コンテンツにスキップ
MDR のサポート提供の詳細はこちら

Darktrace

ログコレクタ

この機能を使用するには、「Network」統合ライセンスパックが必要です。

Darktrace を Sophos Central と統合して、ソフォスに警告を送信することができます。

この統合では、仮想マシン (VM) 上にホストされているログコレクタを使用します。これらは、まとめてデータコレクタと呼ばれます。データコレクタはサードパーティのデータを受信し、Sophos Data Lake に送信します。

Darktrace の複数のインスタンスを同じデータコレクタに追加できます。

これを行うには、Darktrace 統合を Sophos Central で設定した後、Darktrace の 1つのインスタンスがログを送信するように設定します。次に、他の Darktrace を設定して、この同じソフォスのデータコレクタにログが送信されるようにします。

Sophos Central での設定ステップを繰り返す必要はありません。

統合を追加する主な手順は、次のとおりです。

  • この製品の統合を追加します。これにより、Open Virtual Appliance (OVA) ファイルが設定されます。
  • OVA ファイルを ESXi サーバーに展開します。これがデータコレクタになります。
  • データコレクタにデータを送信するよう Darktrace を設定します。

統合の追加

統合を追加するには、次の手順を実行します。

  1. Sophos Central にサインインします。
  2. 脅威解析センタ- > 統合」を参照します。
  3. Darktrace」をクリックします。

    既に Darktrace への接続を設定済みの場合は、ここに表示されます。

  4. 統合」で、「追加」をクリックします。

    これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。

    統合手順」が表示されます。

VM の設定

統合のセットアップ手順」で は、Darktrace からデータを受信するように VM を構成します。既存の VM を使用することも、新しい VM を作成することもできます。

VM を構成するには、以下の手順に従います。

  1. 統合名と説明を入力します。
  2. データコレクタの名前と説明を入力します。

    データコレクタの統合を既に設定済みの場合は、リストから選択できます。

  3. 仮想プラットフォームを選択します。(現在、VMware のみに対応しています)。

  4. インターネットに接続するネットワークポートを指定します。

    • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      DHCP を選択した場合は、IP アドレスを予約する必要があります。

    • ネットワーク設定を指定するには、「手動」を選択します。

    データを送信するように Darktrace を設定する場合は、後で VM のアドレスが必要になります。

  5. プロトコル」を選択します。

  6. フォームの残りのフィールドに入力します。
  7. 保存」をクリックします。

    統合が作成され、リストに表示されます。OVA ファイルの準備が完了するまで、数分かかることがあります。

VM の展開

制限事項

OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。展開後、再び使用することはできません。

新しい VM を展開する必要がある場合は、ここでの手順をすべて再度実行して、この統合を Sophos Central にリンクする必要があります。

OVA ファイルを使用して VM を展開します。これには、次の手順を実行します。

  1. 統合のリストの、「アクション」で「OVA のダウンロード」をクリックします。
  2. OVA ファイルのダウンロードが完了したら、ESXi サーバー上に展開します。設定アシスタントの指示に従って手順を実行します。詳細は、統合用の VM の導入を参照してください。

VM を展開すると、統合は「接続済み」として表示されます。

Darktrace の設定

ここで、syslog 転送を使用してアラートを送信するように Darktrace を設定します。

アラート転送を設定するには、次の手順を実行します。

  1. Darktrace で、「システム構成」 > 「アラート」の順に移動します。
  2. 詳細オプション」を「True」に設定します。
  3. CEF Syslog アラート」を「True」に設定します。
  4. 追加のフィールドを表示するには、Enter キーを使用します。それでも表示されない場合は、フィールドにカーソルを置き、もう一度 Enter キーを押してください。
  5. CEF Syslog サーバー」で、syslog サーバーの IP アドレスを入力し、Enter キーを使用します。
  6. CEF Syslog サーバーポート」にリスナーのポートを入力し、Enter キーをもう一度使用します。
  7. Darktrace アラートは、イベントのスコア付け方法によって異なります。ソフォスに転送される警告を最大化するには、「最低警告優先度」と「スコア」の両方が 1 に設定されていることを確認します。

検証後は、Darktrace 警告が Sophos Data Lake に表示されます。