Sophos XDR hỗ trợ tích hợp (Third‑Party Integrations) nhằm thu thập log và dữ liệu bảo mật từ các hệ thống không thuộc hệ sinh thái Sophos, thông qua API hoặc Syslog.
Dữ liệu sau khi thu thập được đồng bộ vào Sophos Data Lake và hiển thị tập trung trong Sophos Central – Threat Analysis Center.
Tài liệu này hướng dẫn chi tiết cách:
- Cấu hình Third‑Party Integration
- Triển khai Integration Appliance
- Thu thập log từ thiết bị bên thứ ba (ví dụ: Firewall, Identity, Cloud)
- Kiểm tra dữ liệu đã được đưa vào Sophos Data Lake
Tài liệu hướng dẫn nhằm đảm bảo người quản trị có thể:
- Cấu hình thu thập log từ các hệ thống bên thứ ba vào Sophos XDR
- Hợp nhất dữ liệu bảo mật từ nhiều nguồn trong một nền tảng quản lý tập trung
- Kiểm tra, theo dõi các sự kiện bảo mật phát sinh từ thiết bị không phải Sophos
- Vận hành và giám sát hệ thống sau khi tích hợp mà không ảnh hưởng đến hạ tầng hiện hữ
Truy cập: Threat Analysis Center → Integrations → Marketplace
Chọn giải pháp cần tích hợp Fortinet FortiGate
Chọn Add Configuration
- Nhập thông tin cho integration:
- Integration Name: Fortinet-40F
2. Chọn Create new appliance và khai báo thông tin appliance:
- Appliance Name: Sophos-FGT-Collector
- Virtualization Platform: VMware ESXi
3. Cấu hình mạng cho appliance:
- DHCP: Tự động cấp phát IP
- Manual: Cấu hình thủ công (Tùy nhu cầu)
4. Cấu hình thông tin tiếp nhận syslog:
- Syslog IP version (IPv4 hoặc IPv6)
- Syslog IP address (địa chỉ appliance dùng để nhận log)
Protocol: UDP
** Lưu ý: protocol này phải trùng với cấu hình trên FortiGate
Click Save để hoàn tất tạo integration và appliance.
Sophos Central cung cấp thông tin đăng nhập để quản trị appliance, bao gồm:
- Username
- Password
Thông tin này chỉ hiển thị một lần, không thể xem lại sau đó (chỉ có thể reset mới)
Sau khi nhấn Save, đợi một lúc thì ta có thể download image để cài đặt cho VMWare
Đăng nhập vào giao diện VMware ESXi Web Client, chọn Virtual Machines và nhấn Create / Register VM.
Tại màn hình Select creation type, chọn Deploy a virtual machine from an OVF or OVA file và nhấn Next.
Nhập tên máy ảo, ví dụ Sophos Integration Appliance.
Tải lên file ndr-Sophos-FGT-Collector.ova, sau đó nhấn Next.
Chọn datastore phù hợp để lưu trữ máy ảo, ví dụ VM Storage 3, rồi tiếp tục Next
Tại màn hình Deployment options, thực hiện cấu hình network mapping và disk provisioning cho Sophos Appliance.
Card mạng được gán như sau:
| Tên NIC | Network |
| mgmt0 | LAN_192.168.20.0 |
| syslog0 | SERVER_172.31.31.0 |
| span0 | vSwitch / Port group mirror traffic |
| span1 | vSwitch / Port group mirror traffic |
Disk provisioning cấu hình ở chế độ Thin. Bật tùy chọn Power on automatically để appliance tự khởi động sau khi triển khai
Kiểm tra lại thông tin tại màn hình Ready to complete và nhấn Finish để bắt đầu import appliance.
Theo dõi tiến trình trong mục Recent tasks, đảm bảo tất cả các bước hoàn tất với trạng thái Completed successfully.
Tiến hành Power On máy ảo và theo dõi quá trình khởi động.
Khi quá trình cài đặt hoàn tất, hệ thống sẽ hiển thị bảng thông báo thông tin truy cập
Sử dụng địa chỉ IP được hiển thị để truy cập vào giao diện quản lý và đăng nhập bằng credential được Sophos Central cấp phía trên.
config log syslogd setting
set status enable
set server 172.31.31.22
set port 10514
set format cef
set facility user
end
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set anomaly enable
end
Truy cập giao diện Sophos Appliance Manager của Integration Appliance vừa tạo.
Tại tab Status, kiểm tra tình trạng tài nguyên hệ thống:
- CPU Usage
- Memory Usage
- HDD Root Usage
- HDD Data Usage
Các thông số nằm trong ngưỡng cho phép, xác nhận appliance hoạt động ổn định.
Tại tab Integrations, kiểm tra trạng thái Integration:
- Trạng thái hiển thị Running
- Các chỉ số Received và Filtered có giá trị > 0, xác nhận appliance đang nhận và xử lý dữ liệu từ thiết bị nguồn
Tại tab Advanced, kiểm tra trạng thái container:
- Các container liên quan đến syslog, collector và NDR đều ở trạng thái Running
- Không có container lỗi hoặc restart bất thường
Truy cập: Threat Analysis Center → Configured → Integration Appliances
Chọn Integration Appliance đã tạo và kiểm tra mục Telemetry Journey:
Data Collection – Integration Appliance
Input > 0
Output > 0
Data Processing – Sophos Central
Input có dữ liệu
Các chỉ số này xác nhận dữ liệu đã được thu thập từ Integration Appliance và gửi thành công về Sophos Central để xử lý.
Truy cập: Threat Analysis Center → Detections
Cấu hình bộ lọc: Vendor / Source: thiết bị đã tích hợp
Sophos Central hiển thị các sự kiện đã được phân tích và đánh giá.
Lưu ý: Sophos Central không hiển thị raw syslog, chỉ hiển thị các sự kiện có giá trị bảo mật.
Việc cấu hình Third‑Party Integrations cho Sophos XDR cho phép thu thập và quản lý log tập trung từ các hệ thống bên thứ ba thông qua Sophos Data Lake.
Khi hoàn tất cấu hình, quản trị viên có thể theo dõi và phân tích các sự kiện bảo mật phát sinh từ nhiều nguồn trên cùng một giao diện quản lý, giúp nâng cao khả năng giám sát và vận hành hệ thống.