Connettore Sophos Endpoint Protection (con Funzioni di Azure) per Microsoft Sentinel
Il connettore dati di Sophos Endpoint Protection offre la possibilità di inserire eventi Sophos in Microsoft Sentinel. Per altre informazioni, vedere la documentazione di amministrazione di Sophos Central.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | SophosEP_CL |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Microsoft Corporation |
Esempi di query
Tutti i log
SophosEP_CL
| sort by TimeGenerated desc
Prerequisiti
Per eseguire l'integrazione con Sophos Endpoint Protection (usando Funzioni di Azure) assicurarsi di avere:
- autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
- Credenziali/autorizzazioni dell'API REST: è necessario il token API. Per altre informazioni sul token API, vedere la documentazione
Istruzioni per l’installazione di Vendor
Nota
Questo connettore usa Funzioni di Azure per connettersi alle API di Sophos Central per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto da SophosEPEvent distribuito con la soluzione Microsoft Sentinel.
PASSAGGIO 1 - Passaggi di configurazione per l'API Sophos Central
Seguire le istruzioni per ottenere le credenziali.
- In Sophos Central Admin passare a Global Settings API Token Management (Gestione token API impostazioni > globali).
- Per creare un nuovo token, fare clic su Aggiungi token nell'angolo superiore destro della schermata.
- Selezionare un nome di token e fare clic su Salva. Viene visualizzato il riepilogo del token API per questo token.
- Fare clic su Copia per copiare gli URL di accesso api e le intestazioni dalla sezione Riepilogo token API negli Appunti.
PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: prima di distribuire il connettore dati di Sophos Endpoint Protection, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue).
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.