Microsoft Sentinel 用 Sophos Endpoint Protection (Azure Functions を使用) コネクタ
Sophos Endpoint Protection データ コネクタは、Sophos イベントを Microsoft Sentinel に取り込む機能を提供します。 詳細については、「Sophos Central の管理ドキュメント」を参照してください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | SophosEP_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
すべてのログ
SophosEP_CL
| sort by TimeGenerated desc
前提条件
Sophos Endpoint Protection と (Azure Functions を使用して) 統合するには、次のものがあることをご確認ください:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- REST API の資格情報/アクセス許可: API トークンが必要です。 API トークンの詳細については、こちらのドキュメントを参照してください
ベンダーのインストール手順
注意
このコネクタでは Azure Functions を使用して Sophos Central API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
注意
このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている SophosEPEvent) を利用して、想定のとおりに動作します。
手順 1 - Sophos Central API の構成手順
手順に従って資格情報を取得します。
- Sophos Central 管理で、[グローバル設定] >[API トークン管理] に移動します。
- 新しいトークンを作成するには、画面の右上隅にある [トークンの追加] をクリックします。
- [トークン名]を選択し、[保存] をクリックします。 このトークンの [API トークンの概要] が表示されます。
- [コピー] をクリックして、[API トークンの概要] セクションから [API アクセス URL とヘッダー] をクリップボードにコピーします。
手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする
重要: Sophos Endpoint Protection データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを用意します (以下からコピーできます)。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。