Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Trend Micro Apex Central

Coletor de log

Você pode integrar o Apex Central ao Sophos Central para o envio de dados de auditoria à Sophos para análise.

Essa integração usa um coletor de log em uma máquina virtual (VM). O coletor de log recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar várias instâncias do Apex Central ao mesmo coletor de log.

Para isso, configure a sua integração do Apex Central no Sophos Central e depois configure uma instância do Apex Central para enviar logs para ele. Em seguida, configure suas outras instâncias do Apex Central para enviar logs ao mesmo coletor de log da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura um arquivo OVA (Open Virtual Appliance).
  • Implemente o arquivo OVA em seu servidor ESXi. Ele se torna seu coletor de log.
  • Configure o Apex Central para enviar dados ao coletor de log.

Adicionar uma integração

Para integrar o Apex Central ao Sophos Central, faça o seguinte:

  1. No Sophos Central, vá para o Centro de Análise de Ameaças e clique em Integrações.
  2. Clique em Trend Micro Apex Central.

    Se já tiver configurado as conexões ao Apex Central, você as verá aqui.

  3. Clique em Adicionar uma integração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de integração, você configura uma VM para receber dados do Apex Central. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Adicione um nome e uma descrição para a nova integração.
  2. Insira um nome e uma descrição para a VM.
  3. Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)
  4. Especifique as portas de rede voltadas à Internet.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

    Você precisará do endereço da VM mais tarde, ao configurar o Apex Central para enviar dados a ela.

  5. Selecione um Protocolo.

  6. Preencha todos os campos restantes no formulário.
  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista. Pode levar alguns minutos para que o arquivo OVA esteja pronto para download.

Implantar a VM

Restrição

O arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Depois de implantado, ele não pode ser usado novamente.

Se precisar implantar uma nova VM, você deve executar todas essas etapas novamente para vincular a integração ao Sophos Central.

Use o arquivo OVA para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique em Baixar OVA.
  2. Quando o download do arquivo OVA for concluído, implante-o em seu servidor ESXi. Um assistente conduzirá você pelas etapas. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o Apex Central

Agora, configure o Apex Central para enviar os dados de auditoria para a VM da seguinte forma:

  1. Vá para Detections > Notifications > Notification Method Settings.
  2. Na seção Syslog Settings, insira:

    • Endereço de IP do servidor: Digite o endereço IPv6 ou IPv4 do servidor syslog.
    • Porta: O número da porta do servidor syslog.
    • Instalação: Selecione o código de facility.
  3. Clique em Salvar.

Ativar o encaminhamento de syslog

Usamos o encaminhamento de syslog para enviar dados ao coletor de log da Sophos.

Para encaminhar o tráfego de rede, faça o seguinte:

  1. Faça login no console do Apex Central usando uma conta de administrador.
  2. Vá para Administration > Settings > Syslog Settings.
  3. Selecione Enable syslog forwarding.
  4. Configure os seguintes ajustes:

    • Endereço do servidor: FQDN ou endereço IP da VM que hospeda seu coletor de log da Sophos.
    • Porta: Insira o número da porta do coletor de log da Sophos.
    • Protocolo: Selecione TCP ou UDP. Escolha o mesmo que você configurou para o seu coletor de log.
  5. Selecione CEF como o formato de log:

  6. Selecione os tipos de log para encaminhar:

    1. Selecione uma categoria de log na lista suspensa Log type:

      • Logs de segurança
      • Informações sobre o produto
    2. Marque as caixas de seleção dos logs que deseja encaminhar. O Apex Central mostra o número total de tipos de log selecionados ao lado da lista Log type.

    3. Você pode selecionar outra categoria de log na lista suspensa Log type.
  7. Clique em Test Connection para testar a conexão do servidor. O status de conexão do servidor syslog aparece na parte superior da tela.

  8. Clique em Salvar.

    O Apex Central começa a encaminhar logs para o seu coletor de log. Os dados devem aparecer no Sophos Data Lake após a validação.

    Para monitorar o status de encaminhamento de log, vá para Administration > Command Tracking e selecione Forward Syslog na lista suspensa Command.

Mais Informações