Dell ハードウェア上の Sophos NDR
NDR は、Dell がテストおよび認定した Dell のシステムにインストールできます。
NDR アプライアンスイメージの作成
Sophos NDR は、アプライアンスを使用してデータを収集し、解析のために Sophos Data Lake に転送します。
ハードウェアをセットアップする前に、NDR アプライアンスのインストールイメージを作成してダウンロードする必要があります。この ISO イメージは、後で NDR アプライアンスとして展開します。
- Sophos Central で、「脅威解析センター > 統合」に移動します。
- 「Sophos Network Detection and Response (NDR)」を探してクリックします。
-
「NDR」ページの「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。
「統合のセットアップ手順」が表示されます。
-
「ステップ 1 」で、統合の名前と説明を入力します。
- 「ステップ 2」で、「新しいアプライアンスの作成」を選択します。
-
新しいアプライアンスを作成するには、次の手順を実行します。
- アプライアンス名と説明を入力します。一意の名前を入力する必要があります。
- 「仮想プラットフォーム」で、「ハードウェア」を選択します。
-
「ステップ 3」で、特定のドメインとプロトコルを検索から除外します。これは、誤検知の原因となるドメインがある場合などに行います。
除外リストは後で設定できますが、除外リスト名はここで入力する必要があります。
- 「除外リスト名」に名前を入力します。
- ドメインを除外するには、「ドメインの除外」をクリックします。ドメイン名 (例:
sophos.com
) を入力し、「追加」をクリックします。 -
プロトコルを除外するには、「プロトコルの除外」をクリックします。次のいずれかまたは両方のフィールドに情報を入力します。
- 最初のフィールドに、マスタープロトコルを入力します。例:
TCP
またはUDP
。 - 2番目のフィールドに、サブプロトコル (Webサイト) を入力します。例:
facebook
。
マスタープロトコルを完全に除外することは推奨されません。ルーティングプロトコルなど、通常、危険ではない高トラフィックのプロトコルで、大量のデータが生成される場合のみにこれを実行するようにしてください。
注
除外対象項目は、JSON ファイルとしてエクスポートできます。以前にエクスポートした JSON ファイルから、除外対象項目をリストにアップロードすることもできます。
- 最初のフィールドに、マスタープロトコルを入力します。例:
-
「追加」をクリックします。
-
「保存」をクリックします。
ポップアップに Sophos Appliance Manager 認証情報が表示されます。それをメモします。アプライアンスにアクセスしてトラブルシューティングを行うには、Appliance Manager が必要です。
これで、新しい統合が「Configured NDR integrations」(設定された NDR 統合) リストに表示されます。
-
アプライアンスイメージをダウンロードするには、「アクション」列の 3つのドットをクリックし、 「イメージのダウンロード」を選択します。イメージがダウンロード可能になるまで待機する必要がある場合があります。
システムのインストールと接続
- Dell ハードウェアを開封します。
- ラック マウント レールを取り付けます。Dell PowerEdge のマニュアルを参照してください。
-
次のケーブルと周辺機器を Dell デバイスに接続します。
- 電源装置への電源ケーブル。
- VGA モニターと USB キーボード
- 管理ネットワークケーブルを 1 というラベルのポートに接続します。
- Syslog ネットワークケーブルを 2 というラベルのポートに接続します。
- iDRAC ネットワークケーブルを iDRAC というラベルのポートに接続します。
- その他のネットワークキャプチャケーブルを SPAN/ミラーポートに接続します。
iDRAC の設定
iDRAC は、リモートキーボードおよびビデオ機能、およびリモート仮想メディアのサポートを提供します。このシステムは、起動可能な ISO イメージを介した NDR ソフトウェアのインストールを容易にするために使用されます。
システムがラックに取り付けられ、上記のすべての接続が完了したら、システムの電源を入れます。
起動時にキーボードの F2 を押して、「System Setup」に入ります。
iDRAC 設定メニューの表示
- 「System Setup」画面で、矢印キーを使用して「iDRAC settings」を選択し、Enter を押します。
- 矢印キーを使用して「Network」を選択して、Enter を押します。
iDRAC ネットワークの設定
- 矢印キーを使用して IP 設定へスクロールし、iDRAC システムへの接続に使用するアドレスを設定します。
- Tab キーを押して右下の「Back」ボタンをハイライト表示し、Enter を押します。
iDRAC ユーザー名とパスワードの設定
デフォルトのパスワードを変更することを強くお勧めします。これには、次の手順を実行します。
- 矢印キーを使用して iDRAC 設定から「User Configuration」を選択し、Enter を押します。
- デフォルトのユーザー名は
root
です 。新しいユーザー名を入力して変更できます。 - パスワードを変更するには、矢印キーを使用して「Change password」フィールドまでスクロールダウンし 、Enter を押します。
- 新しいパスワードを入力し、確認のためにもう一度入力します。
- Tab キーを押して「Back」ボタンをハイライト表示し、Enter を押します。
- Tab キーを押して「Finish」ボタンをハイライト表示し、Enter を押します。
- 矢印キーを使用して「Yes」ボタンを選択し、変更を保存します。
- 「System Setup」画面で、Tab キーを押して「Finish」ボタンをハイライト表示し、Enter を押します。
- 矢印キーを使用して「Yes」ボタンを選択し、終了することを確認します。
接続の確認
この時点で、iDRAC システムに Web ブラウザからアクセスできるようになっています。これをテストするには、ブラウザを開いて http://<configured IP address>
に進みます。iDRAC ページが接続されない場合は、iDRAC ネットワーク接続を確認して、再試行してください。
注
以降の設定はすべてリモートで行われます。キーボードと VGA モニターを取り外すことができます。
iDRAC への接続
- iDRAC インターフェスにまだ接続していない場合は、Web ブラウザを開いて
http://<configured IP address>
に進みます 。 -
前のセクションで設定したユーザー名とパスワードを入力します。
正常にログインすると、iDRAC ダッシュボードが表示されます。
RAID データパーティションの作成 (R660 2ソケットシステムのみ)
Dell R660 2ソケットシステムでは、RAID データパーティションを作成するだけで済みます。このシステムには、前面ディスクエンクロージャに 3台のディスクドライブが含まれます。
RAID 5 セットアップでディスクが事前設定されていない場合は、データドライブ用に RAID を設定する必要があります。
- iDRAC ダッシュボードで、「Storage」をクリックします。次に、「Summary」が選択されていることを確認
- 「Summary of Disks」セクションで、仮想ディスクの数を確認します。2つの仮想ディスクがリストされている場合は、このセクションの残りの手順をスキップして、「インストール ISO の接続」セクションに進みます。
-
「Virtual Disks」をクリックします。
現在の仮想ディスクは OS ディスク用です。データパーティション用の RAID 5アレイを作成する必要があります。
-
「Create Virtual Disk」をクリックし、「Basic Configuration」を選択します。
- 「Controller」ドロップダウンリストから「PERC」コントローラを選択します。
- 「Layout」ドロップダウンリストから「RAID 5」を選択します
- 「Add to Pending」をクリックします
-
「Apply Now」をクリックします
ボリュームの作成がジョブキューに追加されます。
-
「Job Queue」をクリックして、操作ステータスを確認します。
何も表示されない場合は、「Tasks」タブの「Pending Operations」が表示されていることを確認してください。保留中の操作リストが空になるまで、「Refresh」を定期的にクリックできます。
-
iDRAC ダッシュボードで、「Storage」をクリックし、「Summary of Disks」に 2つの仮想ディスクがあることを確認します。
インストール ISO の接続
仮想コンソールを開く
- まだダッシュボードを表示していない場合は、Web ページの iDRAC メニューの左上にある「Dashboard」をクリックします。
- ページの右下隅で、「Virtual Console」をクリックします。新しいブラウザウィンドウが開きます。
注
ポップアップブロッカーがある場合、仮想コンソールは開きません。開くには、この Web サイトのポップアップを許可する必要があります。
仮想メディアの接続
- 仮想コンソールの上部にあるメニューバーで「Virtual Media」をクリックします。
- 「Connect Virtual Media」をクリックします。
- Sophos Central から NDR アプライアンスのインストールイメージをダウンロードしていない場合は、ダウンロードします。
- 「Map CD/DVD」で、「Browse」ボタンをクリックします。
-
ファイル選択ダイアログを使用して、Central からダウンロードしたアプライアンス ISO イメージを選択します。
ISO イメージを選択すると、「Map Device」ボタンがアクティブになります。
-
「Map Device」をクリックします
- 「Close」をクリックします。
インストーラ ISO からの起動
- 仮想コンソールの上部にあるメニューバーで「Boot」をクリックします。
- 「Virtual CD/DVD/ISO」をクリックします。
- 「Yes」をクリックして、選択を確認します。
- 仮想コンソールの上部にあるメニューバーの「Power」をクリックします。
- 「Reset System (warm boot)」をクリックします。
- 「Yes」をクリックして、選択を確認します。
システムが ISO インストーラから起動するように設定されている場合、再起動プロセスが開始されます。
インストールの開始
「Install Sophos NDR - Dell Models」がハイライト表示されていることを確認し、Enter を押します。
ISO イメージからの起動には時間がかかる場合があるため、インストーラが完全に読み込まれるまで待つ必要があります。「Network Connections」画面が表示されたら、インストーラの読み込みが完了しています。
管理 IP アドレスの設定
管理ネットワークと Sophos Central への接続に使用するインタフェースを特定します。
このインターフェースに IP アドレス、デフォルトゲートウェイ、および DNS アドレスを設定する必要があります。DHCP 設定は可能ですが、アプライアンスの IP アドレスは今後の再起動時に変更される可能性があるため、推奨されません。
- 矢印キーを使用して管理インターフェースを選択し、Enter を押します。
- 「Edit IPv4」を選択し、Enter を押します。
- 「IPv4 method」で Enter を押し、「Manual」を選択します。
- インターフェースのサブネットを CIDR 表記で入力します。
- 「Address」フィールドにインターフェースの IP アドレスを入力します。
- 「Gateway」フィールドにデフォルトゲートウェイを入力します。
- 「Name servers」フィールドに DNS サーバーを入力します 。
- 任意: 「Search domains」フィールドにドメインを入力します。
- 矢印キーを使用して「Save」を選択し、Enter を押します。
syslog IP アドレスの設定
- 矢印キーを使用して syslog に使用するインターフェースを選択し、Enter を押します。
- 矢印キーを使用して「Edit IPv4」を選択して、Enter を押します。
- IPv4 方式に対して「Manual」を選択し、Enter を押します。
- インターフェースのサブネットを CIDR 表記で入力します。
- 「Address」フィールドにインターフェースの IP アドレスを入力します。
- 矢印キーを使用して「Save」を選択し、Enter を押します。
注
ゲートウェイまたは DNS アドレスを入力しないでください。管理インターフェースに対してのみ設定する必要があります。
キャプチャインターフェースの設定
キャプチャインターフェース (SPAN 設定) は、インストール後に Appliance Manager の Web UI を使用して設定します。SPAN 設定を参照してください。
ここでは、次のように残りのすべてのネットワークインターフェースを無効にします。
- 矢印キーを使用してインターフェースを選択し、Enter を押します。
- 「Edit IPv4」を選択し、Enter を押します。
- 矢印キーを使用して「Disabled」を選択し、Enter を押します。
- 矢印キーを使用して「Save」を選択し、Enter を押します。
ネットワーク設定の確認
管理 IP アドレスと syslog IP アドレスの設定を確認します。その他のインターフェースはすべて無効です。
すべてのネットワーク設定が正しい場合は、矢印キーを使用して 「Done」を選択し、Enter を押します。
インストールプロセス
システムはディスクにパーティションを作成し、インストールプロセスを開始する準備ができました。
矢印キーを使用して「Continue」を選択し、Enter を押します。これにより、ディスクパーティションとインストールが確認されます。
ソフトウェアのインストールには時間がかかります。画面上部に「Install complete!」のメッセージが表示されたら、インストールが完了します。
インストール後の再起動
-
インストールが完了したら、矢印キーを使用して 「Reboot Now」を選択し、Enter を押します。
終了プロセスが一時停止し、インストールメディアを取り出す必要があります。
-
仮想コンソールの上部メニューバーにある「Virtual Media」ボタンを選択します。
- 「Disconnect Virtual Media」をクリックし、 「Yes」をクリックし、「Close」をクリックします。
- Enter を押して、終了および再起動プロセスを続行します。