Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=Nebula

Malwarebytes Endpoint Protection

Coletor de log

Este recurso ainda não está disponível para todos os clientes.

Você pode integrar o Malwarebytes Endpoint Protection ao Sophos Central para que ele envie dados à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados de terceiros e os envia ao Sophos Data Lake.

Nota

Você pode adicionar várias instâncias do Malwarebytes Endpoint Protection ao mesmo coletor de dados.

Para isso, configure a sua integração do Malwarebytes Endpoint Protection no Sophos Central e depois configure uma instância para enviar logs para ele. Em seguida, configure suas outras instâncias do Malwarebytes Endpoint Protection para enviar logs ao mesmo coletor de dados da Sophos.

Você não precisa repetir a parte Sophos Central da configuração.

As principais etapas para adicionar uma integração são as seguintes:

  • Adicione uma integração deste produto. Isso configura uma imagem para ser usada em uma VM.
  • Baixe e implante a imagem na sua VM. Ele se torna seu coletor de dados.
  • Configure o Malwarebytes Endpoint Protection para enviar dados ao coletor de dados.

Requisitos

Os coletores de dados têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do coletor de dados.

Adicionar uma integração

Para integrar o Endpoint Protection ao Sophos Central, faça o seguinte:

  1. No Sophos Central, vá para o Centro de Análise de Ameaças e clique em Integrações.

  2. Clique em Malwarebytes Endpoint Protection.

    Se já tiver configurado as conexões ao Endpoint Protection, você as verá aqui.

  3. Clique em Adicionar.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

    Etapas de integração aparece.

Configurar a VM

Em Etapas de configuração de integração, você configura uma VM para receber dados do Endpoint Protection. Você pode usar uma VM existente ou criar uma nova.

Para configurar a VM, faça o seguinte:

  1. Adicione um nome e uma descrição para a nova integração.

  2. Insira um nome e uma descrição para o coletor de dados.

    Se você já tiver configurado uma integração de coletor de dados, poderá escolhê-la em uma lista.

  3. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  4. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento da VM.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar as configurações de rede.

  5. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o Endpoint Protection para enviar dados ao seu coletor de dados.

  6. Selecione um Protocolo.

    Você deve usar o mesmo protocolo ao configurar o Endpoint Protection para enviar dados ao seu coletor de dados.

  7. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do coletor de dados. Você precisará dele mais tarde, ao configurar o Endpoint Protection para enviar dados.

    Pode levar alguns minutos para que a imagem da VM fique pronta.

Implantar a VM

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar outra VM, você deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem da VM para implantar a VM. Para isso, siga este procedimento:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar uma VM para integrações.

Quando você tiver implantado a VM, a integração será exibida como Conectado.

Configurar o Endpoint Protection

O Endpoint Protection obtém os dados de eventos e os encaminha da seguinte forma:

  • Os endpoints informam a detecção de ameaças, quarentena e outros eventos para o Malwarebytes Endpoint Protection.
  • O endpoint do Malwarebytes syslog communicator extrai os eventos do Malwarebytes Endpoint Protection por pull.
  • O communication endpoint encaminha os eventos para o servidor syslog no formato CEF.

Seu coletor de dados atua como o servidor syslog.

Antes de começar

Você precisa do seguinte:

  • Uma assinatura ou avaliação ativa de um dos seguintes produtos da plataforma Malwarebytes Endpoint Protection:

    • Malwarebytes Endpoint Detection and Response
    • Malwarebytes Endpoint Protection
    • Malwarebytes Incident Response

  • O endereço IP do seu coletor de dados.

  • Acesso à rede entre um de seus Malwarebytes syslog communication endpoints e um SIEM ou servidor syslog. Por padrão, é usado o TCP pela porta 514.

Configuração

  1. Vá para Settings > Syslog Logging.
  2. Clique em Add > Syslog Settings.

  3. Preencha as seguintes informações sobre o seu coletor de dados:

    • IP Address/Host: Endereço IP ou nome de host da sua máquina virtual.
    • Porta: Porta na sua máquina virtual.

    • Protocolo: Escolha o protocolo TCP ou UDP.

      Você deve inserir as mesmas configurações inseridas no Sophos Central quando adicionou a integração.

    • Severidade: Escolha na lista Severity. Isso determina a gravidade de todos os eventos do Malwarebytes enviados ao syslog.

    • Communication Interval: Determina a frequência com que o communication endpoint coleta dados do syslog do servidor Malwarebytes, em minutos.

    Se o endpoint não puder contatar o Malwarebytes, ele armazenará no buffer os dados das 24 horas anteriores. Dados com mais de 24 horas não são enviados.

  4. Clique em Salvar.

  5. Vá para Endpoints.
  6. Clique na sua máquina virtual.

Na seção Agent Information, você verá o número da versão do SIEM. Isso confirma que o plug-in SIEM está ativo no endpoint.

O endpoint agora envia os dados para o seu coletor de dados. Ele deve aparecer no Sophos Data Lake após a validação.

Alterar configurações do syslog

Se você precisar alterar o seu coletor de dados, siga este procedimento:

  1. Vá para Settings > Syslog Logging.
  2. Clique em Remove para rebaixar a sua máquina virtual.
  3. Clique em Add para promover uma nova máquina virtual. Consulte as etapas na seção Configuração.

Você pode rebaixar temporariamente um communication endpoint alternando entre On/Off. O rebaixamento temporário de um communication endpoint pode ser útil ao solucionar problemas nas suas configurações de syslog.