コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=DeployVMCollector

アプライアンスの導入

サードパーティ製品を Sophos Central と統合する場合は、それらの製品からデータを収集してソフォスに転送するアプライアンスが必要になる場合があります。アプライアンスは VM 上でホストされています。

現在、ソフォスは VMware ESXi 6.7 以降および Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 以降、Amazon Web Services (AWS) をサポートしています。

アプライアンスに送信された Syslog データは安全ではありません。アプライアンスがクラウドでホストされている場合は、パブリックインターネット経由でデータを送信しないでください。

このページは ESXi および Hyper-Vア プライアンス向けの内容です。統合アプライアンスのイメージを設定してダウンロードしていることを前提としています。以下の説明に従って導入します。

AWS 上のアプライアンスをサードパーティ統合に使用する場合は、AWS での統合の追加を参照してください。

該当するプラットフォームのタブをクリックして、手順を確認してください。

制限事項

ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。新しい VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。

ESXi ホスト上で、次の手順を実行します。

  1. 仮想マシン」を選択します。

  2. VM の作成/登録」をクリックします。

    「仮想マシンの作成/登録」タブ。

  3. 作成タイプの選択」で、「OVF ファイルまたは OVA ファイルから仮想マシンをデプロイ」を選択します。「次へ」をクリックします。

    作成タイプの選択。

  4. OVF ファイルと VMDK ファイルの選択」で、以下の手順に従います。

    1. VM 名を入力します。
    2. ページをクリックしてファイルを選択します。ダウンロードした OVA ファイルを選択します。
    3. 次へ」をクリックします。

    OVA ファイルの選択。

  5. ストレージの選択」で、「標準」ストレージを選択します。次に、VM を配置するデータストアを選択します。 「次へ」をクリックします。

    ストレージの選択。

  6. デプロイのオプション」で、次のように設定を入力します。

    1. SPAN1」および「SPAN2」。これは、統合には必要ありません。任意のポートグループをプレースホルダとして選択し、後で VM 設定で切断します。
    2. SYSLOG」で、サードパーティ製品から syslog データを受信するポートを選択します。

    3. MGMT」で、アプライアンスの管理インターフェースを選択します。このインターフェースを使用すると、アプライアンスは Sophos Data Lake にデータを送信できます。

      このインターフェースは、Sophos Central の「インターネットに接続するネットワークポートの設定」で先ほど設定しました。

      設定時に DHCP を選択した場合は、VM が DHCP 経由で IP アドレスを取得できることを確認します。

    4. ディスクプロビジョニング」で、「シン」が選択されていることを確認します。

    5. 自動的にパワーオン」が選択されていることを確認します。
    6. 次へ」をクリックします。

    デプロイのオプション。

  7. 追加設定」の手順をスキップします。

  8. 完了」をクリックします。VM リストに新しい VM が表示されるまで待ちます。これには数分かかることがあります。

    設定の確認。

  9. VM の電源を入れ、インストールが完了するまで待ちます。

    VM は、はじめて起動し、適切なポートグループとインターネットに接続できるかどうかを確認します。その後、再起動します。終了するまで最長 10分かかることがあります。

  10. Sophos Central で、「脅威解析センター > 統合 > 設定済み」に移動します。

  11. 統合アプライアンス タブを選択し、導入した VM 上のアプライアンスを見つけます。状態のアイコンに「接続済み」と表示されます。

    アプライアンスのステータス。

アプライアンスにデータを送信するようにサードパーティ製品を設定します。その製品の統合手順に戻り、その方法を確認します。

Sophos Central でダウンロードした ZIP ファイルには、仮想マシンの導入に必要なファイル (仮想ドライブ、seed.iso、PowerShellスクリプト) が含まれています。

VM を導入するには、次の手順を実行します。

  1. ZIP ファイルをハードドライブのフォルダに解凍します。
  2. そのフォルダに移動し、ndr-sensor.ps1 ファイルを右クリックして、「 PowerShell で実行」を選択します。

  3. セキュリティ警告」メッセージが表示された場合は、「開く」をクリックしてファイルの実行を許可します。

    一連の質問に答えるように求められます。

  4. VM に名前を付けます。

  5. スクリプトは、VM ファイルが保存されるフォルダを表示します。これは、仮想ドライブのデフォルトのインストール場所にある新しいフォルダです。スクリプトがそれを作成できるよう、「C」と入力します。
  6. VM に使用するプロセッサ (CPU) の数を入力します。
  7. 使用するメモリ容量を GB単位で入力します。

  8. スクリプトは、現在使用している vSwitch すべての番号付きリストを表示します。

    管理インターフェースを接続する vSwitch を選択し、その番号を入力します。このインターフェースを使用すると、アプライアンスは Sophos Data Lake にデータを送信できます。

    このインターフェースは、Sophos Central の「インターネットに接続するネットワークポートの設定」で先ほど設定しました。

    設定時に DHCP を選択した場合は、VM が DHCP 経由で IP アドレスを取得できることを確認します。

    vSwitch を選択します。

  9. Syslog インターフェースに接続する vSwitch を入力します。

    これは、サードパーティ製品から Syslog データを受信する vSwitch です。

  10. ネットワークトラフィックをキャプチャするために、vSwitch を指定する必要はありません。このような設定は、Sophos NDR を使用している場合のみに該当します。任意の vSwitch をプレースホルダとして選択し、後で VM 設定で切断します。

    PowerShell スクリプトは、Hyper-V で VM を設定します。「インストールが正常に完了しました」というメッセージが表示されます。

  11. 任意のキーを使用して終了します。

  12. Hyper-V マネージャーを開き、この VM が仮想マシンのリストに追加されたことを確認します。必要な場合は、設定を変更できます。その後、電源を入れます。

    VM は、はじめて起動し、適切な vSwitch とインターネットに接続できるかどうかを確認します。その後、再起動します。終了するまで最長 10分かかることがあります。

  13. Sophos Central で、「脅威解析センター > 統合 > 設定済み」に移動します。

  14. 統合アプライアンス タブを選択し、導入した VM 上のアプライアンスを見つけます。ステータスアイコンに「接続済み」と表示されます。

    アプライアンスのステータス。

アプライアンスにデータを送信するようにサードパーティ製品を設定します。その製品の統合手順に戻り、その方法を確認します。

イメージファイルのアップロード

ディスク イメージ ファイルとシード ISO を Nutanix システムにアップロードするには、次の手順に従います。

  1. Web ブラウザから、ポート 9440 で Nutanix Web コンソールにサインインします。

  2. Home > Settings」に移動します。

    Nutanix Web コンソール。

  3. Image Configuration」を選択します。

    Nutanix の設定。

ルート イメージ ファイルのアップロード

  1. Upload Image」をクリックします。
  2. 名前を入力します。名前に "root" という単語を含めることをお勧めします。
  3. (任意)「Annotation」を追加します。

  4. Upload a file」を選択し、「Browse」をクリックしてファイルを選択します。

    ファイルを選択すると、「Image type」が自動的に選択されます。

    ファイルをアップロードします。

  5. 保存」をクリックします。

    ファイルのアップロードが開始されます。アップロードが完了するのを待ってから、セットアップを続行してください。

シード ISO イメージファイルのアップロード

  1. Upload Image」をクリックします。
  2. 名前を入力します。名前に "ISO" という単語を含めることをお勧めします。
  3. (任意)「Annotation」を追加します。

  4. Upload a file」を選択し、「Browse」をクリックしてファイルを選択します。

    ファイルを選択すると、「Image type」が自動的に選択されます。

  5. 保存」をクリックします。

    ファイルのアップロードが開始されます。アップロードが完了するのを待ってから、セットアップを続行してください。

アップロードされた 3つのファイルが「Image Configuration」ページに表示されます。

アップロードされたイメージ。

インストールスクリプトのアップロード

ndr-sensor.sh という名前のスクリプトも zip ファイルに含まれています。Nutanix AHV VM コントローラにアップロードするには、次のようにセキュアファイル転送プロトコル (SCP) を使用します。

  1. Windows の場合はコマンドプロンプトを開きます。macOS または Linux の場合はターミナルを開きます。
  2. 解凍したファイルがあるディレクトリに移動します。

  3. 次のコマンドを実行します。scp ndr-sensor.sh admin@<ip-address>:~/

    コマンドプロンプト。

  4. 管理者パスワードを入力します。

コマンドでインストールスクリプトを実行

  1. Nutanix AHV VM を開きます。
  2. 次のコマンドを使用してサインインし、SSH 経由で接続します。ssh admin@<ip-address>
  3. インストールスクリプトを実行するには、次のコマンドを実行します。bash ndr-sensor.sh

  4. アプライアンス VM の名前を入力します。デフォルト名は ndr-sensor です。

    アプライアンス名を入力します。

    デフォルト値が表示されている項目では、Enter キーを押してデフォルト値を受け入れることができます。

  5. VM に割り当てる CPU コアの数を入力します。デフォルトは「4」です。

  6. 仮想マシンに割り当てるメモリ容量を入力します。デフォルトは「16(GB)」です。

以下のメッセージが表示されます。Created vm <name> UUID <UUID>

VM ディスク イメージ ファイルの選択

すべてのディスク選択手順で、 'L' を入力してシステムに保存されているイメージを一覧表示できます。

VM ディスクイメージファイルを選択するには、次の手順に従います。

  1. アップロードしたシード ISO のイメージ名を入力します。

    シード ISO 名を入力してください。

  2. アップロードしたルート ディスク イメージ ファイルのイメージ名を入力します。

  3. アップロードしたデータ ディスク イメージ ファイルのイメージ名を入力します。

ネットワーク設定

このスクリプトは、VM 用に次のネットワークインターフェースを作成します。

  • 管理ネットワーク
  • Syslog ネットワーク
  • トンネル化されたキャプチャデータの ERSPAN
  • ミラー化されたネットワークの SPAN は、この VM サーバー上の他の VM からキャプチャデータを受信します。

スクリプトには、管理、syslog、およびトンネル化された RSPAN (Remote Switched Port Analyzer) キャプチャデータで使用できる使用可能な仮想サブネットが一覧表示されます。

3つのネットワークすべてに 1つのサブネットを使用できます。

サブネットをネットワークに割り当てるには、次の手順に従います。

  1. 管理ネットワークに使用するサブネットに対応する番号を入力します。

    ネットワーク番号を入力します。

  2. Syslog 受信ネットワークに使用する仮想サブネットに対応する番号を入力します。

  3. SPAN ネットワークの設定は、設定パラメータを使用して自動的に作成されます。type=kSpanDestinationNic に設定されています。
  4. トンネル化された RSPAN キャプチャネットワークに使用する仮想サブネットに対応する番号を入力します。

スクリプトが完了すると、 Nutanix SPANセッションをイネーブルにするための acli コマンド例がいくつか提供されます。コマンド例に示されている MAC アドレスは、スクリプトによって作成された SPAN インターフォースの MAC アドレスです。

コマンド例は、次の種類の SPAN セッションに使用できます。

  • VM ホスト上のすべての VM からの SPAN データ。
  • VM ホスト上の単一 VM からの SPAN データ。

詳細については、 Traffic Mirroring on AHV Hosts を参照してください。

VM の起動

スクリプトが完了したら、Nutanix Web コンソールに戻り、[VM]ページに移動して、VMの電源をオンにします。

Nutanix Web コンソールに VM が表示されます。

仮想マシンの電源をオンにすると、最初の起動プロセスが実行されます。起動プロセスには最大 10分かかる場合があります。

Sophos Central で、統合する製品の「統合」ページに移動し、更新します。VM の状態が「接続済み」になります。