Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=NDR-dell

Sophos NDR auf Dell-Hardware

Sie können NDR auf Dell-Systemen installieren, die wir getestet und zertifiziert haben.

Hinweis

Sophos NDR wird nur unterstützt, wenn es auf zertifizierter Hardware bereitgestellt wird. Bitte beachten Sie immer die Spezifikationen zu zertifizierter Hardware für NDR. Um die Hardwarespezifikationen herunterzuladen, klicken Sie auf Zertifizierte Hardwarespezifikationen für NDR.

NDR-Appliance-Image erstellen

Sophos NDR verwendet eine Appliance, die Daten sammelt und sie an den Sophos Data Lake zur Analyse weiterleitet.

Bevor Sie Ihre Hardware einrichten, müssen Sie ein Installations-Image für die NDR-Appliance erstellen und herunterladen. Sie stellen dieses ISO-Image später als NDR-Appliance bereit.

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen.
  2. Suchen Sie die Option Sophos Network Detection & Response (NDR) und klicken Sie darauf.

  3. Klicken Sie auf der Seite NDR unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Integrations-Einrichtungsschritte wird angezeigt.

  4. Geben Sie in Schritt 1 einen Namen und eine Beschreibung für die Integration ein.

  5. Klicken Sie in Schritt 2 die Option Appliance erstellen.

  6. Um die neue Appliance zu erstellen, gehen Sie folgendermaßen vor:

    1. Geben Sie einen Namen und eine Beschreibung für die Appliance ein. Sie müssen einen eindeutigen Namen angeben.
    2. Wählen Sie unter Virtualisierungsplattform Hardware aus.

  7. In Schritt 3 schließen Sie bestimmte Domänen und Protokolle von der Überprüfung aus. Dies bietet sich beispielsweise an, wenn eine Ihrer Domänen False Positives verursacht.

    Sie können die Ausschlüsse später einrichten, müssen jedoch jetzt einen Namen für die Ausschlussliste eingeben.

    1. Geben Sie einen Namen unter Name der Ausschlussliste ein.
    2. Um eine Domäne auszuschließen, klicken Sie auf Domänenausschlüsse. Geben Sie den Domänennamen ein, zum Beispiel sophos.com, und klicken Sie auf Hinzufügen.

    3. Um ein Protokoll auszuschließen, klicken Sie auf Protokollausschlüsse. Sie können Informationen in eines oder beide Felder eingeben:

      • Geben Sie im ersten Feld ein Master-Protokoll ein. Zum Beispiel TCP oder UDP.
      • Geben Sie im zweiten Feld ein Unterprotokoll (Website) ein. Zum Beispiel: facebook.

      Wir empfehlen nicht, ein Master-Protokoll vollständig auszuschließen. Tun Sie dies nur, wenn ein Protokoll mit hohem Datenverkehr, das normalerweise nicht riskant ist, wie ein Routing-Protokoll, zu viele Daten generiert.

      Hinweis

      Sie können Ihre Ausschlüsse als JSON-Datei exportieren. Sie können auch Ausschlüsse aus einer zuvor exportierten JSON-Datei in die Liste hochladen.

    4. Klicken Sie auf Hinzufügen.

    5. Klicken Sie auf Speichern.

      In einem Popup-Fenster werden die Anmeldeinformationen für den Sophos Appliance Manager angezeigt. Notieren Sie sie sich. Sie benötigen Appliance Manager für den Zugriff auf die Appliance und Fehlerbehebung.

      Ihre neue Integration wird nun in der Liste Konfiguration von NDR-Integrationen angezeigt.

  8. Um das Appliance-Image herunterzuladen, klicken Sie auf die drei Punkte in der Spalte Aktion und wählen Sie Image herunterladen aus. Möglicherweise müssen Sie warten, bis das Bild zum Download verfügbar ist.

Installieren und System verbinden

  1. Packen Sie die Dell-Hardware aus.
  2. Installieren Sie die Rackmontage-Schienen. Siehe Dell PowerEdge-Handbücher.

  3. Schließen Sie die folgenden Kabel und Peripheriegeräte an das Dell-Gerät an:

    • Stromkabel zu den Netzteilen.
    • VGA-Monitor und USB-Tastatur.
    • Schließen Sie das Verwaltungsnetzwerkkabel an den mit 1 gekennzeichneten Port an.
    • Schließen Sie das Syslog-Netzwerkkabel an den mit 2 gekennzeichneten Port an.
    • iDRAC-Netzwerkkabel zum Anschluss mit der Bezeichnung iDRAC.
    • Alle Netzwerk-Capture-Kabel zu den SPAN/Mirror-Ports.

iDRAC-Einstellungen konfigurieren

IDRAC bietet Remote-Tastatur- und Videofunktionen sowie Remote-Unterstützung für virtuelle Datenträger. Dieses System wird verwendet, um die Installation der NDR-Software über ein startfähiges ISO-Image zu erleichtern.

Wenn das System im Rack installiert ist und alle oben aufgeführten Verbindungen hergestellt wurden, schalten Sie das System ein.

Drücken Sie beim Start auf der Tastatur F2, um das System-Setup aufzurufen.

iDRAC-Einstellungsmenü aufrufen

  1. Verwenden Sie auf dem Bildschirm „System Setup“ die Pfeiltasten, um iDRAC settings auszuwählen und drücken Sie dann die Eingabetaste.
  2. Wählen Sie mit den Pfeiltasten Network aus und drücken Sie die Leertaste.

iDRAC-Netzwerkeinstellungen konfigurieren

  1. Verwenden Sie die Pfeiltasten, um durch die IP-Einstellungen zu blättern und die Adresse zu konfigurieren, mit der Sie eine Verbindung zum iDRAC-System herstellen möchten.
  2. Drücken Sie die Tabulatortaste, um die Schaltfläche Back unten rechts zu markieren und drücken Sie die Eingabetaste.

iDRAC-Benutzernamen und das Kennwort konfigurieren

Wir empfehlen dringend, das Standard-Kennwort zu ändern. Gehen Sie dazu wie folgt vor:

  1. Verwenden Sie die Pfeiltasten, um User Configuration aus den iDRAC-Einstellungen auszuwählen und drücken Sie dann die Eingabetaste.
  2. Der Standardbenutzername lautet root. Sie können dies ändern, indem Sie einen neuen Benutzernamen eingeben.
  3. Um das Kennwort zu ändern, blättern Sie mit den Pfeiltasten nach unten zum Feld Kennwort ändern und drücken Sie dann die Eingabetaste.
  4. Geben Sie Ihr neues Kennwort ein und bestätigen Sie es.
  5. Drücken Sie die Tabulatortaste, um die Schaltfläche Back zu markieren und drücken Sie dann die Eingabetaste.
  6. Drücken Sie die Tabulatortaste, um die Schaltfläche Finish zu markieren und drücken Sie dann die Eingabetaste.
  7. Wählen Sie mit den Pfeiltasten Yes aus, um die Änderungen zu speichern.
  8. Drücken Sie im Bildschirm System Setup die Tabulatortaste, um die Schaltfläche Finish zu markieren und drücken Sie dann die Eingabetaste.
  9. Wählen Sie mit den Pfeiltasten die Schaltfläche Yes aus, um zu bestätigen, dass Sie das Programm beenden möchten.

Konnektivität überprüfen

Zu diesem Zeitpunkt sollte auf das iDRAC-System über einen Webbrowser zugegriffen werden können. Um dies zu testen, öffnen Sie Ihren Browser und gehen Sie zu http://<configured IP address>. Wenn die iDRAC-Seite keine Verbindung herstellt, überprüfen Sie die iDRAC-Netzwerkverbindung und versuchen Sie es erneut.

Hinweis

Alle nachfolgenden Konfigurationen werden remote vorgenommen. Sie können die Tastatur und den VGA-Monitor trennen.

Verbindung zu iDRAC herstellen

  1. Wenn Sie noch nicht mit der iDRAC-Schnittstelle verbunden sind, öffnen Sie Ihren Webbrowser und gehen Sie zu http://<configured IP address>.

  2. Geben Sie den Benutzernamen und das Kennwort ein, die im vorherigen Abschnitt konfiguriert wurden.

    Nach einer erfolgreichen Anmeldung wird das iDRAC-Dashboard angezeigt.

RAID-Datenpartition erstellen (nur R660 2-Socket-System)

Sie müssen nur eine RAID-Datenpartition auf dem Dell R660 2-Socket-System erstellen, das drei Festplattenlaufwerke im vorderen Festplattengehäuse enthält.

Wenn das System nicht mit den im RAID 5-Setup vorkonfigurierten Festplatten ausgeliefert wurde, müssen Sie RAID für das Datenlaufwerk konfigurieren.

  1. Klicken Sie im iDRAC-Dashboard auf Storage. Stellen Sie dann sicher, dass Summary ausgewählt ist.
  2. Überprüfen Sie im Abschnitt Summary of Disks die Anzahl der virtuellen Laufwerke. Wenn zwei virtuelle Laufwerke aufgeführt sind, können Sie die verbleibenden Schritte in diesem Abschnitt überspringen und mit dem Abschnitt „Connect Installation ISO“ fortfahren.

  3. Klicken Sie auf Virtual Disks.

    Das aktuelle virtuelle Laufwerk ist für das Betriebssystem-Laufwerk bestimmt. Wir müssen das RAID 5-Array für die Datenpartition erstellen.

  4. Klicken Sie auf Create Virtual Disk und wählen Sie Basic Configuration aus.

  5. Wählen Sie den PERC-Controller aus dem Dropdown-Menü Controller aus.
  6. Wählen Sie in der Dropdown-Liste Layout die Option RAID 5 aus.
  7. Klicken Sie auf Add to Pending.

  8. Klicken Sie auf Apply Now.

    Die Volume-Erstellung wird der Auftrags-Warteschlange hinzugefügt.

  9. Klicken Sie auf Job Queue, um den Vorgangsstatus anzuzeigen.

    Wenn Sie nichts sehen, stellen Sie sicher, dass Sie sich im Tab Tasks die Option Pending Operations ansehen. Sie können regelmäßig auf Refresh klicken, bis die Liste der ausstehenden Vorgänge leer ist.

  10. Klicken Sie im iDRAC-Dashboard auf Storage und stellen Sie sicher, dass unter Summary of Disks zwei virtuelle Laufwerke vorhanden sind.

Installations-ISO anschließen

Öffnen Sie die virtuelle Konsole, schließen Sie die Installations-ISO an und starten Sie die Appliance über die ISO.

Virtuelle Konsole öffnen

  1. Wenn Sie sich noch nicht im Dashboard befinden, klicken Sie auf Dashboard oben links im iDRAC-Menü auf der Webseite.
  2. Klicken Sie in der unteren rechten Ecke der Seite auf Virtual Console. Dadurch öffnet sich ein neues Browserfenster.

Hinweis

Wenn Sie einen Popup-Blocker haben, wird die virtuelle Konsole nicht geöffnet. Um sie zu öffnen, müssen Sie Popups für diese Website zulassen.

Virtuellen Datenträger verbinden

  1. Klicken Sie in der Menüleiste oben in der virtuellen Konsole auf Virtual Media.
  2. Klicken Sie auf Connect Virtual Media.
  3. Wenn Sie dies noch nicht getan haben, laden Sie das Installations-Image der NDR-Appliance von Sophos Central herunter.
  4. Klicken Sie unter Map CD/DVD auf Choose File.

  5. Wählen Sie das ISO-Image für die Appliance aus, das Sie von Sophos Central heruntergeladen haben, und öffnen Sie es.

    Dadurch wird die Schaltfläche Map Device aktiviert.

  6. Klicken Sie auf Map Device.

  7. Klicken Sie auf Schließen.

    Sie werden feststellen, dass das ISO-Image nun dem CD/DVD-Laufwerk zugeordnet ist.

    ISO-Image, das dem CD/DVD-Laufwerk zugeordnet ist.

Von Installer-ISO booten

  1. Klicken Sie in der Menüleiste oben in der virtuellen Konsole auf Boot.
  2. Klicken Sie auf Virtual CD/DVD/ISO.
  3. Klicken Sie auf Yes, um die Auswahl zu bestätigen.
  4. Klicken Sie in der Menüleiste oben in der virtuellen Konsole auf Power.
  5. Klicken Sie auf Reset System (warm boot).

  6. Klicken Sie auf Yes, um die Auswahl zu bestätigen.

    Der Neustartvorgang wird eingeleitet, wenn das System so konfiguriert ist, dass es vom ISO-Installationsprogramm startet.

    Nach einiger Zeit wird der Installer angezeigt.

    NDR Installer.

  7. Klicken Sie auf Weiter.

Netzwerkeinstellungen konfigurieren

Konfigurieren Sie die Schnittstelleninformationen, Rollen, Adressen und Proxy-Einstellungen für Ihre Appliance.

Schnittstellennutzung

Auf der Registerkarte Schnittstellennutzung werden die Schnittstellendetails angezeigt, einschließlich des Schnittstellennamens, der IP-Adresse, ob der Link aktiv ist, der Geschwindigkeit (in GB pro Sekunde) und des maximalen Link-Modus (in GB pro Sekunde).

Registerkarte Schnittstellennutzung.

Wenn Sie eine neue Schnittstelle hinzufügen, klicken Sie auf Schnittstellen aktualisieren.

Klicken Sie Weiter um fortzufahren.

Schnittstellenrollen

Auf der Registerkarte Schnittstellenrollen können Sie auswählen, welche Rollen Ihren Schnittstellen zugewiesen werden sollen. Die Optionen sind Verwaltung, Syslog, span und ungenutzt.

Registerkarte Schnittstellenrollen.

Die Verwaltungsschnittstelle wird für das Verwaltungsnetzwerk und die Verbindung zu Sophos Central verwendet.

SPAN-Schnittstellen dienen dazu, den gespiegelten Netzwerk-Traffic von einem Quell-Switch zu erfassen. Sie können dies mithilfe von normalem SPAN- oder ERSPAN-Traffic (Encapsulated Remote SPAN) tun.

Die Syslog-Schnittstelle dient zum Empfang von Syslog-Meldungen von anderen Drittanbieter-Integrationen in der lokalen Infrastruktur, wie beispielsweise Cisco Firepower, SonicWall und Palo Alto.

Wenn Sie Verwaltung oder Syslog auswählen, werden diese automatisch aktiviert, und Sie können sie nicht deaktivieren. Wenn Sie ungenutzt auswählen, wird diese automatisch deaktiviert und Sie können sie nicht aktivieren. Wenn Sie einen der SPAN-Ports auswählen, können Sie diesen aktivieren oder deaktivieren.

Klicken Sie Weiter um fortzufahren.

Schnittstellenadressen

Wir empfehlen, die Verwaltungsschnittstelle mit einer IP-Adresse, einem Standard-Gateway und einer DNS-Adresse zu konfigurieren. Für die Syslog-Schnittstelle können Sie lediglich eine IP-Adresse und ein Subnetz konfigurieren.

Sie können DHCP verwenden, wir raten jedoch davon ab, da sich die IP-Adresse der Appliance nach einem Neustart ändern kann.

Konfigurieren Sie die Verwaltungsschnittstelle wie folgt:

  1. Deaktivieren Sie DHCP.
  2. Geben Sie die IP-Adresse und das Subnetz für die Schnittstelle ein (in CIDR-Notation).
  3. Geben Sie das Standard-Gateway ein.
  4. Geben Sie den oder die DNS-Server ein.

Konfigurieren Sie die Syslog-Schnittstelle wie folgt:

  1. Deaktivieren Sie DHCP.
  2. Geben Sie die IP-Adresse und das Subnetz für die Schnittstelle ein (in CIDR-Notation).

Klicken Sie Weiter um fortzufahren.

Registerkarte Schnittstellenadressen.

Net Proxy

Wenn Sie einen Proxy verwenden, aktivieren Sie Proxy verwenden und geben Sie URL, Port, Benutzernamen und Passwort ein. Klicken Sie Weiter um fortzufahren.

Registerkarte „Net Proxy“.

Prüfung der Konfiguration

Auf dem Bildschirm Prüfung der Konfiguration können Sie Ihre Server- und Schnittstellenkonfiguration bewerten.

Wenn Sie Ihre Konfiguration ändern möchten, klicken Sie auf Zurück. Klicken Sie andernfalls auf Einstellungen überprüfen.

Ihre Netzwerkeinstellungen werden überprüft, um sicherzustellen, dass Datenverkehr Ihre Firewall passieren darf. Wenn die Überprüfung abgeschlossen ist, wird eine Bestätigungsnachricht angezeigt. Klicken Sie auf OK, um die Nachricht zu bestätigen, und dann auf Übernehmen, um Ihre Netzwerkeinstellungen anzuwenden. Sie sehen eine weitere Meldung, die bestätigt, dass Ihre Netzwerkeinstellungen übernommen wurden. Klicken Sie auf OK, um mit dem Abschnitt Installieren fortzufahren.

Installationsprozess

Das System ist nun bereit, Festplatten zu partitionieren und mit der Installation zu beginnen.

Klicken Sie auf Installieren. Es wird eine Meldung angezeigt, in der Sie gewarnt werden, dass die Installation die Festplatten formatiert, und Sie können nicht zu diesem Bildschirm oder zu vorherigen Bildschirmen zurückkehren, wenn die Installation startet.

Bildschirm „Installieren“ mit Warnmeldung.

Klicken Sie auf Fortfahren. Dies bestätigt die Partitionierung und Installation der Festplatte.

Wenn die Installation abgeschlossen ist, wird Ihnen im oberen Bildschirmbereich Installation abgeschlossen angezeigt.

Meldung „Installation abgeschlossen“.

Klicken Sie auf Fortfahren.

Installation abschließen

Klicken Sie auf Neu starten und dann auf Ja.

Entfernen Sie bei entsprechender Aufforderung das Installations-USB-Laufwerk und drücken Sie die Eingabetaste, um mit dem Beenden und dem Neustart fortzufahren.

Nach Abschluss der Installation wird der Bildschirm unten angezeigt.

Bildschirm „Installation abgeschlossen“.