コンテンツにスキップ
MDR のサポート提供の詳細はこちら

Malwarebytes Endpoint Protection

ログコレクタ

このバージョンのヘルプが公開された時点では、この機能はリリースされていない可能性があります。

Malwarebytes Endpoint Protection を Sophos Central と統合して、ソフォスでの解析用にデータを送信することができます。

この統合では、仮想マシン (VM) 上のログコレクタを使用します。ログコレクタはサードパーティのデータを受信し、Sophos Data Lake に送信します。

Malwarebytes Endpoint Protection の複数のインスタンスを同じログコレクタに追加できます。

これを行うには、Malwarebytes Endpoint Protection 統合を Sophos Central で設定した後、1つのインスタンスがログを送信するように設定します。次に、Malwarebytes Endpoint Protection の他のインスタンスを設定して、この同じソフォスのログコレクタにログが送信されるようにします。

Sophos Central での設定ステップを繰り返す必要はありません。

統合を追加する主な手順は、次のとおりです。

  • この製品の統合を追加します。これにより、Open Virtual Appliance (OVA) ファイルが設定されます。
  • OVA ファイルを ESXi サーバーに導入します。これがログコレクタになります。
  • ログコレクタにデータを送信するよう Malwarebytes Endpoint Protection を設定します。

統合の追加

Endpoint Protection を Sophos Central と統合するには、次の手順を実行します。

  1. Sophos Central で「脅威解析センター」に移動して、「統合」をクリックします。
  2. Malwarebytes Endpoint Protection をクリックします。

    既に Endpoint Protection への接続を設定済みの場合は、ここに表示されます。

  3. 統合の追加」をクリックします。

    これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。

    統合手順が表示されます。

VM の設定

統合手順」では、Endpoint Protection からデータを受信するように VM を構成します。既存の VM を使用することも、新しい VM を作成することもできます。

VM を構成するには、以下の手順に従います。

  1. 新しい統合の名前と説明を入力します。
  2. VM の名前と説明を入力します。
  3. 仮想プラットフォームを選択します。(現在、VMware のみに対応しています)。
  4. インターネットに接続するネットワークポートを指定します。

    • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      DHCP を選択した場合は、IP アドレスを予約する必要があります。

    • ネットワーク設定を指定するには、「手動」を選択します。

    データを送信するように Endpoint Protection を構成する場合は、VM のアドレスが必要になります。

  5. プロトコルを選択します。

  6. フォームの残りのフィールドに入力します。
  7. 保存」をクリックします。

    統合が作成され、リストに表示されます。QVA ファイルのダウンロードが開始できるまで、数分かかることがあります。

VM の導入

制限事項

OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。導入後、再び使用することはできません。

新しい VM を導入する必要がある場合は、ここでの手順をすべて再度実行して、この統合を Sophos Central にリンクする必要があります。

OVA ファイルを使用して VM を展開します。これには、次の手順を実行します。

  1. 統合のリストの、「アクション」で「OVAのダウンロード」をクリックします。
  2. OVA ファイルのダウンロードが完了したら、ESXi サーバー上に展開します。設定アシスタントの指示に従って手順を実行します。詳細は、統合用の VM の導入を参照してください。

VM を展開すると、統合は「接続済み」として表示されます。

Endpoint Protection の構成

Endpoint Protection は、次のようにイベントデータを取得して転送します。

  • エンドポイントは、脅威検出、隔離、およびその他のイベントを MalwareBytes Endpoint Protection に報告します。
  • Malwarebytes syslog コミュニケータのエンドポイントは、Malwarebytes Endpoint Protection からイベントをプルします。
  • 通信エンドポイントは、CEF 形式で syslog サーバーにイベントを転送します。

ログコレクタは syslog サーバーとして動作します。

はじめに

次が必要です。

  • 次のいずれかの Malwarebytes Endpoint Protection プラットフォーム製品のアクティブなサブスクリプションまたはトライアル:
    • Malwarebytes Endpoint の検出と対応
    • Malwarebytes Endpoint Protection
    • Malwarebytes インシデント対応
  • 仮想マシンの IP アドレスです。
  • Malwarebytes syslog 通信エンドポイントの 1 つと SIEM または syslog サーバー間のネットワークアクセスです。デフォルトでは、TCP over port 514 が使用されます。

設定

  1. 設定」 > 「Syslog ロギング」に移動します。
  2. 追加」 > [Syslog 設定」をクリックします。
  3. 仮想マシンに関する次の情報を入力します。

    • IP アドレス/ホスト: 仮想マシンの IP アドレスまたはホスト名。
    • ポート: 仮想マシンのポートです。
    • プロトコル: TCP または UDP プロトコルを選択します。
    • 重要度: リストから重要度を選択します。これにより、syslog に送信されるすべての Malwarebytes イベントの重要度が決定されます。
    • 通信間隔: 通信エンドポイントが Malwarebytes サーバーから syslog データを収集する頻度を分単位で決定します。

    エンドポイントが Malwarebytes に接続できない場合、過去 24 時間のデータをバッファします。24 時間以上経過したデータは送信されません。

  4. 保存」をクリックします。

  5. エンドポイント」に移動します。
  6. 仮想マシンをクリックします。

エージェント情報」セクションに SIEM のバージョン番号が表示されます。これにより、SIEM プラグインがエンドポイントでアクティブになっていることが確認されます。

これで、エンドポイントからログコレクタにデータが送信されるようになります。検証後、Sophos Data Lake に表示されます。

syslog 設定の変更

ログコレクタの変更が必要な場合は、次の手順を実行します。

  1. 設定」 > 「Syslog ロギング」に移動します。
  2. 削除」をクリックして、仮想マシンをデモートします。
  3. 追加」をクリックして 、新しい仮想マシンをプロモートします。「設定」セクションの手順を参照してください。

オン/オフ切り替えを使用すると、通信エンドポイントを一時的にデモートできます。通信エンドポイントの一時的なデモートは、syslog 設定のトラブルシューティングにも役立ちます。