Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

ManageEngine ADAudit Plus

Coletor de log

Você pode integrar o ADAudit Plus ao Sophos Central para que envie dados sobre atividades relacionadas à segurança para a Sophos.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar várias instâncias do ADAudit Plus ao mesmo coletor de dados.

Para isso, configure a sua integração do ADAudit Plus no Sophos Central e depois configure uma instância do ADAudit Plus para enviar logs para ele. Em seguida, configure suas outras instâncias do ADAudit Plus para enviar logs ao mesmo coletor de dados da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura um arquivo OVA (Open Virtual Appliance).
  • Implemente o arquivo OVA em seu servidor ESXi. Ele se torna seu coletor de dados.
  • Configure o ADAudit Plus para enviar dados ao coletor de dados.

Adicionar uma integração

Para integrar o ADAudit Plus ao Sophos Central, faça o seguinte:

  1. No Sophos Central, vá para o Centro de Análise de Ameaças e clique em Integrações.
  2. Clique em ADAudit Plus.

    Se já tiver configurado as conexões aos ADAudit Plus, você as verá aqui.

  3. Clique em Adicionar.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura uma VM para receber dados do ADAudit Plus. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Adicione um nome e uma descrição para a nova integração.
  2. Insira um nome e uma descrição para o coletor de dados.

    Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.

  3. Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)

  4. Especifique as portas de rede voltadas à Internet.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

    Você precisará do endereço da VM mais tarde, ao configurar o ADAudit Plus para enviar dados a ela.

  5. Selecione um Protocolo.

  6. Preencha todos os campos restantes no formulário.
  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista. Pode levar alguns minutos para que o arquivo OVA esteja pronto para download.

Implantar a VM

Restrição

O arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Depois de implantado, ele não pode ser usado novamente.

Se precisar implantar uma nova VM, você deve executar todas essas etapas novamente para vincular a integração ao Sophos Central.

Use o arquivo OVA para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique em Baixar OVA.
  2. Quando o download do arquivo OVA for concluído, implante-o em seu servidor ESXi. Um assistente conduzirá você pelas etapas. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o ADAudit Plus

Agora, configure o ADAudit Plus para enviar dados de auditoria ao seu coletor de dados.

Para isso, siga este procedimento:

  1. Na janela principal, clique na guia Admin.
  2. Selecione SIEM Integration.
  3. Selecione Enable forwarding of ADAudit Plus Data.
  4. Escolha ArcSight.
  5. Insira o nome da sua VM no nome ArcSight/CEF Server.
  6. Escolha TCP como seu protocolo preferido.
  7. Digite o número da porta da sua VM.
  8. Salve a configuração e escolha as categorias para encaminhar.

Para obter mais informações, consulte SIEM Integration.