Поделиться через


Соединитель Sophos Endpoint Protection (с помощью Функции Azure) для Microsoft Sentinel

Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по Sophos Central Администратор.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics SophosEP_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Все журналы

SophosEP_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Sophos Endpoint Protection (с помощью Функции Azure), убедитесь, что у вас есть:

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Sophos Central для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая будет работать должным образом, как ожидалось , SophosEPEvent , развернутой с помощью решения Microsoft Sentinel.

ШАГ 1. Действия по настройке для API Sophos Central

Следуйте инструкциям, чтобы получить учетные данные.

  1. В Sophos Central Администратор перейдите к глобальному управлению маркерами API Параметры>.
  2. Чтобы создать новый маркер, нажмите кнопку "Добавить маркер " в правом верхнем углу экрана.
  3. Выберите имя маркера и нажмите кнопку "Сохранить". Отображается сводка по маркеру API для этого маркера.
  4. Нажмите кнопку "Копировать", чтобы скопировать URL-адрес доступа к API и заголовки из раздела сводки маркеров API в буфер обмена.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием соединителя данных Sophos Endpoint Protection укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела).

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.