跳至內容
查找我們如何支持MDR

Trend Micro Apex Central

記錄收集器

您可以將 Apex Central 與 Sophos Central 整合,以便將稽核資料傳送到 Sophos 進行分析。

此整合使用虛擬機 (VM) 上的記錄收集器。記錄收集器接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

注意

您可以將多個 Apex Central 執行個體新增到同一個記錄收集器。

為此,請在 Sophos Central 中設定 Apex Central 整合,然後設定一個 Apex Central 執行個體以向其傳送記錄。然後設定其他 Apex Central 執行個體,將記錄傳送到同一 Sophos 記錄收集器。

您不需要重複設定的 Sophos Central 部分。

新增整合的主要步驟如下:

  • 新增此產品的整合。這將設定開放式虛擬設備 (OVA) 檔案。
  • 將 OVA 檔案部署至 ESXi 伺服器。這會成為您的記錄收集器。
  • 設定 Apex Central 以將資料傳送到記錄收集器。

新增整合

若要將 Apex Central 整合到 Sophos Central,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至威脅分析中心,然後按一下整合
  2. 按一下 Trend Micro Apex Central

    如果您已設定與 Apex Central 的連線,您可以在這裡看到這些連線。

  3. 按一下新增整合

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP

    螢幕上將顯示整合步驟

設定 VM

整合步驟中,您可以設定 VM 以從 Apex Central 接收資料。您可以使用現有的 VM,也可以建立新的 VM。

要設定 VM,請執行以下動作:

  1. 為新整合新增名稱和說明。
  2. 輸入 VM 的名稱和說明。
  3. 選取虛擬平台。(目前我們僅支援 VMware)。
  4. 指定面向網際網路的網路連接埠。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

    稍後設定 Apex Central 以向其傳送資料時,您將需要 VM 的位址。

  5. 選取一項通訊協定

  6. 填寫表單上的所有剩餘欄位。
  7. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。OVA 檔案可能需要幾分鐘的時間才能下載。

部署虛擬機

限制

OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。部署之後,將無法再使用。

如果必須部署新的 VM,則必須再次執行所有步驟,將此整合連結到 Sophos Central。

使用 OVA 檔案部署 VM。若要執行此操作,請依照以下步驟操作。

  1. 在整合清單的動作中,按一下下載 OVA
  2. OVA 檔案下載完成後,請將其部署在 ESXi 伺服器上。助理將引導您完成所有步驟。請參閱部署 VM 進行整合

部署 VM 後,整合將顯示為已連線

設定 Apex Central

現在設定 Apex Central,將稽核資料傳送到 VM,如下所示:

  1. 移至偵測 > 通知 > 通知方法設定
  2. Syslog 設定區段中,輸入以下內容:

    • 伺服器 IP 位址:鍵入 syslog 伺服器的 IPv6 或 IPv4 位址。
    • 連接埠:syslog 伺服器的連接埠號碼。
    • 設施:選取設備碼。
  3. 按一下儲存

開啟 syslog 轉寄

我們使用 syslog 轉寄將資料傳送到 Sophos 記錄收集器。

要轉寄 syslog 流量,請執行以下動作:

  1. 使用管理員帳戶登入 Apex Central 主控台。
  2. 移至管理 > 設定 > Syslog 設定
  3. 選取啟用 syslog 轉寄
  4. 設定以下設定:

    • 伺服器地址:託管 Sophos 記錄收集器的 VM 的 FQDN 或 IP 位址。
    • 連接埠:輸入 Sophos 記錄收集器的連接埠號碼。
    • 通訊協定:選取 TCP 或 UDP。選擇您為記錄收集器設定的相同項。
  5. 選取 CEF 作為記錄格式:

  6. 選取要轉寄的記錄類型:

    1. 記錄類型下拉式清單中選取記錄類別:

      • 安全記錄
      • 產品資訊
    2. 選取要轉寄之記錄的核取方塊。Apex Central 會在記錄類型清單旁顯示選取的記錄類型總數。

    3. 您可以從記錄類型下拉式清單中選取另一個記錄類別。
  7. 按一下測試連線來測試伺服器連線。syslog 伺服器連線狀態顯示在螢幕頂部。

  8. 按一下儲存

    Apex Central 會開始將記錄轉寄至您的記錄收集器。驗證後,資料應顯示在 Sophos Data Lake 中。

    要監視記錄轉寄狀態,請移至管理 > 命令追蹤,然後從命令下拉式清單中選取轉寄 Syslog

更多資訊