Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

VM für Integrationen bereitstellen

Wenn Sie Produkte von Drittanbietern in Sophos Central integrieren, benötigen Sie eine VM zum Hosten der Appliance, die Daten von diesen sammelt und an Sophos weiterleitet.

Derzeit unterstützt Sophos VMware ESXi 6.7 Update 3 oder höher sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

Nachdem Sie ein VM-Image für die Integration konfiguriert und heruntergeladen haben, stellen Sie es wie unten beschrieben bereit. Anschließend können Sie das Drittanbieterprodukt so konfigurieren, dass es Daten dahin sendet.

Klicken Sie unten auf die Registerkarte für Ihre Plattform, um die Anweisungen anzuzeigen.

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine neue VM bereitstellen müssen, müssen Sie die OVA-Datei in Sophos Central neu erstellen.

Gehen Sie auf Ihrem ESXi-Host wie folgt vor:

  1. Wählen Sie Virtual Machines.
  2. Klicken Sie auf Create/Register VM.

    Registerkarte „Create/Register VM“.

  3. Wählen Sie unter Select creation type die Option Deploy a virtual machine from an OVF or OVA file aus. Klicken Sie auf Weiter.

    Wählen Sie „Creation type“ aus.

  4. Verfahren Sie unter Select OVF and VMDK files wie folgt:

    1. Geben Sie den VM-Namen ein.
    2. Klicken Sie auf die Seite, um Dateien auszuwählen. Wählen Sie die heruntergeladene OVA-Datei aus.
    3. Klicken Sie auf Next.

    Wählen Sie „OVA file“ aus.

  5. Wählen Sie unter Select storage die Option Standard storage aus. Wählen Sie dann den Datenspeicher aus, in dem Sie Ihre VM ablegen möchten. Klicken Sie auf Weiter.

    Wählen Sie „Storage“ aus.

  6. Geben Sie unter Deployment options die folgenden Einstellungen ein.

    1. SPAN1 und SPAN2. Sie müssen für diese Integrationen nichts tun. Wählen Sie eine beliebige Portgruppe als Platzhalter aus und trennen Sie sie später in den VM-Einstellungen.
    2. Wählen Sie in SYSLOG den Port aus, der Syslog-Daten von Ihrem Drittanbieterprodukt empfängt.
    3. Wählen Sie in MGMT die Verwaltungsschnittstelle für die Appliance aus. Über diese Schnittstelle kann die Appliance Daten an den Sophos Data Lake senden.

      Sie haben diese Schnittstelle zuvor in Sophos Central in Einstellungen für den internetseitigen Netzwerk-Port eingerichtet.

      Wenn Sie DHCP während der Einrichtung ausgewählt haben, stellen Sie sicher, dass die VM eine IP-Adresse über DHCP erhalten kann.

    4. Stellen Sie unter Disk Provisioning sicher, dass Thin ausgewählt ist.

    5. Stellen Sie sicher, dass Power on automatically ausgewählt ist.
    6. Klicken Sie auf Weiter.

    Bereitstellungsoptionen.

  7. Überspringen Sie den Schritt Additional Settings.

  8. Klicken Sie auf Fertigstellen. Warten Sie, bis die neue VM in der Liste der VMs angezeigt wird. Dies kann einige Minuten dauern.

    Bereit zum Abschließen.

  9. Schalten Sie die VM ein, und warten Sie, bis die Installation abgeschlossen ist.

    Die VM startet zum ersten Mal und prüft, ob sie eine Verbindung zu den richtigen Portgruppen und zum Internet herstellen kann. Ein Neustart wird durchgeführt. Dies kann bis zu zehn Minuten dauern.

  10. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Konfiguriert.

  11. Gehen Sie zum Tab Integrations-Appliances und suchen Sie die Appliance auf der VM, die Sie gerade bereitgestellt haben. Das Statussymbol zeigt Verbunden an.

    Appliance-Status.

Die Zip-Datei, die Sie in Sophos Central heruntergeladen haben, enthält die Dateien, die Sie für die Bereitstellung Ihrer VM benötigen: virtuelle Laufwerke, seed.iso und ein PowerShell-Skript.

Um die VM bereitzustellen, gehen Sie wie folgt vor:

  1. Extrahieren Sie die Zip-Datei in einen Ordner auf Ihrer Festplatte.
  2. Wechseln Sie zum Ordner, klicken Sie mit der rechten Maustaste auf die ndr-sensor.ps1-Datei und wählen Sie Mit PowerShell ausführen aus.
  3. Wenn eine Sicherheitswarnung angezeigt wird, klicken Sie auf Öffnen, damit die Datei ausgeführt werden kann.

    Sie werden aufgefordert, eine Reihe von Fragen zu beantworten.

  4. Geben Sie der VM einen Namen.

  5. Das Skript zeigt den Ordner an, in dem die VM-Dateien gespeichert werden. Dies ist ein neuer Ordner in Ihrem Standardinstallationsverzeichnis für virtuelle Laufwerke. Geben Sie C ein, um die Erstellung zu ermöglichen.
  6. Geben Sie die Anzahl der Prozessoren (CPUs) ein, die für die VM verwendet werden sollen.
  7. Geben Sie den zu verwendenden Speicher in GB ein.
  8. Das Skript zeigt eine nummerierte Liste aller aktuellen vSwitches an.

    Wählen Sie den vSwitch aus, dem Sie die Verwaltungsschnittstelle zuordnen möchten, und geben Sie seine Nummer ein. Über diese Schnittstelle kann die Appliance Daten an den Sophos Data Lake senden.

    Sie haben diese Schnittstelle zuvor in Sophos Central in Einstellungen für den internetseitigen Netzwerk-Port eingerichtet.

    Wenn Sie DHCP während der Einrichtung ausgewählt haben, stellen Sie sicher, dass die VM eine IP-Adresse über DHCP erhalten kann.

    Wählen Sie den vSwitch aus.

  9. Geben Sie den vSwitch ein, den Sie an die Syslog-Schnittstelle anhängen möchten.

    Hierbei handelt es sich um den vSwitch, der Syslog-Daten von Ihrem Drittanbieterprodukt empfängt.

  10. Sie müssen keine vSwitches für die Erfassung des Netzwerkverkehrs angeben. Diese Einstellungen sind nur relevant, wenn Sie über Sophos NDR verfügen. Wählen Sie einen beliebigen vSwitch als Platzhalter aus und trennen Sie sie später in den VM-Einstellungen.

    Das PowerShell-Skript richtet die VM in Hyper-V ein. Die Meldung Installation erfolgreich abgeschlossen wird angezeigt.

  11. Verwenden Sie zum Beenden eine beliebige Taste.

  12. Öffnen Sie den Hyper-V Manager, um die VM anzuzeigen, die der Liste der virtuellen Maschinen hinzugefügt wurde. Falls erforderlich, können Sie Einstellungen ändern. Schalten Sie ihn dann ein.

    Die VM startet zum ersten Mal und prüft, ob sie eine Verbindung zu den richtigen vSwitches und zum Internet herstellen kann. Ein Neustart wird durchgeführt. Dies kann bis zu zehn Minuten dauern.

  13. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Konfiguriert.

  14. Gehen Sie zum Tab Integrations-Appliances und suchen Sie die Appliance auf der VM, die Sie gerade bereitgestellt haben. Das Statussymbol zeigt Verbunden an.

    Appliance-Status.