Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=NDR-NUC

Sophos NDR auf NUC-Hardware

Protokollsammler Sophos Network Detection and Response

Sophos NDR unterstützt jetzt die Installation auf Intel NUC 13-Systemen, die wir getestet und zertifiziert haben.

NDR-Appliance-Image erstellen

Sophos NDR verwendet eine Appliance, die Daten sammelt und sie an den Sophos Data Lake zur Analyse weiterleitet.

Bevor Sie Ihre Hardware einrichten, müssen Sie ein Installations-Image für die NDR-Appliance erstellen und herunterladen. Sie stellen dieses ISO-Image später als NDR-Appliance bereit.

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen.
  2. Suchen Sie die Option Sophos Network Detection & Response (NDR) und klicken Sie darauf.

  3. Klicken Sie auf der Seite NDR unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Integrations-Einrichtungsschritte wird angezeigt.

  4. Geben Sie in Schritt 1 einen Namen und eine Beschreibung für die Integration ein.

  5. Wählen Sie in Schritt 2 die Option Appliance erstellen.

  6. Um die neue Appliance zu erstellen, gehen Sie folgendermaßen vor:

    1. Geben Sie einen Namen und eine Beschreibung für die Appliance ein. Sie müssen einen eindeutigen Namen angeben.
    2. Wählen Sie unter Virtualisierungsplattform Hardware aus.

  7. In Schritt 3 schließen Sie bestimmte Domänen und Protokolle von der Überprüfung aus. Dies bietet sich beispielsweise an, wenn eine Ihrer Domänen False Positives verursacht.

    Sie können die Ausschlüsse später einrichten, müssen jedoch jetzt einen Namen für die Ausschlussliste eingeben.

    1. Geben Sie den Namen der Ausschlussliste ein.
    2. Um eine Domäne auszuschließen, klicken Sie auf Domänenausschlüsse. Geben Sie den Domänennamen ein, zum Beispiel sophos.com, und klicken Sie auf Hinzufügen.

    3. Um ein Protokoll auszuschließen, klicken Sie auf Protokollausschlüsse. Sie können Informationen in eines oder beide Felder eingeben:

      • Geben Sie im ersten Feld ein Master-Protokoll ein. Zum Beispiel TCP oder UDP.
      • Geben Sie im zweiten Feld ein Unterprotokoll (Website) ein. Zum Beispiel: facebook.

      Wir empfehlen nicht, ein Master-Protokoll vollständig auszuschließen. Tun Sie dies nur, wenn ein Protokoll mit hohem Datenverkehr, das normalerweise nicht riskant ist, wie ein Routing-Protokoll, zu viele Daten generiert.

      Hinweis

      Sie können Ihre Ausschlüsse als JSON-Datei exportieren. Sie können auch Ausschlüsse aus einer zuvor exportierten JSON-Datei in die Liste hochladen.

    4. Klicken Sie auf Hinzufügen.

    5. Klicken Sie auf Speichern.

      In einem Popup-Fenster werden die Anmeldeinformationen für den Sophos Appliance Manager angezeigt. Notieren Sie sie sich. Sie benötigen Appliance Manager für den Zugriff auf die Appliance und Fehlerbehebung.

      Ihre neue Integration wird nun in der Liste Konfiguration von NDR-Integrationen angezeigt.

  8. Um das Bild herunterzuladen, klicken Sie auf die drei Punkte in der Spalte Aktion und wählen Sie Image herunterladen aus. Möglicherweise müssen Sie warten, bis das Bild zum Download verfügbar ist.

USB-Installationsmedium erstellen

Sie müssen das ISO-Image auf ein USB-Laufwerk kopieren. Die folgenden Anweisungen beschreiben, wie Sie dies mit einem Drittanbieter-Tool namens balenaEtcher tun.

  1. Klicken Sie auf den folgenden Link, um balenaEtcher mit dem entsprechenden Installationsprogramm für Ihr Betriebssystem herunterzuladen: Download. Führen Sie den Installationsvorgang durch.

  2. Schließen Sie einen USB-Stick an Ihren Computer oder Laptop an.

    Hinweis

    Stellen Sie sicher, dass das USB-Laufwerk keine Daten enthält, die Sie speichern möchten.

  3. Starten Sie die Anwendung „balenaEtcher“ wie folgt:

    1. Klicken Sie auf Flash from file
    2. Wählen Sie im Dialogfeld zur Dateiauswahl das ISO-Image des NDR-Geräts aus, das Sie von Sophos Central heruntergeladen haben.
    3. Wenn eine Warnung bezüglich einer fehlenden Partitionstabelle angezeigt wird, klicken Sie auf Continue.
    4. Klicken Sie auf Select target

    5. Wählen Sie das USB-Laufwerk aus, auf dem das ISO-Image installiert werden soll.

      Hinweis

      Gehen Sie bei der Auswahl des USB-Geräts vorsichtig vor, da dadurch alle Daten gelöscht werden, die sich derzeit auf dem Laufwerk befinden.

    6. Klicken Sie auf Select 1.

    7. Klicken Sie auf Flash.
    8. Akzeptieren Sie alle Meldungen zur Benutzerzugriffskontrolle.

    Der blinkende Fortschritt wird auf der linken Seite angezeigt.

    Sobald der Vorgang abgeschlossen ist, können Sie balenaEtcher beenden.

Installieren und System verbinden

  1. Packen Sie die NUC-Hardware aus.

  2. Schließen Sie die folgenden Kabel und Peripheriegeräte an das NUC-Gerät an:

    • Stromkabel zu den Netzteilen.
    • HDMI-Monitor: Ein VGA-Anschluss kann über USB-C-zu-VGA-Adapter verwendet werden (nicht im Lieferumfang enthalten)
    • USB-Tastatur.
    • Verwaltungsnetzwerkkabel zum oberen Netzwerkschnittstellenanschluss.
    • Capture-Netzwerkkabel am unteren Netzwerkschnittstellenanschluss.

BIOS-Einstellungen aktualisieren

  1. Schalten Sie das System über den Netzschalter an der Vorderseite des NUC ein.
  2. Drücken Sie sofort die F2-Taste, um den BIOS-Setup-Bildschirm aufzurufen.
  3. Markieren Sie mit den Pfeiltasten die Taste Power, Performance and Cooling und drücken Sie dann die Eingabetaste.
  4. Verwenden Sie die Pfeiltasten, um Secondary Power Settings auszuwählen und drücken Sie dann die Eingabetaste.
  5. Wählen Sie mit den Pfeiltasten das Dropdown-Menü After Power Failure aus und drücken Sie dann die Eingabetaste.
  6. Ändern Sie die Einstellung von Power Off in Last State und drücken Sie dann die Eingabetaste.
  7. Verwenden Sie die Pfeiltasten, um die Einstellung PCIE ASPM Support auszuwählen und drücken Sie dann die Eingabetaste, um die Einstellung zu deaktivieren.
  8. Drücken Sie F10, um die Einstellungen zu speichern und den Vorgang zu beenden.
  9. Verwenden Sie die Pfeiltasten, um OK auszuwählen und drücken Sie dann die Eingabetaste, um zu speichern und zu beenden.

Installation starten

  1. Schließen Sie das zuvor erstellte Installations-USB-Laufwerk an einen beliebigen verfügbaren USB-Anschluss des NUC an.
  2. Schalten Sie das NUC ein oder drücken Sie Ctrl+Alt+Delete, um das NUC neu zu starten.

  3. Wählen Sie im Startmenü mit den Pfeiltasten Install Sophos NDR - NUC/OnLogic Models und drücken Sie dann die Eingabetaste.

    Der Systemstart dauert einige Zeit. Sie müssen warten, bis das Installationsprogramm den Ladevorgang abgeschlossen hat. Das Installationsprogramm ist bereit, wenn der Bildschirm Network connections angezeigt wird.

Netzwerkschnittstellen konfigurieren

Verwaltungs-IP-Adresse konfigurieren

Geben Sie die Schnittstelle an, die für das Verwaltungsnetzwerk und die Verbindung zu Sophos Central verwendet werden soll.

Konfigurieren Sie diese Schnittstelle mit einer IP-Adresse, einem Standard-Gateway und einer DNS-Adresse. DHCP-Konfiguration ist möglich, wird jedoch nicht empfohlen, da sich die IP-Adresse der Appliance bei einem zukünftigen Neustart ändern kann.

  1. Wählen Sie mit den Pfeiltasten die Verwaltungsschnittstelle aus und drücken Sie dann die Eingabetaste.
  2. Wählen Sie Edit IPv4 aus und drücken Sie dann die Eingabetaste.
  3. Drücken Sie die Eingabetaste unter IPv4 method und wählen Sie Manual aus.
  4. Geben Sie das Subnetz für die Schnittstelle in CIDR-Notation ein.
  5. Geben Sie die IP-Adresse für die Schnittstelle in das Feld Address ein.
  6. Geben Sie das Standard-Gateway in das Feld Gateway ein.
  7. Geben Sie den oder die DNS-Server in das Feld Name servers ein.
  8. Optional: Geben Sie eine Domäne in das Feld Search domains ein.
  9. Wählen Sie mit den Pfeiltasten Save aus und drücken Sie die Eingabetaste.

Capture Interfaces konfigurieren

Sie konfigurieren die Capture-Schnittstellen (SPAN-Einstellungen) nach der Installation über die Appliance Manager Web-Benutzeroberfläche. Siehe SPAN-Einstellungen.

Deaktivieren Sie zunächst alle verbleibenden Netzwerkschnittstellen wie folgt:

  1. Wählen Sie mit den Pfeiltasten die Schnittstelle aus und drücken Sie die Eingabetaste.
  2. Wählen Sie Edit IPv4 aus und drücken Sie dann die Eingabetaste.
  3. Wählen Sie mit den Pfeiltasten Disabled aus und drücken Sie die Eingabetaste.
  4. Wählen Sie mit den Pfeiltasten Save aus und drücken Sie die Eingabetaste.

Das NUC-System verfügt über eine WLAN-Schnittstelle namens wlo1. Die Appliance-Software verwendet diese Schnittstelle für keinen Zweck und sollte deaktiviert markiert bleiben.

Installationsprozess

Das System ist nun bereit, Festplatten zu partitionieren und mit der Installation zu beginnen.

Wählen Sie mit den Pfeiltasten Continue aus und drücken Sie die Eingabetaste. Dies bestätigt die Partitionierung und Installation der Festplatte.

Die Installation der Software dauert einige Zeit und erfolgt in zwei Phasen. In der ersten Phase installieren wir den Ubuntu-Server. Wenn der Vorgang abgeschlossen ist, sehen Sie die Meldung Install complete! oben auf dem Bildschirm. In der zweiten Phase installieren wir die NDR-Software. Wenn dieser Vorgang abgeschlossen ist, dreht die sich drehende Fortschrittsanzeige nicht mehr.

Installation abschließen

Wenn die Installation abgeschlossen ist, wählen Sie mit den Pfeiltasten Reboot now aus und drücken Sie dann die Eingabetaste.

Der Beendigungsprozess wird angehalten und erfordert, dass Sie die Installationsmedien entfernen.

Entfernen Sie das USB-Laufwerk aus dem System und drücken Sie die Eingabetaste, um mit dem Beenden und dem Neustart fortzufahren.