Conector Sophos Endpoint Protection (usando o Azure Functions) para o Microsoft Sentinel
O conector de dados do Sophos Endpoint Protection fornece a capacidade de ingestão de eventos do Sophos no Microsoft Sentinel. Consulte a documentação do Sophos Central Administração para mais informações.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | SophosEP_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Todos os logs
SophosEP_CL
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com o Sophos Endpoint Protection (usando o Azure Functions), verifique se você tem:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Credenciais/permissões da API REST: é necessário o token de API. Consulte a documentação para saber mais sobre o token de API
Instruções de instalação do fornecedor
Observação
Esse conector usa Azure Functions para se conectar às APIs do Sophos Central para efetuar pull de seus logs no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
Observação
Esse conector de dados depende de um analisador baseado em uma Função do Kusto para funcionar como esperado, o SophosEPEvent, que é implantado com a Solução Microsoft Sentinel.
ETAPA 1 – Etapas de configuração para a API do Sophos Central
Siga as instruções para obter as credenciais.
- No Sophos Central Admin, acesse Gerenciamento de Token de API de >Configurações Globais.
- Para criar um novo token, clique em Adicionar token no canto superior direito da tela.
- Selecione um nome de token e clique em Salvar. O Resumo do Token de API para esse token é exibido.
- Clique em Copiar para copiar a URL de Acesso à API + Cabeçalhos da seção Resumo do Token de API para a área de transferência.
ETAPA 2: Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector de dados Sophos Endpoint Protection, tenha a ID e a chave primária do espaço de trabalho (pode ser copiada a partir do seguinte).
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.