跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=ApexCentral

整合 Trend Micro Apex Central

記錄收集器 端點

MSP Flex 客戶必須擁有端點整合授權包才能使用此功能。

您可以將 Apex Central 與 Sophos Central 整合,以便將稽核資料傳送到 Sophos 進行分析。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為整合設備。該設備會接收第三方資料,並將其傳送至 Sophos Data Lake。

本頁說明如何透過部署於 ESXi 或 Hyper-V 的設備進行整合。若您希望使用部署於 AWS 的設備進行整合,請參閱 在AWS上添加集成

主要步驟

整合的主要步驟如下:

  • 新增此產品的整合項目。此步驟中,您將建立整合設備的映像檔。
  • 下載並部署該映像檔至您的虛擬機器。部署後的虛擬機器即成為您的整合設備。
  • 設定 Apex Central 以將資料傳送到設備。

需求

整合設備有特定的系統與網路存取需求。若要確認您的環境是否符合要求,請參閱 設備要求

新增整合項目

若要將 Apex Central 整合到 Sophos Central,請依照以下步驟操作:

  1. 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Marketplace

  2. 按一下 Trend Micro Apex Central

    Trend Micro Apex Central 頁面隨即打開。您可以在此處新增整合並查看已新增的所有整合清單。

  3. 資料擷取 (安全性警示) 中,按一下 新增設定

    注意

    如果這是您首次新增整合,我們將要求您輸入組織的內部網域與 IP 詳細資訊。請參閱 提供您的域和IP詳細資訊

    此時螢幕上將顯示 整合設定步驟

設定設備

整合設定步驟 中,您可以設定新的設備,或使用既有的設備。

此處我們假設您要設定新的設備。請依以下步驟建立映像檔:

  1. 為新整合新增名稱和說明。
  2. 按一下建立新設備
  3. 輸入設備的名稱和說明。
  4. 選取虛擬平台。目前支援 VMware ESXi 6.7 Update 3 或更新版本,以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  5. 指定 對外網路連接埠 的 IP 設定這將設定設備的管理介面。

    • 若選擇 DHCP,系統會自動指派 IP 位址。

      注意

      若您選擇 DHCP,請務必保留該 IP 位址。

    • 若選擇 手動,則可自行指定網路設定。

  6. 選取 Syslog IP 版本 並輸入 Syslog IP 位址

    稍後設定 Apex Central 以向設備傳送資料時,您將需要該 syslog IP 位址。

  7. 選取一項通訊協定

    設定 Apex Central 以向設備傳送資料時,必須使用相同的通訊協定。

  8. 按一下儲存

    我們會建立整合項目,並將其顯示在您的清單中。

    在整合詳細資料中,您可以查看設備所使用的連接埠號碼,稍後設定 Apex Central 以向其傳送資料時,您將需要此號碼。

    設備映像檔可能需要幾分鐘的時間才能準備好。

部署設備

限制條件

如果您使用的是 ESXi,OVA 檔案會與 Sophos Central 進行驗證,因此只能使用一次。若您需要再次部署新的虛擬機器,則必須在 Sophos Central 中重新建立 OVA 檔案。

請依下列方式使用映像檔部署設備:

  1. 在整合項目清單中,於 動作 欄位中,按一下對應平台的下載操作,例如 下載 OVA (適用於 ESXi)。
  2. 映像檔下載完成後,將其部署至您的虛擬機器上。請參閱 部署設備

設定 Apex Central

現在設定 Apex Central,將稽核資料傳送到您的設備。

注意

您可以設定多個 Apex Central 執行個體,以便透過同一設備向 Sophos 傳送資料。完成整合後,請針對其他 Apex Central 執行個體重複本節中的步驟。無須重複執行 Sophos Central 中的設定步驟。

按如下所示設定 Apex Central:

  1. 移至偵測 > 通知 > 通知方法設定

  2. Syslog 設定區段中,輸入以下內容:

    • 伺服器 IP 位址:設備的 syslog IP 位址。您之前在 Sophos Central 中設定了此項。
    • 連接埠:設備的連接埠號碼。
    • 設施:選取設備碼。

  3. 按一下儲存

開啟 syslog 轉寄

我們使用 syslog 轉寄將資料傳送到 Sophos 設備。

要轉寄 syslog 流量,請執行以下動作:

  1. 使用管理員帳戶登入 Apex Central 主控台。
  2. 移至管理 > 設定 > Syslog 設定
  3. 選取啟用 syslog 轉寄

  4. 設定以下設定:

    • 伺服器地址:設備的 syslog IP 位址。
    • 連接埠:Sophos 設備的連接埠號碼。
    • 通訊協定:選取 TCP 或 UDP。選擇您為設備設定的相同項。

  5. 選取 CEF 作為記錄格式:

  6. 選取要轉寄的記錄類型:

    1. 記錄類型下拉式清單中選取記錄類別:

      • 安全記錄
      • 產品資訊

    2. 選取要轉寄之記錄的核取方塊。Apex Central 會在記錄類型清單旁顯示選取的記錄類型總數。

    3. 您可以從記錄類型下拉式清單中選取另一個記錄類別。

  7. 按一下測試連線來測試伺服器連線。syslog 伺服器連線狀態顯示在螢幕頂部。

  8. 按一下儲存

    Apex Central 會開始將記錄轉寄至您的設備。驗證後,資料應顯示在 Sophos Data Lake 中。

    要監視記錄轉寄狀態,請移至管理 > 命令追蹤,然後從命令下拉式清單中選取轉寄 Syslog

更多資訊

SIEM 解決方案與 Apex Central 整合