Sophos NDR en ESXi o Hyper-V
Debe tener el paquete de licencia de integración "Sophos Network Detection and Response" para utilizar esta función.
Esta página describe la configuración. Si ya ha realizado la configuración, vaya a Mis productos > NDR para supervisar y administrar Sophos NDR.
Sophos Network Detection and Response (NDR) detecta comportamientos maliciosos en su red.
Puede integrar Sophos NDR con Sophos Central para que sus detecciones estén disponibles para su investigación en el Centro de análisis de amenazas.
La integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo. El dispositivo recibe datos y los reenvía a Sophos Data Lake.
Actualmente Sophos NDR es compatible con VMware ESXi 6.7 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.
Estos son los pasos clave:
- Comprobar los requisitos.
- Configurar una integración. Esto configura una imagen para usarla en una VM.
- Configurar los switches para que NDR pueda ver el tráfico.
- Descargar y desplegar la imagen en su VM. Esto se convierte en el dispositivo.
Requisitos
Actualmente Sophos admite VMware ESXi 6.7 Update 3 o versiones posteriores y Microsoft Hyper-V.
La VM que ejecuta el dispositivo tiene requisitos de acceso de sistema y red. Para obtener más información, consulte Requisitos del dispositivo.
Para obtener más información sobre la microarquitectura de CPU y los indicadores de CPU necesarios, consulte Requisitos de CPU.
Para acceder a una guía rápida para redimensionar la VM a fin de obtener el mejor rendimiento, consulte Guía de dimensionamiento del dispositivo Sophos NDR.
Configurar una integración
Para configurar la integración, haga lo siguiente:
- En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
-
Busque y haga clic en Sophos Network Detection and Response (NDR).
-
En la página NDR, en Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.
Aparece Pasos de configuración de la integración.
Configurar la VM
-
En el paso 1, introduzca un nombre y una descripción para la integración.
-
En el paso 2, seleccione o cree el dispositivo que recopilará los registros de NDR.
Solo puede tener una integración de NDR por dispositivo.
Si necesita un nuevo dispositivo, haga clic en Crear un nuevo dispositivo.
Si desea utilizar un dispositivo existente, selecciónelo en la lista desplegable y vaya al paso 3 para establecer exclusiones.
-
Para crear un nuevo dispositivo, haga lo siguiente:
-
Introduzca el nombre y la descripción del dispositivo. Debe introducir un nombre único.
-
Seleccione la plataforma virtual. Actualmente solo admitimos VMware ESXi 6.7 Update 3 o versiones posteriores y Microsoft Hyper-V.
-
Especifique los puertos de red conectados a Internet.
-
Seleccione DHCP para asignar la dirección IP automáticamente.
Nota
Si selecciona DHCP, debe reservar la dirección IP.
-
Seleccione Manual para especificar la configuración de la red. Por ejemplo:
-
Dirección IP: 10.0.252.5
- Máscara de subred: 255.255.255.0
- Dirección de puerta de enlace: 10.0.252.1
- DNS 1: 8.8.8.8
- DNS 2: 8.8.4.4
-
-
-
En el Paso 3, excluya dominios y protocolos específicos de la comprobación. Por ejemplo, podría hacer esto si tiene un dominio que causa falsos positivos.
Puede configurar las exclusiones más adelante, pero debe introducir el nombre de la lista de exclusiones ahora.
- Introduzca el Nombre de lista de exclusiones.
- Para excluir un dominio, haga clic en Exclusiones de dominio. Introduzca el nombre de dominio, por ejemplo
sophos.com
, y haga clic en Añadir. -
Para excluir un protocolo, haga clic en Exclusiones de protocolo. Puede introducir información en uno o en ambos campos:
- En el primer campo, introduzca un protocolo maestro. Por ejemplo,
TCP
oUDP
. - En el segundo campo, introduzca un subprotocolo (sitio web). Por ejemplo,
facebook
.
Si introduce información en ambos campos, los juntamos en una sola cadena con un único separador de puntos.
No recomendamos excluir un protocolo maestro por completo. Hágalo solamente si un protocolo de tráfico elevado que no suele suponer riesgos, como un protocolo de enrutamiento, genera demasiados datos.
La captura de pantalla muestra información de ejemplo.
- En el primer campo, introduzca un protocolo maestro. Por ejemplo,
-
Haga clic en Añadir.
Puede exportar sus exclusiones como un archivo JSON. También puede cargar exclusiones a la lista desde un archivo JSON que haya exportado previamente.
-
Haga clic en Guardar.
En la página NDR, verá la nueva integración en la lista de integraciones configuradas.
A continuación, configure los switches para que el dispositivo NDR pueda supervisar el tráfico de la red.
Configurar su switches
Antes de descargar y desplegar la VM de Sophos NDR, debe configurar el reflejo de puertos, también conocido como Switched Port Analyzer (SPAN). Esto reenvía una copia del tráfico entrante y saliente de los puertos o las VLAN de un switch a otro puerto del switch para analizarlo.
Debe configurar el reflejo de puertos tanto para el tráfico de la red interna virtual como para el de la red externa física.
Cuando despliegue la VM de NDR más adelante, podrá conectarlo a sus puertos SPAN para que NDR pueda supervisar el tráfico de la red.
Las instrucciones para el reflejo de puertos dependen de si configura NDR en ESXi o Hyper-V. Haga clic en la pestaña correspondiente a su entorno virtual a continuación.
Si utiliza ESXi, el reflejo de puertos implica los siguientes pasos:
- Configurar switches virtuales.
- Configurar un switch físico.
Configurar switches virtuales
Para configurar el reflejo de puertos para los switches internos virtuales, haga lo siguiente:
- En ESXi, vaya a Redes. En la ficha Switches virtuales, seleccione el switch que desea utilizar para el reflejo de puertos.
Si aún no tiene un switch para utilizar, haga clic en Añadir switch virtual estándar para añadir uno nuevo y agregarle grupos de puertos.
-
En la ficha Grupos de puertos, haga clic en Añadir grupo de puertos.
-
En la configuración del nuevo grupo de puertos, haga lo siguiente:
- Escriba un nombre.
- Establezca el ID de VLAN en 4095. Esto permite que todos los demás grupos de puertos que ya se encuentran en el switch reenvíen el tráfico al nuevo grupo de puertos.
- Haga clic en Seguridad y establezca Modo promiscuo en Aceptar.
- Haga clic en Añadir.
Ha configurado el reenvío para el tráfico de la red interna virtual. A continuación, haga lo mismo para el tráfico externo físico, como se describe en los pasos siguientes.
-
En ESXi, seleccione o cree otro switch virtual que se encargue del tráfico físico externo enviado a él por un switch físico de su red.
-
Configure el switch de la siguiente manera:
- Vaya a Grupos de puertos y haga clic en Añadir grupo de puertos.
- Escriba un nombre.
- Establezca el ID de VLAN en 4095.
- Haga clic en Seguridad y establezca Modo promiscuo en Aceptar.
A continuación, conecte el switch virtual a la red física para que pueda recibir tráfico externo.
-
En el menú de la izquierda de ESXi, vaya a Redes y seleccione el switch que desea utilizar para el tráfico externo.
-
En los detalles del switch, busque Topología de vSwitch. Puede ver “Sin adaptadores físicos”.
-
Haga clic en Añadir enlace ascendente.
-
En Enlace ascendente 1, seleccione una NIC (tarjeta de interfaz de red) que esté disponible. Esta conecta el switch virtual a un puerto del servidor ESXi.
-
En Topología de red, compruebe que puede ver un adaptador físico conectado.
-
Vaya al switch físico y utilice un cable para conectarse directamente al puerto del servidor ESXi.
A continuación, debe configurar el reflejo de puertos en el switch físico.
Configurar un switch físico
En esta sección se describe cómo configurar el reflejo de puertos en un switch de Sophos. Los pasos de configuración para otros switches son diferentes.
Para configurar el reflejo de puertos, haga lo siguiente:
- En Sophos Central, vaya a Switches.
-
Seleccione el switch que desea configurar y haga clic en Ejecutar comandos.
-
En la consola Ejecutar comandos de switch, introduzca los comandos para reflejar todo el tráfico. En este ejemplo, los comandos reflejarán todo el tráfico entrante y saliente en los puertos 1-4, y lo enviarán al puerto 8.
configure terminal
monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
monitor session 1 source interface gigabitethernet 0/1 both
monitor session 1 source interface gigabitethernet 0/2 both
monitor session 1 source interface gigabitethernet 0/3 both
monitor session 1 source interface gigabitethernet 0/4 both
save
end
show monitor session 1

-
Haga clic en Ejecutar. La consola muestra los comandos a medida que se ejecutan sobre un fondo verde.
-
Cuando se ejecuta el último comando, la consola muestra la configuración completada. Haga clic en Cerrar.
Ha terminado de configurar el reenvío de tráfico a los puertos SPAN. Más tarde, configurará Sophos NDR para supervisar ese tráfico.
Si usa Hyper-V, el reflejo de puertos implica los siguientes pasos:
- Configurar un puerto de reflejo de tráfico con Hyper-V.
- Conectar una interfaz virtual SPAN al switch virtual.
- Activar las extensiones de captura de Microsoft NDIS.
- Configurar el modo de reflejo del switch.
- Validar la creación de reflejo de tráfico.
Para obtener instrucciones, consulte Configuración de la creación de reflejo de tráfico con un conmutador virtual de Hyper-V.
A continuación, debe descargar la imagen de VM de NDR.
Descargar la imagen de VM
Ahora descargue la imagen de NDR necesaria para desplegar e iniciar la nueva VM.
-
Junto a la nueva integración, haga clic en
en la columna Acciones y seleccione la descarga para su plataforma, por ejemplo Descargar archivo OVA para ESXi.
Verá que la descarga comienza.
-
Pase el ratón sobre el icono situado a la izquierda del nombre de la integración. Ahora verá el mensaje "Esperando despliegue".
Ya está preparado para implementar la VM.
Implementar la VM
Haga clic en la ficha de su plataforma a continuación para ver las instrucciones.
Restricción
Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar una VM nueva, debe volver a crear el archivo OVA en Sophos Central.
Aviso
Si va a desplegar el OVA en un host ESXi que se ejecuta en un clúster EVC (Enhanced vMotion Compatibility), el modo EVC debe ser Skylake o posterior.
- Vaya a su host ESXi.
-
Seleccione Máquinas virtuales y haga clic en Crear/Registrar VM.
-
En Seleccionar tipo de creación, seleccione Implementar una máquina virtual desde un archivo OVF u OVA. Haga clic en Siguiente.
-
En Seleccionar archivos OVF y VMDK, escriba un nombre de VM.
Haga clic en la página para seleccionar los archivos. Seleccione el archivo OVA ndr-sensor.ova. Haga clic en Siguiente.
-
En Seleccionar almacenamiento, seleccione Estándar. A continuación, seleccione el almacén de datos donde desea colocar la VM. Haga clic en Siguiente.
-
En Opciones de despliegue, establezca la configuración de la siguiente manera:
- En SPAN1, seleccione el grupo de puertos que recibirá el tráfico SPAN para la aplicación NDR. Configuró esto anteriormente. Consulte Configurar su switches.
-
En SPAN2, seleccione un segundo grupo de puertos que recibirá tráfico SPAN y que necesite supervisión (si tiene uno). Por ejemplo, es posible que tenga un switch físico y un vSwitch que no envíe tráfico al switch físico.
Si utiliza SPAN2, debe aumentar el número de CPU de la VM a 8 como mínimo. Consulte Guía de dimensionamiento del dispositivo Sophos NDR.
-
SYSLOG no es necesario para la integración de Sophos NDR. Seleccione cualquier grupo de puertos como marcador de posición y desconéctelo en la configuración de la VM más adelante.
Si va a configurar la integración de un producto de terceros que también usará este dispositivo Sophos NDR, seleccione el puerto que recibirá los datos de Syslog del producto de terceros.
-
En MGMT, seleccione la interfaz de gestión. Esta interfaz permite al dispositivo enviar datos a Sophos Central.
Configuró esta interfaz previamente en Sophos Central en Configuración del puerto de red conectado a Internet.
Si seleccionó DHCP durante la configuración del dispositivo, asegúrese de que la VM puede obtener una dirección IP a través de DHCP.
-
En Aprovisionamiento de disco, asegúrese de que Ligero está seleccionado.
- Asegúrese de que la opción Encender automáticamente esté seleccionada.
- Haga clic en Siguiente.
-
Omita el paso Configuración adicional.
-
Haga clic en Finalizar. Espere a que la nueva VM aparezca en la lista de VM. Este proceso puede durar varios minutos.
-
Encienda la VM y espere a que finalice el proceso de instalación.
La VM se inicia por primera vez y comprueba que se puede conectar a los vSwitches correctos y a Internet. A continuación, se reinicia. El proceso puede tardar hasta 10 minutos.
Aviso
No interrumpa este proceso.
-
En Sophos Central, vaya a la página Integraciones de NDR y actualícela. El estado de la VM ahora es Conectado.
Si el estado de la VM es Conectado pero no parece funcionar, compruebe el estado del servicio Dragonfly en la consola del dispositivo virtual de Sophos para NDR. Consulte Consola del dispositivo virtual de Sophos.
Si en la consola se muestra que el servicio Dragonfly está en estado Pendiente y su VM está en un clúster EVC (Enhanced vMotion Compatibility), compruebe que el modo EVC sea Skylake o posterior.
El dispositivo virtual Sophos NDR no admite la ejecución en clústeres EVC en modo Sandy Bridge.
El archivo zip que descargó en Sophos Central contiene los archivos necesarios para desplegar su VM: unidades virtuales, seed.iso y un script de Powershell.
Para desplegar la VM, haga lo siguiente:
- Extraiga el archivo zip en una carpeta del disco duro.
- Vaya a la carpeta, haga clic con el botón derecho en el archivo
ndr-sensor.ps1
y seleccione Ejecutar con PowerShell. -
Si ve un mensaje de Advertencia de seguridad, haga clic en Abrir para permitir la ejecución del archivo.
Se le pedirá que responda a una serie de preguntas.
-
Asigne un nombre a la VM.
- El script muestra la carpeta en la que se almacenarán los archivos de VM. Esta es una nueva carpeta en la ubicación de instalación predeterminada para unidades virtuales. Introduzca
C
para permitir que el script la cree. - Introduzca el número de procesadores (CPU) que se van a utilizar para la VM.
- Introduzca la cantidad de memoria que se va a utilizar en GB.
-
El script muestra una lista numerada de todos sus vSwitches actuales.
Seleccione el vSwitch al que desea conectar la interfaz de gestión e introduzca su número. Esta interfaz permite al dispositivo enviar datos a Sophos Data Lake.
Configuró esta interfaz previamente en Sophos Central en Configuración del puerto de red conectado a Internet.
Si seleccionó DHCP durante la configuración, asegúrese de que la VM puede obtener una dirección IP a través de DHCP.
-
No es necesario introducir un vSwitch para la interfaz de Syslog. Esto solo es relevante para las integraciones de productos de terceros.
Seleccione cualquier vSwitch como marcador de posición y desconéctelo en la configuración de la VM más adelante.
-
Seleccione el vSwitch que recibirá el tráfico SPAN para la aplicación NDR. Configuró esto anteriormente. Consulte Configurar su switches.
-
Otra opción es seleccionar un segundo vSwitch que recibirá tráfico SPAN y que necesite supervisión (si tiene uno). Por ejemplo, es posible que tenga un switch físico y un vSwitch que no envíe tráfico al switch físico.
Si utiliza un segundo vSwitch, debe aumentar el número de CPU de la VM a 8 como mínimo. Consulte Guía de dimensionamiento del dispositivo Sophos NDR.
-
El script de PowerShell configura la VM en Hyper-V. Aparecerá el mensaje Instalación completada correctamente.
- Utilice cualquier tecla para salir.
-
Abra el Administrador de Hyper-V para ver la VM añadida a la lista de máquinas virtuales. Si necesita cambiar algún parámetro, puede hacerlo. A continuación, iníciela.
La VM se inicia por primera vez y comprueba que se puede conectar a los vSwitches correctos y a Internet. A continuación, se reinicia. El proceso puede tardar hasta 10 minutos.
-
En Sophos Central, vaya a la página Integraciones del producto que está integrando y actualícela. El estado de la VM ahora es Conectado.