Nutanix 上の Sophos NDR

Nutanix で Sophos NDR を設定して、NDR がネットワーク上の悪意のある動作を検出できるようにすることができます。

セットアップ動画

セットアッププロセスを案内するセットアップ動画をご覧ください。

Nutanix AHV での NDR センサーのセットアップ

要件

アプライアンスを実行する VM には、システムおよびネットワークアクセスの要件があります。詳細は、アプライアンスの要件を参照してください。

必要な CPU マイクロアーキテクチャと CPU フラグの詳細は、CPU の要件を参照してください。

最適なパフォーマンスを得るために VM のサイズを変更するための詳細については、Sophos NDR アプライアンス サイズガイドを参照してください。

NDR アプライアンスイメージの作成

1. Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
2. 「Sophos Network Detection and Response (NDR)」を探してクリックします。

3. 「NDR」ページの「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。

   「統合のセットアップ手順」が表示されます。

4. 「ステップ 1」で、統合の名前と説明を入力します。

   

5. 「ステップ 2」で、「新しいアプライアンスの作成」をクリックします。

6. 新しいアプライアンスを作成するには、次の手順を実行します。

   1. アプライアンス名と説明を入力します。
   2. 「仮想プラットフォーム」で、「Nutanix」を選択します。

   3. インターネットに接続するネットワークポートを指定します。

      • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

        注

        DHCP を選択した場合は、IP アドレスを予約する必要があります。

      • ネットワーク設定を指定するには、「手動」を選択します。例:

        • IP アドレス: 10.0.252.5
        • サブネットマスク: 255.255.255.0
        • ゲートウェイのアドレス: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

7. 「ステップ 3」で、特定のドメインとプロトコルを検索から除外します。これは、誤検知の原因となるドメインがある場合などに行います。

   除外リストは後で設定できますが、除外リスト名はここで入力する必要があります。

   1. 「除外リスト名」に名前を入力します。
   2. ドメインを除外するには、「ドメインの除外」をクリックします。ドメイン名 (例: sophos.com) を入力し、「追加」をクリックします。

   3. プロトコルを除外するには、「プロトコルの除外」をクリックします。

      次のいずれかまたは両方のフィールドに情報を入力します。

      • 最初のフィールドに、トップレベル プロトコルを入力します。例: TCP または UDP。
      • 2番目のフィールドに、サブプロトコル (Webサイト) を入力します。例: Facebook。

      両方のフィールドに情報を入力した場合、それは、1つのドットで区切った 1つの文字列に組み合わされます。

      トップレベル プロトコルを完全に除外することは推奨されません。ルーティングプロトコルなど、通常、危険ではない高トラフィックのプロトコルで、大量のデータが生成される場合のみにこれを実行するようにしてください。

      スクリーンショットでは、サンプル情報を示しています。

   4. 「追加」をクリックします。

   除外対象項目は、JSON ファイルとしてエクスポートできます。以前にエクスポートした JSON ファイルから、除外対象項目をアップロードすることもできます。

   

8. ページ上部に移動し、「保存」をクリックします。

   「アプライアンスの認証情報」を参照します。それらをコピーし、安全な場所に保管します。

   注

   これらの情報が表示されるのは一度だけです。

9. 「OK」をクリックします。

   Nutanix インストーラーが生成されます。終了するまで数分かかることがあります。

「NDR」ページの「Configured NDR integrations」(設定された NDR 統合) の下に、新しい統合が表示されます。表示されない場合は、更新アイコンをクリックしてください。更新アイコン。

VM イメージのダウンロード

次に、新しい VM を導入して起動するために必要な NDR イメージをダウンロードします。

1. 新しい統合の「アクション」カラムの をクリックし、「イメージのダウンロード」を選択します。

   Nutanix 導入ファイルは、ディスク イメージ ファイル、認証キーを含むシード ISO、およびインストールスクリプトを含む zip ファイルです。

2. 内容を使用できるように、ファイルを解凍します。

3. (任意) 統合名の左側にあるアイコンをマウスオーバーします。「導入待機中」と表示されるのがわかります。

   

イメージファイルのアップロード

ディスク イメージ ファイルとシード ISO を Nutanix システムにアップロードするには、次の手順に従います。

1. Web ブラウザから、ポート 9440 で Nutanix Web コンソールにサインインします。

2. 「Home > Settings」に移動します。

   

3. 「Image Configuration」を選択します。

   

ルート イメージ ファイルのアップロード

1. 「Upload Image」をクリックします。
2. 名前を入力します。名前に "root" という単語を含めることをお勧めします。
3. (任意) 「Annotation」を追加できます。
4. 「Image type」には「DISK」を選択します。
5. 「Upload a file」を選択し、「Browse」をクリックして ndr-root.qcow2 ファイルを選択して開きます。

6. 「保存」をクリックします。

   

   ファイルのアップロードが開始されます。終了するまで数分かかることがあります。アップロードが完了するのを待ってから、セットアップを続行してください。

データ イメージ ファイルのアップロード

1. 「Upload Image」をクリックします。
2. 名前を入力します。名前に "data" という単語を含めることをお勧めします。
3. (任意) 「Annotation」を追加できます。
4. 「Image type」には「DISK」を選択します。
5. 「Upload a file」を選択し、「Browse」をクリックして ndr-data.qcow2 ファイルを選択して開きます。

6. 「保存」をクリックします。

   ファイルのアップロードが開始されます。終了するまで数分かかることがあります。アップロードが完了するのを待ってから、セットアップを続行してください。

シード ISO イメージファイルのアップロード

1. 「Upload Image」をクリックします。
2. 名前を入力します。名前に "ISO" という単語を含めることをお勧めします。
3. (任意) 「Annotation」を追加できます。
4. 「Image type」には「ISO」を選択します。
5. 「Upload a file」を選択し、「Browse」をクリックして seed.iso ファイルを選択して開きます。

6. 「保存」をクリックします。

   ファイルのアップロードが開始されます。終了するまで数分かかることがあります。アップロードが完了するのを待ってから、セットアップを続行してください。

アップロードされた 3つのファイルが「Image Configuration」ページに表示されます。

インストールスクリプトのアップロード

ndr-sensor.sh という名前のスクリプトも zip ファイルに含まれています。スクリプトを Nutanix Controller VM (CVM) にアップロードするには、次のように SCP (Secure Copy Protocol) を使用します。

1. Windows の場合、コマンド プロンプトを開きます。macOS または Linux の場合、ターミナルを開きます。
2. 解凍したファイルがあるディレクトリに移動します。

3. 次のコマンドを実行します。scp ndr-sensor.sh admin@<ip-address>:~/。

   

   注

   以前の Nutanix のバージョンを使用している場合は、次のようにコマンドに -O フラグを追加する必要があります。scp -O ndr-sensor.sh admin@<ip-address>:~/

4. 管理者パスワードを入力します。

   スクリプトは、Nutanix CVM の管理ユーザーのホームフォルダに安全にコピーされます。

コマンドでインストールスクリプトを実行

1. 次のコマンドを使用して、Nutanix CVM にサインインして SSH 経由で接続します。ssh admin@<ip-address>。
2. 管理者パスワードを入力します。
3. インストールスクリプトを実行するには、次のコマンドを実行します。bash ndr-sensor.sh。

4. アプライアンス VM の名前を入力します。デフォルト名は ndr-sensor です。

   

5. 使用する CPU コア数とメモリ量を入力します。

   デフォルト値が表示されている項目では、Enter キーを押してデフォルト値を受け入れることができます。

   1. VM に割り当てる CPU コアの数を入力します。デフォルトは「4」です。
   2. 仮想マシンに割り当てるメモリ容量を入力します。デフォルトは「16(GB)」です。

以下のメッセージが表示されます。Created vm <name> UUID <UUID>。

VM ディスク イメージ ファイルの選択

VM ディスクイメージファイルを選択するには、次の手順に従います。

1. アップロードしたシード ISO のイメージ名を入力します。

   

2. アップロードしたルート ディスク イメージ ファイルのイメージ名を入力します。

3. アップロードしたデータ ディスク イメージ ファイルのイメージ名を入力します。

ネットワーク設定

このスクリプトは、VM 用に次のネットワークインターフェースを作成します。

• 管理ネットワーク
• Syslog ネットワーク
• トンネル化されたキャプチャデータの ERSPAN
• ミラー化されたネットワークの SPAN は、この VM サーバー上の他の VM からキャプチャデータを受信します。

スクリプトには、管理、syslog、およびトンネル化された RSPAN (Remote Switched Port Analyzer) キャプチャデータで使用できる使用可能な仮想サブネットが一覧表示されます。

3つのネットワークすべてに 1つのサブネットを使用できます。

サブネットをネットワークに割り当てるには、次の手順に従います。

1. 管理ネットワークに使用するサブネットに対応する番号を入力します。

   

2. Syslog 受信ネットワークに使用する仮想サブネットに対応する番号を入力します。

3. SPAN ネットワークの設定は、設定パラメータを使用して自動的に作成されます。種類は type=kSpanDestinationNic として設定されています。

4. トンネル化された ERSPAN キャプチャネットワークに使用する仮想サブネットに対応する番号を入力します。

   スクリプトが完了すると、 Nutanix SPANセッションをイネーブルにするための acli コマンド例がいくつか提供されます。コマンド例に示されている MAC アドレスは、スクリプトによって作成された SPAN インターフォースの MAC アドレスです。

   表示されているトラフィックミラーリングの例は、次のシナリオ向けです。

   • ホスト上にあるすべての VM にトラフィックミラーリングを有効にする
   • 特定の VM で 1つの NIC のトラフィックミラーリングを有効にする

   

5. 例にあるコマンドをコピーします。これは、後で必要になります。

詳細については、 Traffic Mirroring on AHV Hosts を参照してください。

コマンド例の編集

1. ホスト UUID をリストするには、次のコマンドを使用します。acli host.list。
2. ホストの UUID をコピーします。

3. ホスト UUID プレースホルダを、"ホスト上にあるすべての VM にトラフィックミラーリングを有効にする" のコマンドで自分のホスト UUID に置き換えます。

   identifier は監視されるネットワークインターフェースです。例のコマンドでは、br0-up がこれに該当し、アクティブアクティブまたはアクティブパッシブなどの構成のように、ブリッジで接続された 2つの物理インターフェースです。

4. (任意) 必要に応じて、identifier を別のネットワークインターフェース、eth0 などで置き換えます。

CPU パススルーを有効にする

1. 次のように、cpu-passthrough が有効になっているかどうかを確認します。

   1. VM を一覧表示するには、acli vm.list コマンドを使用します。
   2. 作成した VM の UUID をコピーします。
   3. VM の情報を表示するには、acli vm.get <UUID> を入力します。
   4. 上にスクロールして、cpu-passthrough が True または False として表示されているかどうかを確認します。

2. cpu-passthrough が False である場合は、以下を実行します。

   1. 次のコマンドを実行します。acli vm.update <UUID> cpu-passthrough=true。
   2. VM の情報を表示するには、acli vm.get <UUID> を入力します。
   3. 上にスクロールして、cpu-passthrough が True として表示されているかどうかを確認します。

VM の起動

1. Nutanix の Web コンソールで、「Settings」をクリックし、「VMをクリックします。

2. VM 名を右クリックし、「Power on」をクリックします。

   

3. VM名を右クリックし、「Launch Console」をクリックします。

   最初の起動プロセスの進行状況を監視できるようになります。

   注

   作成には長くて 10分ほどかかります。

4. Sophos Central で、「脅威解析センター」をクリックし、「統合」の下で「設定済み ＞ 統合アプライアンス」に移動します。

   VM の状態が「接続済み」になります。

ホスト上にあるすべての VM にトラフィックミラーリングを有効にする

1. Nutanix ホストのコマンドラインインターフェースを実行しているコマンドプロンプトに戻り、前に編集したコマンドを貼り付けて実行します。

   SPAN セッションが作成されます。

トラフィックフローのテスト

1. PuTTY などの SSH クライアントで SSH セッションを開きます。
2. NDR アプライアンスの IP アドレスに接続し、Sophos Central から以前保存したパスワードを使用して zadmin ユーザーとしてログインします。詳細は、NDR アプライアンスイメージの作成を参照してください。
3. 次のコマンドを実行します。sudo kubectl logs -f deploy/dragonfly。

4. zadmin のパスワードを入力します。

   SPAN インターフェースがパケットを確認することによって監視されているかを確認します。

5. exit と入力します。

ERSPAN の設定

ERSPAN 環境外のネットワークトラフィックを監視するには、ERSPAN を使用する必要があります。

ERSPAN を設定するには、「カプセル化されたリモート SPAN のトラフィック」を MDR および NDR 用の Sophos Appliance Manager: SPAN で参照してください。

変更が適用されると、VM が再起動され、アプライアンスマネージャからサインアウトされます。 進行状況はコンソールから監視できます。

トラフィックフローのテスト

1. PuTTY などの SSH クライアントで SSH セッションを開きます。
2. NDR アプライアンスの IP アドレスに接続し、Sophos Central から以前保存したパスワードを使用して zadmin ユーザーとしてログインします。詳細は、NDR アプライアンスイメージの作成を参照してください。
3. 次のコマンドを実行します。sudo kubectl logs -f deploy/dragonfly。
4. SPAN インターフェースがパケットを確認することによって監視されているかを確認します。

アプライアンスの詳細の表示

1. Sophos Central で、「統合アプライアンス」に戻り、アプライアンス名の左側の矢印を展開します。以下の例では、アプライアンスが接続され、正常な状態であることが示されています。

   

2. アプライアンス情報の右側にある 3つのドットのアイコンをクリックし、「Appliance Manager を開く」をクリックします。

3. 「開く」をクリックします。
4. 警告ページで、自己署名証明書の警告を受け入れます。

5. zadmin のユーザー名とパスワードでサインインします。

   以下の例では、各インターフェースでトラフィックを受信していることがわかります。