Sophos enduser保护

概述

从病毒扫描事件源摄取的数据用于分析。添加病毒扫描集成允许您跟踪频繁感染哪些用户和资产。此外,Insightops使用此数据来产生一些显着的行为和警报。

在你开始之前

Sophos enduser保护事件是将写入SQL Server数据库的防病毒(A / V)日志,而不是文件。因此,您必须通过SQL Server客户端连接连接到服务器,以便收集Insigrops的日志。

在此之前,请确保您提供以下信息:

  • 域和用户名/密码,与其他Microsoft Connections(LDAP,AD)一样
  • 服务器托管Sophos A / V系统。
  • SQL Server的端口是“侦听”的连接。这通常是1433或1434。

接下来,完成以下内容:

  • 确保数据库遵循命名约定Sophos52或者sophos \ sophos52,取决于数据库文件名的详细信息(例如Sophos52.mdf.)和SQL Server中实例的配置。
  • 在SQL Server Configuration Manager下打开共享内存,命名管道和TCP / IP

在SQL Server数据库中启用远程连接

可以找到2012/2014/2016的SQL服务器这里

可以找到2008年的SQL Server这里

确保服务器正在侦听特定端口,本地防火墙未阻止它。

如何配置此事件源

  1. 从仪表板中,选择左侧菜单上的数据集合
  2. 在页面的右上角,选择添加数据
  3. 从安全数据部分中选择病毒扫描图标
  4. 选择收集器,并选择命名您的活动源
  5. 从事件源选项列表中,选择Sophos enduser保护
  6. 可选择选择发送未过滤的日志。
  7. 配置任何高级事件源设置。
  8. 在数据库字段中输入服务器数据库名称。
  9. 将端口配置为SQL数据库;默认情况下,这是1434。
  10. 输入数据库信息或数据库IP地址。
  11. 输入用户域信息或凭据的域。
  12. 选择现有凭据或配置新凭据。
  13. 选择保存。

高级事件源设置

倒下域名:如果您有在多域环境中运行的事件源,则RAPID7建议使用后域域以解决用户帐户的任何问题。

例如,如果您的公司是美国和加拿大,但两个地点都有一个名为“John Smith”的用户,您的主要域名是公司,你的倒退域可以Company.ca.,这将允许Insightops将数据更准确地将数据归因于正确的用户。