コンテンツにスキップ

警告を Sophos Central にエクスポートする

Sophos Linux Sensor (SLS ) 警告データを Sophos Central に送信できます。

概要

SLS 警告データを Sophos Central に送信すると、Data Lake および脅威解析センターで検出出力にアクセスできます。Live Discover 内では、Data Lake で警告を検索でき、エンドポイントでは検索できません。詳細は、Live Discover を参照してください。

警告データを Sophos Central に送信しても、デバイス ビューやライセンス数には影響しません。センサーが Sophos Central に警告を送信すると、検出の詳細が表示されますが、ライセンスは消費されません。また、SLS デバイスはサーバープロテクションに表示されません。

これはオプションの設定です。Sophos Central にデータを送信せず、SLS 警告データを別の宛先に出力することもできます。

前提条件

SLS 警告データを Sophos Central に送信するには、センサーのバージョンが5.5.2.22 以降である必要があります。このバージョンでは、Sophos Central との通信に必要な .crl および .crt ファイルを次のいずれかの場所に追加します。

  • RPM および DEB パッケージのインストール: /etc/sophos
  • コンテナ形式のインストール: /etc/sophos-certs

次に例を示します。

sophos@UbuntuVM2:/etc/sophos$ ls
sophosca1.crl sophosca1.crt sophosca2.crl sophosca2.crt sophosca3.crl sophosca3.crt sophosca4.crl sophosca4.crt

SLS をコンテナイメージとして導入すると、イメージに証明書ファイルが含まれます。runtimedetections.yaml ファイル内でこれらのファイルへの参照を設定する必要があります。詳細は、コンテナイメージの設定を参照してください。

最小のセンサーバージョンに加えて、以下も必要です。

  • 次のいずれか 1つのライセンス:

    • Intercept X Advanced for Server with XDR
    • Central Managed Detection and Response Essential Server
    • Central Managed Detection and Response Complete Server
  • お客様の Sophos Central MCS URL ({MCS_URL})。詳細は、MCS URL を検索するを参照してください。

    runtimedetections.yaml に MCS URL を入力する際には、 "https://" で始まる必要があります。

  • 有効な SLS パッケージリポジトリトークン ({LINUX_REPO_API_KEY}) と Sophos Central テナントID ({tenant-id})`が必要です。詳細は、Sophos Linux SensorパッケージリポジトリAPIトークンを生成する方法を参照してください。

    • {LINUX_REPO_API_KEY} は "SLS-" で始まる短い文字列です。
    • {tenant-id} は以下の形式の文字列です。

      1a2345b6-78c9-012d-ef34-5a6b789c0de1
      

MCS URL を検索する

Sophos Central MCS URL を見つけるには、次の手順を実行します。

  1. Sophos Central にサインインします。
  2. アカウント名をクリックして、「サポート設定」をクリックします。
  3. 「このアカウントは (~リージョンにあります。)」で始まる行を探して、Sophos Central アカウントがどの地域にあるかを調べます。
  4. 次の表を使用して、地域に基づいて MCS URL を検索します。

    地域 MCS URL
    米国 (オレゴン) mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
    米国 (オハイオ) mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    アイルランド mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
    ドイツ mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
    カナダ mcs2.stn100yul.ctr.sophos.com
    Australia mcs2.stn100syd.ctr.sophos.com
    アジア太平洋 (東京) mcs2.stn100hnd.ctr.sophos.com
    南米 (サンパウロ) mcs2.stn100gru.ctr.sophos.com

    Sophos Central UI でテーブルにリストされている地域が見つからない場合は、MCS URL として m cs2.stn100bom.ctr.sophos.com を使用します。

RPM/DEB パッケージの設定

警告データを Sophos Central に送信するようにセンサーを設定するには、 alert_output 設定を /etc/sophos/runtimedetections.yaml に追加する必要があります。次の手順を実行します。

  1. テキストエディタで /etc/sophos/runtimedetections.yaml を開きます。
  2. 次の行を追加し、{MCS_URL} を Sophos Central MCS URL に、{LINUX_REPO_API_KEY} をSLSパッケージリポジトリトークンに置き換えます。
alert_output:
  outputs:
  -   type: mcs
    enabled: true
    url: "{MCS_URL}"
    api_key: "{LINUX_REPO_API_KEY}"
  1. 変更を保存して終了します。
  2. センサを再起動します。次のコマンドを入力します。
systemctl restart sophoslinuxsensor

設定ファイルの例を以下に示します。

customer_idapi_key の値が編集されています。

# This configuration sends alert data to both stdout and Sophos Central.
send_labs_telemetry: true
endpoint_telemetry_enabled: true
cloud_meta: auto
# Set your customer id:
customer_id: "########-####-####-####-############"
alert_output:
  outputs:
  -   type: stdout
    enabled: true
    template: 'Alert triggered: {{ .StrategyName}}'
  -   type: mcs
    enabled: true
    url: "https://mcs2-cloudstation-us-west-2.prod.hydra.sophos.com"
    api_key: "SLS-########"

コンテナイメージの設定

SLS をコンテナイメージとして実行する場合は、/etc/sophos/runtimedetections.yaml で Sophos Centralに接続する際に使用される証明書ファイルへの参照も含める必要があります。これは、SLS がコンテナの起動時にファイルを参照できるようにするためです。

次の行を /etc/sophos/runtimedetections.yaml に追加します。

    mcs_certs: ["/etc/sophos-certs/sophosca1.crt","/etc/sophos-certs/sophosca2.crt"]
    certificate_revocation_list: ["/etc/sophos-certs/sophosca1.crl","/etc/sophos-certs/sophosca2.crl"]

ヒント

MCS 通信がブロックされた場合に SLS がフェールオーバーできるように、複数の .crl.crt のファイルのペアを含めることをお勧めします。/etc/sophos-certs ディレクトリで使用可能な数だけ追加できます。

設定ファイルの例を以下に示します。

customer_idapi_key の値が編集されています。

# This configuration sends alert data to stdout and Sophos Central and references both sophosca1 and sophosca2 .crt and .crl files.
send_labs_telemetry: true
endpoint_telemetry_enabled: true
cloud_meta: auto
# Set your customer id:
customer_id: "########-####-####-####-############"
alert_output:
  outputs:
  -   type: stdout
    enabled: true
    template: 'Alert triggered: {{ .StrategyName}}'
  -   type: mcs
    enabled: true
    url: "https://mcs2-cloudstation-us-west-2.prod.hydra.sophos.com"
    api_key: "SLS-########"
    mcs_certs: ["/etc/sophos-certs/sophosca1.crt","/etc/sophos-certs/sophosca2.crt"]
    certificate_revocation_list: ["/etc/sophos-certs/sophosca1.crl","/etc/sophos-certs/sophosca2.crl"]

警告出力をテストする

センサを設定して再起動したら、SLS が動作していることを確認し、Sophos Central に警告を送信するテスト警告を作成することをお勧めします。次の手順を実行します。

これらのコマンドは、SLS がホストプロセスとして配置されているインストールで機能します。SLS がコンテナイメージとして実行されている場合、警告のテストについて次を参照してください。

  1. 次のコマンドを実行して、警告のテストポリシーを開始します。

    sophoslinuxsensor -test-alert
    

    Linux デバイスに次の警告が表示されます。

    $ May 17 15:28:31 vagrant sophoslinuxsensor[26137]: Alert triggered: Alert Tester
    
  2. Sophos Central にサインインします。

  3. 脅威解析センター > 検出」を参照して、検出を表示します。

    検出が Sophos Central に表示されるまでに最大 20分かかることがあります。