Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=NDR-Nutanix

Sophos NDR auf Nutanix

Protokollsammler Sophos Network Detection and Response

Sie benötigen das Integrations-Lizenz-Paket „Sophos Network Detection and Response“, um diese Funktion nutzen zu können.

Sie können Sophos NDR auf Nutanix einrichten, damit NDR schädliches Verhalten in Ihrem Netzwerk erkennen kann.

Die Hauptschritte lauten wie folgt:

  • NDR-Appliance-Image erstellen
  • VM-Image herunterladen
  • Image-Dateien hochladen
  • Installationsskript hochladen
  • Installationsskript ausführen
  • VM starten

NDR-Appliance-Image erstellen

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
  2. Suchen Sie die Option Sophos Network Detection & Response (NDR) und klicken Sie darauf.

  3. Klicken Sie auf der Seite NDR unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Integrations-Einrichtungsschritte wird angezeigt.

  4. Geben Sie in Schritt 1 einen Namen und eine Beschreibung für die Integration ein.

    Integrationsschritte.

  5. Klicken Sie in Schritt 2 die Option Appliance erstellen.

  6. Um die neue Appliance zu erstellen, gehen Sie folgendermaßen vor:

    1. Geben Sie einen Namen und eine Beschreibung für die Appliance ein. Sie müssen einen eindeutigen Namen angeben.
    2. Wählen Sie unter Virtualisierungsplattform die Option Nutanix.

    3. Geben Sie die internetseitigen Netzwerk-Ports an.

      • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

        Hinweis

        Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

      • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen. Beispiel:

        • IP-Adresse: 10.0.252.5
        • Subnetzmaske: 255.255.255.0
        • Gateway-Adresse: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

  7. In Schritt 3 schließen Sie bestimmte Domänen und Protokolle von der Überprüfung aus. Dies bietet sich beispielsweise an, wenn eine Ihrer Domänen False Positives verursacht.

    Sie können die Ausschlüsse später einrichten, müssen jedoch jetzt einen Namen für die Ausschlussliste eingeben.

    1. Geben Sie einen Namen unter Name der Ausschlussliste ein.
    2. Um eine Domäne auszuschließen, klicken Sie auf Domänenausschlüsse. Geben Sie den Domänennamen ein, zum Beispiel sophos.com, und klicken Sie auf Hinzufügen.

    3. Um ein Protokoll auszuschließen, klicken Sie auf Protokollausschlüsse. Sie können Informationen in eines oder beide Felder eingeben:

      • Geben Sie im ersten Feld ein Top-Level-Protokoll ein. Zum Beispiel TCP oder UDP.
      • Geben Sie im zweiten Feld ein Unterprotokoll (Website) ein. Zum Beispiel: Facebook.

      Wenn Sie Informationen in beide Felder eingeben, setzen wir sie zu einer Zeichenfolge mit einem einzelnen Punkttrennzeichen zusammen.

      Schließen Sie Top-Level-Protokolle nicht vollständig aus. Tun Sie dies nur, wenn ein Protokoll mit hohem Datenverkehr, das normalerweise nicht riskant ist, wie ein Routing-Protokoll, zu viele Daten generiert.

      Der Screenshot zeigt Beispielinformationen.

    4. Klicken Sie auf Hinzufügen.

    Sie können Ihre Ausschlüsse als JSON-Datei exportieren. Sie können auch Ausschlüsse aus einer zuvor exportierten JSON-Datei in die Liste hochladen.

    Integrationsschritt 3 Ausschlüsse.

  8. Klicken Sie auf Speichern.

Auf der Seite NDR wird die neue Integration in der Liste der konfigurierten Integrationen angezeigt.

VM-Image herunterladen

Jetzt laden Sie das NDR-Image herunter, das Sie zum Bereitstellen und Starten der neuen VM benötigen.

  1. Klicken Sie neben der neuen Integration auf Symbol mit drei Punkten. in der Spalte Aktionen und wählen Sie Image herunterladen.

  2. Bewegen Sie den Mauszeiger über das Symbol links neben dem Integrationsnamen. Jetzt wird „Warten auf Bereitstellung“ angezeigt.

    Integrationsstatus.

Die Nutanix-Bereitstellungsdatei ist eine ZIP-Datei, die Festplatten-Image-Dateien, eine Start-ISO-Datei mit dem Autorisierungsschlüssel und ein Installationsskript enthält. Sie müssen die Datei entpacken, damit der Inhalt verwendet werden kann.

Image-Dateien hochladen

Gehen Sie wie folgt vor, um die Festplatten-Image-Dateien und die Start-ISO-Datei in das Nutanix-System hochzuladen:

  1. Melden Sie sich über einen Webbrowser bei der Nutanix-Webkonsole auf Port 9440 an.

  2. Gehen Sie zu Home > Settings.

    Nutanix-Webkonsole.

  3. Wählen Sie Image Configuration.

    Nutanix-Konfiguration.

Root-Image-Datei hochladen

  1. Klicken Sie auf Upload Image.
  2. Geben Sie einen Namen ein. Wir empfehlen, das Wort „root“ in den Namen aufzunehmen.
  3. (Optional) Fügen Sie eine Annotation hinzu.

  4. Wählen Sie Upload a file, klicken Sie auf Browse und wählen Sie Ihre Datei aus.

    Wenn Sie Ihre Datei auswählen, wird automatisch der Image type ausgewählt.

    Datei hochladen.

  5. Klicken Sie auf Save.

    Der Datei-Upload wird gestartet. Warten Sie, bis der Upload abgeschlossen ist, bevor Sie mit der Einrichtung fortfahren.

Start-ISO-Image-Datei hochladen

  1. Klicken Sie auf Upload Image.
  2. Geben Sie einen Namen ein. Wir empfehlen, das Wort „ISO“ in den Namen aufzunehmen.
  3. (Optional) Fügen Sie eine Annotation hinzu.

  4. Wählen Sie Upload a file, klicken Sie auf Browse und wählen Sie Ihre Datei aus.

    Wenn Sie Ihre Datei auswählen, wird automatisch der Image type ausgewählt.

  5. Klicken Sie auf Save.

    Der Datei-Upload wird gestartet. Warten Sie, bis der Upload abgeschlossen ist, bevor Sie mit der Einrichtung fortfahren.

Die drei hochgeladenen Dateien werden auf der Seite Image Configuration angezeigt.

Hochgeladene Bilder.

Installationsskript hochladen

Ein Skript mit dem Namen ndr-sensor.sh ist ebenfalls in der ZIP-Datei enthalten. Verwenden Sie zum Hochladen auf den Nutanix AHV VM-Controller das Secure File Transfer Protocol (SCP) wie folgt:

  1. Öffnen Sie unter Windows eine Eingabeaufforderung oder unter MacOS oder Linux ein Terminal.
  2. Wechseln Sie in das Verzeichnis, in dem sich die entpackten Dateien befinden.

  3. Geben Sie folgendes Kommando ein: scp ndr-sensor.sh admin@<ip-address>:~/.

    Eingabeaufforderung.

  4. Geben Sie das Administratorkennwort ein.

Installationsskript ausführen

  1. Öffnen Sie die Nutanix AHV VM.
  2. Melden Sie sich über den folgenden Befehl an und stellen Sie eine Verbindung über SSH her: ssh admin@<ip-address>.
  3. Um das Installationsskript auszuführen, führen Sie den folgenden Befehl aus: bash ndr-sensor.sh.

  4. Geben Sie einen Namen für die Appliance-VM ein. Der Standardname lautet ndr-sensor.

    Geben Sie den Appliance-Namen ein.

    Hinweis

    Bei Elementen mit Standardwert können Sie die Eingabetaste drücken, um den Standardwert zu übernehmen.

  5. Geben Sie die Anzahl der CPU-Kerne ein, die der VM zugewiesen werden sollen. Der Standardwert ist 4.

  6. Geben Sie die Speichergröße ein, die der VM zugewiesen werden soll. Der Standardwert ist 16(GB).

Folgende Meldung wird angezeigt: Created vm <name> UUID <UUID>.

Image-Dateien der VM-Festplatte auswählen

Hinweis

Für alle Schritte zur Festplattenauswahl können Sie „L“ eingeben, um die im System gespeicherten Images aufzulisten.

Gehen Sie wie folgt vor, um die Image-Dateien der VM-Festplatte auszuwählen:

  1. Geben Sie den Image-Namen für die hochgeladene Start-ISO-Datei ein.

    Geben Sie den Start-ISO-Namen ein.

  2. Geben Sie den Image-Namen für die hochgeladene Image-Datei der Root-Festplatte ein.

  3. Geben Sie den Image-Namen für die hochgeladene Image-Datei der Datenfestplatte ein.

Netzwerkkonfiguration

Das Skript erstellt die folgenden Netzwerkschnittstellen für die VM:

  • Verwaltungsnetzwerk
  • Syslog-Netzwerk
  • ERSPAN für getunnelte Erfassungsdaten
  • SPAN für gespiegeltes Netzwerk, um Erfassungsdaten von einer anderen VM auf diesem VM-Server zu empfangen

Das Skript listet die verfügbaren virtuellen Subnetze auf, die von den Verwaltungs-, Syslog- und getunnelten RSPAN-Erfassungsdaten (Remote Switched Port Analyzer) verwendet werden können.

Für alle drei Netzwerke kann ein einzelnes Subnetz verwendet werden.

Gehen Sie wie folgt vor, um den Netzwerken Subnetze zuzuweisen:

  1. Geben Sie die Nummer des Subnetzes ein, das für das Verwaltungsnetzwerk verwendet werden soll.

    Geben Sie die Netzwerknummer ein.

  2. Geben Sie die Nummer ein, die dem virtuellen Subnetz entspricht, das für das Syslog-Empfangsnetzwerk verwendet werden soll.

  3. Die Konfiguration für das SPAN-Netzwerk wird automatisch mit den Konfigurationsparametern erstellt. Es ist eingestellt als type=kSpanDestinationNic.
  4. Geben Sie die Nummer ein, die dem virtuellen Subnetz entspricht, das für das getunnelte RSPAN-Erfassungsnetzwerk verwendet werden soll.

Wenn das Skript abgeschlossen ist, enthält es einige acli-Beispielbefehle zum Aktivieren einer Nutanix SPAN-Sitzung. Die in den Beispielbefehlen aufgeführte MAC-Adresse ist die MAC-Adresse der SPAN-Schnittstelle, die vom Skript erstellt wurde.

Die Beispielbefehle können für die folgenden Arten von SPAN-Sitzungen verwendet werden:

  • SPAN-Daten von allen VMs auf dem VM-Host.
  • SPAN-Daten von einer einzelnen VM auf dem VM-Host.

Weitere Informationen finden Sie unter Datenverkehrsspiegelung auf AHV-Hosts.

VM starten

Kehren Sie nach Abschluss des Skripts zur Nutanix-Webkonsole zurück, gehen Sie zur VM-Seite und schalten Sie dann Ihre VM ein.

Die VM wird in der Nutanix Webkonsole angezeigt.

Hinweis

Wenn Sie die VM einschalten, durchläuft sie ihren ersten Startvorgang, der bis zu zehn Minuten dauern kann.

Rufen Sie in Sophos Central die Seite Integrationen für das Produkt auf, das Sie integrieren und aktualisieren Sie es. Der Status der VM lautet nun Verbunden.