警告を Sophos Central にエクスポートする
Sophos Linux Sensor (SLS ) 警告データを Sophos Central に送信できます。
概要
SLS 警告データを Sophos Central に送信すると、Data Lake および脅威解析センターで検出出力にアクセスできます。Live Discover 内では、Data Lake で警告を検索でき、エンドポイントでは検索できません。詳細は、Live Discover を参照してください。
警告データを Sophos Central に送信しても、デバイス ビューやライセンス数には影響しません。センサーが Sophos Central に警告を送信すると、検出の詳細が表示されますが、ライセンスは消費されません。また、SLS デバイスはサーバープロテクションに表示されません。
これはオプションの設定です。Sophos Central にデータを送信せず、SLS 警告データを別の宛先に出力することもできます。
前提条件
SLS 警告データを Sophos Central に送信するには、センサーのバージョンが5.5.2.22 以降である必要があります。このバージョンでは、Sophos Central との通信に必要な .crl
および .crt
ファイルを次のいずれかの場所に追加します。
- RPM および DEB パッケージのインストール:
/etc/sophos
- コンテナ形式のインストール:
/etc/sophos-certs
次に例を示します。
sophos@UbuntuVM2:/etc/sophos$ ls
sophosca1.crl sophosca1.crt sophosca2.crl sophosca2.crt sophosca3.crl sophosca3.crt sophosca4.crl sophosca4.crt
注
SLS をコンテナイメージとして導入すると、イメージに証明書ファイルが含まれます。runtimedetections.yaml
ファイル内でこれらのファイルへの参照を設定する必要があります。詳細は、コンテナイメージの設定を参照してください。
最小のセンサーバージョンに加えて、以下も必要です。
-
次のいずれか 1つのライセンス:
- Intercept X Advanced for Server with XDR
- Central Managed Detection and Response Essential Server
- Central Managed Detection and Response Complete Server
-
お客様の Sophos Central MCS URL (
{MCS_URL}
)。詳細は、MCS URL を検索するを参照してください。注
runtimedetections.yaml
に MCS URL を入力する際には、 "https://" で始まる必要があります。 -
有効な SLS パッケージリポジトリトークン (
{LINUX_REPO_API_KEY}
) と Sophos Central テナントID ({tenant-id}
)`が必要です。詳細は、Sophos Linux SensorパッケージリポジトリAPIトークンを生成する方法を参照してください。{LINUX_REPO_API_KEY}
は "SLS-" で始まる短い文字列です。-
{tenant-id}
は以下の形式の文字列です。1a2345b6-78c9-012d-ef34-5a6b789c0de1
MCS URL を検索する
Sophos Central MCS URL を見つけるには、次の手順を実行します。
- Sophos Central にサインインします。
- アカウント名をクリックして、「サポート設定」をクリックします。
- 「このアカウントは (~リージョンにあります。)」で始まる行を探して、Sophos Central アカウントがどの地域にあるかを調べます。
-
次の表を使用して、地域に基づいて MCS URL を検索します。
地域 MCS URL 米国 (オレゴン) mcs2-cloudstation-us-west-2.prod.hydra.sophos.com 米国 (オハイオ) mcs2-cloudstation-us-east-2.prod.hydra.sophos.com アイルランド mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com ドイツ mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com カナダ mcs2.stn100yul.ctr.sophos.com Australia mcs2.stn100syd.ctr.sophos.com アジア太平洋 (東京) mcs2.stn100hnd.ctr.sophos.com 南米 (サンパウロ) mcs2.stn100gru.ctr.sophos.com Sophos Central UI でテーブルにリストされている地域が見つからない場合は、MCS URL として
m cs2.stn100bom.ctr.sophos.com
を使用します。
RPM/DEB パッケージの設定
警告データを Sophos Central に送信するようにセンサーを設定するには、 alert_output
設定を /etc/sophos/runtimedetections.yaml
に追加する必要があります。次の手順を実行します。
- テキストエディタで
/etc/sophos/runtimedetections.yaml
を開きます。 - 次の行を追加し、{MCS_URL} を Sophos Central MCS URL に、{LINUX_REPO_API_KEY} をSLSパッケージリポジトリトークンに置き換えます。
alert_output:
outputs:
- type: mcs
enabled: true
url: "{MCS_URL}"
api_key: "{LINUX_REPO_API_KEY}"
- 変更を保存して終了します。
- センサを再起動します。次のコマンドを入力します。
systemctl restart sophoslinuxsensor
設定ファイルの例を以下に示します。
注
customer_id
と api_key
の値が編集されています。
# This configuration sends alert data to both stdout and Sophos Central.
send_labs_telemetry: true
endpoint_telemetry_enabled: true
cloud_meta: auto
# Set your customer id:
customer_id: "########-####-####-####-############"
alert_output:
outputs:
- type: stdout
enabled: true
template: 'Alert triggered: {{ .StrategyName}}'
- type: mcs
enabled: true
url: "https://mcs2-cloudstation-us-west-2.prod.hydra.sophos.com"
api_key: "SLS-########"
コンテナイメージの設定
SLS をコンテナイメージとして実行する場合は、/etc/sophos/runtimedetections.yaml
で Sophos Centralに接続する際に使用される証明書ファイルへの参照も含める必要があります。これは、SLS がコンテナの起動時にファイルを参照できるようにするためです。
次の行を /etc/sophos/runtimedetections.yaml
に追加します。
mcs_certs: ["/etc/sophos-certs/sophosca1.crt","/etc/sophos-certs/sophosca2.crt"]
certificate_revocation_list: ["/etc/sophos-certs/sophosca1.crl","/etc/sophos-certs/sophosca2.crl"]
ヒント
MCS 通信がブロックされた場合に SLS がフェールオーバーできるように、複数の .crl
と .crt
のファイルのペアを含めることをお勧めします。/etc/sophos-certs
ディレクトリで使用可能な数だけ追加できます。
設定ファイルの例を以下に示します。
注
customer_id
と api_key
の値が編集されています。
# This configuration sends alert data to stdout and Sophos Central and references both sophosca1 and sophosca2 .crt and .crl files.
send_labs_telemetry: true
endpoint_telemetry_enabled: true
cloud_meta: auto
# Set your customer id:
customer_id: "########-####-####-####-############"
alert_output:
outputs:
- type: stdout
enabled: true
template: 'Alert triggered: {{ .StrategyName}}'
- type: mcs
enabled: true
url: "https://mcs2-cloudstation-us-west-2.prod.hydra.sophos.com"
api_key: "SLS-########"
mcs_certs: ["/etc/sophos-certs/sophosca1.crt","/etc/sophos-certs/sophosca2.crt"]
certificate_revocation_list: ["/etc/sophos-certs/sophosca1.crl","/etc/sophos-certs/sophosca2.crl"]
警告出力をテストする
センサを設定して再起動したら、SLS が動作していることを確認し、Sophos Central に警告を送信するテスト警告を作成することをお勧めします。次の手順を実行します。
注
これらのコマンドは、SLS がホストプロセスとして配置されているインストールで機能します。SLS がコンテナイメージとして実行されている場合、警告のテストについて次を参照してください。
- Docker: Sensor 機能の確認。
- Kubernetes: Sensor 機能の確認。
-
次のコマンドを実行して、警告のテストポリシーを開始します。
sophoslinuxsensor -test-alert
Linux デバイスに次の警告が表示されます。
$ May 17 15:28:31 vagrant sophoslinuxsensor[26137]: Alert triggered: Alert Tester
-
Sophos Central にサインインします。
-
「脅威解析センター > 検出」を参照して、検出を表示します。
注
検出が Sophos Central に表示されるまでに最大 20分かかることがあります。