Zum Inhalt

Sophos NDR

Sie müssen dem EAP beitreten, um diese Funktion verwenden zu können.

Sophos Network Detection and Response (NDR) erkennt bösartiges Verhalten in Ihrem Netzwerk.

Sie können Sophos NDR in Sophos Central integrieren, sodass seine Erkennungen im Bedrohungsanalyse-Center zur Untersuchung verfügbar sind.

Zur Integration von NDR richten Sie eine virtuelle NDR-Appliance ein, die eine Verbindung zu Sophos Central herstellt und Daten zu Sophos Central sendet. Die Hauptschritte lauten wie folgt:

  • Hinzufügen einer Integration.
  • Herunterladen des NDR VM-Images.
  • Bereitstellen der neuen VM.

Eine neue Integration hinzufügen

Um die Integration hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Melden Sie sich bei Sophos Central an.
  2. Gehen Sie zu Bedrohungsanalyse-Center > Integrationen.
  3. Klicken Sie auf Sophos Network Detection & Response (NDR).

  4. Klicken Sie unter Integrationen auf Instanz hinzufügen.

    NDR-Integrationen

  5. Geben Sie unter Integrationsschritte, in Schritt 1 den Alias-Namen sowie die Alias-Beschreibung ein.

    Integrationsschritte

  6. Wählen Sie in Schritt 2 die VM aus, auf der die NDR-Appliance ausgeführt werden soll.

    Wenn Sie eine neue VM benötigen, klicken Sie auf Neue VM erstellen.

    Wenn Sie eine vorhandene VM verwenden möchten, wählen Sie sie aus der Dropdown-Liste aus, und fahren Sie mit Schritt 8 fort.

    Integrationsschritt 2

  7. Um eine neue VM anzulegen, gehen Sie folgendermaßen vor:

    1. Geben Sie den VM-Namen ein.

    2. Geben Sie die VM-Beschreibung ein.

    3. Wählen Sie die virtuelle Plattform aus. (Derzeit unterstützen wir nur VMware).

    4. Geben Sie die internetseitigen Netzwerk-Ports an.

      • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      • Wählen Sie manuell, um die IP-Adresseinstellungen und optional die Einstellungen für den internen DNS-Server selbst festzulegen. Beispiel:

        • IP-Adresse: 10.0.252.5
        • Subnetzmaske: 255.255.255.0
        • Gateway-Adresse: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Integrationsschritt 2 VM-Einstellungen

  8. In Schritt 3 können Sie Datenverkehr von bestimmten Domänen wie folgt ausschließen:

    1. Geben Sie den Namen der Ausschlussliste ein.

    2. Geben Sie die Domäne ein, zum Beispiel sophos.com, und klicken Sie auf Hinzufügen.

    Integrationsschritt 3 Ausschlüsse

  9. Klicken Sie auf Speichern.

Auf der Seite „Integrationen“ wird nun die neue Integration angezeigt.

VM-Image herunterladen

Jetzt laden Sie das NDR-Image (die OVA-Datei) herunter, das Sie zum Bereitstellen und Starten der neuen VM benötigen.

  1. Klicken Sie neben der neuen Integration auf Symbol mit drei Punkten in der Spalte Aktionen und wählen Sie OVA-Datei herunterladen.

    Der Download wird gestartet.

    Download-Menü

  2. Bewegen Sie den Mauszeiger über das Symbol links neben dem Integrationsnamen. Jetzt wird „Warten auf Bereitstellung“ angezeigt.

    Integrationsstatus

Sie sind bereit, die VM bereitzustellen.

VM bereitstellen

  1. Wechseln Sie zu Ihrem ESXi-Host.

  2. Wählen Sie Virtual Machines aus, und klicken Sie auf Create/Register VM.

    Registerkarte „Create/Register VM“

  3. Wählen Sie unter Select creation type die Option Deploy a virtual machine from an OVF or OVA file aus. Klicken Sie auf Next.

    Erstellungstyp auswählen

  4. Geben Sie unter Select OVF and VMDK files einen VM-Namen ein.

    Klicken Sie auf die Seite, um Dateien auszuwählen. Wählen Sie die OVA-Datei ndr-Sensor.ova. Klicken Sie auf Next.

    OVA-Datei auswählen

  5. Wählen Sie unter Select storagedie Option Standard aus. Klicken Sie auf Next.

    Speicher auswählen

  6. Wählen Sie unter Deployment Options die Option Network mappings aus. In unserem Beispiel sind alle auf „SPAN“ eingestellt, mit Ausnahme von „MGMT“, das auf „VM Network“ gesetzt ist. Klicken Sie auf Next.

    Bereitstellungsoptionen

  7. Überspringen Sie den Schritt Additional Settings.

  8. Klicken Sie auf Fertigstellen. Warten Sie, bis die neue VM in der Liste der VMs angezeigt wird. Dies kann einige Minuten dauern.

    Bereit zum Abschließen

  9. Schalten Sie die VM ein, und warten Sie, bis der Installationsvorgang abgeschlossen ist. Dies kann bis zu zehn Minuten dauern.

    Warnung

    Unterbrechen Sie diesen Vorgang nicht.

  10. Wechseln Sie in Sophos Central zur Seite NDR-Integrationen und aktualisieren Sie sie. Der Status der VM lautet nun Verbunden.

    Integrationsstatus

Zurück zum Seitenanfang