Darktrace
この機能を使用するには、「Network」統合ライセンスパックが必要です。
Darktrace を Sophos Central と統合して、ソフォスに警告を送信することができます。
この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。これらは、まとめてデータコレクタと呼ばれます。データコレクタはサードパーティのデータを受信し、Sophos Data Lake に送信します。
注
Darktrace の複数のインスタンスを同じデータコレクタに追加できます。
これを行うには、Darktrace 統合を Sophos Central で設定した後、Darktrace の 1つのインスタンスがログを送信するように設定します。次に、他の Darktrace を設定して、この同じソフォスのデータコレクタにログが送信されるようにします。
Sophos Central での設定ステップを繰り返す必要はありません。
統合を追加する主な手順は、次のとおりです。
- この製品の統合を追加します。これにより、Open Virtual Appliance (OVA) ファイルが設定されます。
- OVA ファイルを ESXi サーバーに展開します。これがデータコレクタになります。
- データコレクタにデータを送信するよう Darktrace を設定します。
統合の追加
統合を追加するには、次の手順を実行します。
- Sophos Central にサインインします。
- 「脅威解析センタ- > 統合」を参照します。
-
「Darktrace」をクリックします。
既に Darktrace への接続を設定済みの場合は、ここに表示されます。
-
「統合」で、「追加」をクリックします。
注
これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。
「統合手順」が表示されます。
VM の設定
「統合のセットアップ手順」で は、Darktrace からデータを受信するように VM を構成します。既存の VM を使用することも、新しい VM を作成することもできます。
VM を構成するには、以下の手順に従います。
- 統合名と説明を入力します。
-
データコレクタの名前と説明を入力します。
データコレクタの統合を既に設定済みの場合は、リストから選択できます。
-
仮想プラットフォームを選択します。(現在、VMware のみに対応しています)。
-
インターネットに接続するネットワークポートを指定します。
-
IP アドレスを自動的に割り当てるには、「DHCP」を選択します。
注
DHCP を選択した場合は、IP アドレスを予約する必要があります。
-
ネットワーク設定を指定するには、「手動」を選択します。
データを送信するように Darktrace を設定する場合は、後で VM のアドレスが必要になります。
-
-
「プロトコル」を選択します。
- フォームの残りのフィールドに入力します。
-
「保存」をクリックします。
統合が作成され、リストに表示されます。OVA ファイルの準備が完了するまで、数分かかることがあります。
VM の展開
制限事項
OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。展開後、再び使用することはできません。
新しい VM を展開する必要がある場合は、ここでの手順をすべて再度実行して、この統合を Sophos Central にリンクする必要があります。
OVA ファイルを使用して VM を展開します。これには、次の手順を実行します。
- 統合のリストの、「アクション」で「OVA のダウンロード」をクリックします。
- OVA ファイルのダウンロードが完了したら、ESXi サーバー上に展開します。設定アシスタントの指示に従って手順を実行します。詳細は、統合用の VM の導入を参照してください。
VM を展開すると、統合は「接続済み」として表示されます。
Darktrace の設定
ここで、syslog 転送を使用してアラートを送信するように Darktrace を設定します。
アラート転送を設定するには、次の手順を実行します。
- Darktrace で、「システム構成」 > 「アラート」の順に移動します。
- 「詳細オプション」を「True」に設定します。
- 「CEF Syslog アラート」を「True」に設定します。
- 追加のフィールドを表示するには、Enter キーを使用します。それでも表示されない場合は、フィールドにカーソルを置き、もう一度 Enter キーを押してください。
- 「CEF Syslog サーバー」で、syslog サーバーの IP アドレスを入力し、Enter キーを使用します。
- 「CEF Syslog サーバーポート」にリスナーのポートを入力し、Enter キーをもう一度使用します。
- Darktrace アラートは、イベントのスコア付け方法によって異なります。ソフォスに転送される警告を最大化するには、「最低警告優先度」と「スコア」の両方が 1 に設定されていることを確認します。
検証後は、Darktrace 警告が Sophos Data Lake に表示されます。