Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Integrar Forcepoint

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Você pode integrar a Forcepoint NGFW ao Sophos Central para o envio de alertas à Sophos.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar várias instâncias Forcepoint NGFW ao mesmo dispositivo.

Para isso, configure a sua integração da Forcepoint NGFW no Sophos Central e depois configure uma instância Forcepoint NGFW para enviar logs. Em seguida, configure suas outras instâncias Forcepoint NGFW para enviar logs ao mesmo dispositivo da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As etapas principais são as seguintes:

  • Configure uma integração para este produto. Isso configura uma imagem para ser usada em uma VM.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure a Forcepoint NGFW para enviar dados ao dispositivo.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Configurar uma integração

Para configurar uma integração, siga este procedimento:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
  2. Clique em Darktrace. Certifique-se de clicar no cartão Darktrace DETECT, não Darktrace Email.

    A página Darktrace é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de configuração de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura a sua VM como um dispositivo para receber dados da Darktrace DETECT. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Insira um nome de integração e uma descrição.
  2. Insira um nome e uma descrição para o dispositivo.

    Se você já tiver configurado um dispositivo da Sophos, poderá escolhê-lo em uma lista.

  3. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  4. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  5. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar a Forcepoint NGFW para enviar dados ao seu dispositivo.

  6. Em Protocolo, TCP está pré-selecionado. Você não pode alterar isso.

    Ao configurar a Forcepoint NGFW para enviar dados ao seu dispositivo, você deve se certificar de que está usando o mesmo protocolo.

  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar a Forcepoint NGFW para enviar dados.

    Pode levar alguns minutos para que a imagem da VM fique pronta.

Implantar a VM

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.

Configurar o Forcepoint NGFW

Para encaminhar logs para o Sophos, você deve adicionar regras de encaminhamento de log ao Servidor de Log, da seguinte forma:

  1. Selecione Home.
  2. Vá para Others > Log Server.
  3. Clique com o botão direito do mouse no servidor de log a partir do qual deseja encaminhar dados de log e selecione Properties.
  4. Clique na guia Log Forwarding.
  5. Para criar uma regra, clique em Add.

    É exibida uma tabela de definições.

  6. Para selecionar o host externo para o qual os dados são encaminhados, faça o seguinte:

    1. Clique no campo Target Host.
    2. Selecione um host e clique em Select.
  7. Para adicionar uma regra, clique em Add.

  8. Configure a regra de encaminhamento de log.

    Para essa integração, você deve clicar no campo Format e selecionar CEF.

  9. Clique em OK.