集成Vectra AI
要使用此功能,您必須擁有「網路」整合授權套件。
您可以將 Vectra AI 與 Sophos Central 整合,以便將資料傳送到 Sophos。
此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。
此頁面介紹使用ESXi或Hyper-V上的設備進行集成 如果要使用AWS上的設備進行集成,請參閱 在AWS上添加集成。
關鍵步驟
設定整合的主要步驟如下:
- 新增此產品的整合。在此步驟中,您將創建設備的映像。
- 在 VM 上下載並部署映像。這將成為您的設備。
- 設定 Vectra AI 以將資料傳送到設備。
需求
設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求。
新增整合
若要新增整合,請依照以下步驟操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
-
單擊 Vectra AI。
**** 此時將打開Vectra AI頁面。您可以在此處設定整合並查看已設定的所有整合清單。
-
在資料擷取(安全警示)中,按一下新增設定。
注意
如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱提供您的域和IP詳細資訊。
螢幕上將顯示整合設定步驟。
配置設備
在 集成設定步驟中,您可以配置新設備或使用現有設備。
我們假定您在此配置新設備。要執行此操作,請按以下步驟創建映像:
- 輸入整合的名稱和說明。
- 按一下建立新設備。
- 輸入設備的名稱和說明。
- 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。
-
指定面向網際網路的網路連接埠的 IP 設定。這將為 VM 設定管理介面。
-
選取 DHCP 可自動指派 IP 位址。
注意
如果選取 DHCP,則必須保留 IP 位址。
-
選取手動以指定網路設定。
-
-
選取 Syslog IP 版本並輸入 Syslog IP 位址。
稍後設定 Vectra AI 以向設備傳送資料時,您將需要該 syslog IP 位址。
-
在通訊協定中,預先選取了 TCP。不能變更。
當您設定 Vectra AI 以傳送資料至設備時,您必須確保其使用相同的通訊協定。
-
按一下儲存。
我們會建立整合,整合會顯示在您的清單中。
在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 Vectra AI 以向其傳送資料時,您將需要該編號。
VM 映像可能需要幾分鐘的時間才能準備就緒。
部署設備
限制
如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。
使用映像部署設備,如下所示:
- 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA。
- 映像下載完成後,請將其部署在 VM 上。請參閱部署設備。
配置Vectra AI
現在,您可以將 Vectra AI 設定為使用 syslog 轉寄功能向我們傳送警示。
注意
您可以配置Vectra AI的多個實例,以便通過同一設備向Sophos發送數據。完成集成後,對Vectra AI的其他實例重複本節中的步驟。您不需要重複Sophos Central中的步驟。
要設定警示轉寄功能,請執行以下動作:
- 使用管理員ID登入Vectra平台(Brain) Web UI。
- 移至設定 > SYSLOG。
- 滾動到 Syslog 部分。
-
單擊✎Edit (編輯)圖標以添加Syslog目標。
- 目的地:輸入遠程syslog伺服器的IP地址。此項為 Sophos 預設值。使用您在Sophos Central中指定的相同IP地址。
- 連接埠:輸入設備正在偵聽的埠號。使用您在Sophos Central中指定的相同埠。
- 通訊協定選擇 TCP。
- 格式:選擇 CEF。
- 日誌類型:選擇 帳戶檢測 和 主機檢測。
-
按一下儲存。
-
單擊 測試 以檢查轉發是否工作。
如果測試成功,您將看到如下消息: