통합을 위해 VM 배포
일부 타사 제품을 Sophos Central과 통합할 경우 해당 제품에서 데이터를 수집하여 Sophos로 전달하는 어플라이언스를 호스팅할 VM이 필요합니다.
현재 Sophos는 VMware ESXi 6.7 Update 3 이상 및 Microsoft Hyper-V 6.0.6001.18016(Windows Server 2016) 이상을 지원합니다.
통합을 위해 VM 이미지를 구성하고 다운로드한 후 아래 설명에 따라 배포하십시오. 그런 다음 타사 제품이 데이터를 전송하도록 구성할 수 있습니다.
지침을 보려면 아래에서 사용 중인 플랫폼에 해당하는 탭을 클릭하십시오.
제한
ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 새 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.
ESXi 호스트에서 다음과 같이 하십시오.
- 가상 머신을 선택합니다.
-
VM 만들기/등록을 클릭합니다.
-
생성 유형 선택에서 OVF 또는 OVA 파일에서 가상 머신 배포를 선택합니다. 다음을 클릭합니다.
-
OVF 및 VMDK 파일 선택에서 다음과 같이 하십시오.
- VM 이름을 입력합니다.
- 페이지를 클릭하여 파일을 선택합니다. 다운로드한 OVA 파일을 선택합니다.
- 다음을 클릭합니다.
-
스토리지 선택에서 표준을 선택합니다. 그런 다음 VM을 배치할 데이터 저장소를 선택합니다. 다음을 클릭합니다.
-
배포 옵션에 다음과 같이 설정을 입력합니다.
- SPAN1 및 SPAN2. 통합에는 이 작업이 필요하지 않습니다. 임의의 포트 그룹을 자리 표시자로 선택하고 나중에 VM 설정에서 연결을 끊습니다.
- SYSLOG에서, 타사 제품으로부터 syslog 데이터를 수신할 포트를 선택합니다.
-
MGMT에서, 어플라이언스의 관리 인터페이스를 선택합니다. 이 인터페이스를 통해 어플라이언스가 Sophos 데이터 레이크로 데이터를 전송할 수 있습니다.
초기에 Sophos Central의 인터넷 연결 네트워크 포트 설정에서 이 인터페이스를 설정하십시오.
설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.
-
디스크 프로비저닝에서 씬이 선택되어 있는지 확인합니다.
- 자동으로 전원 켜기가 선택되어 있는지 확인합니다.
- 다음을 클릭합니다.
-
추가 설정 단계를 건너뜁니다.
-
마침을 클릭합니다. 새 VM이 VM 목록에 나타날 때까지 기다립니다. 몇 분 정도 걸릴 수 있습니다.
-
VM의 전원을 켜고 설치가 완료될 때까지 기다립니다.
VM이 처음으로 부팅되고 올바른 포트 그룹 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 10분 정도 걸릴 수 있습니다.
-
Sophos Central에서 위협 분석 센터 > 통합 > 구성됨으로 이동합니다.
-
통합 어플라이언스 탭을 선택하고 방금 배포한 VM에서 어플라이언스를 찾습니다. 상태 아이콘에 연결됨이 표시됩니다.
Sophos Central에서 다운로드한 Zip 파일에는 가상 드라이브, seed.iso 및 Powershell 스크립트와 같이 VM을 배포하는 데 필요한 파일이 들어 있습니다.
VM을 배포하려면 다음과 같이 하십시오.
- 하드 드라이브의 폴더에 Zip 파일의 압축을 풉니다.
- 해당 폴더로 이동하여
ndr-sensor.ps1
파일을 마우스 오른쪽 단추로 클릭하고 PowerShell로 실행을 선택합니다. -
보안 경고 메시지가 표시되면 열기를 클릭하여 파일 실행을 허용합니다.
일련의 질문에 답하라는 메시지가 표시됩니다.
-
VM에 이름을 지정합니다.
- 스크립트는 VM 파일이 저장될 폴더를 표시합니다. 이것은 가상 드라이브의 기본 설치 위치에 있는 새 폴더입니다. Enter
C
를 누르면 스크립트가 생성됩니다. - VM에 사용할 프로세서(CPU) 수를 입력합니다.
- 사용할 메모리 양을 GB 단위로 입력합니다.
-
이 스크립트는 현재 모든 vSwitch에 대해 번호가 매겨진 목록을 표시합니다.
관리 인터페이스를 연결할 vSwitch를 선택하고 해당 번호를 입력합니다. 이 인터페이스를 통해 어플라이언스가 Sophos 데이터 레이크로 데이터를 전송할 수 있습니다.
초기에 Sophos Central의 인터넷 연결 네트워크 포트 설정에서 이 인터페이스를 설정하십시오.
설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.
-
syslog 인터페이스에 연결할 vSwitch를 입력합니다.
이것은 타사 제품에서 syslog 데이터를 수신할 vSwitch입니다.
-
네트워크 트래픽을 캡처하기 위해 vSwitch를 지정할 필요는 없습니다. 이러한 설정은 Sophos NDR이 있는 경우에만 적용됩니다. vSwitch를 플레이스홀더로 선택하고 나중에 VM 설정에서 연결을 해제합니다.
PowerShell 스크립트는 Hyper-V에서 VM을 설정합니다. 설치 완료 메시지가 표시됩니다.
-
종료하려면 아무 키나 누르십시오.
-
Hyper-V 관리자를 열어 가상 컴퓨터 목록에 추가된 VM을 확인합니다. 설정을 변경해야 하는 경우 변경할 수 있습니다. 그런 다음 전원을 켭니다.
VM이 처음으로 부팅되고 올바른 vSwitch 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 10분 정도 걸릴 수 있습니다.
-
Sophos Central에서 위협 분석 센터 > 통합 > 구성됨으로 이동합니다.
-
통합 어플라이언스 탭을 선택하고 방금 배포한 VM에서 어플라이언스를 찾습니다. 상태 아이콘에 연결됨이 표시됩니다.