部署設備
當您將某些協力廠商產品與 Sophos Central 整合時,需要一個 VM 從這些產品收集資料並將資料轉寄到 Sophos。該設備是託管在虛擬機器上。
目前 Sophos 支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本, 和 Amazon Web Services (AWS)。
注意
傳送到設備的 syslog 資料並不安全。如果您的設備託管在雲端,請勿透過公共網際網路傳送資料。
此頁面僅適用於 ESXi 與 Hyper-V。此處假設您已設定並下載整合設備的映像檔。現在,請按以下描述進行部署。
注意
若您希望在 AWS 上使用設備進行第三方整合,請參閱 在AWS上添加集成。
按一下下面平台的索引標籤以查看說明。
限制
如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署新的 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。
在 ESXi 主機上,執行以下動作:
- 選取虛擬機。
-
按一下建立/註冊 VM。
-
在選取建立類型中,選取從 OVF 或 OVA 檔案部署虛擬機。按一下下一步。
-
在選取 OVF 和 VMDK 檔案中,執行以下動作:
- 輸入 VM 名稱。
- 按一下頁面以選取檔案。選取您已下載的 OVA 檔案。
- 按一下下一步。
-
在選取儲存體中,選取標準儲存體。然後選取要放置 VM 的資料存放區。 按一下下一步。
-
在部署選項中,輸入如下設定。
- SPAN1 和 SPAN2。整合不需要這些內容。選取任何連接埠群組作為預留位置,稍後在 VM 設定中斷開連接。
- 在 SYSLOG 中,選取將接收協力廠商產品 syslog 資料的連接埠。
-
在 MGMT 中,選取設備的管理介面。設備透過此介面向 Sophos Data Lake 傳送資料。
您之前在 Sophos Central 中的面向網際網路的網路連接埠設定中設定了此介面。
如果您在設定期間選取了 DHCP,請確保 VM 可以透過 DHCP 取得 IP 位址。
-
在磁碟佈建中,確保選中了精簡。
- 確保選中了自動開機。
- 按一下下一步。
-
跳過其他設定步驟。
-
按一下 完成。等待新虛擬機出現在虛擬機清單中。安裝程序可能會耗費數分鐘時間。
-
啟動 VM 並等待安裝完成。
VM 第一次啟動,並檢查它是否可以連接到正確的連接埠群組和網際網路。然後重新啟動。此可能需要最多 10 分鐘。
-
在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定。
-
選取整合設備索引標籤,然後在剛部署的 VM 上尋找設備。狀態圖示顯示已連線。
然後您可設定協力廠商產品,以將資料傳送到設備。返回該產品的整合指示以了解如何操作。
在 Sophos Central 中下載的 Zip 檔案包含部署 VM 所需的檔案:虛擬磁碟機、seed.iso 和 PowerShell 指令碼。
要部署 VM,請執行以下動作:
- 將 Zip 檔案解壓縮至硬碟上的資料夾。
- 移至資料夾,右鍵按一下
ndr-sensor.ps1檔案,然後選取使用 PowerShell 執行。 -
如果看到安全警告訊息,請按一下打開以允許檔案執行。
系統會提示您回答一系列問題。
-
為 VM 命名。
- 指令碼會顯示將儲存 VM 檔案的資料夾。這是虛擬磁碟機預設安裝位置中的新資料夾。輸入
C以允許指令碼建立它。 - 輸入要用於 VM 的處理器 (CPU) 數量。
- 輸入要使用的記憶體量(以 GB 為單位)。
-
指令碼顯示目前所有 vSwitch 的編號清單。
選取要將管理介面連接到的 vSwitch,然後輸入其編號。設備透過此介面向 Sophos Data Lake 傳送資料。
您之前在 Sophos Central 中的面向網際網路的網路連接埠設定中設定了此介面。
如果您在設定期間選取了 DHCP,請確保 VM 可以透過 DHCP 取得 IP 位址。
-
輸入要連接到 syslog 介面的 vSwitch。
這是將接收協力廠商產品 syslog 資料的 vSwitch。
-
您不需要指定 vSwitch 來擷取網路流量。這些設定只有在您具有 Sophos NDR 時才相關。選取任何 vSwitch 作為預留位置,稍後在 VM 設定中斷開連接。
PowerShell 指令碼會在 Hyper-V 中設定 VM。您將看到安裝成功完成訊息。
-
按任意鍵退出。
-
打開 Hyper-V 管理員,查看新增到虛擬機清單中的 VM。您可以視需要變更任何設定。然後開啟電源。
VM 第一次啟動,並檢查它是否可以連接到正確的 vSwitch 和網際網路。然後重新啟動。此可能需要最多 10 分鐘。
-
在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定。
-
選取整合設備索引標籤,然後在剛部署的 VM 上尋找設備。狀態圖示顯示已連線。
然後您可設定協力廠商產品,以將資料傳送到設備。返回該產品的整合指示以了解如何操作。
上傳影像檔案
將磁碟映像檔和種子 ISO 上傳至 Nutanix 系統,請依照以下步驟進行:
- 從網頁瀏覽器中,在 9440埠 登入 Nutanix 網頁控制台。
-
移至組織 > 設定。
-
選擇映像配置。
上傳根映像檔案
- 點擊上傳圖片
- 輸入名稱。我們建議您在名稱中包含「根」這個詞。
- (Optional) 在注釋中加入。
-
選擇上傳檔案,點擊瀏覽,然後選擇您的檔案。
當您選擇您的檔案時,圖像類型會自動被選擇。
-
按一下儲存。
檔案上傳已開始。在繼續設定之前,請等待上傳完成。
上傳種子ISO映像檔
- 點擊上傳圖片。
- 輸入名稱。我們建議您在名稱中包含「ISO」一詞。
- (Optional) Add an Annotation.
-
選擇上傳檔案,點擊瀏覽,並選擇您的檔案。
選擇您的檔案時,影像類型會自動選取。
-
按一下儲存。
檔案上傳開始。在繼續設定之前,請等待上傳完成。
已上傳的三個檔案將出現在\
上傳安裝指令稿
壓縮檔案中還包含名為ndr-sensor.sh的腳本。要上傳至 Nutanix AHV VM 控制器,請使用安全檔案傳輸協定(SCP),如下:
- 對於 Windows,打開命令提示字元,或在 MacOS 或 Linux 上,打開終端機。
- 切換至解壓縮檔案所在的目錄。
-
執行以下指令:
scp ndr-sensor.sh admin@<ip-address>:~/。
-
輸入管理員密碼。
執行安裝指令檔:
- 開啟 Nutanix AHV VM。
- 使用以下命令進行登錄並通過SSH進行連接:
ssh admin@<ip-address>。 - 執行安裝指令稿,請執行以下命令:
bash ndr-sensor.sh。 -
請輸入虛擬機器的名稱。預設名稱為
ndr-sensor。
注意
對於列出預設值的項目,您可以按 Enter 鍵接受預設值。
-
輸入要分配給VM的CPU核心數。預設值爲
4。 - 輸入要配置的記憶體大小 (以 VM 為單位)。預設值爲
16(GB)。
您將看到下列 詳細資料:Created vm <name> UUID <UUID>。
選擇 VM 磁碟映像檔案
注意
對於所有磁碟選擇步驟,您可以輸入 'L' 以列出系統中儲存的影像。
選擇 VM 磁碟映像檔案,請按照以下步驟進行:
-
請輸入您上傳的種子 ISO 的影像檔案名稱。
-
請輸入您上傳的根磁碟映像檔案的影像名稱。
- 請輸入您上傳的資料磁碟映像檔案的圖片名稱。
網路設定
指令為VM建立以下網路介面:
- 管理網路
- Syslog網路
- 用於隧道式擷取數據的ERSPAN
- 在此VM伺服器上的鏡像網路設定SPAN,以從其他VM收到擷取資料
腳本將列出可供管理、系統日誌和隧道式遠端交換機端口分析器(RSPAN)捕獲數據使用的可用虛擬子網。
單一子網路可以用於所有三個網路。
為網路指定子網路,請執行以下操作:
-
輸入對應於管理網路使用的子網路的號碼。
-
請輸入對應於用於系統日誌接收網路的虛擬子網路的號碼。
- SPAN 網路的設定是使用配置參數自動建立的。它被設置為
type=kSpanDestinationNic。 - 輸入對應於隧道 RSPAN 捕獲網路中要使用的虛擬子網的數字。
當腳本完成時,它會提供一些示例acli命令,以啟用 Nutanix SPAN 會話。範例命令中列出的MAC位址是由指令碼建立的SPAN介面的MAC位址。
範例命令可用於以下類型的SPAN會話:
- VM主機上所有VM的SPAN資料。
- 單一 VM 主機上的 VM 主機之間的SPAN資料。
如需更多資訊,請參閱在 AHV 主機上的流量鏡像。
啟動虛擬機
完成腳本後,返回 Nutanix Web 控制台,進入 VM 頁面,然後將 VM 開機。
注意
啟動虛擬機後,系統將進行第一次開機程序,可能需時最多十分鐘。
在 Sophos Central 中,轉到要整合的產品的整合頁面,然後重新整理該頁面。現在,虛擬機的狀態為已連線。