Conector Sophos Endpoint Protection (mediante Azure Functions) para Microsoft Sentinel
El conector de datos Sophos Endpoint Protection proporciona la capacidad de ingerir eventos de Sophos en Microsoft Sentinel. Consulte la documentación de Sophos Central Admin para más información.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | SophosEP_CL |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
Todos los registros
SophosEP_CL
| sort by TimeGenerated desc
Requisitos previos
Para realizar la integración con Sophos Endpoint Protection (mediante Azure Functions), asegúrese de tener:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
- Credenciales y permisos de la API REST: se requiere el token de API. Consulte la documentación para más información sobre el token de API.
Instrucciones de instalación del proveedor
Nota
Este conector usa Azure Functions para conectarse a las API de Sophos Central para extraer sus registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.
(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto en SophosEPEvent, que se implementa con la solución de Microsoft Sentinel.
PASO 1: Pasos de configuración para la API de Sophos Central
Siga las instrucciones para obtener las credenciales.
- En Sophos Central Admin, vaya a Configuración global >Administración de tokens de API.
- Para crear un token, haga clic en Agregar token en la esquina superior derecha de la pantalla.
- Seleccione un nombre de token y haga clic en Guardar. Se muestra el resumen del token de API para este token.
- Haga clic en Copiar para copiar los encabezados y la dirección URL de acceso de la API desde la sección de resumen del token de API en el Portapapeles.
PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada
IMPORTANTE: Antes de implementar el conector de datos Sophos Endpoint Protection, disponga del id. del área de trabajo y de la clave principal del área de trabajo (puede copiarse de lo siguiente).
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.