Łącznik Sophos Endpoint Protection (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych sophos Endpoint Protection zapewnia możliwość pozyskiwania zdarzeń Sophos do usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Sophos Central Administracja.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | SophosEP_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Wszystkie dzienniki
SophosEP_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Sophos Endpoint Protection (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST: token interfejsu API jest wymagany. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o tokenie interfejsu API
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do łączenia się z interfejsami API sophos Central w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami SophosEPEvent , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
KROK 1. Kroki konfiguracji interfejsu API Sophos Central
Postępuj zgodnie z instrukcjami, aby uzyskać poświadczenia.
- W usłudze Sophos Central Administracja przejdź do pozycji Globalne zarządzanie tokenami interfejsu API Ustawienia>.
- Aby utworzyć nowy token, kliknij pozycję Dodaj token w prawym górnym rogu ekranu.
- Wybierz nazwę tokenu i kliknij przycisk Zapisz. Zostanie wyświetlone podsumowanie tokenu interfejsu API dla tego tokenu.
- Kliknij pozycję Kopiuj, aby skopiować adres URL dostępu do interfejsu API i nagłówki z sekcji Podsumowanie tokenu interfejsu API do schowka.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych sophos Endpoint Protection należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.