Sophos Endpoint Protection-anslutningsprogram (med Azure Functions) för Microsoft Sentinel
Sophos Endpoint Protection-dataanslutningsappen ger möjlighet att mata in Sophos-händelser i Microsoft Sentinel. Mer information finns i dokumentationen för Sophos Central Admin.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | SophosEP_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Microsoft Corporation |
Exempel på frågor
Alla loggar
SophosEP_CL
| sort by TimeGenerated desc
Förutsättningar
Om du vill integrera med Sophos Endpoint Protection (med Hjälp av Azure Functions) kontrollerar du att du har:
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- Autentiseringsuppgifter/behörigheter för REST API: API-token krävs. Mer information om API-token finns i dokumentationen
Installationsanvisningar för leverantör
Kommentar
Den här anslutningsappen använder Azure Functions för att ansluta till Sophos Central-API:erna för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.
(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.
Kommentar
Den här dataanslutningsappen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat SophosEPEvent som distribueras med Microsoft Sentinel-lösningen.
STEG 1 – Konfigurationssteg för Sophos Central API
Följ anvisningarna för att hämta autentiseringsuppgifterna.
- I Sophos Central Admin går du till Global Inställningar > API Token Management.
- Om du vill skapa en ny token klickar du på Lägg till token i det övre högra hörnet på skärmen.
- Välj ett tokennamn och klicka på Spara. API-tokensammanfattningen för den här token visas.
- Klicka på Kopiera för att kopiera URL:en för API-åtkomst + rubriker från avsnittet Sammanfattning av API-token till Urklipp.
STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen
VIKTIGT: Innan du distribuerar dataanslutningsappen för Sophos Endpoint Protection måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande).
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.