Untersuchungskonsole
Mit der NDR-Untersuchungskonsole können Sie auf alle Daten auf Ihren NDR-Sensoren zugreifen, nicht nur auf die Daten, die in unseren Data Lake übertragen werden. Sie können diese Daten für die Bedrohungssuche verwenden.
Sie richten die Konsole über Sophos Central ein, führen sie aber in Ihrem lokalen Netzwerk aus. Die Konsole ruft Daten von einer NDR-Integrations-Appliance ab und ermöglicht es Ihnen, diese zu überwachen oder abzufragen.
Auf dieser Seite erfahren Sie, wie Sie eine Untersuchungskonsole erstellen und verwalten.
Untersuchungskonsole erstellen
Wir gehen davon aus, dass Sie bereits eine NDR-Integration eingerichtet haben, die Daten von NDR sammelt. Wenn nicht, siehe Sophos NDR auf ESXi oder Hyper-V.
Die wichtigsten Schritte zum Erstellen einer Konsole lauten wie folgt:
- Konfigurieren Sie eine Konsole. Dadurch wird ein Image erstellt, das Sie in Ihrem virtuellen Netzwerk bereitstellen.
- Laden Sie das Image herunter und stellen Sie es bereit.
- Weisen Sie der Konsole eine NDR-Integrations-Appliance zu. Dadurch werden NDR-Daten an die Konsole gesendet.
Konsole konfigurieren
- Gehen Sie zu NDR > Untersuchungskonsole.
-
Klicken Sie auf Konsole erstellen.
-
Konfigurieren Sie die Konsole wie folgt:
- Geben Sie einen Namen und eine Beschreibung ein.
- Wählen Sie die virtuelle Plattform aus. Die Untersuchungskonsole wird nur auf VMware ESXi oder Microsoft Hyper-V unterstützt.
-
Geben Sie die Einstellungen für den internetseitigen Netzwerk-Port an. Dadurch wird die Verwaltungsschnittstelle eingerichtet.
-
Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.
Hinweis
Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.
-
Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen.
-
-
Klicken Sie auf Speichern.
-
Ein Popup-Fenster mit den Appliance-Anmeldeinformationen wird angezeigt. Sie benötigen die Anmeldeinformationen, um auf die Appliance zuzugreifen, die die Konsole hostet.
Der Benutzername lautet
zadmin
und das Kennwort wird in Nachricht angezeigt. Bewahren Sie das Kennwort sicher auf. Es wird nur einmal angezeigt.Klicken Sie auf Ok.
-
Auf der Seite Untersuchungskonsole wird die neue Konsole in der Liste angezeigt. Wenn Sie den Mauszeiger über den Namen bewegen, wird „Warten auf Bereitstellung“ angezeigt.
Warten Sie, bis ein Image erstellt wurde. Dies kann fünf Minuten dauern.
-
Klicken Sie in der rechten Spalte auf die drei Punkte und wählen Sie Bild herunterladen aus.
Image bereitstellen
Stellen Sie das Image in Ihrer Umgebung bereit.
Die Bereitstellung hängt davon ab, ob Sie VMware ESXi oder Hyper-V verwenden. Klicken Sie unten auf den entsprechenden Tab, um Anweisungen zu erhalten.
Einschränkung
In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine neue VM bereitstellen müssen, müssen Sie die OVA-Datei in Sophos Central neu erstellen.
Gehen Sie auf Ihrem ESXi-Host wie folgt vor:
- Wählen Sie Virtual Machines.
-
Klicken Sie auf Create/Register VM.
-
Wählen Sie unter Select creation type die Option Deploy a virtual machine from an OVF or OVA file aus. Klicken Sie auf Weiter.
-
Verfahren Sie unter Select OVF and VMDK files wie folgt:
- Geben Sie den VM-Namen ein.
- Klicken Sie auf den Bildschirm mit der Meldung „Zum Auswählen der Dateien klicken ...“ und wählen Sie die heruntergeladene OVA-Datei aus.
- Klicken Sie auf Weiter.
-
Wählen Sie unter Select storage die Option Standard storage aus. Wählen Sie dann den Datenspeicher aus, in dem Sie Ihre VM ablegen möchten. Klicken Sie auf Weiter.
-
Geben Sie unter Deployment options die folgenden Einstellungen ein:
-
Wählen Sie in MGMT die Verwaltungsschnittstelle für die Appliance aus.
Sie haben diese Schnittstelle zuvor in Sophos Central in Einstellungen für den internetseitigen Netzwerk-Port eingerichtet.
Wenn Sie DHCP während der Einrichtung ausgewählt haben, stellen Sie sicher, dass die VM eine IP-Adresse über DHCP erhalten kann.
-
Stellen Sie unter Disk Provisioning sicher, dass Thin ausgewählt ist.
- Stellen Sie sicher, dass Power on automatically ausgewählt ist.
- Klicken Sie auf Weiter.
-
-
Überspringen Sie den Schritt Additional Settings.
-
Klicken Sie auf Fertigstellen. Warten Sie, bis die neue VM in der Liste der VMs angezeigt wird. Dies kann einige Minuten dauern.
-
Starten Sie die VM und warten Sie, bis die Installation abgeschlossen ist.
Die VM startet zum ersten Mal und prüft, ob sie eine Verbindung zu den richtigen Portgruppen und zum Internet herstellen kann. Ein Neustart wird durchgeführt. Dies kann bis zu zehn Minuten dauern.
Die Zip-Datei, die Sie in Sophos Central heruntergeladen haben, enthält die Dateien, die Sie für die Bereitstellung Ihrer VM benötigen: virtuelle Laufwerke, eine seed.iso
-Datei und ein PowerShell-Skript.
Um die VM bereitzustellen, gehen Sie wie folgt vor:
- Extrahieren Sie die Zip-Datei in einen Ordner auf Ihrer Festplatte.
- Wechseln Sie zu dem Ordner, klicken Sie mit der rechten Maustaste auf die
ndr-sensor.ps1
-Datei und wählen Sie Mit PowerShell ausführen aus. -
Wenn eine Sicherheitswarnung angezeigt wird, klicken Sie auf Öffnen, damit die Datei ausgeführt werden kann.
Sie werden aufgefordert, eine Reihe von Fragen zu beantworten.
-
Geben Sie der VM einen Namen.
- Das Skript zeigt den Ordner an, in dem die VM-Dateien gespeichert werden. Dies ist ein neuer Ordner in Ihrem Standardinstallationsverzeichnis für virtuelle Laufwerke. Geben Sie
C
ein, um dem Skript zu erlauben, den Ordner zu erstellen. - Geben Sie die Anzahl der Prozessoren (CPUs) ein, die für die VM verwendet werden sollen.
- Geben Sie den zu verwendenden Speicher in Gigabyte (GB) ein.
-
Das Skript zeigt eine nummerierte Liste aller aktuellen vSwitches an.
Wählen Sie den vSwitch aus, dem Sie die Verwaltungsschnittstelle zuordnen möchten, und geben Sie seine Nummer ein. Sie haben diese Schnittstelle zuvor in Sophos Central in Einstellungen für den internetseitigen Netzwerk-Port eingerichtet.
Wenn Sie DHCP während der Einrichtung ausgewählt haben, stellen Sie sicher, dass die VM eine IP-Adresse über DHCP erhalten kann.
-
Sie müssen keine vSwitches für die Erfassung des Netzwerkverkehrs angeben. Diese Einstellungen sind nur relevant, wenn Sie über Sophos NDR verfügen. Wählen Sie einen beliebigen vSwitch als Platzhalter aus und trennen Sie sie später in den VM-Einstellungen.
Das PowerShell-Skript richtet die VM in Hyper-V ein. Die Meldung Installation erfolgreich abgeschlossen wird angezeigt.
-
Drücken Sie zum Beenden eine beliebige Taste.
-
Öffnen Sie den Hyper-V Manager, um die VM anzuzeigen, die der Liste der virtuellen Maschinen hinzugefügt wurde. Sie können hier Ihre Einstellungen bei Bedarf bearbeiten. Starten Sie dann die VM.
Die VM startet zum ersten Mal und prüft, ob sie eine Verbindung zu den richtigen vSwitches und zum Internet herstellen kann. Ein Neustart wird durchgeführt. Dies kann bis zu zehn Minuten dauern.
-
Gehen Sie in Sophos Central zu NDR > Untersuchungskonsole. Das Statussymbol zeigt Verbunden an.
NDR-Appliance zuweisen
Jetzt weisen Sie eine oder mehrere NDR-Appliances zu.
Sie können eine NDR-Appliance erst zuweisen, wenn sich Ihre Konsole bei Sophos Central registriert hat und den Status „grün“ anzeigt.
-
Wählen Sie auf der Seite Untersuchungskonsole die neue Konsole in der Liste aus. Klicken Sie in der rechten Spalte auf die drei Punkte und wählen Sie Appliance zuweisen aus.
-
Wählen Sie die Appliance aus, die Sie zuweisen möchten, und klicken Sie auf Speichern.
Untersuchungskonsole öffnen
Verfahren Sie zum Öffnen einer Untersuchungskonsole wie folgt:
- Gehen Sie zu NDR > Untersuchungskonsole.
- Suchen Sie Ihre Konsole in der Liste.
-
Klicken Sie in der rechten Spalte auf die drei Punkte und wählen Sie NDR-Konsole öffnen aus.
Sie sehen eine Warnung, dass Sie Sophos Central verlassen.
Wenn Sie Ihr Kennwort vergessen haben, klicken Sie auf „Zurücksetzen“, um es zurückzusetzen.
-
Geben Sie Ihren Benutzernamen und Ihr Kennwort ein und klicken Sie auf Konsole öffnen.
Untersuchungskonsolen anzeigen
Auf der Seite Untersuchungskonsole werden Ihre Konsolen mit Konfigurations- und Leistungsdetails aufgeführt.
- Konsolenname
- Appliances: Die Anzahl der NDR-Integrations-Appliances, die der Konsole zugewiesen sind.
- Typ: Die virtuelle Plattform, auf der sich die Konsole befindet, zum Beispiel VMware.
- Version: Version der Plattform.
- CPU: CPU-Auslastung.
- RAM: Speichernutzung.
- IP-Adresse
Zugewiesene Appliances anzeigen
Klicken Sie auf der Seite Untersuchungskonsole in der Liste der Konsolen auf den Pfeil neben einem Konsolennamen, um Details zu den ihr zugewiesenen NDR-Integrations-Appliances anzuzeigen.
- Appliance-Name
- Integrationen: Anzahl der Integrationen, die die Appliance verwenden.
- RAM: Speichernutzung.
- Datenträger
- Typ: Virtuelle Plattform, auf der die Appliance gehostet wird.
- Version: Version der virtuellen Plattform.
- Management-IP: Verwaltungsschnittstelle.
- Syslog-IP: Syslog-Schnittstelle.
Neues Kennwort erzeugen
Sie können das Kennwort zurücksetzen, das Sie für den Zugriff auf die Untersuchungskonsole verwenden.
- Wählen Sie auf der Seite Untersuchungskonsole die Konsole aus.
-
Klicken Sie in der rechten Spalte auf die drei Punkte und wählen Sie Neues Kennwort generieren aus.
Kopieren Sie das Kennwort und speichern Sie es sicher. Es wird nur einmal angezeigt. Sie können es später nicht wieder abrufen.
-
Klicken Sie auf Zurücksetzen.
Protokolle sammeln
Gehen Sie wie folgt vor, um Protokolle der Konsolenaktivität zu erfassen:
- Wählen Sie auf der Seite Untersuchungskonsole die Konsole aus.
- Klicken Sie in der rechten Spalte auf die Schaltfläche mit den drei Punkten und wählen Sie Protokolle sammeln aus.
Remote-Unterstützung
Der Sophos Support kann Ihnen bei der Fehlerbehebung bei Sophos Appliances helfen, die eine Untersuchungskonsole hosten.
In einigen Fällen muss sich der Sophos Support per Fernzugriff mit der Appliance verbinden. Nachfolgend ist beschrieben, wie Sie dem Support für maximal 24 Stunden Zugriff gewähren können.
Die Appliance muss online sein.
-
Gehen Sie zur Seite Untersuchungskonsole.
-
Suchen Sie die Appliance. Klicken Sie in der rechten Spalte auf die Schaltfläche mit den drei Punkten und wählen Sie Remote-Unterstützung aus.
-
Verfahren Sie im Dialogfeld Remote-Unterstützung wie folgt:
- Wählen Sie Aktivieren aus.
- Aktivieren Sie das Kontrollkästchen für die Bestätigung der Datenschutzerklärung der Sophos Group.
- Klicken Sie auf Speichern.
Sophos Central fordert von der Appliance eine Zugriffs-ID an. Wenn diese vorliegt, wird sie im Dialog angezeigt.
-
Kopieren Sie die Zugriffs-ID und senden Sie diese an den Sophos Support. Der Support benötigt die ID, um auf Ihre Appliance zuzugreifen.
Die Freischaltung der Remote-Unterstützung endet automatisch nach 24 Stunden. Wenn Sie die Remote-Unterstützung manuell beenden möchten, öffnen Sie erneut den Dialog Remote-Unterstützung und schalten Sie Aktivieren aus.