Sophos Endpoint Protection-connector (met behulp van Azure Functions) voor Microsoft Sentinel
De Sophos Endpoint Protection-gegevensconnector biedt de mogelijkheid om Sophos-gebeurtenissen op te nemen in Microsoft Sentinel. Raadpleeg de documentatie voor Sophos Central Beheer voor meer informatie.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | SophosEP_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Alle logboeken
SophosEP_CL
| sort by TimeGenerated desc
Vereisten
Als u wilt integreren met Sophos Endpoint Protection (met behulp van Azure Functions), moet u het volgende hebben:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- REST API-referenties/machtigingen: API-token is vereist. Raadpleeg de documentatie voor meer informatie over API-token
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Sophos Central-API's om de logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
Notitie
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht SophosEPEvent dat is geïmplementeerd met de Microsoft Sentinel-oplossing.
STAP 1: configuratiestappen voor de Sophos Central-API
Volg de instructies om de referenties te verkrijgen.
- Ga in Sophos Central Beheer naar Global Instellingen > API Token Management.
- Als u een nieuw token wilt maken, klikt u op Token toevoegen in de rechterbovenhoek van het scherm.
- Selecteer een tokennaam en klik op Opslaan. Het API-tokenoverzicht voor dit token wordt weergegeven.
- Klik op Kopiëren om uw API Access-URL + Headers te kopiëren vanuit de sectie API-tokenoverzicht naar het klembord.
STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Sophos Endpoint Protection-gegevensconnector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte hebben (u kunt de volgende gegevens kopiëren).
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.