Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Sophos NDR

Recopilador de registros

Debe tener el paquete de licencia de integración "Sophos Network Detection and Response" para utilizar esta función.

Sophos Network Detection and Response (NDR) detecta comportamientos maliciosos en su red.

Puede integrar Sophos NDR con Sophos Central para que sus detecciones estén disponibles para su investigación en el Centro de análisis de amenazas.

Para integrar NDR, debe configurar un dispositivo virtual NDR que se conecte a Sophos Central y le envíe datos. Estos son los pasos clave:

  • Comprobar los requisitos del sistema.
  • Añadir una integración.
  • Configurar los switches para que NDR pueda ver el tráfico.
  • Descargar la imagen de la máquina virtual (VM) de NDR.
  • Desplegar la nueva VM.

Restricción

El archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Una vez desplegado, no se puede volver a utilizar.

Si tiene que desplegar una VM nueva, deberá volver a realizar todos estos pasos para vincular esta integración con Sophos Central.

Este vídeo le muestra cómo configurar Sophos NDR en VMware ESXi.

Requisitos

Necesita un servidor VMware ESXi con la versión 6.7 o posterior.

Al instalar la VM, es posible que tenga que configurarla para que el dispositivo virtual de NDR ofrezca el mejor rendimiento y el menor impacto en la red. Consulte Guía de dimensionamiento de la VM de Sophos NDR

Añadir una integración

Para añadir la integración, haga lo siguiente:

  1. Inicie sesión en Sophos Central.
  2. Vaya a Centro de análisis de amenazas > Integraciones.
  3. Haga clic en Sophos Network Detection and Response (NDR).

  4. En Integraciones, haga clic en Añadir una integración.

    Integraciones de NDR

  5. En Pasos de integración, en el Paso 1, introduzca el Nombre del alias y la Descripción del alias.

    Pasos de integración

  6. En el Paso 2, seleccione la máquina virtual que ejecutará el dispositivo NDR.

    Si necesita una nueva VM, haga clic en Crear nueva VM.

    Si desea utilizar una VM existente, selecciónela en la lista desplegable y vaya al paso 8.

    Paso de integración 2

  7. Para crear una nueva VM, haga lo siguiente:

    1. Introduzca el Nombre de VM.

    2. Introduzca la Descripción de VM.

    3. Seleccione la plataforma virtual. (Actualmente solo ofrecemos soporte para VMware).

    4. Especifique los puertos de red conectados a Internet.

      • Seleccione DHCP para asignar la dirección IP automáticamente.

      • Seleccione Manual para especificar la configuración de la red. Por ejemplo:

      • Dirección IP: 10.0.252.5

        • Máscara de subred: 255.255.255.0
        • Dirección de puerta de enlace: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Paso de integración 2 Configuración de VM

  8. En el Paso 3, excluya dominios y protocolos específicos de la comprobación.

    1. Introduzca el Nombre de lista de exclusiones.

    2. Para excluir un dominio, haga clic en Exclusiones de dominio. Introduzca el nombre de dominio, por ejemplo sophos.com, y haga clic en Añadir.

    3. Para excluir un protocolo, haga clic en Exclusiones de protocolo. Puede introducir información en uno o en ambos campos:

      • En el primer campo, introduzca un protocolo maestro. Por ejemplo, TCP o UDP.
      • En el segundo campo, introduzca un subprotocolo (sitio web). Por ejemplo, facebook.

      Si introduce información en ambos campos, los juntamos en una sola cadena con un único separador de puntos.

      La captura de pantalla muestra información de ejemplo.

    4. Haga clic en Añadir.

    Puede exportar sus exclusiones como un archivo JSON. También puede cargar exclusiones a la lista desde un archivo JSON que haya exportado previamente.

    Paso de integración 3 Exclusiones

  9. Haga clic en Guardar.

En la página Integraciones, ahora verá la nueva integración.

A continuación, configure los switches para que el dispositivo NDR pueda supervisar el tráfico de la red.

Configurar los switches

Antes de descargar y desplegar la VM de Sophos NDR, debe configurar el reflejo de puertos, también conocido como Switched Port Analyzer (SPAN). Esto reenvía una copia del tráfico entrante y saliente de los puertos o las VLAN de un switch a otro puerto del switch para analizarlo.

Debe configurar el reflejo de puertos tanto para el tráfico de la red interna virtual como para el de la red externa física.

Cuando despliegue la VM de NDR más adelante, podrá conectarlo a sus puertos SPAN para que NDR pueda supervisar el tráfico de la red.

Configurar switches virtuales

Para configurar el reflejo de puertos para los switches internos virtuales, haga lo siguiente:

  1. En ESXi, vaya a Redes. En la ficha Switches virtuales, seleccione el switch que desea utilizar para el reflejo de puertos.

    Si aún no tiene un switch para utilizar, haga clic en Añadir switch virtual estándar para añadir uno nuevo y agregarle grupos de puertos.

    Switches virtuales

  2. En la ficha Grupos de puertos, haga clic en Añadir grupo de puertos.

    Nuevo grupo de puertos

  3. En la configuración del nuevo grupo de puertos, haga lo siguiente:

    1. Escriba un nombre.
    2. Establezca el ID de VLAN en 4095. Esto permite que todos los demás grupos de puertos que ya se encuentran en el switch reenvíen el tráfico al nuevo grupo de puertos.
    3. Haga clic en Seguridad y establezca Modo promiscuo en Aceptar.
    4. Haga clic en Añadir.

    Ha configurado el reenvío para el tráfico de la red interna virtual. A continuación, haga lo mismo para el tráfico externo físico, como se describe en los pasos siguientes.

  4. En ESXi, seleccione o cree otro switch virtual que se encargue del tráfico físico externo enviado a él por un switch físico de su red.

  5. Configure el switch de la siguiente manera:

    1. Vaya a Grupos de puertos y haga clic en Añadir grupo de puertos.
    2. Escriba un nombre.
    3. Establezca el ID de VLAN en 4095.
    4. Haga clic en Seguridad y establezca Modo promiscuo en Aceptar.

    A continuación, conecte el switch virtual a la red física para que pueda recibir tráfico externo.

  6. En el menú de la izquierda de ESXi, vaya a Redes y seleccione el switch que desea utilizar para el tráfico externo.

    Switch virtual seleccionado

  7. En los detalles del switch, busque Topología de vSwitch. Puede ver “Sin adaptadores físicos”.

    Topología de vSwitch

  8. Haga clic en Añadir enlace ascendente.

    Botón Añadir enlace ascendente

  9. En Enlace ascendente 1, seleccione una NIC (tarjeta de interfaz de red) que esté disponible. Esta conecta el switch virtual a un puerto del servidor ESXi.

    Enlace ascendente 1

  10. En Topología de red, compruebe que puede ver un adaptador físico conectado.

    Adaptador físico

  11. Vaya al switch físico y utilice un cable para conectarse directamente al puerto del servidor ESXi.

A continuación, debe configurar el reflejo de puertos en el switch físico.

Configurar un switch físico

En esta sección se describe cómo configurar el reflejo de puertos en un switch de Sophos. Los pasos de configuración para otros switches son diferentes.

Para configurar el reflejo de puertos, haga lo siguiente:

  1. En Sophos Central, vaya a Switches.

  2. Seleccione el switch que desea configurar y haga clic en Ejecutar comandos.

    Página Switches en Sophos Central

  3. En la consola Ejecutar comandos de switch, introduzca los comandos para reflejar todo el tráfico. En este ejemplo, los comandos reflejarán todo el tráfico entrante y saliente en los puertos 1-4, y lo enviarán al puerto 8.

    configure terminal
    monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
    monitor session 1 source interface gigabitethernet 0/1 both
    monitor session 1 source interface gigabitethernet 0/2 both
    monitor session 1 source interface gigabitethernet 0/3 both
    monitor session 1 source interface gigabitethernet 0/4 both
    end
    show monitor session 1
    

    Consola de línea de comandos del switch

  4. Haga clic en Ejecutar. La consola muestra los comandos a medida que se ejecutan sobre un fondo verde.

    Comandos que se ejecutan en la consola del switch

  5. Cuando se ejecuta el último comando, la consola muestra la configuración completada. Haga clic en Cerrar.

    Comandos que se ejecutan en la consola del switch

Ha terminado de configurar el reenvío de tráfico a los puertos SPAN. Más tarde, configurará Sophos NDR para supervisar ese tráfico.

A continuación, debe descargar la imagen de VM de NDR.

Descargar la imagen de VM

Ahora descargue la imagen NDR (el archivo OVA) necesaria para implementar y arrancar la nueva VM.

  1. Junto a la nueva integración, haga clic en Icono de tres puntos en la columna Acciones y seleccione Descargar archivo OVA.

    Verá que la descarga comienza.

    Menú de descarga

  2. Pase el ratón sobre el icono situado a la izquierda del nombre de la integración. Ahora verá el mensaje "Esperando despliegue".

    Estado de integración

Ya está preparado para implementar la VM.

Implementar la VM

  1. Vaya a su host ESXi.

Aviso

Si va a desplegar el OVA en un host ESXi que se ejecuta en un clúster EVC (Enhanced vMotion Compatibility), el modo EVC debe ser Skylake (o posterior). El dispositivo virtual Sophos NDR no se ejecutará en una VM en modo EVC Skylake (o anterior).

  1. Seleccione Máquinas virtuales y haga clic en Crear/Registrar VM.

    Pestaña Crear/Registrar VM

  2. En Seleccionar tipo de creación, seleccione Implementar una máquina virtual desde un archivo OVF u OVA. Haga clic en Siguiente.

    Seleccionar tipo de creación

  3. En Seleccionar archivos OVF y VMDK, escriba un nombre de VM.

    Haga clic en la página para seleccionar los archivos. Seleccione el archivo OVA ndr-sensor.ova. Haga clic en Siguiente.

    Seleccionar el archivo OVA

  4. En Seleccionar almacenamiento, seleccione Estándar. Haga clic en Siguiente.

    Seleccionar almacenamiento

  5. En Opciones de despliegue, seleccione Asignaciones de red. En nuestro ejemplo, todas están configurados para SPAN (los puertos a los que está reenviando tráfico), excepto MGMT, que está configurado para VM Network. Haga clic en Siguiente.

    Opciones de despliegue

  6. Omita el paso Configuración adicional.

  7. Haga clic en Finalizar. Espere a que la nueva VM aparezca en la lista de VM. Este proceso puede durar varios minutos.

    Listo para completar

  8. Encienda la VM y espere a que finalice el proceso de instalación. El proceso puede tardar hasta 10 minutos.

    Aviso

    No interrumpa este proceso.

  9. En Sophos Central, vaya a la página Integraciones de NDR y actualícela. El estado de la VM ahora es Conectado.

    Estado de integración

Si el estado de la VM es Conectado pero no parece funcionar, compruebe el estado del servicio Dragonfly en la consola del dispositivo virtual Sophos NDR. Consulte Consola del dispositivo virtual de Sophos.

Si en la consola se muestra que el servicio Dragonfly está en estado Pendiente y su VM está en un clúster EVC (Enhanced vMotion Compatibility), compruebe que el modo EVC sea Skylake o posterior.

El dispositivo virtual Sophos NDR no admite la ejecución en clústeres EVC en modo Sandy Bridge.