Appliances bereitstellen

Gehen Sie auf Ihrem ESXi-Host wie folgt vor:

1. Wählen Sie Virtual Machines.

2. Klicken Sie auf Create/Register VM.

   

3. Wählen Sie unter Select creation type die Option Deploy a virtual machine from an OVF or OVA file aus. Klicken Sie auf Weiter.

   

4. Verfahren Sie unter Select OVF and VMDK files wie folgt:

   1. Geben Sie den VM-Namen ein.
   2. Klicken Sie auf die Seite, um Dateien auszuwählen. Wählen Sie die heruntergeladene OVA-Datei aus.
   3. Klicken Sie auf Next.

   

5. Wählen Sie unter Select storage die Option Standard storage aus. Wählen Sie dann den Datenspeicher aus, in dem Sie Ihre VM ablegen möchten. Klicken Sie auf Weiter.

   

6. Geben Sie unter Deployment options die folgenden Einstellungen ein.

   1. SPAN1 und SPAN2. Sie müssen für diese Integrationen nichts tun. Wählen Sie eine beliebige Portgruppe als Platzhalter aus und trennen Sie sie später in den VM-Einstellungen.
   2. Wählen Sie in SYSLOG den Port aus, der Syslog-Daten von Ihrem Drittanbieterprodukt empfängt.

   3. Wählen Sie in MGMT die Verwaltungsschnittstelle für die Appliance aus. Über diese Schnittstelle kann die Appliance Daten an den Sophos Data Lake senden.

      Sie haben diese Schnittstelle zuvor in Sophos Central in Einstellungen für den internetseitigen Netzwerk-Port eingerichtet.

      Wenn Sie DHCP während der Einrichtung ausgewählt haben, stellen Sie sicher, dass die VM eine IP-Adresse über DHCP erhalten kann.

   4. Stellen Sie unter Disk Provisioning sicher, dass Thin ausgewählt ist.

   5. Stellen Sie sicher, dass Power on automatically ausgewählt ist.
   6. Klicken Sie auf Weiter.

   

7. Überspringen Sie den Schritt Additional Settings.

8. Klicken Sie auf Fertigstellen. Warten Sie, bis die neue VM in der Liste der VMs angezeigt wird. Dies kann einige Minuten dauern.

   

9. Schalten Sie die VM ein, und warten Sie, bis die Installation abgeschlossen ist.

   Die VM startet zum ersten Mal und prüft, ob sie eine Verbindung zu den richtigen Portgruppen und zum Internet herstellen kann. Ein Neustart wird durchgeführt. Dies kann bis zu zehn Minuten dauern.

10. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Konfiguriert.

11. Gehen Sie zum Tab Integrations-Appliances und suchen Sie die Appliance auf der VM, die Sie gerade bereitgestellt haben. Das Statussymbol zeigt Verbunden an.

    

Konfigurieren Sie das Drittanbieterprodukt jetzt so, dass Daten an die Appliance gesendet werden. Kehren Sie zurück zu den Integrationsanweisungen für dieses Produkt, um zu erfahren, wie dabei vorzugehen ist.

Die Zip-Datei, die Sie in Sophos Central heruntergeladen haben, enthält die Dateien, die Sie für die Bereitstellung Ihrer VM benötigen: virtuelle Laufwerke, seed.iso und ein PowerShell-Skript.

Um die VM bereitzustellen, gehen Sie wie folgt vor:

1. Extrahieren Sie die Zip-Datei in einen Ordner auf Ihrer Festplatte.
2. Wechseln Sie zum Ordner, klicken Sie mit der rechten Maustaste auf die ndr-sensor.ps1-Datei und wählen Sie Mit PowerShell ausführen aus.

3. Wenn eine Sicherheitswarnung angezeigt wird, klicken Sie auf Öffnen, damit die Datei ausgeführt werden kann.

   Sie werden aufgefordert, eine Reihe von Fragen zu beantworten.

4. Geben Sie der VM einen Namen.

5. Das Skript zeigt den Ordner an, in dem die VM-Dateien gespeichert werden. Dies ist ein neuer Ordner in Ihrem Standardinstallationsverzeichnis für virtuelle Laufwerke. Geben Sie C ein, um die Erstellung zu ermöglichen.
6. Geben Sie die Anzahl der Prozessoren (CPUs) ein, die für die VM verwendet werden sollen.
7. Geben Sie den zu verwendenden Speicher in GB ein.

8. Das Skript zeigt eine nummerierte Liste aller aktuellen vSwitches an.

   Wählen Sie den vSwitch aus, dem Sie die Verwaltungsschnittstelle zuordnen möchten, und geben Sie seine Nummer ein. Über diese Schnittstelle kann die Appliance Daten an den Sophos Data Lake senden.

   Sie haben diese Schnittstelle zuvor in Sophos Central in Einstellungen für den internetseitigen Netzwerk-Port eingerichtet.

   Wenn Sie DHCP während der Einrichtung ausgewählt haben, stellen Sie sicher, dass die VM eine IP-Adresse über DHCP erhalten kann.

   

9. Geben Sie den vSwitch ein, den Sie an die Syslog-Schnittstelle anhängen möchten.

   Hierbei handelt es sich um den vSwitch, der Syslog-Daten von Ihrem Drittanbieterprodukt empfängt.

10. Sie müssen keine vSwitches für die Erfassung des Netzwerkverkehrs angeben. Diese Einstellungen sind nur relevant, wenn Sie über Sophos NDR verfügen. Wählen Sie einen beliebigen vSwitch als Platzhalter aus und trennen Sie sie später in den VM-Einstellungen.

    Das PowerShell-Skript richtet die VM in Hyper-V ein. Die Meldung Installation erfolgreich abgeschlossen wird angezeigt.

11. Verwenden Sie zum Beenden eine beliebige Taste.

12. Öffnen Sie den Hyper-V Manager, um die VM anzuzeigen, die der Liste der virtuellen Maschinen hinzugefügt wurde. Falls erforderlich, können Sie Einstellungen ändern. Schalten Sie ihn dann ein.

    Die VM startet zum ersten Mal und prüft, ob sie eine Verbindung zu den richtigen vSwitches und zum Internet herstellen kann. Ein Neustart wird durchgeführt. Dies kann bis zu zehn Minuten dauern.

13. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Konfiguriert.

14. Gehen Sie zum Tab Integrations-Appliances und suchen Sie die Appliance auf der VM, die Sie gerade bereitgestellt haben. Das Statussymbol zeigt Verbunden an.

    

Konfigurieren Sie das Drittanbieterprodukt jetzt so, dass Daten an die Appliance gesendet werden. Kehren Sie zurück zu den Integrationsanweisungen für dieses Produkt, um zu erfahren, wie dabei vorzugehen ist.

Image-Dateien hochladen

Gehen Sie wie folgt vor, um die Festplatten-Image-Dateien und die Start-ISO-Datei in das Nutanix-System hochzuladen:

1. Melden Sie sich über einen Webbrowser bei der Nutanix-Webkonsole auf Port 9440 an.

2. Gehen Sie zu Home > Settings.

   

3. Wählen Sie Image Configuration.

   

Root-Image-Datei hochladen

1. Klicken Sie auf Upload Image.
2. Geben Sie einen Namen ein. Wir empfehlen, das Wort „root“ in den Namen aufzunehmen.
3. (Optional) Fügen Sie eine Annotation hinzu.

4. Wählen Sie Upload a file, klicken Sie auf Browse und wählen Sie Ihre Datei aus.

   Wenn Sie Ihre Datei auswählen, wird automatisch der Image type ausgewählt.

   

5. Klicken Sie auf Save.

   Der Datei-Upload wird gestartet. Warten Sie, bis der Upload abgeschlossen ist, bevor Sie mit der Einrichtung fortfahren.

Start-ISO-Image-Datei hochladen

1. Klicken Sie auf Upload Image.
2. Geben Sie einen Namen ein. Wir empfehlen, das Wort „ISO“ in den Namen aufzunehmen.
3. (Optional) Fügen Sie eine Annotation hinzu.

4. Wählen Sie Upload a file, klicken Sie auf Browse und wählen Sie Ihre Datei aus.

   Wenn Sie Ihre Datei auswählen, wird automatisch der Image type ausgewählt.

5. Klicken Sie auf Save.

   Der Datei-Upload wird gestartet. Warten Sie, bis der Upload abgeschlossen ist, bevor Sie mit der Einrichtung fortfahren.

Die drei hochgeladenen Dateien werden auf der Seite Image Configuration angezeigt.

Installationsskript hochladen

Ein Skript mit dem Namen ndr-sensor.sh ist ebenfalls in der ZIP-Datei enthalten. Verwenden Sie zum Hochladen auf den Nutanix AHV VM-Controller das Secure File Transfer Protocol (SCP) wie folgt:

1. Öffnen Sie unter Windows eine Eingabeaufforderung oder unter MacOS oder Linux ein Terminal.
2. Wechseln Sie in das Verzeichnis, in dem sich die entpackten Dateien befinden.

3. Geben Sie folgendes Kommando ein: scp ndr-sensor.sh admin@<ip-address>:~/.

   

4. Geben Sie das Administratorkennwort ein.

Installationsskript ausführen

1. Öffnen Sie die Nutanix AHV VM.
2. Melden Sie sich über den folgenden Befehl an und stellen Sie eine Verbindung über SSH her: ssh admin@<ip-address>.
3. Um das Installationsskript auszuführen, führen Sie den folgenden Befehl aus: bash ndr-sensor.sh.

4. Geben Sie einen Namen für die Appliance-VM ein. Der Standardname lautet ndr-sensor.

   

   Hinweis

   Bei Elementen mit Standardwert können Sie die Eingabetaste drücken, um den Standardwert zu übernehmen.

5. Geben Sie die Anzahl der CPU-Kerne ein, die der VM zugewiesen werden sollen. Der Standardwert ist 4.

6. Geben Sie die Speichergröße ein, die der VM zugewiesen werden soll. Der Standardwert ist 16(GB).

Folgende Meldung wird angezeigt: Created vm <name> UUID <UUID>.

Image-Dateien der VM-Festplatte auswählen

Gehen Sie wie folgt vor, um die Image-Dateien der VM-Festplatte auszuwählen:

1. Geben Sie den Image-Namen für die hochgeladene Start-ISO-Datei ein.

   

2. Geben Sie den Image-Namen für die hochgeladene Image-Datei der Root-Festplatte ein.

3. Geben Sie den Image-Namen für die hochgeladene Image-Datei der Datenfestplatte ein.

Netzwerkkonfiguration

Das Skript erstellt die folgenden Netzwerkschnittstellen für die VM:

• Verwaltungsnetzwerk
• Syslog-Netzwerk
• ERSPAN für getunnelte Erfassungsdaten
• SPAN für gespiegeltes Netzwerk, um Erfassungsdaten von einer anderen VM auf diesem VM-Server zu empfangen

Das Skript listet die verfügbaren virtuellen Subnetze auf, die von den Verwaltungs-, Syslog- und getunnelten RSPAN-Erfassungsdaten (Remote Switched Port Analyzer) verwendet werden können.

Für alle drei Netzwerke kann ein einzelnes Subnetz verwendet werden.

Gehen Sie wie folgt vor, um den Netzwerken Subnetze zuzuweisen:

1. Geben Sie die Nummer des Subnetzes ein, das für das Verwaltungsnetzwerk verwendet werden soll.

   

2. Geben Sie die Nummer ein, die dem virtuellen Subnetz entspricht, das für das Syslog-Empfangsnetzwerk verwendet werden soll.

3. Die Konfiguration für das SPAN-Netzwerk wird automatisch mit den Konfigurationsparametern erstellt. Es ist eingestellt als type=kSpanDestinationNic.
4. Geben Sie die Nummer ein, die dem virtuellen Subnetz entspricht, das für das getunnelte RSPAN-Erfassungsnetzwerk verwendet werden soll.

Wenn das Skript abgeschlossen ist, enthält es einige acli-Beispielbefehle zum Aktivieren einer Nutanix SPAN-Sitzung. Die in den Beispielbefehlen aufgeführte MAC-Adresse ist die MAC-Adresse der SPAN-Schnittstelle, die vom Skript erstellt wurde.

Die Beispielbefehle können für die folgenden Arten von SPAN-Sitzungen verwendet werden:

• SPAN-Daten von allen VMs auf dem VM-Host.
• SPAN-Daten von einer einzelnen VM auf dem VM-Host.

Weitere Informationen finden Sie unter Datenverkehrsspiegelung auf AHV-Hosts.

VM starten

Kehren Sie nach Abschluss des Skripts zur Nutanix-Webkonsole zurück, gehen Sie zur VM-Seite und schalten Sie dann Ihre VM ein.

Rufen Sie in Sophos Central die Seite Integrationen für das Produkt auf, das Sie integrieren und aktualisieren Sie es. Der Status der VM lautet nun Verbunden.