Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=ApexCentral

Trend Micro Apex Central

Agente di raccolta log

Apex Central può essere integrato con Sophos Central per consentire l’invio di dati di audit a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più istanze di Apex Central sulla stessa appliance.

Per farlo, occorre configurare l’integrazione Apex Central in Sophos Central e successivamente configurare un’istanza di Apex Central per l’invio dei log. A questo punto, sarà necessario configurare le altre istanze di Apex Central per l’invio dei log alla stessa appliance Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Configurare un’integrazione per questo prodotto. Questa azione configura un’immagine da utilizzare su una VM.
  • Scaricare e distribuire l’immagine sulla propria VM, che diventa l’appliance.
  • Configurare Apex Central in modo che invii dati all’appliance.

Requisiti

Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.

Configurazione di un’integrazione

Per integrare Apex Central con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Trend Micro Apex Central.

    Si apre la pagina Trend Micro Apex Central. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare la propria VM come appliance, in modo che riceva dati da Apex Central. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Aggiungere un nome e una descrizione per la nuova integrazione.

  2. Inserire un nome e una descrizione per l’appliance.

    Se è già stata configurata un’integrazione per l’appliance Sophos, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  4. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per la VM.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  5. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Apex Central per l’invio dei dati all’appliance.

  6. Selezionare un Protocollo.

    Utilizzare lo stesso protocollo quando si configura Apex Central per l’invio dei dati all’appliance.

  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di Apex Central per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine VM sia pronta.

Distribuzione della VM

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine VM per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Implementazione di una VM per le integrazioni.

Configurazione di Apex Central

Configurare ora Apex Central in modo che invii dati di audit all’appliance, procedendo come segue:

  1. Selezionare Detections (Rilevamenti) > Notifications (Notifiche) > Notification Method Settings (Impostazioni metodo di notifica).

  2. Nella sezione Syslog Settings (Impostazioni di syslog), immettere quanto segue:

    • Server IP address: l’indirizzo IP del syslog della propria appliance. È stato impostato prima, in Sophos Central.
    • Port: il numero di porta della propria appliance.
    • Facility: selezionare il codice della struttura.

  3. Cliccare su Salva.

Attivazione dell’inoltro di syslog

L’inoltro di syslog viene utilizzato per inviare dati all’appliance Sophos.

Per inoltrare il traffico di syslog, procedere come segue:

  1. Accedere alla console Apex Central utilizzando un account amministratore.
  2. Aprire Administration (Amministrazione) > Settings (Impostazioni) > Syslog Settings (Impostazioni syslog).
  3. Selezionare Enable syslog forwarding (Attiva inoltro di syslog).

  4. Configura le seguenti impostazioni:

    • Server address: l’indirizzo IP del syslog della propria appliance.
    • Port: il numero di porta dell’appliance Sophos.
    • Protocol: selezionare TCP o UDP. Scegliere lo stesso protocollo configurato per la propria appliance.

  5. Selezionare CEF come formato per i log:

  6. Selezionare i tipi di log da inoltrare:

    1. Selezionare una categoria di log dall’elenco a discesa Log type (Tipo di log):

      • Security logs (Log di sicurezza)
      • Product information (Informazioni sul prodotto)

    2. Selezionare le caselle di controllo dei log che si desidera inoltrare. Apex Central mostra il numero totale di tipi di log selezionati accanto all’elenco Log type.

    3. È possibile selezionare un’altra categoria di log dall’elenco a discesa Log type.

  7. Cliccare su Test Connection (Prova connessione) per effettuare il test della connessione del server. Lo stato della connessione del server syslog verrà visualizzato nella parte alta dello schermo.

  8. Cliccare su Salva.

    Apex Central comincerà ora a inoltrare log all’appliance. I dati dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.

    Per monitorare lo stato di inoltro dei log, selezionare Administration (Amministrazione) > Command Tracking (Monitoraggio comandi) e successivamente Administration > Forward Syslog (Inoltra syslog) dall’elenco a discesa Command (Comando).

Maggiori informazioni