Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=darktrace

Darktrace DETECT

Coletor de log

Você deve ter o pacote de licença de integrações "Network" para usar esse recurso.

Você pode integrar a Darktrace DETECT ao Sophos Central para o envio de alertas à Sophos.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar várias instâncias Darktrace DETECT ao mesmo dispositivo.

Para isso, configure a sua integração da Darktrace DETECT no Sophos Central e depois configure uma instância Darktrace DETECT para enviar logs. Em seguida, configure suas outras instâncias Darktrace DETECT para enviar logs ao mesmo dispositivo da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As etapas principais são as seguintes:

  • Configure uma integração para este produto. Isso configura uma imagem para ser usada em uma VM.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure a Darktrace DETECT para enviar dados ao dispositivo.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Configurar uma integração

Para configurar uma integração, siga este procedimento:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Clique em Darktrace. Certifique-se de clicar no cartão Darktrace DETECT, não Darktrace Email.

    A página Darktrace é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de configuração de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura a sua VM como um dispositivo para receber dados da Darktrace DETECT. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Insira um nome de integração e uma descrição.

  2. Insira um nome e uma descrição para o dispositivo.

    Se você já tiver configurado um dispositivo da Sophos, poderá escolhê-lo em uma lista.

  3. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  4. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  5. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar a Darktrace DETECT para enviar dados ao seu dispositivo.

  6. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar a Darktrace DETECT para enviar dados ao seu dispositivo.

  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar a Darktrace DETECT para enviar dados.

    Pode levar alguns minutos para que a imagem da VM fique pronta.

Implantar a VM

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.

Configurar a Darktrace DETECT

Agora você configura a Darktrace DETECT para nos enviar alertas usando o encaminhamento de syslog.

Para configurar o encaminhamento de alertas, siga este procedimento:

  1. Inicie uma sessão na Darktrace DETECT.
  2. Em Threat Visualizer, vá para Admin.
  3. Em System Configuration, clique em Modules.
  4. Na página Modules, clique em Workflow Integrations.
  5. Encontre Syslog e clique nele.
  6. Na página Syslog, selecione a guia Syslog CEF.

  7. Clique em New.

    São apresentadas as definições de configuração do Syslog. Recomendamos que você faça toda a configuração antes de ativar Send Alerts.

  8. Em Server, insira o endereço IP do seu dispositivo.

  9. Em Server Port, insira a porta em que o dispositivo escuta.

    Você deve inserir as mesmas configurações de endereço IP e porta inseridas no Sophos Central quando você adicionou a integração.

  10. Ative Send AI Analyst Alerts.

  11. Configure Minimum AI Analyst Incident Event Score e Minimum AI Analyst Incident Score como 0. Isso maximiza os alertas enviados para a Sophos.
  12. Clique em Adicionar.
  13. Volte para a parte superior da página e clique em Verify alert sending. Isso envia um alerta de teste para o seu dispositivo.
  14. Ative Send Alerts e salve suas alterações.

Os alertas da Darktrace DETECT aparecem no Sophos Data Lake após a validação.