ManageEngine ADAudit Plus
Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Identità”.
ADAudit Plus può essere integrata con Sophos Central, per consentire l’invio a Sophos di dati sulle attività relative alla sicurezza.
Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.
In questa pagina viene descritta l’integrazione mediante un’appliance su ESXi o Hyper-V. Se si desidera eseguire l’integrazione utilizzando un’appliance su AWS, vedere Aggiunta di integrazioni in AWS.
Passaggi principali
I passaggi principali in un’integrazione sono i seguenti:
- Aggiungere un’integrazione per questo prodotto. In questo passaggio, viene creata un’immagine della propria appliance.
- Scaricare e distribuire l’immagine sulla propria VM. Questa diventa l’appliance.
- Configurare ADAudit Plus in modo che invii dati all’appliance.
Requisiti
Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.
Aggiunta di un’integrazione
Per integrare ADAudit Plus con Sophos Central, procedere come segue:
- In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
-
Cliccare su ADAudit Plus.
Si apre la pagina ADAudit Plus. Qui è possibile aggiungere integrazioni e visualizzare un elenco delle integrazioni che sono già state aggiunte.
-
In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.
Nota
Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere Immissione dei dettagli di dominio e IP.
Verranno visualizzati i Passaggi di configurazione dell’integrazione.
Configurazione dell’appliance
In Passaggi di configurazione dell’integrazione, è possibile configurare una nuova appliance o utilizzarne una esistente.
In queste istruzioni si presuppone che si stia configurando una nuova appliance. Per farlo, creare un’immagine procedendo come segue:
- Aggiungere un nome e una descrizione per la nuova integrazione.
- Cliccare su Crea nuova appliance.
- Inserire un nome e una descrizione per l’appliance.
- Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.
-
Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per l’appliance.
-
Selezionare DHCP per assegnare automaticamente l’indirizzo IP.
Nota
Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.
-
Selezionare Manuale per specificare le impostazioni di rete.
-
-
Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.
L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di ADAudit Plus per l’invio dei dati all’appliance.
-
Selezionare un Protocollo.
Utilizzare lo stesso protocollo quando si configura ADAudit Plus per l’invio dei dati all’appliance.
-
Cliccare su Salva.
L’integrazione verrà creata e visualizzata nell’elenco.
Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di ADAudit Plus per l’invio dei dati a quell’agente di raccolta dati.
Potrebbero trascorrere alcuni minuti prima che l’immagine dell’appliance sia pronta.
Distribuzione dell’appliance
Restrizione
Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.
Utilizzare l’immagine per distribuire l’appliance, procedendo come segue:
- Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
- Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Distribuzione delle appliance.
Configurazione di ADAudit Plus
Configurare ora ADAudit Plus, in modo che invii dati di audit all’appliance.
Nota
È possibile configurare più istanze di ADAudit Plus per l’invio di dati a Sophos attraverso la stessa appliance. Una volta completata l’integrazione, ripetere i passaggi descritti in questa sezione per le altre istanze di ADAudit Plus. Non è necessario ripetere i passaggi in Sophos Central.
Per farlo, procedere come segue:
- Nella finestra principale, cliccare sulla scheda Admin (Amministrazione).
- Selezionare SIEM Integration (Integrazione SIEM).
- Selezionare Enable forwarding of ADAudit Plus Data (Attiva inoltro dei dati di ADAudit Plus).
- Selezionare ArcSight.
- Immettere il nome della propria appliance nel nome dell’ArcSight/CEF Server.
- Scegliere TCP come protocollo preferito.
-
Immettere il numero di porta della propria appliance.
Occorre immettere le stesse impostazioni di porta e protocollo che sono state specificate in Sophos Central al momento dell’aggiunta dell’integrazione.
-
Salvare la configurazione e selezionare le categorie da inoltrare.
Per maggiori informazioni, vedere Integrazione SIEM.