Sophos NDR auf OnLogic-Hardware

Sophos NDR unterstützt jetzt die Installation auf Intel OnLogic-Systemen, die wir getestet und zertifiziert haben.

NDR-Appliance-Image erstellen

Sophos NDR verwendet eine Appliance, die Daten sammelt und sie an den Sophos Data Lake zur Analyse weiterleitet.

Bevor Sie Ihre Hardware einrichten, müssen Sie ein Installations-Image für die NDR-Appliance erstellen und herunterladen. Sie stellen dieses ISO-Image später als NDR-Appliance bereit.

1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen.
2. Suchen Sie die Option Sophos Network Detection & Response (NDR) und klicken Sie darauf.

3. Klicken Sie auf der Seite NDR unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

   Integrations-Einrichtungsschritte wird angezeigt.

4. Geben Sie in Schritt 1 einen Namen und eine Beschreibung für die Integration ein.

5. Klicken Sie in Schritt 2 die Option Appliance erstellen.

6. Um die neue Appliance zu erstellen, gehen Sie folgendermaßen vor:

   1. Geben Sie einen Namen und eine Beschreibung für die Appliance ein. Sie müssen einen eindeutigen Namen angeben.
   2. Wählen Sie unter Virtualisierungsplattform Hardware aus.

7. In Schritt 3 schließen Sie bestimmte Domänen und Protokolle von der Überprüfung aus. Dies bietet sich beispielsweise an, wenn eine Ihrer Domänen False Positives verursacht.

   Sie können die Ausschlüsse später einrichten, müssen jedoch jetzt einen Namen für die Ausschlussliste eingeben.

   1. Geben Sie den Namen der Ausschlussliste ein.
   2. Um eine Domäne auszuschließen, klicken Sie auf Domänenausschlüsse. Geben Sie den Domänennamen ein, zum Beispiel sophos.com, und klicken Sie auf Hinzufügen.

   3. Um ein Protokoll auszuschließen, klicken Sie auf Protokollausschlüsse. Sie können Informationen in eines oder beide Felder eingeben:

      • Geben Sie im ersten Feld ein Master-Protokoll ein. Zum Beispiel TCP oder UDP.
      • Geben Sie im zweiten Feld ein Unterprotokoll (Website) ein. Zum Beispiel: facebook.

      Wir empfehlen nicht, ein Master-Protokoll vollständig auszuschließen. Tun Sie dies nur, wenn ein Protokoll mit hohem Datenverkehr, das normalerweise nicht riskant ist, wie ein Routing-Protokoll, zu viele Daten generiert.

      Hinweis

      Sie können Ihre Ausschlüsse als JSON-Datei exportieren. Sie können auch Ausschlüsse aus einer zuvor exportierten JSON-Datei in die Liste hochladen.

   4. Klicken Sie auf Hinzufügen.

   5. Klicken Sie auf Speichern.

      In einem Popup-Fenster werden die Anmeldeinformationen für den Sophos Appliance Manager angezeigt. Notieren Sie sie sich. Sie benötigen Appliance Manager für den Zugriff auf die Appliance und Fehlerbehebung.

      Ihre neue Integration wird nun in der Liste Konfiguration von NDR-Integrationen angezeigt.

8. Um das Bild herunterzuladen, klicken Sie auf die drei Punkte in der Spalte Aktion und wählen Sie Image herunterladen aus. Möglicherweise müssen Sie warten, bis das Bild zum Download verfügbar ist.

USB-Installationsmedium erstellen

Sie müssen das ISO-Image auf ein USB-Laufwerk kopieren. Die folgenden Anweisungen beschreiben, wie Sie dies mit einem Drittanbieter-Tool namens balenaEtcher tun.

Gehen Sie folgendermaßen vor:

1. Klicken Sie auf den folgenden Link, um balenaEtcher mit dem entsprechenden Installationsprogramm für Ihr Betriebssystem herunterzuladen: Download. Führen Sie den Installationsvorgang durch.

2. Schließen Sie einen USB-Stick an Ihren Computer oder Laptop an.

   Hinweis

   Stellen Sie sicher, dass das USB-Laufwerk keine Daten enthält, die Sie speichern möchten.

3. Starten Sie die Anwendung „balenaEtcher“ wie folgt:

   1. Klicken Sie auf Flash from file
   2. Wählen Sie im Dialogfeld zur Dateiauswahl das ISO-Image des NDR-Geräts aus, das Sie von Sophos Central heruntergeladen haben.
   3. Wenn eine Warnung bezüglich einer fehlenden Partitionstabelle angezeigt wird, klicken Sie auf Continue.
   4. Klicken Sie auf Select target

   5. Wählen Sie das USB-Laufwerk aus, auf dem das ISO-Image installiert werden soll.

      Hinweis

      Gehen Sie bei der Auswahl des USB-Geräts vorsichtig vor, da dadurch alle Daten gelöscht werden, die sich derzeit auf dem Laufwerk befinden.

   6. Klicken Sie auf Select 1.

   7. Klicken Sie auf Flash.
   8. Akzeptieren Sie alle Meldungen zur Benutzerzugriffskontrolle.

   Der blinkende Fortschritt wird auf der linken Seite angezeigt.

   Sobald der Vorgang abgeschlossen ist, können Sie balenaEtcher beenden.

Installieren und System verbinden

1. Packen Sie die OnLogic-Hardware aus.

2. Schließen Sie die folgenden Kabel und Peripheriegeräte an das OnLogic-Gerät an:

   • Stromkabel zu den Netzteilen.
   • HDMI-Monitor: Ein VGA-Anschluss kann über USB-C-zu-VGA-Adapter verwendet werden (nicht im Lieferumfang enthalten)
   • USB-Tastatur.
   • Verwaltungsnetzwerkkabel zum oberen Netzwerkschnittstellenanschluss.
   • Capture-Netzwerkkabel am unteren Netzwerkschnittstellenanschluss.

Installation starten

1. Schließen Sie das zuvor erstellte Installations-USB-Laufwerk an einen beliebigen verfügbaren USB-Anschluss des OnLogic-Geräts an.
2. Schalten Sie das OnLogic-Gerät ein oder drücken Sie Ctrl+Alt+Delete, um das OnLogic-Gerät neu zu starten.
3. Drücken Sie wiederholt F2, um das BIOS aufzurufen.
4. Gehen Sie zur Registerkarte Starten.

5. Wenn es im Boot-Menü mehrere Boot-Optionen gibt, wählen Sie mit den Pfeiltasten Boot-Option #1 aus und drücken Sie die Eingabetaste.

   

6. Gehen Sie zum Tab Beenden, wählen Sie die Option Änderungen speichern und beenden und drücken Sie die Eingabetaste.

   

   Der Systemstart dauert einige Zeit. Sie müssen warten, bis das Installationsprogramm den Ladevorgang abgeschlossen hat.

7. Wählen Sie Live NDR ISO-Installer ausführen und drücken Sie die Eingabetaste.

   Nach einiger Zeit wird der Installer angezeigt.

   

8. Klicken Sie auf Weiter.

Netzwerkeinstellungen konfigurieren

Konfigurieren Sie die Schnittstelleninformationen, Rollen, Adressen und Proxy-Einstellungen für Ihre Appliance.

Schnittstellennutzung

Auf der Registerkarte Schnittstellennutzung werden die Schnittstellendetails angezeigt, einschließlich des Schnittstellennamens, der IP-Adresse, ob der Link aktiv ist, der Geschwindigkeit (in GB pro Sekunde) und des maximalen Link-Modus (in GB pro Sekunde).

Wenn Sie eine neue Schnittstelle hinzufügen, klicken Sie auf Schnittstellen aktualisieren.

Klicken Sie Weiter um fortzufahren.

Schnittstellenrollen

Auf der Registerkarte Schnittstellenrollen können Sie auswählen, welche Rollen Ihren Schnittstellen zugewiesen werden sollen. Die Optionen sind Verwaltung, span und ungenutzt.

Die Verwaltungsschnittstelle wird für das Verwaltungsnetzwerk und die Verbindung zu Sophos Central verwendet.

SPAN-Schnittstellen dienen dazu, den gespiegelten Netzwerk-Traffic von einem Quell-Switch zu erfassen. Sie können dies mithilfe von normalem SPAN- oder ERSPAN-Traffic (Encapsulated Remote SPAN) tun.

Wenn Sie Verwaltung auswählen, wird diese automatisch aktiviert und Sie können sie nicht deaktivieren. Wenn Sie ungenutzt auswählen, wird diese automatisch deaktiviert und Sie können sie nicht aktivieren. Wenn Sie einen der SPAN-Ports auswählen, können Sie diesen aktivieren oder deaktivieren.

Klicken Sie Weiter um fortzufahren.

Schnittstellenadressen

Wir empfehlen, die Verwaltungsschnittstelle mit einer IP-Adresse, einem Standard-Gateway und einer DNS-Adresse zu konfigurieren. Sie können DHCP verwenden, wir raten jedoch davon ab, da sich die IP-Adresse der Appliance nach einem Neustart ändern kann.

Gehen Sie folgendermaßen vor:

1. Deaktivieren Sie DHCP.
2. Geben Sie die IP-Adresse und das Subnetz für die Schnittstelle ein (in CIDR-Notation).
3. Geben Sie das Standard-Gateway ein.
4. Geben Sie den oder die DNS-Server ein.
5. Klicken Sie Weiter um fortzufahren.

Net Proxy

Wenn Sie einen Proxy verwenden, aktivieren Sie Proxy verwenden und geben Sie URL, Port, Benutzernamen und Passwort ein. Klicken Sie Weiter um fortzufahren.

Prüfung der Konfiguration

Auf dem Bildschirm Prüfung der Konfiguration können Sie Ihre Server- und Schnittstellenkonfiguration bewerten.

Wenn Sie Ihre Konfiguration ändern möchten, klicken Sie auf Zurück. Klicken Sie andernfalls auf Einstellungen überprüfen.

Ihre Netzwerkeinstellungen werden überprüft, um sicherzustellen, dass Datenverkehr Ihre Firewall passieren darf. Wenn die Überprüfung abgeschlossen ist, wird eine Bestätigungsnachricht angezeigt. Klicken Sie auf OK, um die Nachricht zu bestätigen, und dann auf Übernehmen, um Ihre Netzwerkeinstellungen anzuwenden. Sie sehen eine weitere Meldung, die bestätigt, dass Ihre Netzwerkeinstellungen übernommen wurden. Klicken Sie auf OK, um mit dem Abschnitt Installieren fortzufahren.

Installationsprozess

Das System ist nun bereit, Festplatten zu partitionieren und mit der Installation zu beginnen.

Klicken Sie auf Installieren. Es wird eine Meldung angezeigt, in der Sie gewarnt werden, dass die Installation die Festplatten formatiert, und Sie können nicht zu diesem Bildschirm oder zu vorherigen Bildschirmen zurückkehren, wenn die Installation startet.

Klicken Sie auf Fortfahren. Dies bestätigt die Partitionierung und Installation der Festplatte.

Wenn die Installation abgeschlossen ist, wird Ihnen im oberen Bildschirmbereich Installation abgeschlossen angezeigt.

Installation abschließen

Klicken Sie auf Neu starten und dann auf Ja.

Entfernen Sie bei entsprechender Aufforderung das Installations-USB-Laufwerk und drücken Sie die Eingabetaste, um mit dem Beenden und dem Neustart fortzufahren.

Nach Abschluss der Installation wird der Bildschirm unten angezeigt.