Vai al contenuto
Il supporto che offriamo per MDR.

Trend Micro Apex Central

Agente di raccolta log

Apex Central può essere integrato con Sophos Central per consentire l’invio di dati di audit a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log su una virtual machine (VM). L’agente di raccolta log riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più istanze di Apex Central sullo stesso agente di raccolta log.

Per farlo, occorre configurare l’integrazione Apex Central in Sophos Central e successivamente configurare un’istanza di Apex Central per l’invio dei log. A questo punto, sarà necessario configurare le altre istanze di Apex Central per l’invio dei log allo stesso agente di raccolta log Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I principali passaggi per l’aggiunta di un’integrazione sono i seguenti:

  • Aggiungere un’integrazione per questo prodotto. In questo modo viene configurato un file OVA (Open Virtual Appliance, ovvero appliance virtuale aperta).
  • Distribuire il file OVA sul server ESXi. Diventerà l’agente di raccolta log.
  • Configurare Apex Central in modo che invii dati all’agente di raccolta log.

Aggiunta di un’integrazione

Per integrare Apex Central con Sophos Central, procedere come segue:

  1. In Sophos Central, aprire Centro di analisi delle minacce e cliccare su Integrazioni.
  2. Cliccare su Trend Micro Apex Central.

    Se sono già state configurate connessioni ad Apex Central, verranno visualizzate qui.

  3. Cliccare su Aggiungi integrazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di integrazione.

Configurazione della VM

Nei Passaggi di integrazione è possibile configurare la propria VM in modo che riceva dati da Apex Central. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Aggiungere un nome e una descrizione per la nuova integrazione.
  2. Immettere un nome e una descrizione per la VM.
  3. Selezionare la piattaforma virtuale (al momento è supportata solo VMware).
  4. Specificare le porte di rete con connessione Internet.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

    L’indirizzo della VM sarà necessario in un secondo momento, durante la configurazione di Apex Central per l’invio dei dati a quella VM.

  5. Selezionare un Protocollo.

  6. Completare eventuali campi rimanenti del modulo.
  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco. Potrebbero trascorrere alcuni minuti prima che il file OVA sia pronto per il download.

Distribuzione della VM

Restrizione

Il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Dopo la distribuzione, non potrà essere riutilizzato.

Se si deve distribuire una nuova VM, occorrerà ripetere tutti questi passaggi per collegare questa integrazione a Sophos Central.

Utilizzare il file OVA per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, in Azioni, cliccare su Scarica OVA.
  2. Al termine del download del file OVA, distribuirlo sul proprio server ESXi. Verrà avviato un assistente alla configurazione che accompagnerà l’utente durante l’intera procedura. Vedere Implementazione di una VM per le integrazioni.

Una volta distribuita la VM, l’integrazione verrà visualizzata come Connessa.

Configurazione di Apex Central

A questo punto, occorre configurare Apex Central in modo che invii dati di log alla VM; per farlo, procedere come segue:

  1. Selezionare Detections (Rilevamenti) > Notifications (Notifiche) > Notification Method Settings (Impostazioni metodo di notifica).
  2. Nella sezione Syslog Settings (Impostazioni di syslog), immettere quanto segue:

    • Server IP address: digitare l’indirizzo IPv6 o IPv4 del server syslog.
    • Port: il numero di porta del server syslog.
    • Facility: selezionare il codice della struttura.
  3. Cliccare su Salva.

Attivazione dell’inoltro di syslog

L’inoltro di syslog viene utilizzato per inviare dati all’agente di raccolta log Sophos.

Per inoltrare il traffico di syslog, procedere come segue:

  1. Accedere alla console Apex Central utilizzando un account amministratore.
  2. Aprire Administration (Amministrazione) > Settings (Impostazioni) > Syslog Settings (Impostazioni syslog).
  3. Selezionare Enable syslog forwarding (Attiva inoltro di syslog).
  4. Configurare le seguenti impostazioni:

    • Server address: FQDN o indirizzo IP della VM che ospita l’agente di raccolta log Sophos.
    • Port: immettere il numero di porta dell’agente di raccolta log Sophos.
    • Protocol: selezionare TCP o UDP. Scegliere lo stesso protocollo configurato per l’agente di raccolta log.
  5. Selezionare CEF come formato per i log:

  6. Selezionare i tipi di log da inoltrare:

    1. Selezionare una categoria di log dall’elenco a discesa Log type (Tipo di log):

      • Security logs (Log di sicurezza)
      • Product information (Informazioni sul prodotto)
    2. Selezionare le caselle di controllo dei log che si desidera inoltrare. Apex Central mostra il numero totale di tipi di log selezionati accanto all’elenco Log type.

    3. È possibile selezionare un’altra categoria di log dall’elenco a discesa Log type.
  7. Cliccare su Test Connection (Prova connessione) per effettuare il test della connessione del server. Lo stato della connessione del server syslog verrà visualizzato nella parte alta dello schermo.

  8. Cliccare su Save.

    Apex Central comincerà ora a inoltrare log all’agente di raccolta log. I dati dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.

    Per monitorare lo stato di inoltro dei log, selezionare Administration (Amministrazione) > Command Tracking (Monitoraggio comandi) e successivamente Administration > Forward Syslog (Inoltra syslog) dall’elenco a discesa Command (Comando).

Maggiori informazioni