Sophos终端用户保护

从“病毒扫描”事件源摄取的数据用于分析。添加病毒扫描集成使您可以跟踪哪些用户和资产经常受到感染。此外，InsightIDR使用这些数据产生一些值得注意的行为和警报。

在你开始之前

Sophos EndUser Protection事件是写入SQL Server数据库的反病毒(A/V)日志，而不是写入文件。因此，您必须通过SQL server客户端连接到服务器，以便为InsightIDR收集日志。

通过SQL server客户端连接到服务器:

1. 收集关于域和用户名/密码、托管Sophos A/V系统的服务器以及SQL server正在“监听”连接(通常是1433或1434)的端口的信息。
2. 取决于数据库文件名(例如SOPHOS52.mdf)和SQL Server实例的配置，请确保数据库遵循命名约定SOPHOS52或SOPHOS \ SOPHOS52．
3. 打开“SQL Server配置管理器”下的共享内存、命名管道和TCP/IP。

4. 启用到SQL Server数据库的远程连接。
   • SQL server 2012/2014/2016:https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/configure-the-remote-access-server-configuration-option
   • SQL server(s) 2008:https://blogs.msdn.microsoft.com/walzenbach/2010/04/14/how-to-enable-remote-connections-in-sql-server-2008
5. 确保并记录服务器正在侦听的特定端口，并确保本地防火墙没有阻止服务器。

如何配置事件源

1. 从仪表板中选择数据收集在左边的菜单上。
2. 当出现“数据采集”页面时，单击设置事件源下拉选择添加事件源．
3. 从“安全数据”部分中，选择病毒扫描图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，可以命名事件源。
5. 选择发送未经过滤的日志．
6. 配置您的默认域和任何高级事件源设置．
7. 在“Server”字段中，输入数据库服务器名称。
8. 在“端口”字段中，输入SQL数据库的端口;默认为1434。
9. 在“Database”字段中，输入服务器数据库或数据库IP地址。
10. 在“用户域”字段中，输入用户域信息，或您的凭据域。
11. 选择现有凭据或创建一个新的凭证．
12. 在“密码”字段中，输入服务器的密码。
13. 选择保存．