跳至內容
查找我們如何支持MDR

Darktrace Detect

記錄收集器

You must have the "Network" integrations license pack to use this feature.

您可以將 Darktrace Detect 與 Sophos Central 整合,以便將警示傳送到 Sophos。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們合稱為資料收集器。資料收集器接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

注意

您可以將多個 Darktrace Detect 執行個體新增到同一個資料收集器。

為此,請在 Sophos Central 中設定 Darktrace Detect 整合,然後設定一個 Darktrace Detect 執行個體以向其傳送記錄。然後設定其他 Darktrace Detect 執行個體,將記錄傳送到同一 Sophos 資料收集器。

您不需要重複設定的 Sophos Central 部分。

新增整合的主要步驟如下:

  • 新增此產品的整合。這將設定要在 VM 上使用的映像。
  • 在 VM 上下載並部署映像。這會成為您的資料收集器。
  • 設定 Darktrace Detect 以將資料傳送到資料收集器。

需求

資料收集器具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 資料收集器要求

新增整合

若要新增整合,請依照以下步驟操作:

  1. 登入至 Sophos Central。
  2. 移至威脅分析中心 > 整合
  3. 按一下 Darktrace Detect

    如果您已設定與 Darktrace Detect 的連線,您可以在這裡看到這些連線。

  4. 整合中,按一下新增

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP

    螢幕上將顯示整合步驟

設定 VM

整合步驟中,您可以設定 VM 以從 Darktrace Detect 接收資料。您可以使用現有的 VM,也可以建立新的 VM。

要設定 VM,請執行以下動作:

  1. 輸入整合名稱和說明。
  2. 輸入資料收集器的名稱和說明。

    如果您已經設定資料收集器整合,可以從清單中選擇。

  3. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  4. 指定面向網際網路的網路連接埠的 IP 設定。這將為 VM 設定管理介面。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

  5. 選取 Syslog IP 版本並輸入 Syslog IP 位址

    稍後設定 Darktrace Detect 以向資料收集器傳送資料時,您將需要該 syslog IP 位址。

  6. 選取一項通訊協定

    設定 Darktrace Detect 以向資料收集器傳送資料時,必須使用相同的通訊協定。

  7. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。

    在整合詳細資料中,您可以看到資料收集器的連接埠號。稍後設定 Darktrace Detect 以向其傳送資料時,您將需要該編號。

    VM 映像可能需要幾分鐘的時間才能準備就緒。

部署虛擬機

限制

如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。

使用 VM 映像部署 VM。若要執行此操作,請依照以下步驟操作。

  1. 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參閱部署 VM 進行整合

部署 VM 後,整合將顯示為已連線

設定 Darktrace Detect

現在,您可以將 Darktrace Detect 設定為使用 syslog 轉寄功能向我們傳送警示。

要設定警示轉寄功能,請執行以下動作:

  1. 在 Darktrace Detect 中,移至系統設定 > 警示
  2. 進階選項設定為 True
  3. CEF Syslog 警示設定為 True
  4. 使用 Enter 鍵可顯示額外的欄位。如果不起作用,請將游標放在欄位中,然後再次使用 Enter 鍵。
  5. CEF Syslog 伺服器中,輸入資料收集器的 IP 位址,然後按下 Enter 鍵。
  6. CEF Syslog 伺服器連接埠中,輸入您的資料收集器偵聽的連接埠,然後再次按下 Enter 鍵。

    新增整合時,必須輸入在 Sophos Central 中輸入的相同設定。

  7. Darktrace Detect 警示取決於事件的評分方式。要最大化轉寄到 Sophos 的警示,請確保最小警示優先級得分均設定為 1

驗證後,Darktrace Detect 警示應顯示在 Sophos Data Lake 中。