Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Sophos NDR

Protokollsammler

Sie benötigen das Integrations-Lizenz-Paket „Network Detection and Response“, um diese Funktion nutzen zu können.

Sophos Network Detection and Response (NDR) erkennt bösartiges Verhalten in Ihrem Netzwerk.

Sie können Sophos NDR in Sophos Central integrieren, sodass seine Erkennungen im Bedrohungsanalyse-Center zur Untersuchung verfügbar sind.

Zur Integration von NDR richten Sie eine virtuelle NDR-Appliance ein, die eine Verbindung zu Sophos Central herstellt und Daten zu Sophos Central sendet. Die Hauptschritte lauten wie folgt:

  • Überprüfen der Voraussetzungen.
  • Hinzufügen einer Integration.
  • Konfigurieren Ihrer Switches so, dass NDR den Datenverkehr sehen kann.
  • NDR Virtual Machine (VM) Image herunterladen.
  • Bereitstellen der neuen VM.

Einschränkung

Die OVA-Datei wird von Sophos Central verifiziert und kann nur einmal verwendet werden. Nachdem Sie die VM bereitgestellt haben, können Sie die Datei nicht noch einmal verwenden.

Wenn Sie eine neue VM bereitstellen wollen, müssen Sie alle diese Schritte wiederholen, um diese Integration mit Sophos Central zu verbinden.

Dieses Video führt Sie durch die Konfiguration von Sophos NDR auf VMware ESXi.

Voraussetzungen

Sie benötigen einen VMware ESXi-Server mit Version 6.7 oder höher.

Wenn Sie die VM installieren, müssen Sie sie möglicherweise so konfigurieren, dass die virtuelle NDR-Appliance die beste Performance und die geringsten Auswirkungen auf das Netzwerk bietet. Siehe Leitfaden zur Größenorientierung für Sophos NDR VM.

Eine neue Integration hinzufügen

Um die Integration hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Melden Sie sich bei Sophos Central an.
  2. Gehen Sie zu Bedrohungsanalyse-Center > Integrationen.
  3. Klicken Sie auf Sophos Network Detection & Response (NDR).

  4. Klicken Sie unter Integrationen auf Integration hinzufügen.

    NDR-Integrationen

  5. Geben Sie unter Integrationsschritte, in Schritt 1 den Alias-Namen sowie die Alias-Beschreibung ein.

    Integrationsschritte

  6. Wählen Sie in Schritt 2 die VM aus, auf der die NDR-Appliance ausgeführt werden soll.

    Wenn Sie eine neue VM benötigen, klicken Sie auf Neue VM erstellen.

    Wenn Sie eine vorhandene VM verwenden möchten, wählen Sie sie aus der Dropdown-Liste aus, und fahren Sie mit Schritt 8 fort.

    Integrationsschritt 2

  7. Um eine neue VM anzulegen, gehen Sie folgendermaßen vor:

    1. Geben Sie den VM-Namen ein.

    2. Geben Sie die VM-Beschreibung ein.

    3. Wählen Sie die virtuelle Plattform aus. (Derzeit unterstützen wir nur VMware).

    4. Geben Sie die internetseitigen Netzwerk-Ports an.

      • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

      • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen. Beispiel:

      • IP-Adresse: 10.0.252.5

        • Subnetzmaske: 255.255.255.0
        • Gateway-Adresse: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Integrationsschritt 2 VM-Einstellungen

  8. In Schritt 3 schließen Sie bestimmte Domänen und Protokolle von der Überprüfung aus.

    1. Geben Sie den Namen der Ausschlussliste ein.

    2. Um eine Domäne auszuschließen, klicken Sie auf Domänenausschlüsse. Geben Sie den Domänennamen ein, zum Beispiel sophos.com, und klicken Sie auf Hinzufügen.

    3. Um ein Protokoll auszuschließen, klicken Sie auf Protokollausschlüsse. Sie können Informationen in eines oder beide Felder eingeben:

      • Geben Sie im ersten Feld ein Master-Protokoll ein. Zum Beispiel TCP oder UDP.
      • Geben Sie im zweiten Feld ein Unterprotokoll (Website) ein. Zum Beispiel: facebook.

      Wenn Sie Informationen in beide Felder eingeben, setzen wir sie zu einer Zeichenfolge mit einem einzelnen Punkttrennzeichen zusammen.

      Der Screenshot zeigt Beispielinformationen.

    4. Klicken Sie auf Hinzufügen.

    Sie können Ihre Ausschlüsse als JSON-Datei exportieren. Sie können auch Ausschlüsse aus einer zuvor exportierten JSON-Datei in die Liste hochladen.

    Integrationsschritt 3 Ausschlüsse

  9. Klicken Sie auf Speichern.

Auf der Seite Integrationen wird nun die neue Integration angezeigt.

Konfigurieren Sie anschließend die Switches, damit die NDR-Appliance den Netzwerkverkehr überwachen kann.

Konfigurieren Ihrer Switches

Bevor Sie die Sophos NDR-VM herunterladen und bereitstellen können, müssen Sie die Port-Spiegelung (auch Switched Port Analyzer (SPAN) genannt) einrichten. Dadurch wird eine Kopie des eingehenden und ausgehenden Datenverkehrs von den Ports oder VLANs eines Switches an einen anderen Switch-Port zur Analyse weitergeleitet.

Sie müssen die Port-Spiegelung sowohl für den virtuellen internen als auch für den physischen externen Netzwerkverkehr konfigurieren.

Wenn Sie Ihre NDR VM-Appliance später bereitstellen, können Sie sie mit Ihren SPAN-Ports verbinden, damit NDR den Netzwerkverkehr überwachen kann.

Virtuelle Switches konfigurieren

Gehen Sie wie folgt vor, um die Portspiegelung für virtuelle, interne Switches einzurichten:

  1. Gehen Sie in ESXi zu Netzwerke. Wählen Sie auf der Registerkarte Virtuelle Switches einen Switch aus, der für die Port-Spiegelung verwendet werden soll.

    Wenn Sie noch keinen Switch verwenden, klicken Sie auf Standard-vSwitch hinzufügen, um einen neuen Switch hinzuzufügen und ihm Port-Gruppen zuzuweisen.

    Virtuelle Switches

  2. Klicken Sie auf der Registerkarte Portgruppen auf Neue Gruppe.

    Neue Portgruppe

  3. Gehen Sie in den Einstellungen für die neue Portgruppe wie folgt vor:

    1. Geben Sie einen Namen ein.
    2. Stellen Sie die VLAN-ID auf 4095 ein. Dadurch können alle anderen Portgruppen, die sich bereits auf dem Switch befinden, Datenverkehr an die neue Portgruppe weiterleiten.
    3. Klicken Sie auf Sicherheit und legen Sie Promiskuitiver Modus auf Akzeptieren fest.
    4. Klicken Sie auf Hinzufügen.

    Sie haben die Weiterleitung für den Datenverkehr im virtuellen internen Netzwerk eingerichtet. Gehen Sie anschließend genauso für physischen externen Datenverkehr durch, wie in den folgenden Schritten beschrieben.

  4. Wählen oder erstellen Sie in ESXi einen anderen virtuellen Switch, der physischen externen Datenverkehr verarbeitet, der von einem physischen Switch in Ihrem Netzwerk an diesen Switch gesendet wird.

  5. Konfigurieren Sie den Switch folgendermaßen:

    1. Gehen Sie zu Portgruppen und klicken Sie auf Portgruppe hinzufügen.
    2. Geben Sie einen Namen ein.
    3. Stellen Sie die VLAN-ID auf 4095 ein.
    4. Klicken Sie auf Sicherheit und legen Sie Promiskuitiver Modus auf Akzeptieren fest.

    Als Nächstes verbinden Sie Ihren virtuellen Switch mit Ihrem physischen Netzwerk, damit er externen Datenverkehr empfangen kann.

  6. Gehen Sie im linken ESXi-Menü zu Netzwerke und wählen Sie den Switch aus, den Sie für externen Datenverkehr verwenden möchten.

    vSwitch ausgewählt

  7. Suchen Sie in den Switch-Details nach vSwitch-Topologie. Jetzt sehen Sie „Keine physischen Adapter“.

    vSwitch-Topologie

  8. Klicken Sie auf Uplink hinzufügen.

    Schaltfläche „Uplink hinzufügen“

  9. Wählen Sie unter Uplink 1 eine verfügbare NIC (Network Interface Card) aus. Dadurch wird der virtuelle Switch mit einem Port auf Ihrem ESXi-Server verbunden.

    Uplink 1

  10. Überprüfen Sie in der Netzwerktopologie, ob ein physischer Adapter angeschlossen ist.

    Physischer Adapter

  11. Gehen Sie zu Ihrem physischen Switch und stellen Sie mit einem Kabel eine direkte Verbindung zum Port auf Ihrem ESXi-Server her.

Als Nächstes müssen Sie die Spiegelung auf Ihrem physischen Switch einrichten.

Physischen Switch konfigurieren

In diesem Abschnitt wird das Einrichten der Portspiegelung auf einem Sophos Switch beschrieben. Die Einrichtungsschritte für andere Switches unterscheiden sich.

Verfahren Sie wie folgt, um die Spiegelung einzurichten:

  1. Gehen Sie in Sophos Central zu Switches.

  2. Wählen Sie den Switch aus, den Sie konfigurieren möchten, und klicken Sie auf Befehle ausführen.

    Seite „Switches“ in Sophos Central

  3. Geben Sie in der Konsole zum Ausführen der Switch-Befehle die Befehle ein, um den gesamten Datenverkehr zu spiegeln. In diesem Beispiel spiegeln die Befehle den gesamten eingehenden und ausgehenden Datenverkehr an den Ports 1-4 und senden ihn an Port 8.

    configure terminal
    monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
    monitor session 1 source interface gigabitethernet 0/1 both
    monitor session 1 source interface gigabitethernet 0/2 both
    monitor session 1 source interface gigabitethernet 0/3 both
    monitor session 1 source interface gigabitethernet 0/4 both
    end
    show monitor session 1
    

    Switch-Kommandozeilenkonsole

  4. Klicken Sie auf Ausführen. Die Konsole zeigt die Befehle während der Ausführung auf einem grünen Hintergrund an.

    Switch-Konsole, in der Befehle ausgeführt werden

  5. Wenn der letzte Befehl ausgeführt wird, zeigt die Konsole die abgeschlossene Konfiguration an. Klicken Sie auf Schließen.

    Switch-Konsole, in der Befehle ausgeführt werden

Sie haben die Weiterleitung des Datenverkehrs an SPAN-Ports abgeschlossen. Später konfigurieren Sie Sophos NDR zur Überwachung des Datenverkehrs.

Als Nächstes laden Sie das NDR VM-Image herunter.

VM-Image herunterladen

Jetzt laden Sie das NDR-Image (die OVA-Datei) herunter, das Sie zum Bereitstellen und Starten der neuen VM benötigen.

  1. Klicken Sie neben der neuen Integration auf Symbol mit drei Punkten in der Spalte Aktionen und wählen Sie OVA-Datei herunterladen.

    Der Download wird gestartet.

    Download-Menü

  2. Bewegen Sie den Mauszeiger über das Symbol links neben dem Integrationsnamen. Jetzt wird „Warten auf Bereitstellung“ angezeigt.

    Integrationsstatus

Sie sind bereit, die VM bereitzustellen.

VM bereitstellen

  1. Wechseln Sie zu Ihrem ESXi-Host.

Warnung

Wenn Sie die OVA auf einem ESXi-Host bereitstellen, der in einem EVC-Cluster (Enhanced vMotion Compatibility) ausgeführt wird, muss sich EVC im Skylake-Modus (oder höher) befinden. Die Sophos NDR VA kann nicht auf einer VM im EVC-Modus Skylake (oder früher) ausgeführt werden.

  1. Wählen Sie Virtual Machines aus, und klicken Sie auf Create/Register VM.

    Registerkarte „Create/Register VM“

  2. Wählen Sie unter Select creation type die Option Deploy a virtual machine from an OVF or OVA file aus. Klicken Sie auf Weiter.

    Erstellungstyp auswählen

  3. Geben Sie unter Select OVF and VMDK files einen VM-Namen ein.

    Klicken Sie auf die Seite, um Dateien auszuwählen. Wählen Sie die OVA-Datei ndr-Sensor.ova. Klicken Sie auf Weiter.

    OVA-Datei auswählen

  4. Wählen Sie unter Select storagedie Option Standard aus. Klicken Sie auf Weiter.

    Speicher auswählen

  5. Wählen Sie unter Deployment Options die Option Network mappings aus. In unserem Beispiel sind alle auf SPAN (die Ports, an die Sie den Datenverkehr weiterleiten) eingestellt, mit Ausnahme von MGMT (auf VM-Netzwerk gesetzt). Klicken Sie auf Weiter.

    Bereitstellungsoptionen

  6. Überspringen Sie den Schritt Additional Settings.

  7. Klicken Sie auf Fertigstellen. Warten Sie, bis die neue VM in der Liste der VMs angezeigt wird. Dies kann einige Minuten dauern.

    Bereit zum Abschließen

  8. Schalten Sie die VM ein, und warten Sie, bis der Installationsvorgang abgeschlossen ist. Dies kann bis zu zehn Minuten dauern.

    Warnung

    Unterbrechen Sie diesen Vorgang nicht.

  9. Wechseln Sie in Sophos Central zur Seite NDR-Integrationen und aktualisieren Sie sie. Der Status der VM lautet nun Verbunden.

    Integrationsstatus

Wenn der Status der VM Verbunden lautet, sie aber nicht zu funktionieren scheint, überprüfen Sie den Status des Dragonfly-Dienstes in der Sophos VA-Konsole für NDR. Siehe Sophos VA-Konsole.

Wenn Sie in der Konsole sehen, dass sich der Dragonfly-Dienst im Status Ausstehend befindet und sich Ihre VM in einem EVC-Cluster (Enhanced vMotion Compatibility) befindet, überprüfen Sie, ob der EVC-Modus Skylake oder höher ist.

Die Sophos NDR VA unterstützt die Ausführung in EVC-Clustern im Sandy Bridge-Modus nicht.