Integrar o Veeam Backup & Replication
Você deve ter o pacote de licença de integrações Backup and Recovery para usar esse recurso.
Você deve ter o Veeam Backup & Replication versão 12.1 ou posterior.
Você pode integrar o Veeam Backup & Replication ao Sophos Central para que ele envie eventos à Sophos para análise.
Essa integração é uma implantação somente local.
A integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.
Nota
Você pode adicionar várias instâncias do Veeam ao mesmo dispositivo.
Para isso, configure a sua integração do Veeam no Sophos Central e depois configure uma instância do Veeam para enviar logs para ele. Em seguida, configure outras instâncias para enviar logs ao mesmo dispositivo da Sophos.
Você não precisa repetir a parte Sophos Central da configuração.
As principais etapas para adicionar uma integração são as seguintes:
- Adicione uma integração deste produto. Isso configura uma imagem para ser usada em uma VM.
- Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
- Configure o Veeam para enviar dados ao dispositivo.
- Obtenha dados adicionais da Veeam. Isso usa o recurso "four-eyes" e é opcional.
Requisitos
Os dispositivos da Sophos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.
Adicionar uma integração
Para integrar o Veeam ao Sophos Central, faça o seguinte:
- Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
-
Clique em Veeam Backup & Replication.
A página Veeam Backup & Replication é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.
-
Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.
Nota
Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.
Etapas de configuração de integração aparece.
Configurar a VM
Em Etapas de configuração de integração, você configura uma VM como um dispositivo para receber dados da Veeam. Você pode usar uma VM existente ou criar uma nova.
Para configurar a VM, faça o seguinte:
- Adicione um nome e uma descrição para a nova integração.
-
Insira um nome e uma descrição para o dispositivo.
Se você já tiver configurado um dispositivo da Sophos, poderá selecioná-lo em uma lista.
-
Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.
-
Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.
-
Selecione DHCP para atribuir o endereço IP automaticamente.
Nota
Se você selecionar DHCP, deverá reservar o endereço IP.
-
Selecione Manual para especificar as configurações de rede.
-
-
Selecione a Versão de IP do syslog e insira o endereço IP de syslog.
Você precisará desse endereço IP de syslog mais tarde, ao configurar o Veeam para enviar dados ao seu dispositivo.
-
Selecione um Protocolo.
Você deve usar o mesmo protocolo ao configurar o Veeam para enviar dados ao seu dispositivo.
-
Clique em Salvar.
Nós criamos a integração e ela aparece na sua lista.
Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar a Veeam para enviar dados.
Pode levar alguns minutos para que a imagem da VM fique pronta.
Implantar a VM
Restrição
Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.
Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:
- Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
- Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.
Configurar Veeam
Agora você configura o Veeam Backup & Replication para nos enviar dados.
Para configurar o encaminhamento de eventos através do syslog, faça o seguinte:
- Abra o console do Veeam Backup & Replication.
-
No menu principal, selecione Options.
-
Na página Options, selecione a guia Event Forwarding.
-
Na seção Syslog servers, clique em Add.
-
Em Add Syslog server, faça o seguinte:
- Em Server, digite o IP e a porta do servidor (o padrão é 514).
- Em Transport, insira o protocolo de transporte de rede: UDP, TCP ou TLS.
- Clique em OK.
Você deve inserir o mesmo endereço IP e protocolo inseridos no Sophos Central quando adicionou a integração.
-
Na guia Event Forwarding, clique em OK.
Obter dados adicionais da Veeam
Para obter dados sobre eventos adicionais da Veeam, recomendamos que você ative a autorização four-eyes da Veeam.
A autorização Four-Eyes exige que você obtenha autorização adicional de outros administradores para ações que possam afetar dados confidenciais, por exemplo, deletar backups. Se você ativar o recurso, os detalhes desses eventos de autorização serão enviados para a Sophos para análise.
Antes de ativar a autorização four-eyes, verifique se você atende aos requisitos:
- Você precisa de pelo menos dois usuários com a função Veeam Backup Administrator. A função pode ser atribuída aos usuários ou a um grupo de que são membros.
- Você deve configurar notificações por e-mail para administradores. A Veeam pode enviar solicitações aos administradores para aprovar ações. Consulte Configuring Global Email Notification Settings.
Para ativar a autorização four-eyes, faça o seguinte:
- Abra o console do Veeam Backup & Replication.
- No menu principal, selecione Users and Roles.
-
Clique na guia Authorization e faça o seguinte:
- Selecione Require additional approval for sensitive operations.
- Especifique o período de tempo durante o qual a operação solicitada deve ser aprovada ou rejeitada (mínimo 1 dia, máximo 30).
- Clique em OK.