콘텐츠로 이동

Sophos NDR

로그 수집기

이 기능을 사용하려면 EAP에 가입해야 합니다.

Sophos NDR(네트워크 감지 및 응답)은 네트워크에서 악성 행위를 감지합니다.

Sophos NDR을 Sophos Central과 통합하여 위협 분석 센터에서 해당 감지를 조사할 수 있도록 만들 수 있습니다.

NDR을 통합하려면 Sophos Central에 연결하여 데이터를 전송하는 NDR 가상 어플라이언스를 설정합니다. 주요 단계는 다음과 같습니다.

  • 요구 사항을 확인하십시오.
  • 통합을 추가합니다.
  • NDR에서 트래픽을 볼 수 있도록 스위치를 구성합니다.
  • NDR 가상 머신(VM) 이미지를 다운로드합니다.
  • 새 VM을 배포합니다.

요구 사항

네트워크 크기에 따라 ESXi 서버가 NDR 요구 사항을 충족하는지 확인합니다.

Sophos는 ESXi 6.7 이상을 지원합니다.

크기 소형 보통 대형
대역폭 1Gbps 5Gbps 10Gbps
CPU 4 8 16
RAM 16GB 32GB 64GB
저장소 160GB 320GB 640GB
포트 구리 SFP+ SFP+
사용자 최대 2,000 최대 10,000 최대 30,000

사용자 수는 추정치입니다. 네트워크 처리량은 가장 정확한 크기 조정 지표입니다.

통합 추가

통합을 추가하려면 다음과 같이 하십시오.

  1. Sophos Central에 로그인하십시오.
  2. 위협 분석 센터 > 통합으로 이동합니다.
  3. Sophos NDR(네트워크 감지 및 응답)을 클릭합니다.

  4. 통합에서 통합 추가를 클릭합니다.

    NDR 통합

  5. 통합 단계1단계에서 별칭 이름별칭 설명을 입력합니다.

    통합 단계

  6. 2단계에서 NDR 어플라이언스를 실행할 VM을 선택합니다.

    새 VM이 필요한 경우 새 VM 생성을 클릭합니다.

    기존 VM을 사용하려면 드롭다운 목록에서 이를 선택하고 8단계로 건너뜁니다.

    통합 2단계

  7. 새 VM을 생성하려면 다음과 같이 하십시오.

    1. VM 이름을 입력합니다.

    2. VM 설명을 입력합니다.

    3. 가상 플랫폼을 선택합니다. (현재는 VMware만 지원함).

    4. 인터넷 연결 네트워크 포트를 지정합니다.

      • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

      • 네트워크 설정을 지정하려면 수동을 선택합니다. 예:

      • IP 주소: 10.0.252.5

        • 서브넷 마스크: 255.255.255.0
        • 게이트웨이 주소: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    통합 2단계 VM 설정

  8. 3단계에서는 다음과 같이 특정 도메인의 트래픽을 제외합니다.

    1. 제외 목록 이름을 입력합니다.

    2. 도메인(예:sophos.com)을 입력하고 추가를 클릭합니다.

    통합 3단계 제외

  9. 저장을 클릭합니다.

이제 통합 페이지에 새 통합이 표시됩니다.

그런 다음 NDR 어플라이언스가 네트워크 트래픽을 모니터링할 수 있도록 스위치를 구성합니다.

스위치 구성

Sophos NDR VM을 다운로드하여 배포하기 전에 SPAN(Switched Port Analyzer)이라고도 하는 포트 미러링을 설정해야 합니다. 이는 스위치의 포트 또는 VLAN에서 들어오고 나가는 트래픽의 복사본을 분석을 위해 다른 스위치 포트로 전달합니다.

가상 내부 및 물리적 외부 네트워크 트래픽 모두에 대해 포트 미러링을 구성해야 합니다.

나중에 NDR VM 어플라이언스를 배포할 때 NDR이 네트워크 트래픽을 모니터링할 수 있도록 SPAN 포트에 연결할 수 있습니다.

포트 미러링을 설정하려면 다음과 같이 하십시오.

  1. ESXi에서 네트워킹으로 이동합니다. 가상 스위치 탭에서 포트 미러링에 사용할 스위치를 선택합니다.

    사용할 스위치가 아직 없는 경우 표준 가상 스위치 추가를 클릭하여 새 스위치를 추가하고 여기에 포트 그룹을 추가합니다.

    가상 스위치

  2. 포트 그룹 탭에서 포트 그룹 추가를 클릭합니다.

    새 포트 그룹

  3. 새 포트 그룹에 대한 설정에서 다음과 같이 하십시오.

    1. 이름을 입력합니다.
    2. VLAN ID를 4095로 설정합니다. 이렇게 하면 이미 스위치에 있는 다른 모든 포트 그룹이 트래픽을 새 포트 그룹으로 전달할 수 있습니다.
    3. 보안을 클릭하고 무차별 모드수락으로 설정합니다.
    4. 추가를 클릭합니다.

    가상 내부 네트워크 트래픽에 대한 전달을 설정했습니다. 다음 단계에 설명된 대로 물리적 외부 트래픽에 대해 동일한 작업을 수행합니다.

  4. ESXi에서 네트워크의 물리적 스위치가 보낸 물리적 외부 트래픽을 처리할 다른 가상 스위치를 선택하거나 생성합니다.

  5. 다음과 같이 스위치를 구성합니다.

    1. 포트 그룹으로 이동하여 포트 그룹 추가를 클릭합니다.
    2. 이름을 입력합니다.
    3. VLAN ID를 4095로 설정합니다.
    4. 보안을 클릭하고 무차별 모드수락으로 설정합니다.

    그런 다음 외부 트래픽을 수신할 수 있도록 가상 스위치를 물리적 네트워크에 연결합니다.

  6. ESXi 왼쪽 메뉴에서 네트워킹으로 이동하여 외부 트래픽에 사용할 스위치를 선택합니다.

    vSwitch 선택됨

  7. 스위치 세부 정보에서 vSwitch 토폴로지를 찾습니다. "물리적 어댑터 없음"이 표시됩니다.

    vSwitch 토폴로지

  8. 업링크 추가를 클릭합니다.

    업링크 버튼 추가

  9. 업링크 1에서 사용 가능한 NIC(네트워크 인터페이스 카드)를 선택합니다. 그러면 가상 스위치가 ESXi 서버의 포트에 연결됩니다.

    업링크 1

  10. 네트워크 토폴로지에서 연결된 물리적 어댑터를 볼 수 있는지 확인합니다.

    물리적 어댑터

  11. 물리적 스위치로 이동하고 케이블을 사용하여 ESXi 서버의 포트에 직접 연결합니다.

    이 작업을 수행하는 방법은 물리적 스위치 유형 및 구성에 따라 다릅니다.

가상 내부 및 물리적 외부 트래픽을 SPAN 포트로 전달하도록 설정했습니다. 나중에 Sophos NDR을 구성하여 모니터링할 수 있습니다.

그런 다음 NDR VM 이미지를 다운로드합니다.

VM 이미지 다운로드

이제 새 VM을 배포하고 부팅하는 데 필요한 NDR 이미지(OVA 파일)를 다운로드합니다.

  1. 새 통합 옆에 있는 작업 열에서 점 3개 아이콘을 클릭하고 OVA 파일 다운로드를 선택합니다.

    다운로드가 시작됩니다.

    다운로드 메뉴

  2. 통합 이름 왼쪽에 있는 아이콘 위로 마우스를 가져갑니다. 이제 "배포 대기 중"이 표시됩니다.

    통합 상태

이제 VM을 배포할 준비가 되었습니다.

VM 배포

  1. ESXi 호스트로 이동합니다.

  2. 가상 머신을 선택하고 VM 생성/등록을 클릭합니다.

    VM 생성/등록 탭

  3. 생성 유형 선택에서 OVF 또는 OVA 파일에서 가상 머신 배포를 선택합니다. 다음을 클릭합니다.

    생성 유형 선택

  4. OVF 및 VMDK 파일 선택에서 VM 이름을 입력합니다.

    페이지를 클릭하여 파일을 선택합니다. OVA 파일 ndr-sensor.ova를 선택합니다. 다음을 클릭합니다.

    OVA 파일 선택

  5. 스토리지 선택에서 표준을 선택합니다. 다음을 클릭합니다.

    스토리지 선택

  6. 배포 옵션에서 네트워크 매핑을 선택합니다. 이 예에서는 VM 네트워크로 설정된 MGMT를 제외하고 모두 SPAN(트래픽을 전달할 포트)으로 설정됩니다. 다음을 클릭합니다.

    배포 옵션

  7. 추가 설정 단계를 건너뜁니다.

  8. 마침을 클릭합니다. 새 VM이 VM 목록에 나타날 때까지 기다립니다. 몇 분 정도 걸릴 수 있습니다.

    완료 준비

  9. VM의 전원을 켜고 설치 프로세스가 완료될 때까지 기다립니다. 이 작업은 최대 10분 정도 걸릴 수 있습니다.

    경고

    이 프로세스를 중단하지 마십시오.

  10. Sophos Central에서 NDR 통합 페이지로 이동하여 새로 고칩니다. 이제 VM의 상태가 연결됨입니다.

    통합 상태