Sophos Endpoint Protection-Connector (mittels Azure Functions) für Microsoft Sentinel
Der Sophos Endpoint Protection-Datenconnector bietet die Möglichkeit, Sophos-Ereignisse in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zu Sophos Central Admin.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | SophosEP_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Alle Protokolle
SophosEP_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Sophos Endpoint Protection (mittels Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- REST-API-Anmeldeinformationen/-Berechtigungen: API-Token ist erforderlich. Weitere Informationen zum API-Token finden Sie in der Dokumentation.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector verbindet sich über Azure Functions mit den Sophos Central-APIs, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Hinweis
Dieser Daten-Connector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, damit er wie das erwartete SophosEPEvent funktioniert, das mit der Microsoft Sentinel-Lösung bereitgestellt wird.
SCHRITT 1: Konfigurationsschritte für die Sophos Central-API
Befolgen Sie die Anweisungen zum Abrufen der Anmeldeinformationen.
- Navigieren Sie in Sophos Central Admin zu Globale Einstellungen > API-Tokenverwaltung.
- Um ein neues Token zu erstellen, klicken Sie in der oberen rechten Ecke des Bildschirms auf Token hinzufügen.
- Wählen Sie einen Tokennamen aus, und klicken Sie auf Speichern. Die Zusammenfassung zu API-Token für dieses Token wird angezeigt.
- Klicken Sie auf Kopieren, um Ihre API-Zugriffs-URL und -Header aus dem Abschnitt Zusammenfassung zu API-Token in Ihre Zwischenablage zu kopieren.
SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen
WICHTIG: Vor der Bereitstellung des Sophos Endpoint Protection-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel haben (können aus dem Folgenden kopiert werden).
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.