跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=darktrace

整合 Darktrace DETECT

記錄收集器 網路

MSP Flex客戶必須擁有網路整合授權套件才能使用此功能。

您可以將 Darktrace DETECT 與 Sophos Central 整合,以便將警示傳送到 Sophos。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為整合設備。該設備會接收第三方資料,並將其傳送至 Sophos Data Lake。

本頁說明如何透過部署於 ESXi 或 Hyper-V 的設備進行整合。若您希望使用部署於 AWS 的設備進行整合,請參閱 在 AWS 上的整合

主要步驟

整合的主要步驟如下:

  • 新增此產品的整合項目。此步驟中,您將建立整合設備的映像檔。
  • 下載並部署該映像檔至您的虛擬機器。部署後的虛擬機器即成為您的整合設備。
  • 設定 Darktrace DETECT 以將資料傳送到設備。

需求

整合設備有特定的系統與網路存取需求。若要確認您的環境是否符合要求,請參閱 設備要求

新增整合項目

若要新增整合,請依下列步驟操作:

  1. 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Marketplace

  2. 按一下 Darktrace。確保您按的是 Darktrace DETECT 卡,而不是 Darktrace Email 卡。

    Darktrace 頁面隨即打開。您可以在此處新增整合並查看已新增的所有整合清單。

  3. 資料擷取 (安全性警示) 中,按一下 新增設定

    注意

    如果這是您首次新增整合,我們將要求您輸入組織的內部網域與 IP 詳細資訊。請參閱 提供您的域和IP詳細資訊

    此時螢幕上將顯示 整合設定步驟

設定設備

整合設定步驟 中,您可以設定新的設備,或使用既有的設備。

此處我們假設您要設定新的設備。請依以下步驟建立映像檔:

  1. 輸入整合名稱與描述。
  2. 按一下 建立新設備
  3. 輸入該設備的名稱與描述。
  4. 選取虛擬平台。目前支援 VMware ESXi 6.7 Update 3 或更新版本,以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  5. 指定 對外網路連接埠 的 IP 設定這將設定設備的管理介面。

    • 若選擇 DHCP,系統會自動指派 IP 位址。

      注意

      若您選擇 DHCP,請務必保留該 IP 位址。

    • 若選擇 手動,則可自行指定網路設定。

  6. 選取 Syslog IP 版本 並輸入 Syslog IP 位址

    稍後設定 Darktrace DETECT 以向設備傳送資料時,您將需要該 syslog IP 位址。

  7. 通訊協定中,預先選取了 TCP。不能變更。

    當您設定 Darktrace DETECT 以傳送資料至設備時,您必須確保其使用相同的通訊協定。

  8. 按一下儲存

    我們會建立整合項目,並將其顯示在您的清單中。

    在整合詳細資料中,您可以查看設備所使用的連接埠號碼,稍後設定 Darktrace DETECT 以向其傳送資料時,您將需要該編號。

    設備映像檔可能需要幾分鐘的時間才能準備好。

部署設備

限制條件

如果您使用的是 ESXi,OVA 檔案會與 Sophos Central 進行驗證,因此只能使用一次。若您需要再次部署新的虛擬機器,則必須在 Sophos Central 中重新建立 OVA 檔案。

請依下列方式使用映像檔部署設備:

  1. 在整合項目清單中,於 動作 欄位中,按一下對應平台的下載操作,例如 下載 OVA (適用於 ESXi)。
  2. 映像檔下載完成後,將其部署至您的虛擬機器上。請參閱 部署設備

設定 Darktrace DETECT

現在,您可以將 Darktrace DETECT 設定為使用 syslog 轉寄功能向我們傳送警示。

注意

您可以設定多個 Darktrace DETECT 執行個體,以便透過同一設備向 Sophos 傳送資料。完成整合後,請針對其他 Darktrace DETECT 執行個體重複本節中的步驟。無須重複執行 Sophos Central 中的設定步驟。

要設定警示轉寄功能,請執行以下動作:

  1. 登入 Darktrace DETECT。
  2. 在 Threat Visualizer 中,移至管理員
  3. 系統組態下,按一下模組
  4. 模組頁面上,按一下工作流程整合
  5. 找到 Syslog 並按一下它。
  6. Syslog 頁面上,選取 Syslog CEF 索引標籤。

  7. 按一下新建

    此時將顯示 Syslog 組態設定。建議您在開啟傳送警示之前完成所有組態設定。

  8. 伺服器中,輸入設備的 IP 位址

  9. 伺服器連接埠中,輸入設備偵聽的連接埠

    您必須輸入新增整合時在 Sophos Central 中輸入的相同的 IP 位址和連接埠設定。

  10. 開啟顯示進階選項

    在第一部分中,開啟使用 TCP 傳送警示

  11. 開啟傳送 AI Analyst 警示

  12. 最低 AI Analyst 事件分數最低 AI Analyst 安全事件分數設定為 0。這將最大程度提高傳送至 Sophos 的警示。
  13. 按一下 新增
  14. 返回頁面頂部並按一下驗證警示傳送。這會傳送測試警示至您的設備。
  15. 開啟傳送警示並儲存變更。

驗證後,Darktrace DETECT 警示會顯示在 Sophos Data Lake 中。