Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Darktrace

Coletor de log

Você deve ter o pacote de licença de integrações "Network" para usar esse recurso.

Você pode integrar a Darktrace ao Sophos Central para o envio de alertas à Sophos.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar várias instâncias do Darktrace ao mesmo coletor de dados.

Para isso, configure a sua integração do Darktrace no Sophos Central e depois configure uma instância do Darktrace para enviar logs para ele. Em seguida, configure suas outras instâncias do Darktrace para enviar logs ao mesmo coletor de dados da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura um arquivo OVA (Open Virtual Appliance).
  • Implemente o arquivo OVA em seu servidor ESXi. Ele se torna seu coletor de dados.
  • Configure a Darktrace para enviar dados ao coletor de dados.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Faça login no Sophos Central.
  2. Vá para o Centro de Análise de Ameaças > Integrações.
  3. Clique em Darktrace.

    Se já tiver configurado as conexões à Darktrace, você as verá aqui.

  4. Em Integrações, clique em Adicionar.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura uma VM para receber dados da Darktrace. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Insira um nome de integração e uma descrição.
  2. Insira um nome e uma descrição para o coletor de dados.

    Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.

  3. Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)

  4. Especifique as portas de rede voltadas à Internet.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

    Você precisará do endereço da VM mais tarde, ao configurar a Darktrace para enviar dados a ela.

  5. Selecione um Protocolo.

  6. Preencha todos os campos restantes no formulário.
  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista. Pode levar alguns minutos para que o arquivo OVA esteja pronto.

Implantar a VM

Restrição

O arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Depois de implantado, ele não pode ser usado novamente.

Se precisar implantar uma nova VM, você deve executar todas essas etapas novamente para vincular a integração ao Sophos Central.

Use o arquivo OVA para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique em Baixar OVA.
  2. Quando o download do arquivo OVA for concluído, implante-o em seu servidor ESXi. Um assistente conduzirá você pelas etapas. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar a Darktrace

Agora você configura a Darktrace para enviar alertas para nós, usando o encaminhamento de syslog.

Para configurar o encaminhamento de alertas, siga este procedimento:

  1. Na Darktrace, vá para System Config > Alerting.
  2. Configure Advanced Options como True.
  3. Configure CEF Syslog Alerts como True.
  4. Use a tecla Enter para que mais campos sejam exibidos. Se isso não funcionar, coloque o cursor em um campo e pressione Enter novamente.
  5. Em CEF Syslog Server, insira o Endereço IP do seu servidor syslog e pressione a tecla Enter.
  6. Em CEF Syslog Server Port, insira a Porta do seu ouvinte e pressione a tecla Enter novamente.
  7. Os alertas da Darktrace dependem de como os eventos são pontuados. Para maximizar os alertas encaminhados à Sophos, certifique-se de que Minimum Alert Priority e Score estejam definidos como 1.

Seus dados da Darktrace devem aparecer no Sophos Data Lake após a validação.