部署 VM 進行整合
當您將某些協力廠商產品與 Sophos Central 整合時,需要一個 VM 來託管設備,該設備從這些產品收集資料並將資料轉寄到 Sophos。
目前 Sophos 支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。
設定並下載整合的 VM 映像之後,請按如下所述進行部署。然後,您可以設定協力廠商產品以向其傳送資料。
按一下下面平台的索引標籤以查看說明。
限制
如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署新的 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。
在 ESXi 主機上,執行以下動作:
- 選取虛擬機。
-
按一下建立/註冊 VM。
-
在選取建立類型中,選取從 OVF 或 OVA 檔案部署虛擬機。按一下下一步。
-
在選取 OVF 和 VMDK 檔案中,執行以下動作:
- 輸入 VM 名稱。
- 按一下頁面以選取檔案。選取您已下載的 OVA 檔案。
- 按一下下一步。
-
在選取儲存體中,選取標準儲存體。然後選取要放置 VM 的資料存放區。 按一下下一步。
-
在部署選項中,輸入如下設定。
- SPAN1 和 SPAN2。整合不需要這些內容。選取任何連接埠群組作為預留位置,稍後在 VM 設定中斷開連接。
- 在 SYSLOG 中,選取將接收協力廠商產品 syslog 資料的連接埠。
-
在 MGMT 中,選取設備的管理介面。設備透過此介面向 Sophos Data Lake 傳送資料。
您之前在 Sophos Central 中的面向網際網路的網路連接埠設定中設定了此介面。
如果您在設定期間選取了 DHCP,請確保 VM 可以透過 DHCP 取得 IP 位址。
-
在磁碟佈建中,確保選中了精簡。
- 確保選中了自動開機。
- 按一下下一步。
-
跳過其他設定步驟。
-
按一下 完成。等待新虛擬機出現在虛擬機清單中。安裝程序可能會耗費數分鐘時間。
-
啟動 VM 並等待安裝完成。
VM 第一次啟動,並檢查它是否可以連接到正確的連接埠群組和網際網路。然後重新啟動。此可能需要最多 10 分鐘。
-
在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定。
-
選取整合設備索引標籤,然後在剛部署的 VM 上尋找設備。狀態圖示顯示已連線。
在 Sophos Central 中下載的 Zip 檔案包含部署 VM 所需的檔案:虛擬磁碟機、seed.iso 和 PowerShell 指令碼。
要部署 VM,請執行以下動作:
- 將 Zip 檔案解壓縮至硬碟上的資料夾。
- 移至資料夾,右鍵按一下
ndr-sensor.ps1
檔案,然後選取使用 PowerShell 執行。 -
如果看到安全警告訊息,請按一下打開以允許檔案執行。
系統會提示您回答一系列問題。
-
為 VM 命名。
- 指令碼會顯示將儲存 VM 檔案的資料夾。這是虛擬磁碟機預設安裝位置中的新資料夾。輸入
C
以允許指令碼建立它。 - 輸入要用於 VM 的處理器 (CPU) 數量。
- 輸入要使用的記憶體量(以 GB 為單位)。
-
指令碼顯示目前所有 vSwitch 的編號清單。
選取要將管理介面連接到的 vSwitch,然後輸入其編號。設備透過此介面向 Sophos Data Lake 傳送資料。
您之前在 Sophos Central 中的面向網際網路的網路連接埠設定中設定了此介面。
如果您在設定期間選取了 DHCP,請確保 VM 可以透過 DHCP 取得 IP 位址。
-
輸入要連接到 syslog 介面的 vSwitch。
這是將接收協力廠商產品 syslog 資料的 vSwitch。
-
您不需要指定 vSwitch 來擷取網路流量。這些設定只有在您具有 Sophos NDR 時才相關。選取任何 vSwitch 作為預留位置,稍後在 VM 設定中斷開連接。
PowerShell 指令碼會在 Hyper-V 中設定 VM。您將看到安裝成功完成訊息。
-
按任意鍵退出。
-
打開 Hyper-V 管理員,查看新增到虛擬機清單中的 VM。您可以視需要變更任何設定。然後開啟電源。
VM 第一次啟動,並檢查它是否可以連接到正確的 vSwitch 和網際網路。然後重新啟動。此可能需要最多 10 分鐘。
-
在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定。
-
選取整合設備索引標籤,然後在剛部署的 VM 上尋找設備。狀態圖示顯示已連線。