Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Malwarebytes Endpoint Protection

Coletor de log

Este recurso ainda não está disponível para todos os clientes.

Você pode integrar o Malwarebytes Endpoint Protection ao Sophos Central para que ele envie dados à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar várias instâncias do Malwarebytes Endpoint Protection ao mesmo dispositivo.

Para isso, configure a sua integração do Malwarebytes Endpoint Protection no Sophos Central e depois configure uma instância para enviar logs para ele. Em seguida, configure suas outras instâncias do Malwarebytes Endpoint Protection para enviar logs ao mesmo dispositivo da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As etapas principais são as seguintes:

  • Configure uma integração para este produto. Isso configura uma imagem para ser usada em uma VM.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o Malwarebytes Endpoint Protection para enviar dados ao dispositivo.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Configurar uma integração

Para integrar o Endpoint Protection ao Sophos Central, faça o seguinte:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
  2. Clique em Malwarebytes Endpoint Protection.

    A página Malwarebytes Endpoint Protection é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura a sua VM como um dispositivo para receber dados do Endpoint Protection. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Adicione um nome e uma descrição para a nova integração.
  2. Insira um nome e uma descrição para o dispositivo.

    Se você já tiver configurado um dispositivo da Sophos, poderá escolhê-lo em uma lista.

  3. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  4. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  5. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Endpoint Protection para enviar dados ao seu dispositivo.

  6. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar o Endpoint Protection para enviar dados ao seu dispositivo.

  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o Endpoint Protection para enviar dados.

    Pode levar alguns minutos para que a imagem da VM fique pronta.

Implantar a VM

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.

Configurar o Endpoint Protection

O Endpoint Protection obtém os dados de eventos e os encaminha da seguinte forma:

  • Os endpoints informam a detecção de ameaças, quarentena e outros eventos para o Malwarebytes Endpoint Protection.
  • O endpoint do Malwarebytes syslog communicator extrai os eventos do Malwarebytes Endpoint Protection por pull.
  • O communication endpoint encaminha os eventos para o servidor syslog no formato CEF.

Seu dispositivo atua como o servidor syslog.

Antes de começar

Você precisa do seguinte:

  • Uma assinatura ou avaliação ativa de um dos seguintes produtos da plataforma Malwarebytes Endpoint Protection:

    • Malwarebytes Endpoint Detection and Response
    • Malwarebytes Endpoint Protection
    • Malwarebytes Incident Response
  • O endereço IP do seu dispositivo.

  • Acesso à rede entre um de seus Malwarebytes syslog communication endpoints e um SIEM ou servidor syslog. Por padrão, é usado o TCP pela porta 514.

Configuração

  1. Vá para Settings > Syslog Logging.
  2. Clique em Add > Syslog Settings.
  3. Preencha as seguintes informações sobre o seu dispositivo:

    • IP Address/Host: Endereço IP ou nome de host da sua máquina virtual.
    • Porta: Porta na sua máquina virtual.
    • Protocolo: Escolha o protocolo TCP ou UDP.

      Você deve inserir as mesmas configurações inseridas no Sophos Central quando adicionou a integração.

    • Severidade: Escolha na lista Severity. Isso determina a gravidade de todos os eventos do Malwarebytes enviados ao syslog.

    • Communication Interval: Determina a frequência com que o communication endpoint coleta dados do syslog do servidor Malwarebytes, em minutos.

    Se o endpoint não puder contatar o Malwarebytes, ele armazenará no buffer os dados das 24 horas anteriores. Dados com mais de 24 horas não são enviados.

  4. Clique em Salvar.

  5. Vá para Endpoints.
  6. Clique na sua máquina virtual.

Na seção Agent Information, você verá o número da versão do SIEM. Isso confirma que o plug-in SIEM está ativo no endpoint.

O endpoint agora envia os dados para o seu dispositivo. Ele deve aparecer no Sophos Data Lake após a validação.

Alterar configurações do syslog

Se você precisar alterar o seu dispositivo, siga este procedimento:

  1. Vá para Settings > Syslog Logging.
  2. Clique em Remove para rebaixar a sua máquina virtual.
  3. Clique em Add para promover uma nova máquina virtual. Consulte as etapas na seção Configuração.

Você pode rebaixar temporariamente um communication endpoint alternando entre On/Off. O rebaixamento temporário de um communication endpoint pode ser útil ao solucionar problemas nas suas configurações de syslog.