Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=aryaka

Integrar o Aryaka

Os clientes MSP Flex devem ter o pacote de licença de integrações Network para usar esse recurso.

Você pode integrar o Aryaka ao Sophos Central para o envio de alertas à Sophos para análise.

As etapas principais são as seguintes:

  • Adicione uma integração deste produto. Nesta etapa, você cria uma imagem do dispositivo.
  • Baixe e implante a imagem em uma VM. Isso se torna o seu dispositivo.
  • Configure o Aryaka para enviar dados ao dispositivo.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Clique em Aryaka.

    A página Aryaka é aberta. Você pode adicionar integrações aqui e ver uma lista daquelas que você já adicionou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Fornecer seus detalhes de domínio e IP.

Etapas de configuração de integração aparece.

Configurar o dispositivo

Em Etapas de configuração de integração, você pode configurar um novo dispositivo ou usar um existente.

Presumimos aqui que você queira configurar um novo dispositivo. Para fazer isso, crie uma imagem da seguinte forma:

  1. Insira um nome de integração e uma descrição.
  2. Clique em Criar um novo dispositivo.
  3. Insira um nome e uma descrição para o dispositivo.
  4. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  5. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento do dispositivo.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  6. Selecione a Versão de IP do syslog e insira o Endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Aryaka para enviar dados ao seu dispositivo.

  7. Em Protocolo, TCP está pré-selecionado. Você não pode alterar isso.

    Ao configurar o Aryaka para enviar dados ao seu dispositivo, você deve se certificar de que está usando o mesmo protocolo.

  8. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o Aryaka para enviar dados.

    Pode levar alguns minutos para que a imagem do dispositivo fique pronta.

Implantar o dispositivo

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem para implantar o dispositivo da seguinte forma:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar dispositivos.

Configurar o Aryaka

Configure o Aryaka para enviar dados ao dispositivo da seguinte forma:

  1. Entre no MyAryaka.
  2. No menu superior, clique em Config.
  3. No menu esquerdo, clique em Security.
  4. Clique no bloco SIEM.
  5. Clique em Adicionar configuração SIEM.

  6. No painel Detalhes de SIEM, insira um nome e uma descrição para a conexão.

    O recurso de fornecedor Vendor functionality é definido como Generic por padrão e não pode ser editado.

  7. No painel Connectivity Details, faça o seguinte:

    1. Clique na lista suspensa SIEM Log Transport Method e selecione Network Port.
    2. Insira o endereço IP que você configurou anteriormente em Syslog IP address.
    3. Clique na lista suspensa Protocol e selecione TCP.

    4. Insira a porta de escuta desta conexão que você configurou anteriormente no campo Port Number.

      Aryaka assume que a porta é 443 se você não a especificar.

  8. No painel Log Types, você pode escolher os logs para enviar para a Sophos. Clique nas seguintes opções:

    • Security Logs—Send logs from your Aryaka SmartSecure NGFW-SWG service: Os logs incluem insights de mecanismos de segurança SASE e não SASE.
    • IPS Event Logs—Send logs from your Aryaka SmartSecure IPS service: Esta opção é exibida somente se você tiver o serviço complementar Aryaka SmartSecure IPS.
    • Flow Logs—Send logs from your SD-WAN service: Os logs contêm detalhes básicos de conexão e estatísticas de tráfego. Estes logs não contêm detalhes do mecanismo de segurança.
    • Private Access Logs—Send logs from your Private Access service: Esta opção é exibida apenas se pelo menos uma região de Acesso Privado estiver habilitada.

  9. Clique em Enviar.

    Uma mensagem alerta que você não pode editar a configuração de SIEM até que a equipe de suporte da Aryaka conclua a configuração.

  10. Clique em OK.

    Uma mensagem confirma que a solicitação foi enviada. Status é definido como Provisioning.

A página SIEM (Config > Security > SIEM) exibe um bloco com o nome de SIEM, o tipo de fornecedor Generic e o status Configured quando a solicitação de alteração estiver concluída.

A Aryaka agora envia todos os tipos de log que você selecionou para a Sophos.