整合 ManageEngine ADAudit Plus
要使用此功能,您必須擁有「身分識別」整合授權套件。
您可以將 ADAudit Plus 與 Sophos Central 整合,以便其將有關安全相關活動的資料傳送至 Sophos。
此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為設備。該設備會接收第三方資料,並將其傳送至 Sophos Data Lake。
本頁說明如何透過部署於 ESXi 或 Hyper-V 的設備進行整合。若您希望使用部署於 AWS 的設備進行整合,請參閱 在AWS上添加集成。
主要步驟
整合的主要步驟如下:
- 新增此產品的整合項目。此步驟中,您將建立整合設備的映像檔。
- 下載並部署該映像檔至您的虛擬機器。部署後的虛擬機器即成為您的整合設備。
- 設定 ADAudit Plus 以將資料傳送到設備。
需求
整合設備有特定的系統與網路存取需求。若要確認您的環境是否符合要求,請參閱 設備要求。
新增整合項目
若要將 ADAudit Plus 整合到 Sophos Central,請依照以下步驟操作:
- 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Marketplace。
-
按一下 ADAudit Plus。
ADAudit Plus 頁面隨即打開。您可以在此處新增整合並查看已新增的所有整合清單。
-
在 資料擷取 (安全性警示) 中,按一下 新增設定。
注意
如果這是您首次新增整合,我們將要求您輸入組織的內部網域與 IP 詳細資訊。請參閱 提供您的域和IP詳細資訊。
此時螢幕上將顯示 整合設定步驟。
設定設備
在 整合設定步驟 中,您可以設定新的設備,或使用既有的設備。
此處我們假設您要設定新的設備。請依以下步驟建立映像檔:
- 為新整合新增名稱和說明。
- 按一下建立新設備。
- 輸入設備的名稱和說明。
- 選取虛擬平台。目前支援 VMware ESXi 6.7 Update 3 或更新版本,以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。
-
指定 對外網路連接埠 的 IP 設定這將設定設備的管理介面。
-
若選擇 DHCP,系統會自動指派 IP 位址。
注意
若您選擇 DHCP,請務必保留該 IP 位址。
-
若選擇 手動,則可自行指定網路設定。
-
-
選取 Syslog IP 版本 並輸入 Syslog IP 位址。
稍後設定 ADAudit Plus 以向設備傳送資料時,您將需要該 syslog IP 位址。
-
選取一項通訊協定。
設定 ADAudit Plus 以向設備傳送資料時,必須使用相同的通訊協定。
-
按一下 儲存。
我們會建立整合項目,並將其顯示在您的清單中。
在整合詳細資料中,您可以查看設備所使用的連接埠號碼,稍後設定 ADAudit Plus 以向其傳送資料時,您將需要該編號。
設備映像檔可能需要幾分鐘的時間才能準備好。
部署設備
限制條件
如果您使用的是 ESXi,OVA 檔案會與 Sophos Central 進行驗證,因此只能使用一次。若您需要再次部署新的虛擬機器,則必須在 Sophos Central 中重新建立 OVA 檔案。
請依下列方式使用映像檔部署設備:
- 在整合項目清單中,於 動作 欄位中,按一下對應平台的下載操作,例如 下載 OVA (適用於 ESXi)。
- 映像檔下載完成後,將其部署至您的虛擬機器上。請參閱 部署設備。
設定 ADAudit Plus
現在設定 ADAudit Plus,以將稽核資料傳送到設備。
注意
您可以設定多個 ADAudit Plus 執行個體,以便透過同一設備向 Sophos 傳送資料。完成整合後,請針對其他 ADAudit Plus 執行個體重複本節中的步驟。無須重複執行 Sophos Central 中的設定步驟。
若要執行此動作,請依照以下步驟操作。
- 在主視窗內,按一下管理索引標籤。
- 選取 SIEM 整合。
- 選取啟用 ADAudit Plus 資料轉寄。
- 選擇 ArcSight。
- 在 ArcSight/CEF Server 名稱中輸入設備的名稱。
- 選擇 TCP 作為偏好通訊協定。
-
輸入設備的連接埠號碼。
您必須輸入新增整合時在 Sophos Central 中輸入的相同連接埠和通訊協定設定。
-
儲存設定並選擇要轉寄的類別。
有關詳細資訊,請參閱 SIEM 整合。