Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=NDR-aws

Sophos NDR en AWS

Debe tener el paquete de licencia de integración "Sophos Network Detection and Response" para utilizar esta función.

Sophos Network Detection and Response (NDR) detecta comportamientos maliciosos en su red.

Puede integrar Sophos NDR con Sophos Central para que sus detecciones estén disponibles para su investigación en el Centro de análisis de amenazas.

La integración utiliza un dispositivo que recibe datos y los reenvía a Sophos Data Lake.

Estos son los pasos clave:

  • Comprobar los requisitos.
  • Crear un dispositivo de Sophos. Se basa en una plantilla de CloudFormation.
  • Suscribirse a Sophos NDR en AWS.
  • Crear una pila. Aquí se especifican la VPC y las subredes para NDR.
  • Crear una sesión de reflejo de tráfico. Esto envía tráfico a NDR para su análisis.
  • Editar grupos de seguridad para permitir el tráfico syslog y dar acceso a Sophos Appliance Manager.
  • Establecer una contraseña para Sophos Appliance Manager.

Appliance Manager le permite monitorizar y gestionar el dispositivo Sophos NDR.

Requisitos

Para configurar Sophos NDR en AWS, necesita las siguientes cuentas e infraestructura:

  • Una cuenta de AWS.
  • Una cuenta de Sophos Central.
  • Instancias de EC2.
  • VPC, subredes y zonas de disponibilidad. Puede usar las que ya tiene.
  • Al menos una dirección IP elástica asignada para que la utilice la interfaz de administración de NDR.

Admitimos estos tipos de instancias EC2:

  • c5n.2xlarge
  • c6i.4xlarge
  • c7i.16xlarge (virtualización Nitro)

Debe crear y guardar su clave privada SSH para la cuenta de AWS.

Debe tener una VPC creada en cualquiera de las regiones de su elección. Aquí tiene un ejemplo de un mapa de recursos de VPC:

Ejemplo de mapa de recursos de VPC.

Crear un dispositivo

Para crear y configurar un dispositivo de Sophos, cree y descargue una plantilla de CloudFormation.

Crear la plantilla de CloudFormation

Para crear una plantilla de CloudFormation, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
  2. Busque y haga clic en Sophos Network Detection and Response (NDR).

  3. En la página NDR, en Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Aparece Pasos de configuración de la integración.

  4. En el paso 1, introduzca un nombre y una descripción para la integración.

    Pasos de integración.

  5. En Paso 2, cree una plantilla de CloudFormation (CFT). En Plataforma virtual, seleccione AWS.

    Seleccione la plataforma virtual.

  6. Haga clic en Guardar.

Se crea un archivo JSON aws_ndr_cf_latest.json de CloudFormation (CF) .

Descargar la plantilla de CloudFormation

Para descargar la plantilla de CloudFormation, haga lo siguiente:

  1. En Sophos Central, vaya a Integraciones > Configurado.
  2. Seleccione la pestaña Dispositivos de integración y busque el dispositivo Sophos NDR.

  3. En la columna de la derecha, haga clic en los tres puntos y seleccione Descargar imagen.

    La lista de integraciones configuradas mostrando las opciones de descarga.

El archivo aws_ndr_cf_latest.json se descarga en la carpeta Descargas.

Suscribirse a Sophos NDR

Debe suscribirse a NDR en la consola de AWS Marketplace. Para ello, haga lo siguiente:

  1. Vaya a la página AWS Marketplace y busque Sophos NDR.

  2. En la página Presentación del producto, haga clic en Continuar para suscribirse.

    Página "Presentación del producto" de NDR.

  3. En la página Suscribirse a este software, acepte los términos y condiciones y haga clic en Continuar con la configuración.

    Página "Suscribirse a este software".

  4. En la página Configurar este software, compruebe la versión y la región y haga clic en Continuar con el inicio.

    Página "Configurar este software".

  5. En la página Iniciar este software, haga clic en Instrucciones de uso para ver cómo acceder a Sophos Appliance Manager.

    Página "Iniciar este software".

  6. Haga clic en Iniciar.

AWS abre la página Crear pila.

Crear pila

Ahora utilizará la plantilla de CloudFormation descargada para crear un sensor NDR para su cuenta de AWS. Para hacer esto, cree una pila.

  1. En la página Crear pila, haga lo siguiente:

    1. Deje la opción La plantilla está lista seleccionada.
    2. En Especificar plantilla, seleccione Subir un archivo de plantilla.
    3. Haga clic en Elegir archivo y seleccione aws_ndr_cf_latest.json.
    4. Haga clic en Siguiente.

    Página "Crear pila" que muestra la elección del archivo de plantilla.

  2. En la página Especificar detalles de pila, escriba un nombre y los siguientes detalles de Configuración de red:

    1. Una VPC existente que quiera utilizar para NDR.
    2. Una subred para la interfaz de administración de NDR. Esta es una subred pública.
    3. Una subred para la interfaz syslog de NDR. Esto permite a NDR conectar una interfaz que se puede utilizar más adelante si añade otro recopilador de registros de terceros.
    4. Una subred para la interfaz SPAN de NDR. La interfaz SPAN realiza una copia reflejada del tráfico de red y la envía a NDR para su análisis.
    5. El grupo de seguridad que da a los administradores acceso SSH a la instancia de NDR.

    Los detalles de configuración de red completados se parecen a este ejemplo:

    Página "Especificar detalles de la pila".

  3. En Configuración de instancia de EC2, introduzca la clave SSH necesaria para acceder a la instancia de EC2 de NDR y haga clic en Siguiente.

    Nota

    Creó y guardó este par de claves SSH anteriormente.

    Campo "Configuración de instancia de EC2".

  4. En la página Configurar opciones de la pila, acepte la configuración predeterminada de AWS o realice cambios si así lo desea. Haga clic en Enviar.

La plantilla de CloudFormation selecciona automáticamente las regiones y AMI correctas en función de la región de AWS de la cuenta que utilizó para cargar la plantilla.

Espere a que se cree el sensor de NDR. Esto puede tardar cinco o seis minutos.

Crear una sesión de reflejo de tráfico

Cree sesiones de reflejo de destino para reflejar el tráfico de red y reenviarlo a NDR. Para ello, haga lo siguiente:

  1. En AWS, vaya a VPC > Sesiones de reflejo de tráfico > Crear sesión de reflejo de tráfico.

  2. En Opciones de sesión, haga lo siguiente:

    1. Especifique un Nombre de etiqueta y una Descripción.
    2. En Origen de reflejo, introduzca la interfaz de red desde la que desea reflejar el tráfico de red.
    3. En Destino de reflejo, introduzca la interfaz SPAN a la que reflejar el tráfico de red. Seleccione el Objetivo SPAN de NDR que la plantilla de CloudFormation ha creado.

    Configuración de la sesión de reflejo de tráfico.

  3. En Opciones adicionales, haga lo siguiente:

    1. Introduzca un número de puerto. El número determina el orden en que se evaluarán las sesiones de la misma fuente.
    2. Establezca VNI (interfaz de red virtual) en 1.
    3. En Filtro, seleccione el Filtro de reflejo de tráfico de NDR que la plantilla de CloudFormation ya ha creado.
    4. Haga clic en Crear.

    Opciones adicionales de reflejo de tráfico.

Editar los grupos de seguridad

Debe editar los grupos de seguridad de AWS. Esto le permite realizar estos cambios:

  • Permitir que el tráfico syslog vaya al dispositivo.
  • Dar acceso a Appliance Manager.

Para editar grupos de seguridad, haga lo siguiente:

  1. En AWS, vaya a los detalles de seguridad del dispositivo Sophos NDR.

    Para ello, introduzca el nombre del dispositivo en la barra de búsqueda de la consola de AWS. Cuando lo encuentre, seleccione la pestaña EC2 y haga clic en la instancia Dispositivo de Sophos.

  2. En la página Resumen de instancias, desplácese hacia abajo hasta las páginas con pestañas y seleccione la pestaña Seguridad.

  3. Busque el grupo InternalSyslogSG e introduzca la fuente desde la que desea permitir el tráfico para la recopilación de registros.

  4. Busque el grupo de seguridad InternalMgmtSG. La plantilla de CloudFormation lo ha creado. Añada a sus administradores al grupo y proporcióneles acceso al puerto 8443 en Regla de entrada.

    Reglas de entrada de grupos de seguridad.

Antes de poder usar Appliance Manager, también necesita establecer una contraseña.

Establecer contraseña para Appliance Manager

El nombre de usuario de Appliance Manager es zadmin. Para establecer la contraseña, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Configurado.

  2. Vaya a la pestaña Dispositivos de integración.

  3. Busque el dispositivo. En la columna de la derecha, haga clic en los tres puntos y seleccione Abrir Appliance Manager.

    Menú Acciones del dispositivo.

  4. En el cuadro de diálogo de confirmación, haga clic en Restablecer.

    Cuadro de diálogo de confirmación.

Cualquier otro administrador que desee usar Appliance Manager también debe establecer una contraseña.