Sophos终端用户保护

概述

从“病毒扫描”事件源摄取的数据用于分析。添加病毒扫描集成使您可以跟踪哪些用户和资产经常受到感染。此外,InsightOps使用这些数据产生一些值得注意的行为和警报。

在你开始之前

Sophos EndUser Protection事件是写入SQL Server数据库的反病毒(A/V)日志,而不是写入文件。因此,为了收集insight tops的日志,必须通过SQL server客户端连接到服务器。

在这样做之前,请确保您有以下信息:

  • 域和用户名/密码,如其他Microsoft连接(LDAP, AD)
  • 承载Sophos A/V系统的服务器。
  • SQL Server正在监听连接的端口。通常是1433或1434年。

接下来,完成以下工作:

  • 确保数据库遵循命名约定SOPHOS52SOPHOS \ SOPHOS52,这取决于数据库文件名的细节(例如:SOPHOS52.mdf)和SQL Server中的实例配置。
  • 打开SQL Server Configuration Manager下的共享内存、命名管道和TCP/IP

启用SQL Server数据库远程连接

可以找到2012/2014/2016的SQL server在这里

可以找到SQL server(s) 2008在这里

确保服务器正在侦听特定的端口,并且本地防火墙没有阻止它。

如何配置事件源

  1. 从仪表板上,选择左手菜单上的Data Collection
  2. 在页面右上方,选择“添加数据”
  3. 从“安全数据”部分选择“病毒扫描”图标
  4. 选择收集器,并可选地命名事件源
  5. 从事件源选项列表中,选择Sophos终端用户保护
  6. 可以选择发送未过滤的日志。
  7. 配置任何高级事件源设置。
  8. 在database字段中输入服务器数据库名称。
  9. 配置SQL数据库的端口;默认为1434。
  10. 输入数据库信息或数据库IP地址。
  11. 输入用户域信息,或凭据的域。
  12. 选择现有凭据或配置新的凭据。
  13. 选择保存。

高级事件源设置

回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。

例如,如果您的公司在美国和加拿大,但两个地点都有一个名为“John Smith”的用户,而您的主要域是company.com,你的备用域名可能是company.ca,这将允许InsightOps更准确地将数据归为正确的用户。