Saltar al contenido
Última actualización: 2022-08-15

Sophos NDR

Debe unirse al EAP para utilizar esta función.

Sophos Network Detection and Response (NDR) detecta comportamientos maliciosos en su red.

Puede integrar Sophos NDR con Sophos Central para que sus detecciones estén disponibles para su investigación en el Centro de análisis de amenazas.

Para integrar NDR, debe configurar un dispositivo virtual NDR que se conecte a Sophos Central y le envíe datos. Estos son los pasos clave:

  • Añada una integración.
  • Descargue la imagen VM NDR.
  • Despliegue la nueva VM.

Añadir una integración

Para añadir la integración, haga lo siguiente:

  1. Inicie sesión en Sophos Central.
  2. Vaya a Centro de análisis de amenazas > Integraciones.
  3. Haga clic en Sophos Network Detection and Response (NDR).

  4. En Integraciones, haga clic en Añadir instancia.

    Integraciones de NDR

  5. En Pasos de integración, en el Paso 1, introduzca el Nombre del alias y la Descripción del alias.

    Pasos de integración

  6. En el Paso 2, seleccione la máquina virtual que ejecutará el dispositivo NDR.

    Si necesita una nueva VM, haga clic en Crear nueva VM.

    Si desea utilizar una VM existente, selecciónela en la lista desplegable y vaya al paso 8.

    Paso de integración 2

  7. Para crear una nueva VM, haga lo siguiente:

    1. Introduzca el Nombre de VM.

    2. Introduzca la Descripción de VM.

    3. Seleccione la plataforma virtual. (Actualmente solo ofrecemos soporte para VMware).

    4. Especifique los puertos de red conectados a Internet.

      • Seleccione DHCP para asignar la dirección IP automáticamente.

      • Seleccione Manual para especificar la configuración de la dirección IP y, opcionalmente, la configuración del servidor DNS interno. Por ejemplo:

        • Dirección IP: 10.0.252.5
        • Máscara de subred: 255.255.255.0
        • Dirección de puerta de enlace: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Paso de integración 2 Configuración de VM

  8. En el Paso 3, excluya el tráfico de dominios específicos, de la siguiente manera:

    1. Introduzca el Nombre de lista de exclusiones.

    2. Introduzca el Dominio, por ejemplo sophos.com, y haga clic en Añadir.

    Paso de integración 3 Exclusiones

  9. Haga clic en Guardar.

En la página Integraciones, ahora verá la nueva integración.

Descargar la imagen de VM

Ahora descargue la imagen NDR (el archivo OVA) necesaria para implementar y arrancar la nueva VM.

  1. Junto a la nueva integración, haga clic en Icono de tres puntos en la columna Acciones y seleccione Descargar archivo OVA.

    Verá que la descarga comienza.

    Menú de descarga

  2. Pase el ratón sobre el icono situado a la izquierda del nombre de la integración. Ahora verá el mensaje "Esperando despliegue".

    Estado de integración

Ya está preparado para implementar la VM.

Implementar la VM

  1. Vaya a su host ESXi.

  2. Seleccione Máquinas virtuales y haga clic en Crear/Registrar VM.

    Pestaña Crear/Registrar VM

  3. En Seleccionar tipo de creación, seleccione Implementar una máquina virtual desde un archivo OVF u OVA. Haga clic en Siguiente.

    Seleccionar tipo de creación

  4. En Seleccionar archivos OVF y VMDK, escriba un nombre de VM.

    Haga clic en la página para seleccionar los archivos. Seleccione el archivo OVA ndr-sensor.ova. Haga clic en Siguiente.

    Seleccionar el archivo OVA

  5. En Seleccionar almacenamiento, seleccione Estándar. Haga clic en Siguiente.

    Seleccionar almacenamiento

  6. En Opciones de despliegue, seleccione Asignaciones de red. En nuestro ejemplo, todos están establecidos en SPAN, excepto MGMT, que está establecido en VM Network. Haga clic en Siguiente.

    Opciones de despliegue

  7. Omita el paso Configuración adicional.

  8. Haga clic en Finalizar. Espere a que la nueva VM aparezca en la lista de VM. Este proceso puede durar varios minutos.

    Listo para completar

  9. Encienda la VM y espere a que finalice el proceso de instalación. El proceso puede tardar hasta 10 minutos.

    Aviso

    No interrumpa este proceso.

  10. En Sophos Central, vaya a la página Integraciones de NDR y actualícela. El estado de la VM ahora es Conectado.

    Estado de integración

Volver al principio