificare le impostazioni di rete.
-
-
Cliccare su Salva.
-
Trovare la nuova appliance nell’elenco di appliance. Se si passa il cursore del mouse sul nome, compare la dicitura “In attesa di distribuzione”.
-
Attendere la creazione di un’immagine. L’operazione potrebbe richiedere fino a cinque minuti.
-
Nella prima colonna a destra, cliccare sui tre puntini e selezionare Scarica immagine.
Ora è necessario distribuire l’immagine nel proprio ambiente virtuale. Vedere Implementazione di una VM per le integrazioni.
Quando si configura un’integrazione in un secondo momento, è possibile selezionare questa appliance per ospitarla.