Vai al contenuto
Il supporto che offriamo per MDR.

Darktrace

Agente di raccolta log

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Rete”.

Darktrace può essere integrato con Sophos Central per l’invio di avvisi a Sophos.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono definiti “agente di raccolta dati”. L’agente di raccolta dati riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più istanze di Darktrace sullo stesso agente di raccolta dati.

Per farlo, occorre configurare l’integrazione di Darktrace in Sophos Central e successivamente configurare un’istanza di Darktrace per l’invio dei log. A questo punto, sarà necessario configurare le altre istanze di Darktrace per l’invio dei log allo stesso agente di raccolta dati Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo modo viene configurato un file OVA (Open Virtual Appliance, ovvero appliance virtuale aperta).
  • Distribuire il file OVA sul server ESXi. Diventerà l’agente di raccolta dati.
  • Configurare Darktrace per l’invio dei dati all’agente di raccolta dati.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Centro di analisi delle minacce > Integrazioni.
  3. Cliccare su Darktrace.

    Se sono già state configurate connessioni a Darktrace, verranno visualizzate qui.

  4. In Integrazioni, cliccare su Aggiungi.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di integrazione.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare la propria VM in modo che riceva dati da Darktrace. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Inserire un nome e una descrizione per l’integrazione.
  2. Immettere un nome e una descrizione per l’agente di raccolta dati.

    Se è già stata configurata un’integrazione per l’agente di raccolta dati, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale. (Al momento è supportata solo VMware).

  4. Specificare le porte di rete con connessione Internet.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

    L’indirizzo della VM sarà necessario in un secondo momento, durante la configurazione di Darktrace per l’invio dei dati a quella VM.

  5. Selezionare un Protocollo.

  6. Completare eventuali campi rimanenti del modulo.
  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco. Potrebbero trascorrere alcuni minuti prima che il file OVA sia pronto.

Distribuzione della VM

Restrizione

Il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Dopo la distribuzione, non potrà essere riutilizzato.

Se si deve distribuire una nuova VM, occorrerà ripetere tutti questi passaggi per collegare questa integrazione a Sophos Central.

Utilizzare il file OVA per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, in Azioni, cliccare su Scarica OVA.
  2. Al termine del download del file OVA, distribuirlo sul proprio server ESXi. Verrà avviato un assistente alla configurazione che accompagnerà l’utente durante l’intera procedura. Vedere Implementazione di una VM per le integrazioni.

Una volta distribuita la VM, l’integrazione verrà visualizzata come Connessa.

Configurazione di Darktrace

È ora possibile configurare Darktrace utilizzando l’inoltro di syslog, in modo che invii avvisi a Sophos.

Per configurare l’inoltro degli avvisi, procedere come segue:

  1. In Darktrace, aprire System Config (Configurazione sistema) > Alerting (Avvisi).
  2. Impostare le Advanced Options (Impostazioni avanzate) su True (Vero).
  3. Impostare CEF Syslog Alerts (Avvisi syslog CEF) su True.
  4. Utilizzare il tasto Invio per creare campi aggiuntivi. Se questo non dovesse funzionare, posizionare il cursore in un campo e premere nuovamente Invio.
  5. In CEF Syslog Server (Server syslog CEF), immettere l’IP address (Indirizzo IP) del server syslog e premere il tasto Invio.
  6. In CEF Syslog Server Port (Porte server syslog CEF), sotto Port (Porta), immettere la porta per il listener e premere nuovamente Invio.
  7. Gli avvisi di Darktrace dipendono da come vengono valutati gli eventi. Per ottimizzare gli avvisi inoltrati a Sophos, assicurarsi che le opzioni Minimum Alert Priority (Priorità minima avvisi) e Score (Punteggio) siano entrambe impostate su 1.

Gli avvisi di Darktrace dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.