Konektor Sophos Endpoint Protection (menggunakan Azure Functions) untuk Microsoft Sentinel
Konektor data Sophos Endpoint Protection menyediakan kemampuan untuk menyerap peristiwa Sophos ke Microsoft Sentinel. Lihat dokumentasi Admin Pusat Sophos untuk informasi selengkapnya.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
atribut Koneksi or
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | SophosEP_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | Microsoft Corporation |
Kueri sampel
Semua log
SophosEP_CL
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan Sophos Endpoint Protection (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Kredensial/izin REST API: Token API diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang token API
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke API Sophos Central untuk menarik lognya ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
Catatan
Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan SophosEPEvent yang disebarkan dengan Solusi Microsoft Sentinel.
LANGKAH 1 - Langkah konfigurasi untuk SOPHOS Central API
Ikuti petunjuk untuk memperoleh kredensial.
- Di Admin Pusat Sophos, buka Manajemen Token API Pengaturan > Global.
- Untuk membuat token baru, klik Tambahkan token dari sudut kanan atas layar.
- Pilih nama token dan klik Simpan. Ringkasan Token API untuk token ini ditampilkan.
- Klik Salin untuk menyalin URL + Header Akses API Anda dari bagian Ringkasan Token API ke clipboard Anda.
LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait
PENTING: Sebelum menyebarkan konektor data Sophos Endpoint Protection, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut).
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.