跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=integrations-on-aws

在AWS上添加集成

通過在AWS上部署Sophos集成設備,您可以將第三方產品與Sophos Central集成。

設備託管日誌收集器,該日誌收集器使用syslog接收來自第三方產品的警報並將其轉發到Sophos。

此頁面告訴您如何在AWS上配置和部署設備。這些步驟適用於您要集成的任何第三方產品,前提是該產品託管在AWS上。

注意

傳送到設備的 syslog 資料並不安全。不要通過公共網際網路發送。

注意

您也可以使用AWS集成Sophos Network Detection and Response (NDR)。請參閱 AWS上的NDR

要求

要在AWS中部署設備,您必須滿足以下要求:

  • AWS 帳戶。您的第三方產品必須託管在AWS上,並且必須在同一AWS帳戶上部署設備。
  • 具有XDR或MDR授權的Sophos Central帳戶。
  • 要集成的產品類型的Sophos integrations授權包,例如防火牆。
  • EC2 執行個體。支援的類型為c5n.2xlarge,c6i.4xlarge,c7i.16xlarge (Nitro虛擬化)。
  • VPC、子網路和可用區域。您可以使用目前已有的帳戶和基礎結構。
  • SSH的安全組。
  • 至少一個為管理接口分配的彈性IP地址。

注意

如果您不確定所需的授權包,請進入 威脅分析中心 > 集成 > 市場。商品的磁跕顯示需要 授權類型。

您還必須執行以下操作:

  • 您必須為 AWS 帳戶建立並儲存 ssh私鑰。

主要步驟

主要步驟描述如下:

  • 為您的設備創建CloudFormation模板。
  • 下載 CloudFormation 範本
  • 在 AWS 中訂閱 "Sophos Integration Appliance"。
  • 建立堆疊。
  • 編輯AWS安全組。
  • 設定 Appliance Manager 的密碼。

建立 CloudFormation 範本

為您的設備創建CloudFormation模板(CFT),如下所示:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場
  2. 找到要集成的第三方產品並單擊它。

  3. 在 NDR 頁面的資料擷取(安全警示)中,按一下新增設定

    產品的集成頁面。

  4. 整合設定步驟 中,輸入整合的名稱和說明。

  5. 按一下建立新設備
  6. 輸入設備的名稱和說明。

  7. 虛擬平台中,選取 AWS

    將AWS選為平台的設備設定。

  8. Protocol(協議)中,選擇一個協議。

  9. 按一下儲存。CloudFormation (CF) JSON 檔案 ndr_<product-name>_cf_latest.json 已建立。

下載 CloudFormation 範本

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定
  2. 選擇 Integration Appliances (集成設備)選項卡並找到您的設備。

  3. 在最右邊的欄位中,按一下三個點,然後選取下載影像

現在,您可以在AWS中訂閱並部署Sophos設備。

訂閱 Sophos Integration Appliance。

您必須在 AWS Marketplace 主控台中訂閱 Sophos Integration Appliance。這可確保AWS識別您的CloudFormation模板,並允許您在AWS帳戶中安裝其資源。

要訂閱,請執行以下操作:

  1. 移至 AWS Marketplace 頁面並查找 "Sophos Integration Appliance"。

  2. 產品概覽頁面上,按一下繼續訂閱

    AWS「產品概覽」頁面。

  3. 訂閱此軟體頁面上,接受條款與條件,然後按一下繼續設定

    AWS「訂閱此軟體」頁面。

  4. 設定此軟體頁面上,檢查版本和區域,然後按一下繼續啟動

    AWS「設定此軟體」頁面。

  5. 啟動此軟體頁面上,按一下使用說明以查看如何存取 Sophos Appliance Manager。

    AWS「啟動此軟體」頁面。

  6. 按一下啟動

    AWS 會打開建立堆疊頁面。

建立堆疊

現在,您可以使用下載的CloudFormation模板為您的AWS帳戶部署Sophos設備。要執行此操作,請按以下步驟創建堆棧:

  1. 建立堆疊頁面上,執行以下操作:

    1. 保持選取範本已就緒
    2. 指定範本中,選取上傳範本檔案

    3. 按一下選擇檔案,然後選取 ndr_<appliance-name>_cf_latest.json

      appliance-name 是您在Sophos Central中創建CFT時為設備指定的名稱。

    4. 按一下下一步

    顯示範本檔案選項的「建立堆疊」頁面。

  2. 指定堆疊詳細資料頁面上,輸入名稱和以下網路設定詳細資料:

    1. 要用於設備的現有VPC。
    2. 管理介面的子網路。這是一個公用子網路。
    3. Syslog 介面的子網路。

    4. SPAN 介面的子網路。

      即使您僅配置第三方日誌收集器而不是Sophos NDR,也必須為SPAN接口輸入子網。否則,您的CloudFormation模板將無法正確導入。

    5. 授予管理員對Sophos Integration Appliance實例SSH訪問權限的安全組。

    完成的網路設定詳細資料如以下範例所示:

    「指定堆疊詳細資料」頁面。

  3. “EC2 Instance Configuration”(IPv6實例配置)下,輸入訪問Sophos Integration Appliance EC2實例所需的SSH密鑰,然後單擊 “Next”(下一步)

    注意

    您先前建立並儲存了此 SSH 金鑰對。

    「EC2 執行個體設定」欄位。

  4. 設定堆疊選項頁面上,接受預設 AWS 設定,或根據需要進行變更。按一下 送出

CloudFormation 範本根據您用於上傳範本的帳戶所處的 AWS 區域,自動選擇正確的區域和 AMI。

等待創建Sophos集成設備。此過程可能需要 5-6 分鐘。

編輯安全群組

您需要編輯 AWS 安全群組。這樣您就可以進行以下變更:

  • 允許 Syslog 流量進入設備。
  • 授與對 Sophos Appliance Manager 的存取權限。

要編輯安全群組,請執行以下操作:

  1. AWS 中,前往 Sophos 整合裝置的安全細節。

    要執行此操作,請在 AWS 主控台搜尋欄中輸入設備名稱。找到後,選取 EC2 索引標簽,然後按一下 Sophos Integration Appliance 執行個體。

  2. 執行個體摘要頁面上,向下捲動到索引標簽頁面,然後選取安全索引標簽。

  3. 找到 InternalSyslogSG 群組並輸入您想要允許流量的來源,以進行記錄收集。

  4. 查找 InternalMgmtSG 安全群組。CloudFormation 範本為您建立了此群組。將您的管理員新增至群組中,並授與他們存取內送規則中連接埠 8443 的權限。

    安全群組內送規則。

若想使用 Sophos Appliance Manager,您還需要先設定密碼。

為 Sophos Appliance Manager 設定密碼。

Sophos Appliance Manager 的使用者名稱是 zadmin。若要設定密碼,請依照以下方式操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定

  2. 移至整合設備索引標籤。

  3. 尋找您的設備。在最右邊的欄位中,按一下三個點,然後選取打開 Appliance Manager

    設備動作功能表。

  4. 在確認對話方塊中,按一下重設

    確認對話方塊。

任何其他想要使用 Appliance Manager 的管理員也必須設定密碼。

您已完成部署設備。

您的整合現已完成。您可以在Sophos Appliance Manager中監控設備狀態和活動。