Vai al contenuto
Il supporto che offriamo per MDR.

Malwarebytes Endpoint Protection

Agente di raccolta log

Questa funzionalità potrebbe non essere ancora disponibile per tutti i clienti.

Malwarebytes Endpoint Protection può essere integrata con Sophos Central per consentire l’invio di dati a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log su una virtual machine (VM). L’agente di raccolta log riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più istanze di Malwarebytes Endpoint Protection sullo stesso agente di raccolta log.

Per farlo, occorre configurare l’integrazione Malwarebytes Endpoint Protection in Sophos Central e successivamente configurare un’istanza per l’invio dei log. A questo punto, sarà necessario configurare le altre istanze di Malwarebytes Endpoint Protection per l’invio dei log allo stesso agente di raccolta log Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo modo viene configurato un file OVA (Open Virtual Appliance, ovvero appliance virtuale aperta).
  • Distribuire il file OVA sul server ESXi: diventerà l’agente di raccolta log.
  • Configurare Malwarebytes Endpoint Protection in modo che invii dati all’agente di raccolta log.

Aggiunta di un’integrazione

Per integrare Endpoint Protection con Sophos Central, procedere come segue:

  1. In Sophos Central, aprire Centro di analisi delle minacce e cliccare su Integrazioni.
  2. Cliccare su Malwarebytes Endpoint Protection.

    Se sono già state configurate connessioni a Endpoint Protection, verranno visualizzate qui.

  3. Cliccare su Aggiungi integrazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di integrazione.

Configurazione della VM

Nei Passaggi di integrazione è possibile configurare la propria VM in modo che riceva dati da Endpoint Protection. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Aggiungere un nome e una descrizione per la nuova integrazione.
  2. Immettere un nome e una descrizione per la VM.
  3. Selezionare la piattaforma virtuale (al momento è supportata solo VMware).
  4. Specificare le porte di rete con connessione Internet.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

    L’indirizzo della VM sarà necessario in un secondo momento, durante la configurazione di Endpoint Protection per l’invio dei dati a quella VM.

  5. Selezionare un Protocollo.

  6. Completare eventuali campi rimanenti del modulo.
  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco. Potrebbero trascorrere alcuni minuti prima che il file OVA sia pronto per il download.

Distribuzione della VM

Restrizione

Il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Dopo la distribuzione, non potrà essere riutilizzato.

Se si deve distribuire una nuova VM, occorrerà ripetere tutti questi passaggi per collegare questa integrazione a Sophos Central.

Utilizzare il file OVA per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, in Azioni, cliccare su Scarica OVA.
  2. Al termine del download del file OVA, distribuirlo sul proprio server ESXi. Verrà avviato un assistente alla configurazione che accompagnerà l’utente durante l’intera procedura. Vedere Implementazione di una VM per le integrazioni.

Una volta distribuita la VM, l’integrazione verrà visualizzata come Connessa.

Configurazione di Endpoint Protection

Endpoint Protection ottiene e inoltra i dati degli eventi; per farlo, procede come segue:

  • Gli endpoint segnalano a Malwarebytes Endpoint Protection il rilevamento, la quarantena e altri eventi relative alle minacce.
  • Un endpoint di comunicazione syslog di Malwarebytes estrae gli eventi da Malwarebytes Endpoint Protection.
  • L’endpoint di comunicazione inoltra quindi gli eventi al server syslog in formato CEF.

L’agente di raccolta log svolge la funzione di server syslog.

Prima di cominciare

Occorre quanto segue:

  • Una subscription o una versione di prova attiva per uno dei seguenti prodotti della piattaforma Malwarebytes Endpoint Protection:
    • Malwarebytes Endpoint Detection and Response
    • Malwarebytes Endpoint Protection
    • Malwarebytes Incident Response
  • L’indirizzo IP della virtual machine.
  • Accesso alla rete tra uno degli endpoint di comunicazione syslog di Malwarebytes e un server SIEM o syslog. Per impostazione predefinita viene utilizzato TCP sulla porta 514.

Configurazione

  1. Selezionare Settings (Impostazioni) > Syslog Logging (Log syslog).
  2. Cliccare su Add (Aggiungi) > Syslog Settings (Impostazioni syslog).
  3. Immettere le seguenti informazioni sulla propria virtual machine:

    • IP Address/Host: l’indirizzo IP o nome host della virtual machine.
    • Port: la porta sulla virtual machine.
    • Protocol: scegliere tra il protocollo TCP o UDP.
    • Severity: scegliere un livello di Severity (Gravità) dall’elenco, che determinerà la gravità di tutti gli eventi Malwarebytes inviati a syslog.
    • Communication Interval: stabilisce la frequenza (in minuti) con cui l’endpoint di comunicazione deve raccogliere dati di syslog dal server di Malwarebytes.

    Se l’endpoint non dovesse riuscire a contattare Malwarebytes, memorizzerà nel buffer i dati delle 24 ore precedenti. I dati che risalgono a più di 24 ore prima non verranno inviati.

  4. Cliccare su Save.

  5. Selezionare Endpoints.
  6. Cliccare sulla propria virtual machine.

Nella sezione Agent Information (Informazioni sull’agente) viene visualizzato il numero di versione SIEM. Questo conferma che il plug-in SIEM è attivo sull’endpoint.

L’endpoint invierà ora i dati all’agente di raccolta log. Dovrebbe essere visualizzato nel Sophos Data Lake dopo la convalida.

Modifica delle impostazioni syslog

Se si deve cambiare l’agente di raccolta log, procedere come segue:

  1. Selezionare Settings (Impostazioni) > Syslog Logging (Log syslog).
  2. Cliccare su Remove (Rimuovi) per abbassare di livello la virtual machine.
  3. Cliccare su Add (Aggiungi) per alzare di livello una nuova virtual machine. Vedere la procedura descritta nella sezione Configurazione.

Un endpoint di comunicazione può essere abbassato temporaneamente di livello utilizzando l’interruttore On/Off. L’abbassamento temporaneo di livello di un endpoint di comunicazione può essere utile durante la risoluzione di problemi relativi alle impostazioni syslog.