ManageEngine ADAudit Plus
要使用此功能,您必須擁有「身分識別」整合授權套件。
您可以將 ADAudit Plus 與 Sophos Central 整合,以便其將有關安全相關活動的資料傳送至 Sophos。
此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。
此頁面介紹使用 ESXi 或 Hyper-V 上的設備進行整合。如果要使用 AWS 上的設備進行整合,請參閱 在AWS上添加集成。
主要步驟
整合的主要步驟如下:
- 新增此產品的整合。在此步驟中,您將建立設備的映像。
- 在 VM 上下載並部署映像。這將成為您的設備。
- 設定 ADAudit Plus 以將資料傳送到設備。
需求
設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求。
新增整合
若要將 ADAudit Plus 整合到 Sophos Central,請依照以下步驟操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
-
按一下 ADAudit Plus。
ADAudit Plus 頁面隨即打開。您可以在此處新增整合並查看已新增的所有整合清單。
-
在資料擷取(安全警示)中,按一下新增設定。
注意
如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱提供您的域和IP詳細資訊。
螢幕上將顯示整合設定步驟。
設定設備
在整合設定步驟中,您可以設定新設備或使用現有設備。
此處,我們假定您設定新設備。要執行此動作,請按以下步驟建立映像:
- 為新整合新增名稱和說明。
- 按一下建立新設備。
- 輸入設備的名稱和說明。
- 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。
-
指定面向網際網路的網路連接埠的 IP 設定。這將為 設備設定管理介面。
-
選取 DHCP 可自動指派 IP 位址。
注意
如果選取 DHCP,則必須保留 IP 位址。
-
選取手動以指定網路設定。
-
-
選取 Syslog IP 版本並輸入 Syslog IP 位址。
稍後設定 ADAudit Plus 以向設備傳送資料時,您將需要該 syslog IP 位址。
-
選取一項通訊協定。
設定 ADAudit Plus 以向設備傳送資料時,必須使用相同的通訊協定。
-
按一下儲存。
我們會建立整合,整合會顯示在您的清單中。
在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 ADAudit Plus 以向其傳送資料時,您將需要該編號。
設備映像可能需要幾分鐘的時間才能準備就緒。
部署設備
限制
如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。
使用映像部署設備,如下所示:
- 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA。
- 映像下載完成後,請將其部署在 VM 上。請參閱部署設備。
設定 ADAudit Plus
現在設定 ADAudit Plus,以將稽核資料傳送到設備。
注意
您可以設定多個 ADAudit Plus 執行個體,以便透過同一設備向 Sophos 傳送資料。完成整合後,請針對其他 ADAudit Plus 執行個體重複本節中的步驟。您無需在 Sophos Central 中重複這些步驟。
若要執行此操作,請依照以下步驟操作。
- 在主視窗內,按一下管理索引標籤。
- 選取 SIEM 整合。
- 選取啟用 ADAudit Plus 資料轉寄。
- 選擇 ArcSight。
- 在 ArcSight/CEF Server 名稱中輸入設備的名稱。
- 選擇 TCP 作為偏好通訊協定。
-
輸入設備的連接埠號碼。
您必須輸入新增整合時在 Sophos Central 中輸入的相同連接埠和通訊協定設定。
-
儲存設定並選擇要轉寄的類別。
有關詳細資訊,請參閱 SIEM 整合。