Einer unserer Kunden hat Sophos Central mit MDR (Managed Detection and Response) im Einsatz und kürzlich die Erweiterung um das Integration Pack „Back-up and Recovery“ gebucht. Es handelt sich hier um eine weitere Funktion die entsprechend lizenziert sein muss!

Somit besteht nun auch die Möglichkeit, durch den Managed Service von Sophos, bestimmte Ereignisse innerhalb VBR zu überwachen bzw. zu reagieren.

Sean Simpson hatte im Herbst 2024 in der Community den Artikel Veeam Sophos Integration bereitgestellt. Dieser Artikel beschäftigt sich unter anderem mit den Vorteilen die bei dieser Lösung zur Verfügung stehen.

In diesem Blogpost widme ich mich nun dem Step-by-Step Deployment und zeige mögliche Meldungen via Email bzw. aus dem Sophos Central Dashboard auf, um einen Überblick zum Produkt zu erhalten.

Unter Veeam Backup & Replication integration finden sich in der Sophos Central entsprechende Informationen zum Umfang und Voraussetzungen. Bei Veeam gibt es in der Ressource Library unter Sophos and Veeam Integration ein entsprechendes Whitepaper.

---

Lizenzierung & Aktivierung via https://central.sophos.com/manage/overview/my-account/licensing

Vorab muss die Lizenz entsprechend gekauft werden, hier bitte entsprechend beim Händler Eures Vertrauens melden. Sobald der Lizenzschlüssel vorliegt, kann dieser in der Sophos Central entsprechend aktiviert werden.

Nach erfolgtem Login in der Sophos Central, oben rechts auf das User-Icon klicken und Licensing auswählen. Alternativ hier über den Shortlink, direkt zum Licensing.

Unter Apply License Key wird der entsprechende Lizenzschlüssel eingetragen, die EULA gelesen und bestätigt und anschließend via Apply aktiviert.

Daraufhin befindet sich das Central Backup and Recovery Integration Pack entsprechend im Portal und kann nun konfiguriert werden.

---

Konfiguration

Für die Konfiguration wird das Threat Analysis Center geöffnet und hier der Marketplace aufgerufen.

Ich filtere in der Suchmaske rechts nach Veeam und wähle dann die darauf gezeigte Veeam Backup and Replication Integration aus.

Unter Data Ingest (Security Alerts) wird via Add Configuration eine neue Integration (diese wird als Appliance anschließend bereitgestellt) konfiguriert.

In diesem Beispiel hinterlege ich als Name VBR und srv-veeam-05 als Appliance Name. Als Virtual Platform wähle ich VMware, da diese Infrastruktur auf vSphere basiert. Zum Zeitpunkt des Artikels gibt es noch die Möglichkeit Hyper-V, AWS oder Hardware zu wählen.

Das Interface, welches nach extern zu Sophos kommunizieren wird (Internet-facing network port settings), wird hier mit einer manuellen IPv4-Adresse eingepflegt (DHCP sowie IPv6 wäre ebenfalls möglich).

Die IP-Adresse, Subnetmaske, Gateway und DNS-Server werden entsprechend der Kunden-Infrastruktur eingetragen.

Unter Syslog IP wird eine zusätzliche IP-Adresse hinterlegt. Es handelt sich hier um ein weiteres Interface innerhalb dieser Sophos Appliance und nicht um ein bereits bestehendes/externes Syslog System. Mich hatte das beim ersten Deployment etwas verwundert, die Appliance selbst stellt diesen Service zur Verfügung. Das gilt es entsprechend der Kunden-Infrastruktur zu beachten, Veeam VBR kann aktuell nur mit einem Syslog Server kommunizieren! Ebenfalls muss noch das zu verwendende Protokoll ausgewählt werden, in diesem Fall via TCP (ebenfalls wäre UDP oder TLS möglich).

Abschließend werden die gesetzten Werte via Save (hierfür wieder nach oben scrollen, das könnte Sophos anpassen) gespeichert.

Sobald die Konfiguration gespeichert wurde, werden einmalig die Login-Informationen mit Benutzername zadmin und Kennwort angezeigt, daher unbedingt in der eingesetzten Passwort-Lösung speichern.

Anschließend kann die Appliance im Actions Menü (die drei Punkte …) via Download Image heruntergeladen werden.

---

Deployment via OVA

Wie auch schon in einem älteren Artikel von mir erwähnt: Jeder der schon mal OVAs in vSphere deployed hat, sollten diese initialen Schritte bekannt sein. Daher gehe ich hier nicht weiter darauf ein (bei Fragen, einfach melden, oder z.B. hier orientieren: Deploy appliances – Sophos Central Admin). Ihr seht im folgenden Screenshot die Zusammenfassung, dieses Deployments.

Nach dem erfolgten OVA Deployment und einem Blick auf die Console sieht das Ganze so aus:

Wenn die Appliance entsprechend (siehe Domains and ports to allow – Sophos Central Admin) nach Hause zur Sophos Central kommunizieren darf…

Communication with Sophos Central
All communication with the Sophos Central cloud environment uses HTTPS and TLS 1.2 or 1.3, depending on the service

…sieht man im Central Dashboard die eben konfigurierte Integration nun auch im Status GRÜN:

---

Appliance Manager Website

Der Aufruf zur Appliance Manager Website erfolgt via https://IPv4 oder FQDN der Appliance:8443/ (in diesem Beispiel) mit den Zugangsdaten, die nach dem Speichern der Konfiguration einmalig angezeigt wurden, Benutzername zadmin…

Die Website ist recht einfach aufgebaut und viele Optionen stehen gar nicht mal zur Verfügung. Download Log Files, Restart und Shutdown. Unter Settings sieht man die IP-Informationen nochmal. Eine Modifikation bzw. Anpassen wäre wiederrum über ein erneutes Deployment aus der Sophos Central anzusteuern.

---

Integration in VBR

Nun kann die Integration in Veeam Backup & Replication durchgeführt werden. Hierzu muss man im Burger-Menü die Options öffnen.

Unter dem Register Event Forwarding, wird nun im Bereich Syslog servers, via Add… die eben konfigurierte Appliance mit dem Syslog Interface eingetragen.

In diesem Beispiel wäre das 192.168.100.102, als Transportprotokoll hatte ich in der Appliance Konfiguration TCP gewählt, somit muss auch dieser gewählt werden, der Port ist somit 10514.

Anschließend wird via Apply gespeichert.

Innerhalb der Users & Roles Verwaltung sollte die Four-eyes authorization aktiviert sein (unabhängig von Sophos Central & MDR). Auch eine Änderung dieser Einstellung kann somit via Sophos überwacht werden.

Um Daten zu zusätzlichen Ereignissen zu erhalten, empfiehlt Sophos, die Vier-Augen-Autorisierung von Veeam einzuschalten (ich ebenfalls 😉).

Durch die Vier-Augen-Autorisierung muss eine zusätzliche Autorisierung von einem anderen Administrator erteilt werden, wenn z. B. Backups gelöscht werden sollen (unabhängig ob Immutable oder nicht), oder auch an den Berechtigungen Änderungen stattfinden. Wenn das Feature aktiviert ist, werden Details dieser Autorisierungsereignisse zur Analyse an Sophos gesendet.

---

Incident API

Aktuell kann Sophos Central noch nicht mit der Incident API kommunizieren. Das wäre zum Beispiel ein Vorteil, sollte es zu einer Malware-Infizierung kommen. Hierbei würde ein Quick-Backup der betroffenen Systeme getriggert.

Die Funktion habe ich trotzdem aktiv, damit ich diese via PowerShell Skript testen kann, das Event selbst wird in der Sophos Central gelistet. Hierfür ist dann ein separater Benutzer mit der Rolle Incident API Operator, als Service-Account in Verwendung.

Einen Feature Request wurde bereits von mir an Sophos gemeldet, zwecks Integration bzw. Aufnahme des Features.

---

Events via Incident API, 4eyes-Auth. & Encryption Key change

Im Artikel Incident API triggering and testing in VDP 23H2 V12.1 wird ein PowerShell Skript von jb16wer (Veeam) behandelt, welches die Incident API in VBR antriggert. In diesem Artikel hier, nutze ich ebenfalls dieses Skript als Basis (um zu prüfen, ob dieses Ereignis von Sophos Central erfasst wird), habe das Ganze allerdings angepasst und erweitert, um mit weiteren Variablen arbeiten zu können und es für Version 12.3 funktionsfähig zu haben (siehe auch REST API Reference).

# Run this once, or read credentials from file
# Big thanks to Egor and Ed for their help with below!
# JB 3/1/2024
# $Cred = Get-Credential
# modified by Markus Hartmann

[System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $true }

#Aktuelle UTC-Zeit als Variable

$detectionTimeUtc = (Get-Date).ToString(„yyyy-MM-ddTHH:mm:ss.fffZ“)

#Server- und Anmeldeinformationen

$VMquickbackupFQDN = „srv-app-01.int.customer.de“
$VMquickbackupIPv4 = „192.168.100.123“
$VBRAPIeventUrl = „https://srv-veeam-01.int.customer.de:9419/api/v1/malwareDetection/events“
$VBRAPIurl = „https://srv-veeam-01.int.customer.de:9419/api/oauth2/token“
$VBRusername = „veeam-incident-api“
$VBRpassword = „.nFciqX-uTLja4C9“

#Erstelle Authentifizierungs-Body und Header

$authBody = @{
grant_type = „password“
username = $VBRusername
password = $VBRpassword
} | ConvertTo-Json -Depth 10

$authHeaders = @{
„Content-Type“ = „application/json“
„x-api-version“ = „1.2-rev0“
}

#Token abrufen

$request = Invoke-RestMethod -Method POST -Uri $VBRAPIurl -Body $authBody -Headers $authHeaders -ErrorAction Stop
$token = $request.access_token

#Aktualisiere Header mit Token

$headers = @{
„Content-Type“ = „application/json“
„x-api-version“ = „1.2-rev0“
„Authorization“ = „Bearer $token“
}

#Erstelle Malware-Event-Body

$eventBody = @{
detectionTimeUtc = $detectionTimeUtc
machine = @{
fqdn = $VMquickbackupFQDN
ipv4 = $VMquickbackupIPv4
}
details = „This event is raised from REST API by Markus Hartmann“
severity = „Infected“
engine = „Sophos“
} | ConvertTo-Json -Depth 10

#Malware-Event senden

Invoke-RestMethod -Method POST -Uri $VBRAPIeventUrl -Headers $headers -Body $eventBody -ErrorAction Stop

Innerhalb Veeam VBR werden diese Events dann ebenfalls in der History unter Malware Events gelistet.

---

Sophos Central Dashboard

Im Dashboard der Sophos Central erhält man einen sehr guten Überblick der aufgetretenen Events, der erzeugten Cases, deren Status und Kritikalität. Ich mag Dashboards & Graphen 😉

Feedback & Benachrichtigungen von Sophos

Im Falle eines ausgelösten Events, wird man aktiv von Sophos z.B. via Mail kontaktiert. In den meisten Fällen mit einer Handlungsempfehlung bzw. einer Information zur Kenntnis.

Wöchentliche Reports

Ebenfalls erhält man regelmäßige, wöchentliche Reports zu seiner Infrastruktur, hier nun ebenfalls mit Informationen in Bezug auf die Veeam Backup & Replication Infrastruktur.

Unter anderem sind die Informationen über erstellte & modifizierte Restore Points, Anpassung der MFA enthalten.

Fazit

In meinen Augen ein absoluter Mehrwert, für jeden Kunden der bereits Sophos Central im Einsatz hat. Es ist gut zu wissen, dass nicht nur die IT-Verantwortlichen des Kunden und der IT-Dienstleister, sondern auch der Hersteller, durch aktives Überwachen die Infrastruktur weiter absichert. Preislich eine attraktive Ergänzung zum bestehenden Basis-Produkt. Bei Interesse, gerne melden.