Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=Nebula

Malwarebytes Endpoint Protection

Agente di raccolta log

Questa funzionalità potrebbe non essere ancora disponibile per tutti i clienti.

Malwarebytes Endpoint Protection può essere integrata con Sophos Central per consentire l’invio di dati a Sophos, a scopo di analisi.

Questa integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance”. L’appliance riceve dati da prodotti di terze parti e li invia al Sophos Data Lake.

Nota

È possibile aggiungere più istanze di Malwarebytes Endpoint Protection sulla stessa appliance.

Per farlo, occorre configurare l’integrazione Malwarebytes Endpoint Protection in Sophos Central e successivamente configurare un’istanza per l’invio dei log. A questo punto, sarà necessario configurare le altre istanze di Malwarebytes Endpoint Protection per l’invio dei log alla stessa appliance Sophos.

Non occorre ripetere i passaggi di configurazione che riguardano Sophos Central.

I passaggi chiave sono:

  • Configurare un’integrazione per questo prodotto. Questa azione configura un’immagine da utilizzare su una VM.
  • Scaricare e distribuire l’immagine sulla propria VM, che diventa l’appliance.
  • Configurare Malwarebytes Endpoint Protection in modo che invii dati all’appliance.

Requisiti

Le appliance hanno requisiti specifici per l’accesso al sistema e alla rete. Per verificare che siano soddisfatti, vedere Requisiti dell’appliance.

Configurazione di un’integrazione

Per integrare Endpoint Protection con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Malwarebytes Endpoint Protection.

    Si apre la pagina Malwarebytes Endpoint Protection. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

    Verranno visualizzati i Passaggi di integrazione.

Configurazione della VM

Nei Passaggi di configurazione dell’integrazione è possibile configurare la propria VM come appliance, in modo che riceva dati da Endpoint Protection. Si può utilizzare una VM esistente oppure crearne una nuova.

Per configurare la VM, procedere come segue:

  1. Aggiungere un nome e una descrizione per la nuova integrazione.

  2. Inserire un nome e una descrizione per l’appliance.

    Se è già stata configurata un’integrazione per l’appliance Sophos, è possibile sceglierla da un elenco.

  3. Selezionare la piattaforma virtuale. Attualmente supportiamo VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

  4. Specificare le impostazioni dell’IP per le Porte di rete con connessione Internet. Verrà così configurata l’interfaccia di gestione per la VM.

    • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      Nota

      Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

    • Selezionare Manuale per specificare le impostazioni di rete.

  5. Selezionare la Versione dell’IP del syslog e immettere l’indirizzo IP del syslog.

    L’indirizzo IP del syslog sarà necessario in un secondo momento, durante la configurazione di Endpoint Protection per l’invio dei dati all’appliance.

  6. Selezionare un Protocollo.

    Utilizzare lo stesso protocollo quando si configura Endpoint Protection per l’invio dei dati all’appliance.

  7. Cliccare su Salva.

    L’integrazione verrà creata e visualizzata nell’elenco.

    Nei dettagli dell’integrazione, verrà visualizzato il numero di porta per l’appliance. Sarà necessario in un secondo momento, durante la configurazione di Endpoint Protection per l’invio dei dati a quell’agente di raccolta dati.

    Potrebbero trascorrere alcuni minuti prima che l’immagine VM sia pronta.

Distribuzione della VM

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire un’altra VM, occorrerà ricreare il file OVA in Sophos Central.

Utilizzare l’immagine VM per distribuire la VM. Per farlo, procedere come segue:

  1. Nell’elenco delle integrazioni, sotto Azioni, cliccare sull’azione di download corrispondente alla propria piattaforma, ad esempio Scarica OVA per ESXi.
  2. Al termine del download dell’immagine, distribuirla sulla propria VM. Vedere Implementazione di una VM per le integrazioni.

Configurazione di Endpoint Protection

Endpoint Protection ottiene e inoltra i dati degli eventi; per farlo, procede come segue:

  • Gli endpoint segnalano a Malwarebytes Endpoint Protection il rilevamento, la quarantena e altri eventi relative alle minacce.
  • Un endpoint di comunicazione syslog di Malwarebytes estrae gli eventi da Malwarebytes Endpoint Protection.
  • L’endpoint di comunicazione inoltra quindi gli eventi al server syslog in formato CEF.

L’appliance svolge la funzione di server syslog.

Prima di cominciare

Occorre quanto segue:

  • Una subscription o una versione di prova attiva per uno dei seguenti prodotti della piattaforma Malwarebytes Endpoint Protection:

    • Malwarebytes Endpoint Detection and Response
    • Malwarebytes Endpoint Protection
    • Malwarebytes Incident Response

  • L’indirizzo IP dell’appliance.

  • Accesso alla rete tra uno degli endpoint di comunicazione syslog di Malwarebytes e un server SIEM o syslog. Per impostazione predefinita viene utilizzato TCP sulla porta 514.

Configurazione

  1. Selezionare Settings (Impostazioni) > Syslog Logging (Log syslog).
  2. Cliccare su Add (Aggiungi) > Syslog Settings (Impostazioni syslog).

  3. Immettere le seguenti informazioni sull’appliance:

    • IP Address/Host: l’indirizzo IP o nome host della virtual machine.
    • Port: la porta sulla virtual machine.

    • Protocol: scegliere tra il protocollo TCP o UDP.

      Occorre immettere le stesse impostazioni specificate in Sophos Central al momento dell’aggiunta dell’integrazione.

    • Gravità: Scegliere un livello di Severity (Gravità) dall’elenco. Determinerà la gravità di tutti gli eventi Malwarebytes inviati al syslog.

    • Communication Interval: stabilisce la frequenza (in minuti) con cui l’endpoint di comunicazione deve raccogliere dati di syslog dal server di Malwarebytes.

    Se l’endpoint non dovesse riuscire a contattare Malwarebytes, memorizzerà nel buffer i dati delle 24 ore precedenti. I dati che risalgono a più di 24 ore prima non verranno inviati.

  4. Cliccare su Salva.

  5. Selezionare Endpoints.
  6. Cliccare sulla propria virtual machine.

Nella sezione Agent Information (Informazioni sull’agente) viene visualizzato il numero di versione SIEM. Questo conferma che il plug-in SIEM è attivo sull’endpoint.

L’endpoint invierà ora i dati all’appliance. Dovrebbe essere visualizzato nel Sophos Data Lake dopo la convalida.

Modifica delle impostazioni syslog

Se si deve cambiare l’appliance, procedere come segue:

  1. Selezionare Settings (Impostazioni) > Syslog Logging (Log syslog).
  2. Cliccare su Remove (Rimuovi) per abbassare di livello la virtual machine.
  3. Cliccare su Add (Aggiungi) per alzare di livello una nuova virtual machine. Vedere la procedura descritta nella sezione Configurazione.

Un endpoint di comunicazione può essere abbassato temporaneamente di livello utilizzando l’interruttore On/Off. L’abbassamento temporaneo di livello di un endpoint di comunicazione può essere utile durante la risoluzione di problemi relativi alle impostazioni syslog.