Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Malwarebytes Endpoint Protection

Coletor de log

Este recurso ainda não está disponível para todos os clientes.

Você pode integrar o Malwarebytes Endpoint Protection ao Sophos Central para que ele envie dados à Sophos para análise.

Essa integração usa um coletor de log em uma máquina virtual (VM). O coletor de log recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar várias instâncias do Malwarebytes Endpoint Protection ao mesmo coletor de log.

Para isso, configure a sua integração do Malwarebytes Endpoint Protection no Sophos Central e depois configure uma instância para enviar logs para ele. Em seguida, configure suas outras instâncias do Malwarebytes Endpoint Protection para enviar logs ao mesmo coletor de log da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura um arquivo OVA (Open Virtual Appliance).
  • Implemente o arquivo OVA em seu servidor ESXi. Ele se torna seu coletor de log.
  • Configure o Malwarebytes Endpoint Protection para enviar dados ao coletor de log.

Adicionar uma integração

Para integrar o Endpoint Protection ao Sophos Central, faça o seguinte:

  1. No Sophos Central, vá para o Centro de Análise de Ameaças e clique em Integrações.
  2. Clique em Malwarebytes Endpoint Protection.

    Se já tiver configurado as conexões ao Endpoint Protection, você as verá aqui.

  3. Clique em Adicionar uma integração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de integração, você configura uma VM para receber dados do Endpoint Protection. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Adicione um nome e uma descrição para a nova integração.
  2. Insira um nome e uma descrição para a VM.
  3. Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)
  4. Especifique as portas de rede voltadas à Internet.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

    Você precisará do endereço da VM mais tarde, ao configurar o Endpoint Protection para enviar dados a ela.

  5. Selecione um Protocolo.

  6. Preencha todos os campos restantes no formulário.
  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista. Pode levar alguns minutos para que o arquivo OVA esteja pronto para download.

Implantar a VM

Restrição

O arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Depois de implantado, ele não pode ser usado novamente.

Se precisar implantar uma nova VM, você deve executar todas essas etapas novamente para vincular a integração ao Sophos Central.

Use o arquivo OVA para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique em Baixar OVA.
  2. Quando o download do arquivo OVA for concluído, implante-o em seu servidor ESXi. Um assistente conduzirá você pelas etapas. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o Endpoint Protection

O Endpoint Protection obtém os dados de eventos e os encaminha da seguinte forma:

  • Os endpoints informam a detecção de ameaças, quarentena e outros eventos para o Malwarebytes Endpoint Protection.
  • O endpoint do Malwarebytes syslog communicator extrai os eventos do Malwarebytes Endpoint Protection por pull.
  • O communication endpoint encaminha os eventos para o servidor syslog no formato CEF.

Seu coletor de log atua como o servidor syslog.

Antes de começar

Você precisa do seguinte:

  • Uma assinatura ou avaliação ativa de um dos seguintes produtos da plataforma Malwarebytes Endpoint Protection:
    • Malwarebytes Endpoint Detection and Response
    • Malwarebytes Endpoint Protection
    • Malwarebytes Incident Response
  • O endereço IP de sua máquina virtual.
  • Acesso à rede entre um de seus Malwarebytes syslog communication endpoints e um SIEM ou servidor syslog. Por padrão, é usado o TCP pela porta 514.

Configuração

  1. Vá para Settings > Syslog Logging.
  2. Clique em Add > Syslog Settings.
  3. Preencha as seguintes informações sobre a sua máquina virtual:

    • IP Address/Host: Endereço IP ou nome de host da sua máquina virtual.
    • Porta: Porta na sua máquina virtual.
    • Protocolo: Escolha o protocolo TCP ou UDP.
    • Severidade: Escolha na lista Severity. Isso determina a gravidade de todos os eventos do Malwarebytes enviados ao syslog.
    • Communication Interval: Determina a frequência com que o communication endpoint coleta dados do syslog do servidor Malwarebytes, em minutos.

    Se o endpoint não puder contatar o Malwarebytes, ele armazenará no buffer os dados das 24 horas anteriores. Dados com mais de 24 horas não são enviados.

  4. Clique em Salvar.

  5. Vá para Endpoints.
  6. Clique na sua máquina virtual.

Na seção Agent Information, você verá o número da versão do SIEM. Isso confirma que o plug-in SIEM está ativo no endpoint.

O endpoint agora envia os dados para o seu coletor de log. Ele deve aparecer no Sophos Data Lake após a validação.

Alterar configurações do syslog

Se você precisar alterar o seu coletor de log, siga este procedimento:

  1. Vá para Settings > Syslog Logging.
  2. Clique em Remove para rebaixar a sua máquina virtual.
  3. Clique em Add para promover uma nova máquina virtual. Consulte as etapas na seção Configuração.

Você pode rebaixar temporariamente um communication endpoint alternando entre On/Off. O rebaixamento temporário de um communication endpoint pode ser útil ao solucionar problemas nas suas configurações de syslog.