Sophos终端用户保护
概述
从“病毒扫描”事件源摄取的数据用于分析。添加病毒扫描集成使您可以跟踪哪些用户和资产经常受到感染。此外,InsightOps使用这些数据产生一些值得注意的行为和警报。
在你开始之前
Sophos EndUser Protection事件是写入SQL Server数据库的反病毒(A/V)日志,而不是写入文件。因此,为了收集insight tops的日志,必须通过SQL server客户端连接到服务器。
在这样做之前,请确保您有以下信息:
- 域和用户名/密码,如其他Microsoft连接(LDAP, AD)
- 承载Sophos A/V系统的服务器。
- SQL Server正在监听连接的端口。通常是1433或1434年。
接下来,完成以下工作:
- 确保数据库遵循命名约定
SOPHOS52或SOPHOS \ SOPHOS52,这取决于数据库文件名的细节(例如:SOPHOS52.mdf)和SQL Server中的实例配置。 - 打开SQL Server Configuration Manager下的共享内存、命名管道和TCP/IP
启用SQL Server数据库远程连接
可以找到2012/2014/2016的SQL server在这里.
可以找到SQL server(s) 2008在这里.
确保服务器正在侦听特定的端口,并且本地防火墙没有阻止它。
如何配置事件源
- 从仪表板上,选择左手菜单上的Data Collection
- 在页面右上方,选择“添加数据”
- 从“安全数据”部分选择“病毒扫描”图标
- 选择收集器,并可选地命名事件源
- 从事件源选项列表中,选择Sophos终端用户保护
- 可以选择发送未过滤的日志。
- 配置任何高级事件源设置。
- 在database字段中输入服务器数据库名称。
- 配置SQL数据库的端口;默认为1434。
- 输入数据库信息或数据库IP地址。
- 输入用户域信息,或凭据的域。
- 选择现有凭据或配置新的凭据。
- 选择保存。
高级事件源设置
回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。
例如,如果您的公司在美国和加拿大,但两个地点都有一个名为“John Smith”的用户,而您的主要域是company.com,你的备用域名可能是company.ca,这将允许InsightOps更准确地将数据归为正确的用户。
这个页面对你有帮助吗?