Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=NDR-dell

Sophos NDR auf Dell-Hardware

Protokollsammler Sophos Network Detection and Response

Sie können NDR auf Dell-Systemen installieren, die wir getestet und zertifiziert haben.

NDR-Appliance-Image erstellen

Sophos NDR verwendet eine Appliance, die Daten sammelt und sie an den Sophos Data Lake zur Analyse weiterleitet.

Bevor Sie Ihre Hardware einrichten, müssen Sie ein Installations-Image für die NDR-Appliance erstellen und herunterladen. Sie stellen dieses ISO-Image später als NDR-Appliance bereit.

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen.
  2. Suchen Sie die Option Sophos Network Detection & Response (NDR) und klicken Sie darauf.

  3. Klicken Sie auf der Seite NDR unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Integrations-Einrichtungsschritte wird angezeigt.

  4. Geben Sie in Schritt 1 einen Namen und eine Beschreibung für die Integration ein.

  5. Wählen Sie in Schritt 2 die Option Appliance erstellen.

  6. Um die neue Appliance zu erstellen, gehen Sie folgendermaßen vor:

    1. Geben Sie einen Namen und eine Beschreibung für die Appliance ein. Sie müssen einen eindeutigen Namen angeben.
    2. Wählen Sie unter Virtualisierungsplattform Hardware aus.

  7. In Schritt 3 schließen Sie bestimmte Domänen und Protokolle von der Überprüfung aus. Dies bietet sich beispielsweise an, wenn eine Ihrer Domänen False Positives verursacht.

    Sie können die Ausschlüsse später einrichten, müssen jedoch jetzt einen Namen für die Ausschlussliste eingeben.

    1. Geben Sie einen Namen unter Name der Ausschlussliste ein.
    2. Um eine Domäne auszuschließen, klicken Sie auf Domänenausschlüsse. Geben Sie den Domänennamen ein, zum Beispiel sophos.com, und klicken Sie auf Hinzufügen.

    3. Um ein Protokoll auszuschließen, klicken Sie auf Protokollausschlüsse. Sie können Informationen in eines oder beide Felder eingeben:

      • Geben Sie im ersten Feld ein Master-Protokoll ein. Zum Beispiel TCP oder UDP.
      • Geben Sie im zweiten Feld ein Unterprotokoll (Website) ein. Zum Beispiel: facebook.

      Wir empfehlen nicht, ein Master-Protokoll vollständig auszuschließen. Tun Sie dies nur, wenn ein Protokoll mit hohem Datenverkehr, das normalerweise nicht riskant ist, wie ein Routing-Protokoll, zu viele Daten generiert.

      Hinweis

      Sie können Ihre Ausschlüsse als JSON-Datei exportieren. Sie können auch Ausschlüsse aus einer zuvor exportierten JSON-Datei in die Liste hochladen.

    4. Klicken Sie auf Hinzufügen.

    5. Klicken Sie auf Speichern.

      In einem Popup-Fenster werden die Anmeldeinformationen für den Sophos Appliance Manager angezeigt. Notieren Sie sie sich. Sie benötigen Appliance Manager für den Zugriff auf die Appliance und Fehlerbehebung.

      Ihre neue Integration wird nun in der Liste Konfiguration von NDR-Integrationen angezeigt.

  8. Um das Appliance-Image herunterzuladen, klicken Sie auf die drei Punkte in der Spalte Aktion und wählen Sie Image herunterladen aus. Möglicherweise müssen Sie warten, bis das Bild zum Download verfügbar ist.

Installieren und System verbinden

  1. Packen Sie die Dell-Hardware aus.
  2. Installieren Sie die Rackmontage-Schienen. Siehe Dell PowerEdge-Handbücher.

  3. Schließen Sie die folgenden Kabel und Peripheriegeräte an das Dell-Gerät an:

    • Stromkabel zu den Netzteilen.
    • VGA-Monitor und USB-Tastatur.
    • Schließen Sie das Verwaltungsnetzwerkkabel an den mit 1 gekennzeichneten Port an.
    • Schließen Sie das Syslog-Netzwerkkabel an den mit 2 gekennzeichneten Port an.
    • iDRAC-Netzwerkkabel zum Anschluss mit der Bezeichnung iDRAC.
    • Alle Netzwerk-Capture-Kabel zu den SPAN/Mirror-Ports.

iDRAC-Einstellungen konfigurieren

IDRAC bietet Remote-Tastatur- und Videofunktionen sowie Remote-Unterstützung für virtuelle Datenträger. Dieses System wird verwendet, um die Installation der NDR-Software über ein startfähiges ISO-Image zu erleichtern.

Wenn das System im Rack installiert ist und alle oben aufgeführten Verbindungen hergestellt wurden, schalten Sie das System ein.

Drücken Sie beim Start auf der Tastatur F2, um das System-Setup aufzurufen.

iDRAC-Einstellungsmenü aufrufen

  1. Verwenden Sie auf dem Bildschirm „System Setup“ die Pfeiltasten, um iDRAC settings auszuwählen und drücken Sie dann die Eingabetaste.
  2. Wählen Sie mit den Pfeiltasten Network aus und drücken Sie die Leertaste.

iDRAC-Netzwerkeinstellungen konfigurieren

  1. Verwenden Sie die Pfeiltasten, um durch die IP-Einstellungen zu blättern und die Adresse zu konfigurieren, mit der Sie eine Verbindung zum iDRAC-System herstellen möchten.
  2. Drücken Sie die Tabulatortaste, um die Schaltfläche Back unten rechts zu markieren und drücken Sie die Eingabetaste.

iDRAC-Benutzernamen und das Kennwort konfigurieren

Wir empfehlen dringend, das Standard-Kennwort zu ändern. Gehen Sie dazu wie folgt vor:

  1. Verwenden Sie die Pfeiltasten, um User Configuration aus den iDRAC-Einstellungen auszuwählen und drücken Sie dann die Eingabetaste.
  2. Der Standardbenutzername lautet root. Sie können dies ändern, indem Sie einen neuen Benutzernamen eingeben.
  3. Um das Kennwort zu ändern, blättern Sie mit den Pfeiltasten nach unten zum Feld Kennwort ändern und drücken Sie dann die Eingabetaste.
  4. Geben Sie Ihr neues Kennwort ein und bestätigen Sie es.
  5. Drücken Sie die Tabulatortaste, um die Schaltfläche Back zu markieren und drücken Sie dann die Eingabetaste.
  6. Drücken Sie die Tabulatortaste, um die Schaltfläche Finish zu markieren und drücken Sie dann die Eingabetaste.
  7. Wählen Sie mit den Pfeiltasten Yes aus, um die Änderungen zu speichern.
  8. Drücken Sie im Bildschirm System Setup die Tabulatortaste, um die Schaltfläche Finish zu markieren und drücken Sie dann die Eingabetaste.
  9. Wählen Sie mit den Pfeiltasten die Schaltfläche Yes aus, um zu bestätigen, dass Sie das Programm beenden möchten.

Konnektivität überprüfen

Zu diesem Zeitpunkt sollte auf das iDRAC-System über einen Webbrowser zugegriffen werden können. Um dies zu testen, öffnen Sie Ihren Browser und gehen Sie zu http://<configured IP address>. Wenn die iDRAC-Seite keine Verbindung herstellt, überprüfen Sie die iDRAC-Netzwerkverbindung und versuchen Sie es erneut.

Hinweis

Alle nachfolgenden Konfigurationen werden remote vorgenommen. Sie können die Tastatur und den VGA-Monitor trennen.

Verbindung zu iDRAC herstellen

  1. Wenn Sie noch nicht mit der iDRAC-Schnittstelle verbunden sind, öffnen Sie Ihren Webbrowser und gehen Sie zu http://<configured IP address>.

  2. Geben Sie den Benutzernamen und das Kennwort ein, die im vorherigen Abschnitt konfiguriert wurden.

    Nach einer erfolgreichen Anmeldung wird das iDRAC-Dashboard angezeigt.

RAID-Datenpartition erstellen (nur R660 2-Socket-System)

Sie müssen nur eine RAID-Datenpartition auf dem Dell R660 2-Socket-System erstellen, das drei Festplattenlaufwerke im vorderen Festplattengehäuse enthält.

Wenn das System nicht mit den im RAID 5-Setup vorkonfigurierten Festplatten ausgeliefert wurde, müssen Sie RAID für das Datenlaufwerk konfigurieren.

  1. Klicken Sie im iDRAC-Dashboard auf Storage. Stellen Sie dann sicher, dass Summary ausgewählt ist.
  2. Überprüfen Sie im Abschnitt Summary of Disks die Anzahl der virtuellen Laufwerke. Wenn zwei virtuelle Laufwerke aufgeführt sind, können Sie die verbleibenden Schritte in diesem Abschnitt überspringen und mit dem Abschnitt „Connect Installation ISO“ fortfahren.

  3. Klicken Sie auf Virtual Disks.

    Das aktuelle virtuelle Laufwerk ist für das Betriebssystem-Laufwerk bestimmt. Wir müssen das RAID 5-Array für die Datenpartition erstellen.

  4. Klicken Sie auf Create Virtual Disk und wählen Sie Basic Configuration aus.

  5. Wählen Sie den PERC-Controller aus dem Dropdown-Menü Controller aus.
  6. Wählen Sie in der Dropdown-Liste Layout die Option RAID 5 aus.
  7. Klicken Sie auf Add to Pending.

  8. Klicken Sie auf Apply Now.

    Die Volume-Erstellung wird der Auftrags-Warteschlange hinzugefügt.

  9. Klicken Sie auf Job Queue, um den Vorgangsstatus anzuzeigen.

    Wenn Sie nichts sehen, stellen Sie sicher, dass Sie sich im Tab Tasks die Option Pending Operations ansehen. Sie können regelmäßig auf Refresh klicken, bis die Liste der ausstehenden Vorgänge leer ist.

  10. Klicken Sie im iDRAC-Dashboard auf Storage und stellen Sie sicher, dass unter Summary of Disks zwei virtuelle Laufwerke vorhanden sind.

Installations-ISO anschließen

Virtuelle Konsole öffnen

  1. Wenn Sie sich noch nicht im Dashboard befinden, klicken Sie auf Dashboard oben links im iDRAC-Menü auf der Webseite.
  2. Klicken Sie in der unteren rechten Ecke der Seite auf Virtual Console. Dadurch öffnet sich ein neues Browserfenster.

Hinweis

Wenn Sie einen Popup-Blocker haben, wird die virtuelle Konsole nicht geöffnet. Um sie zu öffnen, müssen Sie Popups für diese Website zulassen.

Virtuellen Datenträger verbinden

  1. Klicken Sie in der Menüleiste oben in der virtuellen Konsole auf Virtual Media.
  2. Klicken Sie auf Connect Virtual Media.
  3. Wenn Sie dies noch nicht getan haben, laden Sie das Installations-Image der NDR-Appliance von Sophos Central herunter.
  4. Klicken Sie unter Map CD/DVD auf die Schaltfläche Browse.

  5. Verwenden Sie das Dialogfeld zur Dateiauswahl, um das ISO-Image der Appliance auszuwählen, das Sie von Central heruntergeladen haben.

    Durch Auswahl des ISO-Images wird die Schaltfläche Map Device aktiviert.

  6. Klicken Sie auf Map Device.

  7. Klicken Sie auf Close.

Von Installer-ISO booten

  1. Klicken Sie in der Menüleiste oben in der virtuellen Konsole auf Boot.
  2. Klicken Sie auf Virtual CD/DVD/ISO.
  3. Klicken Sie auf Yes, um die Auswahl zu bestätigen.
  4. Klicken Sie in der Menüleiste oben in der virtuellen Konsole auf Power.
  5. Klicken Sie auf Reset System (warm boot).
  6. Klicken Sie auf Yes, um die Auswahl zu bestätigen.

Der Neustartvorgang wird eingeleitet, wenn das System so konfiguriert ist, dass es vom ISO-Installationsprogramm startet.

Installation starten

Stellen Sie sicher, dass Install Sophos NDR - Dell Models markiert ist, und drücken Sie die Eingabetaste.

Das Booten vom ISO-Image kann einige Zeit in Anspruch nehmen, sodass Sie warten müssen, bis das Installationsprogramm vollständig geladen ist. Wenn der Bildschirm Network Connections angezeigt wird, ist das Installationsprogramm vollständig geladen.

Verwaltungs-IP-Adresse konfigurieren

Geben Sie die Schnittstelle an, die für das Verwaltungsnetzwerk und die Verbindung zu Sophos Central verwendet werden soll.

Sie müssen diese Schnittstelle mit einer IP-Adresse, einem Standard-Gateway und einer DNS-Adresse konfigurieren. DHCP-Konfiguration ist möglich, wird jedoch nicht empfohlen, da sich die IP-Adresse des Geräts bei einem zukünftigen Neustart ändern kann.

  1. Wählen Sie mit den Pfeiltasten die Verwaltungsschnittstelle aus und drücken Sie dann die Eingabetaste.
  2. Wählen Sie Edit IPv4 aus und drücken Sie dann die Eingabetaste.
  3. Drücken Sie die Eingabetaste unter IPv4 method und wählen Sie Manual aus.
  4. Geben Sie das Subnetz für die Schnittstelle in CIDR-Notation ein.
  5. Geben Sie die IP-Adresse für die Schnittstelle in das Feld Address ein.
  6. Geben Sie das Standard-Gateway in das Feld Gateway ein.
  7. Geben Sie die DNS-Server in das Feld Name servers ein.
  8. Optional: Geben Sie eine Domäne in das Feld Search domains ein.
  9. Wählen Sie mit den Pfeiltasten Save aus und drücken Sie die Eingabetaste.

Syslog-IP-Adresse konfigurieren

  1. Verwenden Sie die Pfeiltasten, um die Schnittstelle auszuwählen, die für Syslog verwendet werden soll, und drücken Sie dann die Eingabetaste.
  2. Wählen Sie mit den Pfeiltasten Edit IPv4 aus und drücken Sie die Eingabetaste.
  3. Wählen Sie Manual als IPv4-Methode aus und drücken Sie dann die Eingabetaste.
  4. Geben Sie das Subnetz für die Schnittstelle in CIDR-Notation ein.
  5. Geben Sie die IP-Adresse für die Schnittstelle in das Feld Address ein.
  6. Wählen Sie mit den Pfeiltasten Save aus und drücken Sie die Eingabetaste.

Hinweis

Geben Sie keine Gateway- oder DNS-Adresse ein. Sie müssen sie nur für die Verwaltungsschnittstelle konfigurieren.

Capture Interfaces konfigurieren

Sie konfigurieren die Capture-Schnittstellen (SPAN-Einstellungen) nach der Installation über die Appliance Manager Web-Benutzeroberfläche. Siehe SPAN-Einstellungen.

Deaktivieren Sie zunächst alle verbleibenden Netzwerkschnittstellen wie folgt:

  1. Wählen Sie mit den Pfeiltasten die Schnittstelle aus und drücken Sie die Eingabetaste.
  2. Wählen Sie Edit IPv4 aus und drücken Sie dann die Eingabetaste.
  3. Wählen Sie mit den Pfeiltasten Disabled aus und drücken Sie die Eingabetaste.
  4. Wählen Sie mit den Pfeiltasten Save aus und drücken Sie die Eingabetaste

Netzwerkeinstellungen überprüfen

Überprüfen Sie Ihre Einstellungen für die Verwaltungs- und Syslog-IP-Adressen. Alle anderen Schnittstellen sind deaktiviert.

Wenn alle Netzwerkeinstellungen korrekt sind, verwenden Sie die Pfeiltasten, um Done auszuwählen, und drücken Sie dann die Eingabetaste.

Installationsprozess

Das System ist nun bereit, Festplatten zu partitionieren und mit der Installation zu beginnen.

Wählen Sie mit den Pfeiltasten Continue aus und drücken Sie die Eingabetaste. Dies bestätigt die Partitionierung und Installation der Festplatte.

Die Installation der Software dauert einige Zeit und erfolgt in zwei Phasen. In der ersten Phase installieren wir den Ubuntu-Server. Wenn der Vorgang abgeschlossen ist, sehen Sie die Meldung Install complete! oben auf dem Bildschirm. In der zweiten Phase installieren wir die NDR-Software. Wenn dieser Vorgang abgeschlossen ist, dreht die sich drehende Fortschrittsanzeige nicht mehr.

Neustart nach der Installation

  1. Wenn die Installation abgeschlossen ist, wählen Sie mit den Pfeiltasten Reboot now aus und drücken Sie dann die Eingabetaste.

    Der Beendigungsprozess wird angehalten und erfordert, dass Sie die Installationsmedien entfernen.

  2. Wählen Sie die Schaltfläche Virtual Media in der oberen Menüleiste der virtuellen Konsole aus.

  3. Klicken Sie auf Disconnect Virtual Media, auf Yes und dann auf Close.
  4. Drücken Sie die Eingabetaste, um mit dem Beenden und dem Neustart fortzufahren.