Aller au contenu
Découvrez comment nous prenons en charge MDR.

Trend micro Apex Central

Collecteur de journaux

Vous pouvez intégrer Apex Central à Sophos Central afin de lui permettre d’envoyer des données d’audit à Sophos pour analyse.

Cette intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils s’appellent une appliance. L’appliance reçoit des données tierces et les envoie à Sophos Data Lake.

Remarque

Vous pouvez ajouter plusieurs instances de Apex Central à la même appliance.

Pour ce faire, configurez votre intégration Apex Central dans Sophos Central, puis configurez une instance Apex Central pour lui envoyer des journaux. Configurez ensuite vos autres instances Apex Central pour envoyer des journaux à la même appliance Sophos.

Vous n’avez pas besoin de répéter la partie Sophos Central de la configuration.

Les étapes clés pour ajouter une intégration sont les suivantes :

  • Configurer une intégration pour ce produit. Cette option permet de configurer une image à utiliser sur une machine virtuelle.
  • Télécharger et déployer l’image sur votre machine virtuelle. Cela devient votre appliance.
  • Configurer Apex Central pour qu’il envoie des données à l’appliance.

Conditions requises

Les appliances ont des exigences en matière d’accès au système et au réseau. Pour vérifier que vous y adhérez, consultez Exigences relatives à l’appliance.

Configurer une intégration

Pour intégrer Apex Central à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Cliquez sur Trend Micro Apex Central.

    La page Trend Micro Apex Central s’ouvre. Vous pouvez configurer les intégrations et voir une liste de celles que vous avez déjà configurées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

    Les Étapes de configuration de l’intégration s’affichent.

Configurer la machine virtuelle

Dans les Étapes de configuration de l’intégration, vous configurez votre machine virtuelle comme une appliance pour lui permettre de recevoir des données provenant de Apex Central. Vous pouvez utiliser une machine virtuelle existante ou en créer une nouvelle.

Pour configurer la machine virtuelle, procédez de la manière suivante :

  1. Ajoutez un nom et une description pour la nouvelle intégration.
  2. Saisissez le nom et la description de l’appliance.

    Si vous avez déjà configuré une appliance Sophos, vous pouvez la sélectionner dans une liste.

  3. Sélectionnez la plate-forme virtuelle. Actuellement, nous prenons en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.

  4. Spécifiez les paramètres IP pour les Ports du réseau connecté à Internet. Cette opération configure l’interface de gestion de la machine virtuelle.

    • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      Remarque

      Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

    • Sélectionnez Manuel pour spécifier les paramètres réseau.

  5. Sélectionnez la version IP syslog et saisissez l’adresse IP syslog.

    Vous aurez besoin de l’adresse IP syslog ultérieurement lorsque vous allez configurer Apex Central pour qu’il envoie des données à votre appliance.

  6. Sélectionnez un Protocole.

    Vous devez utiliser le même protocole lorsque vous configurez Apex Central pour envoyer des données à votre appliance.

  7. Cliquez sur Enregistrer.

    Nous créons l’intégration et celle-ci apparaît dans votre liste.

    Dans les détails d’intégration, vous pouvez voir le numéro de port de l’appliance. Vous aurez besoin de cette information ultérieurement lorsque vous allez configurer Apex Central pour qu’il lui envoie des données.

    L’image VM sera prête au téléchargement en l’espace de quelques minutes.

Déployer la machine virtuelle

Restriction

Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une autre machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.

Utilisez l’image VM pour déployer la machine virtuelle. Procédez comme suit :

  1. Dans la liste des intégrations, dans Actions, cliquez sur l’action de téléchargement de votre plate-forme, par exemple Télécharger la version OVA pour ESXi.
  2. Une fois le téléchargement de l’image terminé, déployez-la sur votre machine virtuelle. Voir Déployer une machine virtuelle pour les intégrations.

Configurer Apex Central

Configurez ensuite Apex Central pour lui permettre d’envoyer des données d’audit à votre appliance, de la manière suivante :

  1. Accédez à Détections > Notifications > Paramètres de méthode de notification.
  2. Dans la section Paramètres Syslog, saisissez les informations suivantes :

    • Adresse IP du serveur : Adresse IP syslog de votre appliance. Vous avez défini ceci plus tôt dans Sophos Central.
    • Port : Numéro de port de votre appliance.
    • Installation : Sélectionnez le code d’installation.
  3. Cliquez sur Enregistrer.

Activer le transfert Syslog

Nous utilisons le transfert Syslog pour envoyer des données à l’appliance Sophos.

Pour transférer le trafic Syslog, procédez de la manière suivante :

  1. Connectez-vous à la console Apex Central à l’aide d’un compte Administrateur.
  2. Accédez à Administration > Paramètres > Paramètres Syslog.
  3. Sélectionnez Activer le transfert Syslog.
  4. Configurez les paramètres suivants :

    • Adresse du serveur : Adresse IP syslog de votre appliance.
    • Port : Numéro de port de votre appliance Sophos.
    • Protocole : Sélectionnez TCP ou UDP. Choisissez le même que celui que vous avez configuré pour votre appliance.
  5. Sélectionnez CEF comme format de journal :

  6. Sélectionnez les types de journal à transférer :

    1. Sélectionnez une catégorie de journal dans la liste déroulante Type de journal.

      • Journaux de sécurité
      • Informations sur le produit
    2. Cochez les cases correspondant aux journaux que vous souhaitez transférer. APEX Central affiche le nombre total de types de journal sélectionnés en regard de la liste Type de journal.

    3. Vous pouvez sélectionner une autre catégorie de journal dans la liste déroulante Type de journal.
  7. Cliquez sur Tester la connexion pour tester la connexion au serveur. L’état de la connexion au serveur Syslog s’affiche en haut de l’écran.

  8. Cliquez sur Enregistrer.

    Apex Central commence à transférer les journaux vers votre appliance. Les données devraient apparaître dans Sophos Data Lake après validation.

    Pour surveiller l’état de la transmission du journal, allez dans Administration > Suivi des commandes et sélectionnez Transférer Syslog dans la liste déroulante Commandes.

Plus d’informations