Consola de investigación
La consola NDR de investigación le permite acceder a todos los datos de sus sensores NDR, no solo a los datos que entran en nuestro Data Lake. Puede utilizar estos datos para la búsqueda de amenazas.
La consola se configura desde Sophos Central, pero se ejecuta en su red local. La consola obtiene datos de un dispositivo de integración NDR y le permite supervisarlos o consultarlos.
Esta página le indica cómo crear y administrar una consola de investigación.
Crear una consola de investigación
Asumimos que ya ha configurado una integración de NDR que recopila datos de NDR. Si no lo ha hecho, vaya a Sophos NDR en ESXi o Hyper-V.
Los pasos clave para crear una consola son los siguientes:
- Configurar una consola. Esto crea una imagen que desplegará en su red virtual.
- Descargar la imagen y desplegarla.
- Asignar un dispositivo de integración NDR a la consola. Esto envía datos de NDR a la consola.
Configurar una consola
- Vaya a NDR > Consola de investigación.
-
Haga clic en Crear consola.
-
Configure la consola de la siguiente manera:
- Especifique un Nombre y una Descripción.
- Seleccione la Plataforma virtual. La consola de investigación solo se admite en VMware ESXi o Microsoft Hyper-V.
-
Especifique la Configuración del puerto de red conectado a Internet. Esto configura la interfaz de administración.
-
Seleccione DHCP para asignar la dirección IP automáticamente.
Nota
Si selecciona DHCP, debe reservar la dirección IP.
-
Seleccione Manual para especificar la configuración de la red.
-
-
Haga clic en Save.
-
Se muestra la ventana emergente Credenciales del dispositivo. Necesita las credenciales para acceder al dispositivo que aloja la consola.
El nombre de usuario es
zadmin
y la contraseña se muestra en el mensaje. Guarde la contraseña en un lugar seguro. Solo se muestra una vez.Haga clic en Aceptar.
-
En la página Consola de investigación, la nueva consola se muestra en la lista. Si sitúa el cursor sobre el nombre, verá "Esperando despliegue".
Espere a que se cree una imagen. El proceso puede tardar cinco minutos.
-
En la columna de la derecha, haga clic en los tres puntos y seleccione Descargar imagen.
Desplegar la imagen
Despliegue la imagen en su entorno.
El despliegue depende de si está utilizando VMware ESXi o Hyper-V. Haga clic en la pestaña correspondiente a continuación para obtener instrucciones.
Restricción
Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar una VM nueva, debe volver a crear el archivo OVA en Sophos Central.
En el host ESXi, haga lo siguiente:
- Seleccione Máquinas virtuales.
-
Haga clic en Crear/Registrar VM.
-
En Seleccionar tipo de creación, seleccione Implementar una máquina virtual desde un archivo OVF u OVA. Haga clic en Siguiente.
-
En Seleccionar archivos OVF y VMDK, haga lo siguiente:
- Introduzca el nombre de la máquina virtual.
- Haga clic en la pantalla donde dice "Haga clic para seleccionar archivos..." y seleccione el archivo OVA que ha descargado.
- Haga clic en Siguiente.
-
En Seleccionar almacenamiento, seleccione Estándar. A continuación, seleccione el almacén de datos donde desea colocar la VM. Haga clic en Siguiente.
-
En Opciones de despliegue, establezca la configuración de la siguiente manera:
-
En MGMT, seleccione la interfaz de gestión para el dispositivo.
Configuró esta interfaz previamente en Sophos Central en Configuración del puerto de red conectado a Internet.
Si seleccionó DHCP durante la configuración, asegúrese de que la VM puede obtener una dirección IP a través de DHCP.
-
En Aprovisionamiento de disco, asegúrese de que Ligero está seleccionado.
- Asegúrese de que la opción Encender automáticamente esté seleccionada.
- Haga clic en Siguiente.
-
-
Omita el paso Configuración adicional.
-
Haga clic en Finalizar. Espere a que la nueva VM aparezca en la lista de VM. Este proceso puede durar varios minutos.
-
Inicie la VM y espere a que finalice la instalación.
La VM se inicia por primera vez y comprueba que se puede conectar a los grupos de puertos correctos y a Internet. A continuación, se reinicia. El proceso puede tardar hasta 10 minutos.
El archivo zip que descargó en Sophos Central contiene los archivos necesarios para desplegar su VM: unidades virtuales, un archivo seed.iso
y un script de PowerShell.
Para desplegar la VM, haga lo siguiente:
- Extraiga el archivo zip en una carpeta del disco duro.
- Vaya a la carpeta, haga clic con el botón derecho en el archivo
ndr-sensor.ps1
y seleccione Ejecutar con PowerShell. -
Si ve un mensaje de Advertencia de seguridad, haga clic en Abrir para permitir la ejecución del archivo.
Se le pedirá que responda a una serie de preguntas.
-
Asigne un nombre a la VM.
- El script muestra la carpeta en la que se almacenarán los archivos de VM. Esta es una nueva carpeta en la ubicación de instalación predeterminada para unidades virtuales. Introduzca
C
para permitir que el script la cree. - Introduzca el número de procesadores (CPU) que se van a utilizar para la VM.
- Introduzca la cantidad de memoria que se va a utilizar en gigabytes (GB).
-
El script muestra una lista numerada de todos sus vSwitches actuales.
Seleccione el vSwitch al que desea conectar la interfaz de gestión e introduzca su número. Configuró esta interfaz previamente en Sophos Central en Configuración del puerto de red conectado a Internet.
Si seleccionó DHCP durante la configuración, asegúrese de que la VM puede obtener una dirección IP a través de DHCP.
-
No es necesario especificar vSwitches para capturar el tráfico de red. Estos ajustes solo son relevantes si tiene Sophos NDR. Seleccione cualquier vSwitch como marcador de posición y desconéctelo en la configuración de la VM más adelante.
El script de PowerShell configura la VM en Hyper-V. Aparecerá el mensaje Instalación completada correctamente.
-
Pulse cualquier tecla para salir.
-
Abra el Administrador de Hyper-V para ver la VM añadida a la lista de máquinas virtuales. Puede editar sus ajustes si es necesario. A continuación, inicie la VM.
La VM se inicia por primera vez y comprueba que se puede conectar a los vSwitches correctos y a Internet. A continuación, se reinicia. El proceso puede tardar hasta 10 minutos.
-
En Sophos Central, vaya a NDR > Consola de investigación. El icono de estado muestra Conectado.
Asignar un dispositivo NDR
Ahora asignará uno o varios dispositivos NDR.
No puede asignar un dispositivo NDR hasta que su consola se haya registrado en Sophos Central y muestre el estado "verde".
-
En la página Consola de investigación, seleccione la nueva consola en la lista. En la columna de la derecha, haga clic en los tres puntos y seleccione Asignar dispositivo.
-
Seleccione el dispositivo que desea asignar y haga clic en Guardar.
Abrir una consola de investigación
Para abrir una consola de investigación, haga lo siguiente:
- Vaya a NDR > Consola de investigación.
- Busque su consola en la lista.
-
En la columna de la derecha, haga clic en los tres puntos y seleccione Abrir consola NDR.
Verá una advertencia de que está saliendo de Sophos Central.
Si ha olvidado su contraseña, haga clic en las palabras "restablecerla" para restablecerla.
-
Introduzca su nombre de usuario y contraseña y haga clic en Abrir consola.
Ver consolas de investigación
La página Consola de investigación muestra sus consolas con los detalles de configuración y rendimiento.
- Nombre de la consola
- Dispositivos: el número de dispositivos de integración de NDR asignados a la consola.
- Tipo: la plataforma virtual en la que se encuentra la consola, por ejemplo, VMware.
- Versión: versión de la plataforma.
- CPU: uso de CPU.
- Memoria: uso de memoria.
- Dirección IP
Ver los dispositivos asignados
En la página Consola de investigación, en la lista de consolas, haga clic en la flecha situada junto a un nombre de consola para ver los detalles de los dispositivos de integración de NDR asignados a la misma.
- Nombre del dispositivo
- Integraciones: número de integraciones que utilizan el dispositivo.
- Memoria: uso de memoria.
- Almacenamiento
- Tipo: plataforma virtual que aloja el dispositivo.
- Versión: versión de la plataforma virtual.
- IP de administración: interfaz de administración
- IP de Syslog: interfaz de Syslog.
Generar nueva contraseña
Puede restablecer la contraseña que utiliza para acceder a la consola de investigación.
- En la página Consola de investigación, seleccione la consola.
-
En la columna de la derecha, haga clic en los tres puntos y seleccione Generar nueva contraseña.
Copie la contraseña y guárdela de forma segura. Se muestra una sola vez. No podrá recuperarla después.
-
Haga clic en Restablecer.
Recopilar registros
Para recopilar registros de la actividad de la consola, haga lo siguiente:
- En la página Consola de investigación, seleccione la consola.
- En la columna de la derecha, haga clic en los tres puntos y seleccione Recopilar registros.
Asistente remoto
El equipo de soporte de Sophos puede ayudar a solucionar problemas de los dispositivos de Sophos que alojan una consola de investigación.
En algunos casos, el equipo de soporte de Sophos necesitará acceder al dispositivo de forma remota. Puede darle acceso hasta un máximo de 24 horas de la siguiente manera.
El dispositivo debe estar online.
-
Vaya a la página de Consola de investigación.
-
Busque el dispositivo. En la columna de la derecha, haga clic en los tres puntos y seleccione Asistente remoto.
-
En el cuadro de diálogo Asistencia remota, haga lo siguiente:
- Seleccione Habilitar.
- Seleccione la casilla de verificación para aceptar el Aviso de privacidad de Sophos Group.
- Haga clic en Guardar.
Sophos Central solicita un ID de acceso al dispositivo. Cuando esté listo, se mostrará en el cuadro de diálogo.
-
Copie el ID de acceso y envíelo al equipo de soporte de Sophos. Este lo utilizará para acceder a su dispositivo.
La Asistencia remota se desactiva automáticamente después de 24 horas. Para desactivarlo manualmente, vuelva al cuadro de diálogo Asistencia remota y desactive Activar.