Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Sophos NDR on AWS

Sie benötigen das Integrations-Lizenz-Paket „Sophos Network Detection and Response“, um diese Funktion nutzen zu können.

Sophos Network Detection and Response (NDR) erkennt bösartiges Verhalten in Ihrem Netzwerk.

Sie können Sophos NDR in Sophos Central integrieren, sodass seine Erkennungen im Bedrohungsanalyse-Center zur Untersuchung verfügbar sind.

Die Integration verwendet eine Appliance, die Daten empfängt und sie an den Sophos Data Lake weiterleitet.

Die Hauptschritte lauten wie folgt:

  • Überprüfen der Voraussetzungen.
  • Erstellen Sie eine Sophos-Appliance. Dies basiert auf einer CloudFormation-Vorlage.
  • Abonnieren Sie Sophos NDR in AWS.
  • Erstellen Sie einen Stapel. Hier geben Sie die VPC und die Subnetze für NDR an.
  • Erstellen Sie eine Datenverkehr-Spiegelungssitzung. Dadurch wird Datenverkehr zur Analyse an NDR gesendet.
  • Bearbeiten Sie Sicherheitsgruppen, um Syslog-Datenverkehr zuzulassen und Zugriff auf Sophos Appliance Manager zu gewähren.
  • Legen Sie ein Kennwort für Sophos Appliance Manager fest.

Mit dem Appliance Manager können Sie die Sophos NDR Appliance überwachen und verwalten.

Voraussetzungen

Zum Einrichten von Sophos NDR auf AWS benötigen Sie die folgenden Konten und die folgende Infrastruktur:

  • Ein AWS-Konto.
  • einen Sophos Central Account
  • EC2-Instanzen.
  • VPCs, Subnetze und Verfügbarkeitszonen. Sie können die bereits vorhandenen verwenden.
  • Mindestens eine Elastic-IP-Adresse, die von der NDR-Verwaltungsschnittstelle verwendet werden soll.

Die folgenden EC2-Instanztypen werden unterstützt:

  • c5n.2xlarge
  • c6i.4xlarge
  • c7i.16xlarge (Nitro-Virtualisierung)

Sie müssen Ihren privaten SSH-Schlüssel für das AWS-Konto erstellen und speichern.

Sie müssen eine VPC in einer beliebigen Region Ihrer Wahl erstellen lassen. Ein Beispiel für eine VPC-Ressourcenzuordnung:

Beispiel für eine VPC-Ressourcenzuordnung.

Appliance erstellen

Um eine Sophos Appliance zu erstellen und zu konfigurieren, erstellen und laden Sie eine CloudFormation-Vorlage herunter.

CloudFormation-Vorlage erstellen

Um eine CloudFormation-Vorlage zu erstellen, gehen Sie wie folgt vor:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
  2. Suchen Sie die Option Sophos Network Detection & Response (NDR) und klicken Sie darauf.
  3. Klicken Sie auf der Seite NDR unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Integrations-Einrichtungsschritte wird angezeigt.

  4. Geben Sie in Schritt 1 einen Namen und eine Beschreibung für die Integration ein.

    Integrationsschritte.

  5. Erstellen Sie in Schritt 2 eine CloudFormation-Vorlage (CFT). Wählen Sie unter Virtualisierungsplattform AWS aus.

    Wählen Sie die virtuelle Plattform aus.

  6. Klicken Sie auf Speichern.

Eine CloudFormation (CF)-JSON-Datei aws_ndr_cf_latest.json wird erstellt.

CloudFormation-Vorlage herunterladen

Verfahren Sie zum Download der CloudFormation-Vorlage wie folgt:

  1. Gehen Sie in Sophos Central zu Integrationen > Konfiguriert.
  2. Wählen Sie den Tab Integrations-Appliances aus und suchen Sie die Sophos NDR Appliance.
  3. Klicken Sie in der rechten Spalte auf die drei Punkte und wählen Sie Bild herunterladen aus.

    Die Liste der konfigurierten Integrationen mit den Download-Optionen.

Die Datei aws_ndr_cf_latest.json wird in Ihr Download-Verzeichnis heruntergeladen.

Sophos NDR abonnieren

Sie müssen NDR in der AWS-Marketplace-Konsole abonnieren. Gehen Sie dazu wie folgt vor:

  1. Gehen Sie zur AWS Marketplace-Seite und suchen Sie Sophos NDR.
  2. Klicken Sie auf der Seite Product Overview auf Continue to Subscribe.

    Produktübersichtsseite zu NDR.

  3. Akzeptieren Sie auf der Seite Subscribe to this software die Geschäftsbedingungen und klicken Sie auf Continue to Configuration.

    Seite „Subscribe to this software“.

  4. Prüfen Sie auf der Seite Configure this software die Version und die Region und klicken Sie auf Continue to Launch.

    Seite „Configure this software“.

  5. Klicken Sie auf der Seite Launch this software auf Usage instructions, um zu erfahren, wie Sie auf Sophos Appliance Manager zugreifen.

    Seite zum Starten der Software.

  6. Klicken Sie auf Launch.

AWS öffnet die Seite Create Stack.

Stapelerstellung

Jetzt verwenden Sie die heruntergeladene CloudFormation-Vorlage, um einen NDR-Sensor für Ihr AWS-Konto zu erstellen. Dazu erstellen Sie einen Stapel.

  1. Gehen Sie auf der Seite Create stack wie folgt vor:

    1. Lassen Sie Template is ready ausgewählt.
    2. Wählen Sie unter Specify template die Option Upload a template file.
    3. Klicken Sie auf Datei auswählen und wählen Sie aws_ndr_cf_latest.json aus.
    4. Klicken Sie auf Weiter.

    Seite „Create stack“, auf der die Auswahl der Vorlagendatei angezeigt wird.

  2. Geben Sie auf der Seite Specify stack details einen Namen und die folgenden Details zur Netzwerkkonfiguration ein:

    1. Eine vorhandene VPC, die Sie für NDR verwenden möchten.
    2. Ein Subnetz für die NDR-Verwaltungsschnittstelle. Dies ist ein öffentliches Subnetz.
    3. Ein Subnetz für die NDR-Syslog-Schnittstelle. Auf diese Weise kann NDR eine Schnittstelle anhängen, die später verwendet werden kann, wenn Sie einen anderen Protokollsammler eines Drittanbieters hinzufügen.
    4. Ein Subnetz für die NDR-SPAN-Schnittstelle. Die SPAN-Schnittstelle erstellt eine gespiegelte Kopie des Netzwerkverkehrs und sendet diese zur Analyse an NDR.
    5. Die Sicherheitsgruppe, die Administratoren SSH-Zugriff auf die NDR-Instanz gewährt.

    Die Details der abgeschlossenen Netzwerkkonfiguration sehen wie folgt aus:

    Seite zum Angeben der Stapeldetails.

  3. Geben Sie unter EC2 Instance Configuration den SSH-Schlüssel ein, der für den Zugriff auf die NDR-EC2-Instanz erforderlich ist und klicken Sie auf Next.

    Hinweis

    Sie haben dieses SSH-Schlüsselpaar bereits erstellt und gespeichert.

    Feld für die EC2-Instanzkonfiguration.

  4. Übernehmen Sie auf der Seite Configure Stack options die AWS-Standardeinstellungen oder nehmen Sie gegebenenfalls Änderungen vor. Klicken Sie auf Senden.

Die CloudFormation-Vorlage wählt automatisch die richtigen Regionen und AMIs basierend auf der AWS-Region des Kontos aus, das Sie zum Hochladen der Vorlage verwendet haben.

Warten Sie, bis der NDR-Sensor erstellt wurde. Dies kann fünf bis sechs Minuten dauern.

Datenverkehr-Spiegelungssitzung erstellen

Erstellen Sie Ziel-Spiegelungssitzungen, um den Netzwerkverkehr zu spiegeln und ihn an NDR weiterzuleiten. Gehen Sie dazu wie folgt vor:

  1. Gehen Sie in AWS zu VPC > Traffic Mirror Sessions > Create traffic mirror session.

  2. Gehen Sie unter Session settings wie folgt vor:

    1. Geben Sie eine Namens-Tag und eine Beschreibung ein.
    2. Geben Sie unter Mirror Source die Netzwerkschnittstelle ein, von der der Netzwerkverkehr gespiegelt werden soll.
    3. Geben Sie unter Mirror Target die SPAN-Schnittstelle ein, an die der Netzwerkverkehr gespiegelt werden soll. Wählen Sie das NDR-SPAN-Ziel aus, das von der CloudFormation-Vorlage für Sie erstellt wurde.

    Einstellungen der Datenverkehr-Spiegelungssitzung.

  3. Gehen Sie unter Additional settings wie folgt vor:

    1. Geben Sie eine Sitzungsnummer an. Die Nummer bestimmt die Reihenfolge, in der Sitzungen aus derselben Quelle ausgewertet werden.
    2. Stellen Sie VNI (Virtual Network Interface) auf 1 ein.
    3. Wählen Sie unter Filter den NDR Traffic Mirror Filter aus, den die Cloud-Formation-Vorlage bereits erstellt hat.
    4. Klicken Sie auf Erstellen.

    Zusätzliche Einstellungen für die Datenverkehr-Spiegelung.

Sicherheitsgruppen bearbeiten

Sie müssen die AWS-Sicherheitsgruppen bearbeiten. Dadurch können Sie die folgenden Änderungen vornehmen:

  • Zulassen, dass Syslog-Datenverkehr an die Appliance weitergeleitet wird.
  • Gewähren von Zugriff auf Appliance Manager.

Um eine Sicherheitsgruppen zu bearbeiten, gehen Sie wie folgt vor:

  1. Gehen Sie in AWS zu den Sicherheitsdetails der Sophos NDR Appliance.

    Geben Sie dazu den Gerätenamen in die Suchleiste der AWS-Konsole ein. Wenn Sie sie gefunden haben, wählen Sie den Tab EC2 und klicken Sie auf die Instanz Sophos Appliance.

  2. Blättern Sie auf der Seite Instanz-Übersicht nach unten zu den Tabs und wählen Sie den Tab Sicherheit aus.

  3. Suchen Sie die InternalSyslogSG-Gruppe, und geben Sie die Quelle ein, aus der Sie Datenverkehr für die Protokollsammlung zulassen möchten.

  4. Suchen Sie die Sicherheitsgruppe InternalMgmtSG. Die CloudFormation-Vorlage hat diese für Sie erstellt. Fügen Sie Ihre Administratoren der Gruppe hinzu und gewähren Sie ihnen Zugriff auf Port 8443 unter Eingehende Regel.

    Eingehende Regeln für Sicherheitsgruppen.

Bevor Sie Appliance Manager verwenden können, müssen Sie ein Kennwort festlegen.

Kennwort für Appliance Manager festlegen

Der Benutzername für Appliance Manager lautet zadmin. Um das Kennwort festzulegen, gehen Sie folgendermaßen vor:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Konfiguriert.
  2. Klicken Sie auf den Tab Integrations-Appliances.

  3. Suchen Sie Ihre Appliance. Klicken Sie in der rechten Spalte auf die drei Punkte und wählen Sie Appliance Manager öffnen aus.

    Menü „Appliance-Aktionen“.

  4. Klicken Sie im Bestätigungsdialog auf Zurücksetzen.

    Bestätigungsfenster.

Alle anderen Administratoren, die Appliance Manager verwenden möchten, müssen ebenfalls ein Kennwort festlegen.