Darktrace DETECT
Você deve ter o pacote de licença de integrações "Network" para usar esse recurso.
Você pode integrar a Darktrace DETECT ao Sophos Central para o envio de alertas à Sophos.
Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.
Nota
Você pode adicionar várias instâncias Darktrace DETECT ao mesmo dispositivo.
Para isso, configure a sua integração da Darktrace DETECT no Sophos Central e depois configure uma instância Darktrace DETECT para enviar logs. Em seguida, configure suas outras instâncias Darktrace DETECT para enviar logs ao mesmo dispositivo da Sophos.
Você não precisa repetir a parte Sophos Central da configuração.
As etapas principais são as seguintes:
- Configure uma integração para este produto. Isso configura uma imagem para ser usada em uma VM.
- Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
- Configure a Darktrace DETECT para enviar dados ao dispositivo.
Requisitos
Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.
Configurar uma integração
Para configurar uma integração, siga este procedimento:
- Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
-
Clique em Darktrace. Certifique-se de clicar no cartão Darktrace DETECT, não Darktrace Email.
A página Darktrace é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.
-
Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.
Nota
Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.
Etapas de configuração de integração aparece.
Configurar a VM
Em Etapas de configuração de integração, você configura a sua VM como um dispositivo para receber dados da Darktrace DETECT. Você pode usar uma VM existente ou criar uma nova.
Para configurar a VM, faça o seguinte:
- Insira um nome de integração e uma descrição.
-
Insira um nome e uma descrição para o dispositivo.
Se você já tiver configurado um dispositivo da Sophos, poderá escolhê-lo em uma lista.
-
Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.
-
Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.
-
Selecione DHCP para atribuir o endereço IP automaticamente.
Nota
Se você selecionar DHCP, deverá reservar o endereço IP.
-
Selecione Manual para especificar as configurações de rede.
-
-
Selecione a Versão de IP do syslog e insira o endereço IP de syslog.
Você precisará desse endereço IP de syslog mais tarde, ao configurar a Darktrace DETECT para enviar dados ao seu dispositivo.
-
Selecione um Protocolo.
Você deve usar o mesmo protocolo ao configurar a Darktrace DETECT para enviar dados ao seu dispositivo.
-
Clique em Salvar.
Nós criamos a integração e ela aparece na sua lista.
Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar a Darktrace DETECT para enviar dados.
Pode levar alguns minutos para que a imagem da VM fique pronta.
Implantar a VM
Restrição
Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.
Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:
- Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
- Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.
Configurar a Darktrace DETECT
Agora você configura a Darktrace DETECT para nos enviar alertas usando o encaminhamento de syslog.
Para configurar o encaminhamento de alertas, siga este procedimento:
- Inicie uma sessão na Darktrace DETECT.
- Em Threat Visualizer, vá para Admin.
- Em System Configuration, clique em Modules.
- Na página Modules, clique em Workflow Integrations.
- Encontre Syslog e clique nele.
- Na página Syslog, selecione a guia Syslog CEF.
-
Clique em New.
São apresentadas as definições de configuração do Syslog. Recomendamos que você faça toda a configuração antes de ativar Send Alerts.
-
Em Server, insira o endereço IP do seu dispositivo.
-
Em Server Port, insira a porta em que o dispositivo escuta.
Você deve inserir as mesmas configurações de endereço IP e porta inseridas no Sophos Central quando você adicionou a integração.
-
Ative Send AI Analyst Alerts.
- Configure Minimum AI Analyst Incident Event Score e Minimum AI Analyst Incident Score como
0
. Isso maximiza os alertas enviados para a Sophos. - Clique em Adicionar.
- Volte para a parte superior da página e clique em Verify alert sending. Isso envia um alerta de teste para o seu dispositivo.
- Ative Send Alerts e salve suas alterações.
Os alertas da Darktrace DETECT aparecem no Sophos Data Lake após a validação.