Sophos终端用户保护

概述

从病毒扫描事件源摄取的数据用于分析。添加病毒扫描集成允许您跟踪频繁感染哪些用户和资产。此外,Insightops使用此数据来产生一些显着的行为和警报。

在你开始之前

Sophos enduser保护事件是将写入SQL Server数据库的防病毒(A / V)日志,而不是文件。因此,您必须通过SQL Server客户端连接连接到服务器,以便收集Insigrops的日志。

在此之前,请确保您提供以下信息:

  • 域和用户名/密码,如其他Microsoft连接(LDAP, AD)
  • 服务器托管Sophos A / V系统。
  • SQL Server正在监听连接的端口。通常是1433或1434年。

接下来,完成以下内容:

  • 确保数据库遵循命名约定SOPHOS52sophos \ sophos52,取决于数据库文件名的详细信息(例如Sophos52.mdf.)和SQL Server中实例的配置。
  • 打开SQL Server Configuration Manager下的共享内存、命名管道和TCP/IP

在SQL Server数据库中启用远程连接

可以找到2012/2014/2016的SQL服务器在这里

可以找到SQL server(s) 2008在这里

确保服务器正在侦听特定的端口,并且本地防火墙没有阻止它。

如何配置此事件源

  1. 从仪表板中,选择左侧菜单上的数据集合
  2. 在页面的右上角,选择添加数据
  3. 从安全数据部分中选择病毒扫描图标
  4. 选择收集器,并选择命名您的活动源
  5. 从事件源选项列表中,选择Sophos enduser保护
  6. 可选择选择发送未过滤的日志。
  7. 配置任何高级事件源设置。
  8. 在数据库字段中输入服务器数据库名称。
  9. 配置SQL数据库的端口;默认为1434。
  10. 输入数据库信息或数据库IP地址。
  11. 输入用户域信息或凭据的域。
  12. 选择现有凭据或配置新的凭据。
  13. 选择保存。

高级事件源设置

倒下域名:如果您有在多域环境中运行的事件源,则RAPID7建议使用后域域以解决用户帐户的任何问题。

例如,如果您的公司在美国和加拿大,但两个地点都有一个名为“John Smith”的用户,而您的主要域是公司,你的倒退域可以Company.ca.,这将允许Insightops将数据更准确地将数据归因于正确的用户。