Veeam Backup & Replication

ログコレクタ

Veeam Backup & Replication を Sophos Central と統合して、ソフォスでの解析用にイベントを送信することができます。

この統合はオンプレミスのみの展開です。

統合では、仮想マシン (VM) 上にホストされているログコレクタが使用されます。それらは共にアプライアンスと呼ばれています。アプライアンスはサードパーティのデータを受信し、Sophos Data Lake に送信します。

統合を追加する主な手順は、次のとおりです。

• この製品の統合を追加します。これにより、VM で使用するイメージが設定されます。
• イメージをダウンロードして VM に展開します。これがアプライアンスになります。
• アプライアンスにデータを送信するように Veeam を設定します。
• Veeam から追加データを取得します。これは "4つの目" の機能を使用し、オプションです。

要件

ソフォスのアプライアンスには、システムおよびネットワークアクセス要件があります。要件を満たしているかを確認するには、アプライアンスの要件を参照してください。

統合の追加

Sophos Central に Veeam を統合するには、次の手順を実行します。

1. Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。

2. 「Veeam Backup & Replication」をクリックします。

   Veeam Backup & Replication ページが開きます。ここで統合を設定し、既に設定されているすべてのリストを表示できます。

3. 「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。

   注

   これが統合追加の初回である場合は、内部ドメインと IP の詳細の入力が必要になります。詳細は、ドメインと IP アドレスを参照してください。

   「統合のセットアップ手順」が表示されます。

VM の設定

「統合のセットアップ手順」では、Veeam からデータを受信するように VM をアプライアンスとして構成します。既存の VM を使用することも、新しい VM を作成することもできます。

VM を構成するには、以下の手順に従います。

1. 新しい統合の名前と説明を入力します。

2. アプライアンスの名前と説明を入力します。

   ソフォスのアプライアンスの統合を既に設定済みの場合は、リストから選択できます。

3. 仮想プラットフォームを選択します。現在、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V 6.0.6001.18016 （Windows Server 2016） 以降をサポートしています。

4. 「インターネットに接続するネットワークポート」の IP 設定を指定します。これによって、VM の管理インターフェースが設定されます。

   • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

     注

     DHCP を選択した場合は、IP アドレスを予約する必要があります。

   • ネットワーク設定を指定するには、「手動」を選択します。

5. 「Syslog IP バージョン」を選択し、「Syslog IP」アドレスを入力します。

   この syslog IP アドレスは、後で、データをアプライアンスに送信するように Veeam を設定する際に必要になります。

6. 「プロトコル」を選択します。

   データをアプライアンスに送信するように Veeam を設定する際には、同じプロトコルを使用する必要があります。

7. 「保存」をクリックします。

   統合が作成され、リストに表示されます。

   統合の詳細に、アプライアンスのポート番号が表示されます。これは、後で、それにデータを送信するように Veeam を設定する際に必要になります。

   VM イメージの準備が完了するまで、数分かかることがあります。

VM の展開

VM ファイルを使用して VM を導入します。これには、次の手順を実行します。

1. 統合のリストの「アクション」で、「OVA のダウンロード」など、プラットフォームのダウンロードアクションをクリックします。
2. イメージのダウンロードが完了したら、VM に導入します。詳細は、統合用の VM の導入を参照してください。

Veeam の設定

ここで Veeam を設定してデータをソフォスに送信します。

syslog を介したイベント転送を設定するには、次の手順を実行します。

1. Veeam Backup & Replication コンソールを開きます。

2. メインメニューから「Options」(オプション) を選択します。

   

3. 「Options」(オプション) ページで、「Event Forwarding」(イベント転送) タブを選択します。

   

4. 「Syslog servers」(Syslog サーバー) セクションで、「Add」(追加) をクリックします。

   

5. 「Add Syslog server」(Syslog サーバーの追加) で、以下の手順に従います。

   1. 「Server」(サーバー) に、サーバーの IP とポートを入力します (デフォルトは 514)。
   2. 「Transport」(転送) に、 次のネットワーク転送プロトコルを入力します。 UDP、TCP、または TLS。
   3. 「OK」をクリックします。

   統合を追加した際に Sophos Central で入力したのと同じ IP アドレスおよびプロトコルの設定を入力する必要があります。

   

6. 「Event Forwarding」(イベント転送) タブで、 「OK」をクリックします。

Veeam から追加データを取得する

追加の Veeam イベントに関するデータを取得するには、Veeam の Four-Eyes 認証を有効にすることをお勧めします。

Four-Eyes 認証では、バックアップの削除など、機密データに影響を与える可能性のあるアクションについて、他の管理者から追加の認証を取得する必要があります。この機能をオンにすると、これらの認可イベントの詳細がソフォスに解析のために送信されます。

Four-Eyes 認証をオンにする前に、次の要件を満たしていることを確認してください。

• Veeam Backup Administrator ロールを持つユーザーが少なくとも 2人必要です。ロールは、ユーザーまたはそのメンバーであるグループに割り当てることができます。
• 管理者のメール通知を設定する必要があります。Veeam は、管理者にアクションを承認するリクエストを送信できます。Configuring Global Email Notification Settings を参照してください。

Four-Eyes 認証をオンにするには、次の手順に従います。

1. Veeam Backup & Replication コンソールを開きます。
2. メインメニューから、「Users and Roles」（ユーザーとロール) を選択します。

3. 「Authorization」(認証) に移動して、次の手順を実行します。

   1. 「Require additional approval for sensitive operations」(機密性の高い操作には追加の承認が必要) を選択します。
   2. 要求された操作の承認または却下を行う必要がある期間を指定します (最小 1日、最大 30日)。
   3. 「OK」をクリックします。

   

詳細情報

• Specifying Syslog Servers
• Four-Eyes Authorization