Connecteur Sophos Endpoint Protection (avec Azure Functions) pour Microsoft Sentinel
Le connecteur de données Sophos Endpoint Protection offre la possibilité d’ingérer des événements Sophos dans Microsoft Sentinel. Pour plus d’informations, consultez la documentation Administration centrale Sophos.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | SophosEP_CL |
| Prise en charge des règles de collecte des données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Tous les journaux d’activité
SophosEP_CL
| sort by TimeGenerated desc
Prérequis
Pour intégrer Sophos Endpoint Protection (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : des autorisations d’accès en lecture et en écriture à Azure Functions sont requises pour créer une application de fonction. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
- Informations d’identification/autorisations de l’API REST : un jeton d’API est requis. Consultez la documentation pour en savoir plus sur l’API.
Instructions d’installation du fournisseur
Notes
Ce connecteur utilise Azure Functions pour se connecter aux API Sophos Central et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu SophosEPEvent qui est déployé avec la solution Microsoft Sentinel.
ÉTAPE 1 - Étapes de configuration pour l’API Sophos Central
Suivez les instructions pour obtenir les informations d'identification.
- Dans Sophos Central Administration, accédez à Paramètres globaux >Gestion des jetons d’API.
- Pour créer un jeton, cliquez sur Ajouter un jeton dans le coin supérieur droit de l’écran.
- Sélectionnez un nom de jeton, puis cliquez sur Enregistrer. Le résumé du jeton d’API pour ce jeton s’affiche.
- Cliquez sur Copier pour copier votre URL d’accès à l’API + en-têtes à partir de la section Résumé des jetons d’API dans votre Presse-papiers.
ÉTAPE 2 : choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : Avant de déployer le connecteur de données Sophos Endpoint Protection, assurez-vous de disposer de l’ID d’espace de travail et de la clé primaire de l’espace de travail (vous pouvez les copier à partir de ce qui suit).
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.