Sophos 企业控制台
JSADSM for Sophos Enterprise Console 提供了两个使用 Java 数据库连接 (JDBC) 收集事件的选项。
JSA 会记录所有相关的防病毒事件。
要使用 Sophos 企业控制台 JDBC 协议,Sophos 报告界面必须随 Sophos 企业控制台一起安装。如果您没有 Sophos 报告接口,请使用 JDBC 协议配置 JSA 。有关安装 Sophos 报告界面的信息,请转至 Sophos 企业控制台文档 。
要将 Sophos 企业控制台与 JSA 集成,请完成以下步骤:
-
可选:如果 Sophos 企业控制台上安装了 Sophos 报告界面,请使用 Sophos 企业控制台 JDBC 日志源来收集事件。有关更多信息,请参阅 Sophos 企业控制台 Sophos 企业控制台的 JDBC 日志源参数。
-
可选:如果 Sophos 企业控制台上未安装 Sophos 报告界面,请使用标准 JDBC 协议收集事件。有关更多信息,请参阅 Sophos 企业控制台的 JDBC 日志源参数。
Sophos 企业控制台 DSM 规格
配置 Sophos 企业版 DSM 时,了解 DSM 的规格有助于确保成功集成。例如,在开始之前了解 Sophos 企业控制台的支持版本有助于减少配置过程中的挫败感。
下表描述了 Sophos 企业控制台 DSM 的规格。
规范 |
价值 |
---|---|
制造商 |
Sophos |
帝斯曼名称 |
Sophos 企业控制台 |
RPM 文件名 |
DSM-SophosEntepriseConsole-JSA_version-build_number.noarch.rpm |
支持的版本 |
4.5.1 和 5.1 |
协议 |
Sophos 企业控制台 JDBC Jdbc |
事件格式 |
Jdbc |
记录的事件类型 |
所有相关防病毒事件 |
自动发现? |
不 |
包括身份? |
不 |
是否包含自定义属性? |
不 |
更多信息 |
为 Sophos 企业控制台配置数据库视图
要在 JSA 中收集事件,您需要在 Sophos 企业控制台上配置数据库视图:
登录到您的 Sophos 企业控制台设备命令行界面 (CLI)。
-
键入以下命令以在 Sophos 数据库中创建自定义视图以支持 JSA:
CREATE VIEW threats_view AS SELECT t.ThreatInstanceID, t.ThreatType, t.FirstDetectedAt, c.Name, c.LastLoggedOnUser, c.IPAddress, c.DomainName, c.OperatingSystem, c.ServicePack, t.ThreatSubType, t.Priority, t.ThreatLocalID, t.ThreatLocalIDSource, t.ThreatName, t.FullFilePathCheckSum, t.FullFilePath, t.FileNameOffset, t.FileVersion, t.CheckSum, t.ActionSubmittedAt, t.DealtWithAt, t.CleanUpable, t.IsFragment, t.IsRebootRequired, t.Outstanding, t.Status, InsertedAt FROM <Database Name>.dbo.ThreatInstancesAll t, <Database Name>.dbo.Computers c WHERE t.ComputerID = c.ID;
其中<DatabaseName>是 Sophos 数据库的名称。
注意:数据库名称不得包含任何空格。
创建自定义视图后,必须将 JSA 配置为接收使用 JDBC 协议或 Sophos 企业控制台 JDBC 协议的事件信息。
Sophos 企业控制台 Sophos 企业控制台的 JDBC 日志源参数
如果 JSA 未自动检测日志源,请使用 Sophos 企业控制台 JDBC 协议在 JSA 控制台上添加 Sophos 企业控制台日志源。
使用 Sophos 企业控制台 JDBC 协议时,必须使用一些特定参数。
下表描述了需要特定值才能从 Sophos 收集 Sophos 企业控制台 JDBC 事件的参数:
参数 |
价值 |
---|---|
日志源类型 |
Sophos 企业控制台 |
协议配置 |
Sophos 企业控制台 JDBC |
日志源标识符 |
键入日志源的标识符。按以下格式键入日志源标识符: <Sophos Database>@<Sophos Databas Server IP or Host Name>,其中:
为日志源标识符定义名称时,必须使用管理企业控制台中的 Sophos 数据库和数据库服务器 IP 地址或主机名的值。 |
Sophos 企业控制台的 JDBC 日志源参数
如果 Sophos 企业控制台未安装 Sophos 报告界面,请使用标准 JDBC 协议在 JSA 中收集事件。
如果 JSA 没有自动检测日志源,请在 JSA 控制台上添加 Sophos 企业控制台日志源。
使用 JDBC 协议时,必须使用一些特定参数。
下表描述了需要特定值才能从 Sophos 企业控制台收集 JDBC 事件的参数:
参数 |
价值 |
---|---|
日志源类型 |
Sophos 企业控制台 |
协议配置 |
Jdbc |
日志源标识符 |
键入日志源的 IP 地址或主机名,作为来自 Sophos 企业控制台设备的事件的标识符。 |