Konektor Sophos Endpoint Protection (s využitím Azure Functions) pro Microsoft Sentinel
Datový konektor Sophos Endpoint Protection poskytuje schopnost ingestovat události Sophos do Služby Microsoft Sentinel. Další informace najdete v dokumentaci k Sophos Central Správa.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | SophosEP_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Microsoft Corporation |
Ukázky dotazů
Všechny protokoly
SophosEP_CL
| sort by TimeGenerated desc
Požadavky
Pokud chcete provést integraci se službou Sophos Endpoint Protection (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje nebo oprávnění rozhraní REST API: Je vyžadován token rozhraní API. Další informace o tokenu rozhraní API najdete v dokumentaci.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k rozhraním SOphos Central API k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání SophosEPEvent , která se nasadí s řešením Microsoft Sentinel.
KROK 1 – Kroky konfigurace rozhraní Sophos Central API
Podle pokynů získejte přihlašovací údaje.
- V Sophos Central Správa přejděte do globální Nastavení > API Token Management.
- Pokud chcete vytvořit nový token, klikněte v pravém horním rohu obrazovky na Přidat token .
- Vyberte název tokenu a klikněte na Uložit. Zobrazí se souhrn tokenu rozhraní API pro tento token.
- Kliknutím na Kopírovat zkopírujte adresu URL a hlavičky přístupu rozhraní API z oddílu Souhrn tokenů rozhraní API do schránky.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením datového konektoru Sophos Endpoint Protection zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího).
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.