Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=NDR-Nutanix

Sophos NDR en Nutanix

Recopilador de registros Sophos Network Detection and Response

Debe tener el paquete de licencia de integración "Sophos Network Detection and Response" para utilizar esta función.

Puede configurar Sophos NDR en Nutanix para que NDR pueda detectar comportamientos maliciosos en su red.

Estos son los pasos clave:

  • Crear una imagen del dispositivo NDR
  • Descargar la imagen de VM
  • Cargar los archivos de imagen
  • Cargar el script de instalación
  • Ejecutar el script de instalación
  • Iniciar la VM

Crear una imagen del dispositivo NDR

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.
  2. Busque y haga clic en Sophos Network Detection and Response (NDR).

  3. En la página NDR, en Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Aparece Pasos de configuración de la integración.

  4. En el paso 1, introduzca un nombre y una descripción para la integración.

    Pasos de integración.

  5. En el paso 2, haga clic en Crear un nuevo dispositivo.

  6. Para crear el nuevo dispositivo, haga lo siguiente:

    1. Introduzca el nombre y la descripción del dispositivo. Debe introducir un nombre único.
    2. En Plataforma virtual, seleccione Nutanix.

    3. Especifique los puertos de red conectados a Internet.

      • Seleccione DHCP para asignar la dirección IP automáticamente.

        Nota

        Si selecciona DHCP, debe reservar la dirección IP.

      • Seleccione Manual para especificar la configuración de la red. Por ejemplo:

        • Dirección IP: 10.0.252.5
        • Máscara de subred: 255.255.255.0
        • Dirección de puerta de enlace: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

  7. En el Paso 3, excluya dominios y protocolos específicos de la comprobación. Por ejemplo, podría hacer esto si tiene un dominio que causa falsos positivos.

    Puede configurar las exclusiones más adelante, pero debe introducir el nombre de la lista de exclusiones ahora.

    1. Introduzca un nombre en el Nombre de lista de exclusiones.
    2. Para excluir un dominio, haga clic en Exclusiones de dominio. Introduzca el nombre de dominio, por ejemplo sophos.com, y haga clic en Añadir.

    3. Para excluir un protocolo, haga clic en Exclusiones de protocolo. Puede introducir información en uno o en ambos campos:

      • En el primer campo, introduzca un protocolo de primer nivel. Por ejemplo, TCP o UDP.
      • En el segundo campo, introduzca un subprotocolo (sitio web). Por ejemplo, Facebook.

      Si introduce información en ambos campos, los juntamos en una sola cadena con un único separador de puntos.

      No recomendamos excluir un protocolo de primer nivel por completo. Hágalo solamente si un protocolo de tráfico elevado que no suele suponer riesgos, como un protocolo de enrutamiento, genera demasiados datos.

      La captura de pantalla muestra información de ejemplo.

    4. Haga clic en Añadir.

    Puede exportar sus exclusiones como un archivo JSON. También puede cargar exclusiones a la lista desde un archivo JSON que haya exportado previamente.

    Paso de integración 3 Exclusiones.

  8. Haga clic en Guardar.

En la página NDR, verá la nueva integración en la lista de integraciones configuradas.

Descargar la imagen de VM

Ahora descargue la imagen de NDR necesaria para desplegar e iniciar la nueva VM.

  1. Junto a la nueva integración, haga clic en Icono de tres puntos. en la columna Acciones y seleccione Descargar imagen.

  2. Pase el ratón sobre el icono situado a la izquierda del nombre de la integración. Ahora verá el mensaje "Esperando despliegue".

    Estado de integración.

El archivo de despliegue de Nutanix es un archivo zip que contiene archivos de imagen de disco, una ISO inicial que contiene la clave de autorización, y un script de instalación. Debe descomprimir el archivo para poder utilizar su contenido.

Cargar los archivos de imagen

Para cargar los archivos de imagen de disco y la ISO inicial en el sistema Nutanix, haga lo siguiente:

  1. Desde un navegador web, inicie sesión en la consola web de Nutanix en el puerto 9440.

  2. Vaya a Inicio > Configuración.

    Consola web de Nutanix.

  3. Seleccione Configuración de imagen.

    Configuración de Nutanix.

Cargar el archivo de imagen raíz

  1. Haga clic en Cargar imagen
  2. Escriba un nombre. Le recomendamos que incluya la palabra "root" (raíz) en el nombre.
  3. (Opcional) Añada una Anotación.

  4. Seleccione Cargar archivo, pulse Examinar y seleccione el archivo correspondiente.

    Cuando seleccione su archivo, se seleccionará automáticamente el Tipo de imagen.

    Suba un archivo.

  5. Haga clic en Guardar.

    Se empieza a cargar el archivo. Espere a que finalice antes de continuar con la configuración.

Cargar archivo de imagen ISO inicial

  1. Haga clic en Cargar imagen.
  2. Escriba un nombre. Le recomendamos que incluya la palabra "ISO" en el nombre.
  3. (Opcional) Añada una Anotación.

  4. Seleccione Cargar archivo, pulse Examinar y seleccione el archivo correspondiente.

    Cuando seleccione su archivo, se seleccionará automáticamente el Tipo de imagen.

  5. Haga clic en Guardar.

    Se empieza a cargar el archivo. Espere a que finalice antes de continuar con la configuración.

Los tres archivos cargados aparecerán en la página Configuración de imagen.

Imágenes subidas.

Cargar el script de instalación

Un script llamado ndr-sensor.sh también se incluye en el archivo zip. Para cargar en el controlador VM de Nutanix AHV, utilice el protocolo de transferencia segura de archivos (SCP), de la siguiente manera:

  1. Para Windows, abra un símbolo del sistema, y en macOS o Linux, abra un terminal.
  2. Cambie al directorio donde se encuentran los archivos descomprimidos.

  3. Ejecute el siguiente comando: scp ndr-sensor.sh admin@<ip-address>:~/.

    Símbolo del sistema.

  4. Introduzca la contraseña de administrador.

Ejecutar el script de instalación

  1. Abra la VM de Nutanix AHV.
  2. Utilice el siguiente comando para iniciar sesión y conectarse a través de SSH: ssh admin@<ip-address>.
  3. Para ejecutar el script de instalación, ejecute el siguiente comando: bash ndr-sensor.sh.

  4. Introduzca un nombre para la VM del dispositivo. Por defecto, el nombre es ndr-sensor.

    Introduzca el nombre del dispositivo.

    Nota

    Para los elementos que indiquen un valor predeterminado, puede pulsar Intro para aceptarlo.

  5. Introduzca el número de núcleos de CPU para asignar a la VM. El valor predeterminado es 4.

  6. Introduzca la cantidad de memoria que desea asignar a la VM. El valor predeterminado es 16(GB).

Verá el mensaje siguiente: Created vm <name> UUID <UUID>.

Seleccionar los archivos de imagen de disco de VM

Nota

Para todos los pasos de selección de disco, puede introducir 'L' para listar las imágenes almacenadas en el sistema.

Para seleccionar los archivos de imagen de disco de VM, haga lo siguiente:

  1. Introduzca el nombre de imagen de la ISO inicial que ha cargado.

    Introduzca el nombre de la ISO inicial.

  2. Introduzca el nombre de imagen del archivo de imagen de disco raíz que cargó.

  3. Introduzca el nombre de imagen del archivo de imagen de disco de datos que cargó.

Configuración de red

El script crea las siguientes interfaces de red para la VM:

  • Red de administración
  • Red Syslog
  • RSPAN para datos de captura en túnel
  • SPAN para que la red espejo reciba datos de captura de otras VM en este servidor VM

El script listará las subredes virtuales disponibles que pueden ser utilizadas por los datos de captura de administración, Syslog y RSPAN (Remote Switched Port Analyzer) en túnel.

Una sola subred se puede utilizar para las tres redes.

Para asignar subredes a las redes, haga lo siguiente:

  1. Introduzca el número correspondiente a la subred que va a utilizar para la red de administración.

    Introduzca el número de red.

  2. Introduzca el número correspondiente a la subred virtual que va a utilizar para la red de recepción Syslog.

  3. La configuración para la red SPAN se crea automáticamente utilizando los parámetros de configuración. Se establece como type=kSpanDestinationNic.
  4. Introduzca el número correspondiente a la subred virtual que va a utilizar para la red de captura de datos RSPAN en túnel.

Cuando el script ha finalizado, proporciona algunos comandos acli de ejemplo para habilitar una sesión SPAN de Nutanix. La dirección MAC que aparece en los comandos de ejemplo es la dirección MAC de la interfaz SPAN creada por el script.

Los comandos de ejemplo se pueden usar para los siguientes tipos de sesión SPAN:

  • Datos SPAN de todas las VM en el host de VM.
  • Datos SPAN de una sola VM en el host de VM.

Para obtener más información, consulte Reflejo de tráfico en hosts de AHV.

Iniciar la VM

Una vez completado el script, vuelva a la consola web de Nutanix y vaya a la página VM; después, encienda la VM.

Se muestra VM en la consola web de Nutanix.

Nota

Cuando enciende la VM, esta efectúa su primer proceso de arranque, que puede durar hasta diez minutos.

En Sophos Central, vaya a la página Integraciones del producto que está integrando y actualícela. El estado de la VM ahora es Conectado.