Desplegar dispositivos

En el host ESXi, haga lo siguiente:

1. Seleccione Máquinas virtuales.

2. Haga clic en Crear/Registrar VM.

   

3. En Seleccionar tipo de creación, seleccione Implementar una máquina virtual desde un archivo OVF u OVA. Haga clic en Siguiente.

   

4. En Seleccionar archivos OVF y VMDK, haga lo siguiente:

   1. Introduzca el nombre de la máquina virtual.
   2. Haga clic en la página para seleccionar los archivos. Seleccione el archivo OVA que ha descargado.
   3. Haga clic en Siguiente.

   

5. En Seleccionar almacenamiento, seleccione Estándar. A continuación, seleccione el almacén de datos donde desea colocar la VM. Haga clic en Siguiente.

   

6. En Opciones de despliegue, establezca la configuración de la siguiente manera:

   1. SPAN1 y SPAN2. No los necesita para las integraciones. Seleccione cualquier grupo de puertos como marcador de posición y desconéctelo en la configuración de la VM más adelante.
   2. En SYSLOG, seleccione el puerto que recibirá los datos de syslog del producto de terceros.

   3. En MGMT, seleccione la interfaz de gestión para el dispositivo. Esta interfaz permite al dispositivo enviar datos a Sophos Data Lake.

      Configuró esta interfaz previamente en Sophos Central en Configuración del puerto de red conectado a Internet.

      Si seleccionó DHCP durante la configuración, asegúrese de que la VM puede obtener una dirección IP a través de DHCP.

   4. En Aprovisionamiento de disco, asegúrese de que Ligero está seleccionado.

   5. Asegúrese de que la opción Encender automáticamente esté seleccionada.
   6. Haga clic en Siguiente.

   

7. Omita el paso Configuración adicional.

8. Haga clic en Finalizar. Espere a que la nueva VM aparezca en la lista de VM. Este proceso puede durar varios minutos.

   

9. Encienda la VM y espere a que finalice la instalación.

   La VM se inicia por primera vez y comprueba que se puede conectar a los grupos de puertos correctos y a Internet. A continuación, se reinicia. El proceso puede tardar hasta 10 minutos.

10. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Configurado.

11. Seleccione la pestaña Dispositivos de integración y busque el dispositivo en la VM que acaba de desplegar. El icono de estado muestra Conectado.

    

Ahora configure el producto de terceros para enviar datos al dispositivo. Vuelva a las instrucciones de integración de ese producto para ver cómo.

El archivo zip que descargó en Sophos Central contiene los archivos necesarios para desplegar su VM: unidades virtuales, seed.iso y un script de Powershell.

Para desplegar la VM, haga lo siguiente:

1. Extraiga el archivo zip en una carpeta del disco duro.
2. Vaya a la carpeta, haga clic con el botón derecho en el archivo ndr-sensor.ps1 y seleccione Ejecutar con PowerShell.

3. Si ve un mensaje de Advertencia de seguridad, haga clic en Abrir para permitir la ejecución del archivo.

   Se le pedirá que responda a una serie de preguntas.

4. Asigne un nombre a la VM.

5. El script muestra la carpeta en la que se almacenarán los archivos de VM. Esta es una nueva carpeta en la ubicación de instalación predeterminada para unidades virtuales. Introduzca C para permitir que el script la cree.
6. Introduzca el número de procesadores (CPU) que se van a utilizar para la VM.
7. Introduzca la cantidad de memoria que se va a utilizar en GB.

8. El script muestra una lista numerada de todos sus vSwitches actuales.

   Seleccione el vSwitch al que desea conectar la interfaz de gestión e introduzca su número. Esta interfaz permite al dispositivo enviar datos a Sophos Data Lake.

   Configuró esta interfaz previamente en Sophos Central en Configuración del puerto de red conectado a Internet.

   Si seleccionó DHCP durante la configuración, asegúrese de que la VM puede obtener una dirección IP a través de DHCP.

   

9. Introduzca el vSwitch que desea conectar a la interfaz Syslog.

   Este es el vSwitch que recibirá los datos de Syslog de su producto de terceros.

10. No es necesario especificar vSwitches para capturar el tráfico de red. Estos ajustes solo son relevantes si tiene Sophos NDR. Seleccione cualquier vSwitch como marcador de posición y desconéctelo en la configuración de la VM más adelante.

    El script de PowerShell configura la VM en Hyper-V. Aparecerá el mensaje Instalación completada correctamente.

11. Utilice cualquier tecla para salir.

12. Abra el Administrador de Hyper-V para ver la VM añadida a la lista de máquinas virtuales. Si necesita cambiar algún parámetro, puede hacerlo. A continuación, iníciela.

    La VM se inicia por primera vez y comprueba que se puede conectar a los vSwitches correctos y a Internet. A continuación, se reinicia. El proceso puede tardar hasta 10 minutos.

13. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Configurado.

14. Seleccione la pestaña Dispositivos de integración y busque el dispositivo en la VM que acaba de desplegar. El icono de estado muestra Conectado.

    

Ahora configure el producto de terceros para enviar datos al dispositivo. Vuelva a las instrucciones de integración de ese producto para ver cómo.

Cargar los archivos de imagen

Para cargar los archivos de imagen de disco y la ISO inicial en el sistema Nutanix, haga lo siguiente:

1. Desde un navegador web, inicie sesión en la consola web de Nutanix en el puerto 9440.

2. Vaya a Inicio > Configuración.

   

3. Seleccione Configuración de imagen.

   

Cargar el archivo de imagen raíz

1. Haga clic en Cargar imagen
2. Escriba un nombre. Le recomendamos que incluya la palabra "root" (raíz) en el nombre.
3. (Opcional) Añada una Anotación.

4. Seleccione Cargar archivo, pulse Examinar y seleccione el archivo correspondiente.

   Cuando seleccione su archivo, se seleccionará automáticamente el Tipo de imagen.

   

5. Haga clic en Guardar.

   Se empieza a cargar el archivo. Espere a que finalice antes de continuar con la configuración.

Cargar archivo de imagen ISO inicial

1. Haga clic en Cargar imagen.
2. Escriba un nombre. Le recomendamos que incluya la palabra "ISO" en el nombre.
3. (Opcional) Añada una Anotación.

4. Seleccione Cargar archivo, pulse Examinar y seleccione el archivo correspondiente.

   Cuando seleccione su archivo, se seleccionará automáticamente el Tipo de imagen.

5. Haga clic en Guardar.

   Se empieza a cargar el archivo. Espere a que finalice antes de continuar con la configuración.

Los tres archivos cargados aparecerán en la página Configuración de imagen.

Cargar el script de instalación

Un script llamado ndr-sensor.sh también se incluye en el archivo zip. Para cargar en el controlador VM de Nutanix AHV, utilice el protocolo de transferencia segura de archivos (SCP), de la siguiente manera:

1. Para Windows, abra un símbolo del sistema, y en macOS o Linux, abra un terminal.
2. Cambie al directorio donde se encuentran los archivos descomprimidos.

3. Ejecute el siguiente comando: scp ndr-sensor.sh admin@<ip-address>:~/.

   

4. Introduzca la contraseña de administrador.

Ejecutar el script de instalación

1. Abra la VM de Nutanix AHV.
2. Utilice el siguiente comando para iniciar sesión y conectarse a través de SSH: ssh admin@<ip-address>.
3. Para ejecutar el script de instalación, ejecute el siguiente comando: bash ndr-sensor.sh.

4. Introduzca un nombre para la VM del dispositivo. Por defecto, el nombre es ndr-sensor.

   

   Nota

   Para los elementos que indiquen un valor predeterminado, puede pulsar Intro para aceptarlo.

5. Introduzca el número de núcleos de CPU para asignar a la VM. El valor predeterminado es 4.

6. Introduzca la cantidad de memoria que desea asignar a la VM. El valor predeterminado es 16(GB).

Verá el mensaje siguiente: Created vm <name> UUID <UUID>.

Seleccionar los archivos de imagen de disco de VM

Para seleccionar los archivos de imagen de disco de VM, haga lo siguiente:

1. Introduzca el nombre de imagen de la ISO inicial que ha cargado.

   

2. Introduzca el nombre de imagen del archivo de imagen de disco raíz que cargó.

3. Introduzca el nombre de imagen del archivo de imagen de disco de datos que cargó.

Configuración de red

El script crea las siguientes interfaces de red para la VM:

• Red de administración
• Red Syslog
• RSPAN para datos de captura en túnel
• SPAN para que la red espejo reciba datos de captura de otras VM en este servidor VM

El script listará las subredes virtuales disponibles que pueden ser utilizadas por los datos de captura de administración, Syslog y RSPAN (Remote Switched Port Analyzer) en túnel.

Una sola subred se puede utilizar para las tres redes.

Para asignar subredes a las redes, haga lo siguiente:

1. Introduzca el número correspondiente a la subred que va a utilizar para la red de administración.

   

2. Introduzca el número correspondiente a la subred virtual que va a utilizar para la red de recepción Syslog.

3. La configuración para la red SPAN se crea automáticamente utilizando los parámetros de configuración. Se establece como type=kSpanDestinationNic.
4. Introduzca el número correspondiente a la subred virtual que va a utilizar para la red de captura de datos RSPAN en túnel.

Cuando el script ha finalizado, proporciona algunos comandos acli de ejemplo para habilitar una sesión SPAN de Nutanix. La dirección MAC que aparece en los comandos de ejemplo es la dirección MAC de la interfaz SPAN creada por el script.

Los comandos de ejemplo se pueden usar para los siguientes tipos de sesión SPAN:

• Datos SPAN de todas las VM en el host de VM.
• Datos SPAN de una sola VM en el host de VM.

Para obtener más información, consulte Reflejo de tráfico en hosts de AHV.

Iniciar la VM

Una vez completado el script, vuelva a la consola web de Nutanix y vaya a la página VM; después, encienda la VM.

En Sophos Central, vaya a la página Integraciones del producto que está integrando y actualícela. El estado de la VM ahora es Conectado.