Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=veeam

Veeam Backup & Replication

Coletor de log

Você deve ter o pacote de licença de integrações Backup and Recovery para usar esse recurso.

Você deve ter o Veeam Backup & Replication versão 12.1 ou posterior.

Você pode integrar o Veeam Backup & Replication ao Sophos Central para que ele envie eventos à Sophos para análise.

Essa integração é uma implantação somente local.

A integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar várias instâncias do Veeam ao mesmo dispositivo.

Para isso, configure a sua integração do Veeam no Sophos Central e depois configure uma instância do Veeam para enviar logs para ele. Em seguida, configure outras instâncias para enviar logs ao mesmo dispositivo da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura uma imagem para ser usada em uma VM.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o Veeam para enviar dados ao dispositivo.
  • Obtenha dados adicionais da Veeam. Isso usa o recurso "four-eyes" e é opcional.

Requisitos

Os dispositivos da Sophos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Adicionar uma integração

Para integrar o Veeam ao Sophos Central, faça o seguinte:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Clique em Veeam Backup & Replication.

    A página Veeam Backup & Replication é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de configuração de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura uma VM como um dispositivo para receber dados da Veeam. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Adicione um nome e uma descrição para a nova integração.

  2. Insira um nome e uma descrição para o dispositivo.

    Se você já tiver configurado um dispositivo da Sophos, poderá selecioná-lo em uma lista.

  3. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  4. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  5. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Veeam para enviar dados ao seu dispositivo.

  6. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar o Veeam para enviar dados ao seu dispositivo.

  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar a Veeam para enviar dados.

    Pode levar alguns minutos para que a imagem da VM fique pronta.

Implantar a VM

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.

Configurar Veeam

Agora você configura o Veeam Backup & Replication para nos enviar dados.

Para configurar o encaminhamento de eventos através do syslog, faça o seguinte:

  1. Abra o console do Veeam Backup & Replication.

  2. No menu principal, selecione Options.

    Menu principal do console Veeam.

  3. Na página Options, selecione a guia Event Forwarding.

    Página Options do Veeam.

  4. Na seção Syslog servers, clique em Add.

    Opções de encaminhamento de eventos do Veeam.

  5. Em Add Syslog server, faça o seguinte:

    1. Em Server, digite o IP e a porta do servidor (o padrão é 514).
    2. Em Transport, insira o protocolo de transporte de rede: UDP, TCP ou TLS.
    3. Clique em OK.

    Você deve inserir o mesmo endereço IP e protocolo inseridos no Sophos Central quando adicionou a integração.

    Caixa de diálogo Add Syslog Server.

  6. Na guia Event Forwarding, clique em OK.

Obter dados adicionais da Veeam

Para obter dados sobre eventos adicionais da Veeam, recomendamos que você ative a autorização four-eyes da Veeam.

A autorização Four-Eyes exige que você obtenha autorização adicional de outros administradores para ações que possam afetar dados confidenciais, por exemplo, deletar backups. Se você ativar o recurso, os detalhes desses eventos de autorização serão enviados para a Sophos para análise.

Antes de ativar a autorização four-eyes, verifique se você atende aos requisitos:

  • Você precisa de pelo menos dois usuários com a função Veeam Backup Administrator. A função pode ser atribuída aos usuários ou a um grupo de que são membros.
  • Você deve configurar notificações por e-mail para administradores. A Veeam pode enviar solicitações aos administradores para aprovar ações. Consulte Configuring Global Email Notification Settings.

Para ativar a autorização four-eyes, faça o seguinte:

  1. Abra o console do Veeam Backup & Replication.
  2. No menu principal, selecione Users and Roles.

  3. Clique na guia Authorization e faça o seguinte:

    1. Selecione Require additional approval for sensitive operations.
    2. Especifique o período de tempo durante o qual a operação solicitada deve ser aprovada ou rejeitada (mínimo 1 dia, máximo 30).
    3. Clique em OK.

    Guia de autorização da Veeam na página de usuários e funções.

Mais Informações