Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=integrations

Integrazioni

Per utilizzare questa funzionalità, occorre essere Amministratore o Super Amministratore.

È possibile integrare altri software di sicurezza con Sophos Central.

Si possono ad esempio aggiungere a Sophos Central gli avvisi di Sophos Cloud Optix relativi alle anomalie.

Informazioni sulle integrazioni

Quando viene integrato, un prodotto o servizio di terze parti può inviare dati al Sophos Data Lake. I dati possono poi essere utilizzati per eseguirvi una query dal nostro Centro di analisi delle minacce.

Esistono diversi tipi di integrazione:

  • REST API
  • Agente di raccolta log
  • Prodotto Sophos (ad esempio Sophos NDR o Sophos Firewall)

Le integrazioni di un agente di raccolta log e di Sophos NDR richiedono una virtual machine (VM). Per le integrazioni REST API, invece, non è necessaria.

Il tipo di integrazione che si utilizza dipende dal prodotto da integrare.

Integrazioni REST API

Per integrare un prodotto che utilizza un’API, è necessario raccogliere, per tale prodotto, delle informazioni di autenticazione sul proprio account.

Le informazioni richieste variano da prodotto a prodotto. Il nostro assistente all’integrazione chiederà le informazioni necessarie.

Integrazioni di tipo agente di raccolta log

Le integrazioni di tipo agente di raccolta log utilizzano l’agente di raccolta log Sophos per raccogliere i dati dal prodotto di terze parti e aggiungerli al Sophos Data Lake.

L’agente di raccolta log viene installato su una virtual machine. Il nostro assistente aiuta a configurare un file di immagine che può essere scaricato e distribuito su una VM. Il file di immagine include l’applicazione dell’agente di raccolta log.

Un agente di raccolta dati è una virtual machine che ospita un agente di raccolta log.

Successivamente, è possibile configurare il prodotto di terze parti per l’invio dei dati all’agente di raccolta dati. Questo processo sfrutta la funzione di esportazione dei dati di syslog del prodotto di terze parti. Invece dei dettagli di un server syslog, si specificheranno quelli del proprio agente di raccolta dati.

Per maggiori informazioni, consultare la guida in linea per l’integrazione che si desidera aggiungere.

Integrazioni multiple

È possibile inviare dati di più integrazioni allo stesso agente di raccolta dati:

  • Se è già stata configurata Sophos NDR, aggiungere integrazioni di terze parti e selezionare lo stesso agente di raccolta dati in Sophos Central.
  • Se è già stata configurata un’integrazione di terze parti, aggiungere altre integrazioni di terze parti e selezionare lo stesso agente di raccolta dati in Sophos Central.

È anche possibile configurare più integrazioni dello stesso prodotto da utilizzare in un unico agente di raccolta dati. Per farlo, procedere come segue:

  1. Configurare un’integrazione in Sophos Central.
  2. Configurare il prodotto di terze parti da utilizzare con l’agente di raccolta dati.

  3. Ripetere la configurazione del prodotto di terze parti per le altre istanze del prodotto.

    Indirizzare queste istanze sullo stesso agente di raccolta dati.

    Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

Categorie delle integrazioni

Le integrazioni vengono suddivise in categorie, a seconda del tipo di prodotto a cui sono destinate. Nella pagina Integrazioni, ogni integrazione viene contrassegnata con la relativa categoria, ad esempio Firewall.

Per trovare integrazioni in categorie specifiche, cliccare su Mostra filtri, selezionare categorie in Categoria di integrazione, e cliccare su Applica.

Le categorie sono riportate di seguito.

Categoria Descrizione
Sophos XDR Prodotti disponibili con una licenza XDR: Sophos NDR, Sophos Cloud Optix, Microsoft Graph Security e agente di raccolta dei dati di audit di Microsoft 365.
Identità Prodotti che monitorano i tentativi di accesso e altre attività relative alla sicurezza.
Endpoint Prodotti che rilevano le minacce sui dispositivi o che monitorano l’utilizzo dei dispositivi.
Rete Prodotti che rilevano violazioni o minacce all’interno di una rete.
E-mail Prodotti che rilevano le minacce che colpiscono le e-mail.
Cloud pubblico Prodotti che monitorano la sicurezza e la conformità degli account nel cloud pubblico.
Firewall Prodotti che controllano il traffico di rete in entrata e in uscita.

Integrazioni beta

I clienti MDR possono provare le integrazioni beta.

Le integrazioni beta sono quelle ancora in fase di sviluppo. Non generano rilevamenti per il team MDR, ma segnalano i rilevamenti nella pagina Rilevamenti.

È possibile cercare le integrazioni con etichetta BETA oppure, per visualizzarle tutte, cliccare su Mostra filtri > Disponibilità > BETA.

Dopo il rilascio della versione completa, un’integrazione potrà essere utilizzata solo in presenza del pacchetto di licenze per quella categoria di integrazione, ad esempio Firewall.

  • Importante

    Poiché Sophos continua a sviluppare nuove integrazioni, occasionalmente offriamo gratuitamente ai clienti early access (accesso in anteprima) ad alcune integrazioni che sono ancora in fase beta, a scopo di valutazione.

    Nota: poiché queste integrazioni sono ancora in versione beta, vengono offerte “COSÌ COME SONO”, senza alcuna garanzia che gli avvisi verranno monitorati o che saranno generati rilevamenti per le analisi. L’utilizzo delle integrazioni beta è a esclusiva discrezione dell’utente. Potremmo contattare gli utenti per discutere o richiedere eventuali modifiche alla configurazione dell’integrazione.

    Una volta eseguita la transizione di queste integrazioni dalla versione beta alla disponibilità generale, sarà necessario acquistare un pacchetto di licenze applicabile per continuare a utilizzarle.

    Qualsiasi utilizzo è soggetto ai Termini di utilizzo per l’utente finale Sophos.

Aggiunta di un’integrazione

Per aggiungere o gestire le integrazioni, aprire Centro di analisi delle minacce > Integrazioni.

Cliccando sulle schede, si possono visualizzare le seguenti informazioni:

  • Integrazioni: mostra tutte le integrazioni disponibili.
  • Integrazioni configurate: mostra tutte le integrazioni che sono già state configurate.
  • Agenti di raccolta dati: mostra le VM che sono già state configurate, più le integrazioni che ospitano.

Per aggiungere un’integrazione, cercare l’integrazione di terze parti da aggiungere e cliccarci sopra.

Per informazioni dettagliate su come aggiungere o gestire ciascuna integrazione, vedere: