Trend Micro Apex Central
Apex Central を Sophos Central と統合して、ソフォスでの解析用に監査データを送信することができます。
この統合では、仮想マシン (VM) 上のログコレクタを使用します。ログコレクタはサードパーティのデータを受信し、Sophos Data Lake に送信します。
注
Apex Central の複数のインスタンスを同じログコレクタに追加できます。
これを行うには、Apex Central 統合を Sophos Central で設定した後、Apex Central の 1つのインスタンスがログを送信するように設定します。次に、Apex Central の他のインスタンスを設定して、この同じソフォスのログコレクタにログが送信されるようにします。
Sophos Central での設定ステップを繰り返す必要はありません。
統合を追加する主な手順は、次のとおりです。
- この製品の統合を追加します。これにより、Open Virtual Appliance (OVA) ファイルが設定されます。
- OVA ファイルを ESXi サーバーに導入します。これがログコレクタになります。
- ログコレクタにデータを送信するように Apex Central を設定します。
統合の追加
Sophos Central に Apex Central を統合するには、次の手順を実行します。
- Sophos Central で「脅威解析センター」に移動して、「統合」をクリックします。
-
「Trend Micro Apex Central」をクリックします。
既に Apex Central への接続を設定済みの場合は、ここに表示されます。
-
「統合の追加」をクリックします。
注
これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。
「統合手順」が表示されます。
VM の設定
「統合手順」では、Apex Central からデータを受信するように VM を構成します。既存の VM を使用することも、新しい VM を作成することもできます。
VM を構成するには、以下の手順に従います。
- 新しい統合の名前と説明を入力します。
- VM の名前と説明を入力します。
- 仮想プラットフォームを選択します。(現在、VMware のみに対応しています)。
-
インターネットに接続するネットワークポートを指定します。
-
IP アドレスを自動的に割り当てるには、「DHCP」を選択します。
注
DHCP を選択した場合は、IP アドレスを予約する必要があります。
-
ネットワーク設定を指定するには、「手動」を選択します。
データを送信するように Apex Central を構成する場合は、後で VM のアドレスが必要になります。
-
-
「プロトコル」を選択します。
- フォームの残りのフィールドに入力します。
-
「保存」をクリックします。
統合が作成され、リストに表示されます。OVA ファイルのダウンロードが開始できるまで、数分かかることがあります。
VM の導入
制限事項
OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。導入後、再び使用することはできません。
新しい VM を導入する必要がある場合は、ここでの手順をすべて再度実行して、この統合を Sophos Central にリンクする必要があります。
OVA ファイルを使用して VM を導入します。これには、次の手順を実行します。
- 統合のリストの、「アクション」で「OVA のダウンロード」をクリックします。
- OVA ファイルのダウンロードが完了したら、ESXi サーバー上に展開します。設定アシスタントの指示に従って手順を実行します。詳細は、統合用の VM の導入を参照してください。
VM を展開すると、統合は「接続済み」として表示されます。
Apex Central の設定
次に、監査データを VM に送信するように Apex Central を設定します。
- 「検出 > 通知 > 通知方法の設定」に移動します。
-
「Syslog 設定」セクションで、以下の入力を行います。
- サーバー IP アドレス: syslog サーバーの IPv6 または IPv4 のアドレスを入力します。
- ポート: syslog サーバーのポート番号。
- ファシリティ: ファシリティコードを選択します。
-
「保存」をクリックします。
syslog 転送をオンにする
syslog 転送を使用して、Sophos ログコレクタにデータを送信します。
syslog トラフィックを転送するには、次の手順を実行します。
- 管理者アカウントを使用して、Apex Central コンソールにログインします。
- 「管理 > 設定 > Syslog 設定」に移動します。
- 「syslog 転送の有効化」を選択します。
-
次の設定を行います。
- サーバーアドレス: Sophos ログコレクタをホストしている VM の FQDN または IP アドレスです。
- ポート: Sophos ログコレクタのポート番号を入力します。
- プロトコル: TCP または UDP を選択します。ログコレクタに対して設定したものと同じものを選択します。
-
ログ形式として「CEF」を選択します。
-
転送するログタイプを選択します。
-
「ログタイプ」ドロップダウンリストからログカテゴリを選択します。
- セキュリティログ
- 製品情報
-
転送するログのチェックボックスを選択します。Apex Central には、「ログタイプ」リストの横に、選択したログタイプの合計数が表示されます。
- 「ログタイプ」ドロップダウンリストからは、別のログカテゴリを選択することもできます。
-
-
「接続のテスト」をクリックして、サーバー接続をテストします。syslog サーバーの接続ステータスが画面のいちばん上に表示されます。
-
「保存」をクリックします。
Apex Central により、ログコレクタへのログの転送が開始されます。検証後、データは Sophos Data Lake に表示されます。
ログ転送ステータスを監視するには、「管理 > コマンド追跡」に移動し、「コマンド」ドロップダウンリストから「Syslog の転送」を選択します。