Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=ApexCentral

Integrar o Trend Micro Apex Central

Coletor de log Endpoint

Você pode integrar o Apex Central ao Sophos Central para o envio de dados de auditoria à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo de integração. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Esta página descreve a integração usando um dispositivo no ESXi ou Hyper-V. Se você quiser integrar usando um dispositivo na AWS, consulte Adicionar integrações na AWS.

Etapas principais

As principais etapas em uma integração são as seguintes:

  • Adicione uma integração deste produto. Nesta etapa, você cria uma imagem do dispositivo.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o Apex Central para enviar dados ao dispositivo.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Adicionar uma integração

Para integrar o Apex Central ao Sophos Central, faça o seguinte:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Clique em Trend Micro Apex Central.

    A página Trend Micro Apex Central é aberta. Você pode adicionar integrações aqui e ver uma lista daquelas que você já adicionou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Fornecer seus detalhes de domínio e IP.

    Etapas de configuração de integração aparece.

Configurar o dispositivo

Em Etapas de configuração de integração, você pode configurar um novo dispositivo ou usar um existente.

Presumimos aqui que você queira configurar um novo dispositivo. Para fazer isso, crie uma imagem da seguinte forma:

  1. Adicione um nome e uma descrição para a nova integração.
  2. Clique em Criar um novo dispositivo.
  3. Insira um nome e uma descrição para o dispositivo.
  4. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  5. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento do dispositivo.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  6. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Apex Central para enviar dados ao seu dispositivo.

  7. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar o Apex Central para enviar dados ao seu dispositivo.

  8. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar o Apex Central para enviar dados.

    Pode levar alguns minutos para que a imagem do dispositivo fique pronta.

Implantar o dispositivo

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem para implantar o dispositivo da seguinte forma:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar dispositivos.

Configurar o Apex Central

Agora, configure o Apex Central para enviar os dados de auditoria para o seu dispositivo.

Nota

Você pode configurar várias instâncias do Apex Central para enviar dados para a Sophos através do mesmo dispositivo. Depois de concluir a integração, repita as etapas nesta seção para suas outras instâncias do Apex Central. Você não precisa repetir as etapas no Sophos Central.

Configure o Apex Central da seguinte forma:

  1. Vá para Detections > Notifications > Notification Method Settings.

  2. Na seção Syslog Settings, insira:

    • Endereço de IP do servidor: O endereço IP do syslog do seu dispositivo. Você definiu isso anteriormente no Sophos Central.
    • Porta: O número da porta do seu dispositivo.
    • Instalação: Selecione o código de facility.

  3. Clique em Salvar.

Ativar o encaminhamento de syslog

Usamos o encaminhamento de syslog para enviar dados ao dispositivo da Sophos.

Para encaminhar o tráfego de rede, faça o seguinte:

  1. Faça login no console do Apex Central usando uma conta de administrador.
  2. Vá para Administration > Settings > Syslog Settings.
  3. Selecione Enable syslog forwarding.

  4. Configure os seguintes ajustes:

    • Endereço do servidor: O endereço IP do syslog do seu dispositivo.
    • Porta: O número da porta do dispositivo da Sophos.
    • Protocolo: Selecione TCP ou UDP. Escolha o mesmo que você configurou para o seu dispositivo.

  5. Selecione CEF como o formato de log:

  6. Selecione os tipos de log para encaminhar:

    1. Selecione uma categoria de log na lista suspensa Log type:

      • Logs de segurança
      • Informações sobre o produto

    2. Marque as caixas de seleção dos logs que deseja encaminhar. O Apex Central mostra o número total de tipos de log selecionados ao lado da lista Log type.

    3. Você pode selecionar outra categoria de log na lista suspensa Log type.

  7. Clique em Test Connection para testar a conexão do servidor. O status de conexão do servidor syslog aparece na parte superior da tela.

  8. Clique em Salvar.

    O Apex Central começa a encaminhar logs para o seu dispositivo. Os dados devem aparecer no Sophos Data Lake após a validação.

    Para monitorar o status de encaminhamento de log, vá para Administration > Command Tracking e selecione Forward Syslog na lista suspensa Command.

Mais Informações