跳至內容
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=vectra

整合 Vectra AI

此整合可與 Vectra AI Quadrant UX 一起使用,但無法與 Vectra Respond UX 一起使用,無論是透過 API 還是透過 Vectra AI「SIEM Connector for Respond UX」傳送至 syslog。

MSP Flex 客戶必須具備網路 (Network) 整合授權套件,才能使用此功能。

您可以將 Vectra AI 與 Sophos Central 整合,以便將資料傳送到 Sophos。

此整合會使用一個部署在虛擬機器 (VM) 上的日誌收集器。兩者合稱為「整合設備」。該設備會接收第三方資料,並將其傳送至 Sophos Data Lake。

本頁面說明如何在 ESXi 或 Hyper-V 上使用整合設備進行整合;若要使用部署在 AWS 上的整合設備,請參閱 在AWS上添加集成

主要步驟

整合的主要步驟如下:

  • 新增此產品的整合。此步驟中,您將建立整合設備的映像檔。
  • 在 VM 上下載並部署映像。這將成為您的設備。
  • 設定 Vectra AI 以將資料傳送到設備。

需求

設備具有系統和網路存取方面的需求。若要檢查您是否符合這些要求,請參閱 設備要求

新增整合

若要新增整合,請依照以下步驟操作:

  1. 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Maretplace

  2. 按一下 Vectra AI

    Vectra AI 頁面隨即開啟。您可以在此處新增整合並查看已新增的所有整合清單。

  3. 資料擷取 (安全警示) 中,按一下 新增設定

    注意

    如果這是您新增的第一個整合設定,系統會要求您提供內部網域與 IP 位址的相關資訊。請參閱 提供您的域和IP詳細資訊

    螢幕上將顯示 整合設定步驟

設定設備

整合設定步驟 中,您可以設定新的設備,或使用既有的設備。

此處我們假設您要設定新的設備。請依以下步驟建立映像檔:

  1. 輸入整合的名稱和說明。
  2. 按一下 建立新設備
  3. 輸入設備的名稱和說明。
  4. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  5. 指定 面向網際網路的網路連接埠 的 IP 設定。這將設定設備的管理介面。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      若您選擇 DHCP,則必須保留該 IP 位址。

    • 選取 手動 以指定網路設定。

  6. 選取 Syslog IP 版本 並輸入 Syslog IP 位址

    稍後設定 Vectra AI 以向設備傳送資料時,您將需要該 syslog IP 位址。

  7. 通訊協定 中,預設為 TCP 。無法變更。

    當您設定 Vectra AI 將資料傳送至整合設備時,必須確保使用相同的通訊協定。

  8. 按一下 儲存

    系統會建立此整合,並將其顯示在您的整合清單中。

    在整合詳細資料中,您可以看到設備的連接埠號碼。稍後在設定 Vectra AI 傳送資料時,會需要用到此連接埠號碼。

    設備映像檔可能需要幾分鐘的時間才能準備完成。

部署設備

限制

如果您使用的是 ESXi,OVA 檔案會與 Sophos Central 進行驗證,因此只能使用一次。如果需要部署另一個虛擬機器 (VM),您必須在 Sophos Central 中重新建立一個 OVA 檔案。

使用映像部署設備,如下所示:

  1. 在整合清單的 動作 中,按一下適用於您的平台的下載動作。以 ESXi 為例,請按一下 下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參閱 部署設備

設定 Vectra AI

現在,您可以將 Vectra AI 設定為使用 syslog 轉寄功能向我們傳送警示。

注意

您可以設定多個 Vectra AI 執行個體,以便透過同一設備向 Sophos 傳送資料。完成整合後,請針對其他 Vectra AI 執行個體重複本節中的步驟。無須重複執行 Sophos Central 中的設定步驟。

若要設定警示轉寄功能,請執行以下動作:

  1. 使用管理員ID登入Vectra平台(Brain)Web UI。
  2. 前往 設定 > 通知
  3. 向下捲動至 Syslog 區段。

  4. 按一下編輯圖示以新增 Syslog 目的地。

    1. 目的地:輸入遠端 Syslog 伺服器的 IP 位址。此伺服器即為 Sophos 設備。請使用您在 Sophos Central 中所指定的相同 IP 位址。
    2. 連接埠:輸入整合設備正在監聽的連接埠號碼。請使用您在 Sophos Central 中所指定的相同連接埠。
    3. 通訊協定:選擇 TCP
    4. 格式:選擇 CEF
    5. 日誌類型:選擇 帳戶偵測主機偵測

    Syslog 設定。

  5. 按一下 儲存

  6. 按一下 測試 以確認轉送是否正常運作。

    在 Syslog 詳細資訊中的「測試」按鈕。

若測試成功,畫面會顯示如下的訊息:

測試成功的訊息。

詳細資訊

Vectra Syslog 指南