Sophos Endpoint Protection (az Azure Functions használatával) összekötő a Microsoft Sentinelhez
A Sophos Endpoint Protection-adatösszekötő lehetővé teszi a Sophos-események Microsoft Sentinelbe való betöltését. További információért tekintse meg a Sophos Central Rendszergazda dokumentációját.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | SophosEP_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
Minden napló
SophosEP_CL
| sort by TimeGenerated desc
Előfeltételek
A Sophos Endpoint Protection szolgáltatással való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- REST API hitelesítő adatok/engedélyek: API-jogkivonat szükséges. Az API-jogkivonattal kapcsolatos további információkért tekintse meg a dokumentációt
Szállító telepítési útmutatója
Feljegyzés
Ez az összekötő az Azure Functions használatával csatlakozik a Sophos Central API-khoz, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .
(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.
Feljegyzés
Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a Várt SophosEPEvent függvénytől függ, amelyet a Microsoft Sentinel Megoldással helyez üzembe.
1. LÉPÉS – A Sophos Central API konfigurációs lépései
A hitelesítő adatok beszerzéséhez kövesse az utasításokat.
- A Sophos Central Rendszergazda nyissa meg a Globális Gépház > API Token Managementet.
- Új jogkivonat létrehozásához kattintson a képernyő jobb felső sarkában található Token hozzáadása elemre.
- Válasszon ki egy jogkivonatnevet, és kattintson a Mentés gombra. Megjelenik a jogkivonat API-jogkivonatának összegzése .
- A Másolás gombra kattintva másolja az API Access URL-címét és fejléceit az API-jogkivonat összegzése szakaszból a vágólapra.
2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez
FONTOS: A Sophos Endpoint Protection-adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható).
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.