Aller au contenu

Console d’investigation

La console d'investigation NDR vous permet d'accéder à toutes les données de vos capteurs NDR, pas seulement aux données qui entrent dans notre Data Lake. Vous pouvez utiliser ces données pour la chasse aux menaces.

Vous configurez la console à partir de Sophos Central mais l'exécutez sur votre réseau local. La console récupère les données d'une appliance d'intégration NDR et vous permet de les surveiller ou de les interroger.

Cette page explique comment créer et gérer une console d'investigation.

Créer une console d’investigation

Nous supposons que vous avez déjà configuré une intégration NDR qui collecte des données à partir de NDR. Si vous ne l’avez pas fait, voir Sophos NDR sur ESXi ou Hyper-V.

Les étapes clés de configuration d’une intégration sont les suivantes :

  • Configurer une console. Cela crée une image que vous déploierez sur votre réseau virtuel.
  • Téléchargez l'image et déployez-la.
  • Attribuez une appliance d'intégration NDR à la console. Ceci envoie les données NDR à la console.

Configurer une console

  1. Allez dans NDR > Console d’investigation
  2. Cliquez sur Créer une console.

    Bouton créer une console.

  3. Configurez la console de la manière suivante :

    1. Saisissez un Nom et une Description.
    2. Sélectionnez la Plate-forme virtuelle. La console d'investigation est uniquement prise en charge sur VMware ESXi ou Microsoft Hyper-V.
    3. Indiquez les Paramètres des ports du réseau connecté à Internet. Cette opération configure l’interface de gestion.

      • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

        Remarque

        Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

      • Sélectionnez Manuel pour spécifier les paramètres réseau.

    4. Cliquez sur Enregistrer.

    Paramètres de la console d'investigation.

  4. Une fenêtre contextuelle Identifiants de l'appliance s'affiche. Vous aurez besoin des identifiants pour accéder à l'appliance qui héberge la console.

    Le nom d'utilisateur est zadmin et le mot de passe s'affiche dans le message. Conservez le mot de passe en lieu sûr. Il ne s’affiche qu'une seule fois.

    Cliquez sur OK.

    Fenêtre contextuelle des Identifiants de l'appliance.

  5. Sur la page Console d'investigation, la nouvelle console est affichée dans la liste. Si vous passez le curseur sur le nom, vous verrez « En attente de déploiement ».

    Attendez que l’image soit créée. L’opération peut prendre jusqu’à 5 minutes.

    Info-bulle sur une console en attente de déploiement.

  6. Dans la colonne la plus à droite, cliquez sur le menu à trois points (ellipse) et sélectionnez Télécharger l’image.

    « Télécharger l'image » dans le menu Plus.

Déployez l’image

Déployez l'image dans votre environnement.

Le déploiement dépend de l'utilisation de VMware ESXi ou Hyper-V. Cliquez sur l'onglet approprié ci-dessous pour obtenir des instructions.

Restriction

Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une nouvelle machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.

Sur votre hôte VMware ESXi, procédez de la manière suivante :

  1. Sélectionnez Machines virtuelles.
  2. Cliquez sur Créer/Enregistrer une machine virtuelle.

    Onglet Créer/Enregistrer une machine virtuelle.

  3. Dans Sélectionner le type de création, sélectionnez Déployer une machine virtuelle à partir d’un fichier OVF ou OVA. Cliquez sur Suivant.

    Sélectionner le type de création.

  4. Dans Sélectionner les fichiers OVF et VMDK, procédez de la manière suivante.

    1. Saisissez le nom de la machine virtuelle.
    2. Cliquez sur l'écran indiquant « Cliquez pour sélectionner les fichiers ... » et sélectionnez le fichier OVA que vous avez téléchargé.
    3. Cliquez sur Suivant.

    Sélectionner le fichier OVA.

  5. Dans Sélectionner le stockage, sélectionnez le stockage Standard. Sélectionnez ensuite le « datastore » dans lequel vous souhaitez placer votre machine virtuelle. Cliquez sur Suivant.

    Sélectionner le stockage.

  6. Dans Options de déploiement, saisissez les paramètres comme suit :

    1. Dans MGMT, sélectionnez l’interface de gestion de l’appliance.

      Vous avez configuré cette interface plus tôt dans Sophos Central dans Paramètres du port réseau connecté à Internet.

      Si vous avez sélectionné DHCP lors de la configuration, assurez-vous que la machine virtuelle peut obtenir une adresse IP via DHCP.

    2. Dans Provisionnement de disques, assurez-vous que Thin est sélectionné.

    3. Assurez-vous que l’option Mise sous tension automatique est sélectionnée.
    4. Cliquez sur Suivant.

    Options de déploiement.

  7. Ignorez l’étape Paramètres supplémentaires.

  8. Cliquez sur Terminer. Attendez que la nouvelle machine virtuelle apparaisse dans la liste des machines virtuelles. L’opération peut prendre quelques minutes.

    Prêt à terminer.

  9. Démarrez la machine virtuelle et attendez la fin du processus d’installation.

    La machine virtuelle démarre pour la première fois et vérifie que ses connexions aux groupes de ports voulus et à Internet fonctionnent. Puis elle redémarre. L’opération peut durer jusqu’à 10 minutes.

Le fichier zip que vous avez téléchargé dans Sophos Central contient les fichiers dont vous avez besoin pour déployer votre machine virtuelle : disques virtuels, un fichier seed.isoo et un script PowerShell.

Pour déployer la machine virtuelle, procédez de la manière suivante :

  1. Extrayez le fichier zip dans un dossier de votre disque dur.
  2. Accédez au dossier, cliquez sur le fichier ndr-sensor.ps1 avec le bouton droit de la souris et sélectionnez Exécuter avec PowerShell.
  3. Si un message Avertissement de sécurité s’affiche, cliquez sur Ouvrir pour autoriser l’exécution du fichier.

    Vous serez invité à répondre à une série de questions.

  4. Nommez la machine virtuelle.

  5. Le script affiche le dossier dans lequel les fichiers VM seront stockés. Il s’agit d’un nouveau dossier dans votre emplacement d’installation par défaut pour les lecteurs virtuels. Saisissez C pour permettre au script de le créer.
  6. Saisissez le nombre de processeurs (CPU) qui seront utilisés par la machine virtuelle.
  7. Saisissez la quantité de mémoire en gigaoctets (Go) à utiliser.
  8. Le script affiche une liste numérotée de tous vos vSwitchs existants.

    Sélectionnez le vSwitch auquel vous souhaitez associer l’interface de gestion et saisissez son numéro. Vous avez configuré cette interface plus tôt dans Sophos Central dans Paramètres du port réseau connecté à Internet.

    Si vous avez sélectionné DHCP lors de la configuration, assurez-vous que la machine virtuelle peut obtenir une adresse IP via DHCP.

    Sélectionnez le vSwitch.

  9. Il n’est pas nécessaire d’assigner des vSwitchs spécifiques à la capture du trafic réseau. Ces paramètres ne sont utiles que si vous avez Sophos NDR. Sélectionnez un vSwitch comme paramètre fictif et déconnectez-le ultérieurement dans les paramètres de la machine virtuelle.

    Le script PowerShell configure la machine virtuelle dans Hyper-V. Vous verrez s’afficher le message Installation réussie.

  10. Appuyez sur une touche pour quitter.

  11. Ouvrez Hyper-V Manager pour voir la machine virtuelle ajoutée à la liste des machines virtuelles. Vous pouvez modifier ces paramètres si nécessaire. Démarrez ensuite la machine virtuelle.

    La machine virtuelle démarre pour la première fois et vérifie que ses connexions aux vSwitch et à Internet fonctionnent. Puis elle redémarre. L’opération peut durer jusqu’à 10 minutes.

  12. Dans Sophos Central, allez dans NDR > Console d’investigation. L’icône d’état indique Connecté.

Assigner une appliance NDR

Assignez une ou plusieurs appliances NDR.

Vous ne pouvez pas assigner une appliance NDR tant que votre console n’est pas enregistrée auprès de Sophos Central et qu’elle n’affiche pas l’état « vert ».

  1. Sur la page Console d'investigation, sélectionnez la nouvelle console dans la liste. Dans la colonne la plus à droite, cliquez sur le menu à trois points (ellipse) et sélectionnez Assigner l’appliance.

    « Assigner l’appliance » dans le menu Plus.

  2. Sélectionnez l’appliance à assigner et cliquez sur Enregistrer.

Ouvrir une console d’investigation

Pour ouvrir une console d’investigation, procédez de la manière suivante :

  1. Allez dans NDR > Console d’investigation
  2. Recherchez votre console dans la liste.
  3. Dans la colonne la plus à droite, cliquez sur le menu à trois points (ellipse) Icône 3 points. et sélectionnez Ouvrir la console NDR.

    Vous verrez un avertissement que vous quittez Sophos Central.

    Si vous avez oublié votre mot de passe, cliquez sur « Réinitialiser » pour le réinitialiser.

  4. Saisissez votre nom d’utilisateur et votre mot de passe, puis cliquez sur Ouvrir la console.

Afficher les consoles d’investigation

La page Console d’investigation répertorie vos consoles avec des détails de configuration et de performances.

  • Nom de la console
  • Appliances : Nombre d’appliances d'intégration NDR assignées à la console.
  • Type : Plate-forme virtuelle sur laquelle se trouve la console, par exemple VMware.
  • Version : Version de la plate-forme.
  • Processeur : Activités du processeur.
  • Mémoire : Utilisation de la mémoire.
  • Adresse IP

Afficher les appliances assignées

Sur la page Console d’investigation, dans la liste des consoles, cliquez sur la flèche en regard d’un nom de console pour afficher les détails des appliances d’intégration NDR qui lui sont assignées.

Une appliance NDR assignée.

  • Nom de l’appliance
  • Intégrations : Nombre d'intégrations utilisant l'appliance.
  • Mémoire : Utilisation de la mémoire.
  • Stockage
  • Type : Plate-forme virtuelle hébergeant l’appliance.
  • Version : Version de la plate-forme virtuelle.
  • IP de gestion : Interface de gestion.
  • Adresse IP syslog : Interface syslog.

Générer un nouveau mot de passe

Vous pouvez réinitialiser le mot de passe que vous utilisez pour accéder à la console d'investigation.

  1. Sur la page Console d’investigation, sélectionnez la console.
  2. Dans la colonne la plus à droite, cliquez sur le menu à trois points (ellipse) et sélectionnez Générer un nouveau mot de passe.

    Copiez le mot de passe et stockez-le en lieu sûr. Il n'est affiché qu'une seule fois. Vous ne pourrez pas le récupérer plus tard.

  3. Cliquez sur Réinitialiser.

Récupérer les journaux

Pour collecter les journaux de l’activité de la console, procédez comme suit :

  1. Sur la page Console d’investigation, sélectionnez la console.
  2. Dans la colonne la plus à droite, cliquez sur le menu à trois points Icône 3 points. et sélectionnez Récupérer les journaux.

Assistant à distance

Le support Sophos peut vous aider à dépanner les appliances Sophos qui hébergent une console d’investigation.

Dans certains cas, le support Sophos doit accéder à l’appliance à distance. Vous pouvez leur donner accès pendant 24 heures maximum comme suit.

L’appliance doit être connectée.

  1. Allez sur la page Console d’investigation.

  2. Recherchez l’appliance. Dans la colonne le plus à droite, cliquez sur le menu à trois points Icône 3 points. et sélectionnez Assistance à distance.

  3. Dans la boîte de dialogue Assistance à distance, procédez comme suit :

    1. Sélectionnez Activer.
    2. Cochez la case pour valider l’Avis de confidentialité de Sophos Group.
    3. Cliquez sur Enregistrer.

    Sophos Central demande un ID d’accès à l’appliance. Lorsqu’il est disponible, il s’affiche dans la boîte de dialogue.

    Boîte de dialogue d’assistance à distance.

  4. Copiez l’ID d’accès et envoyez-le au support Sophos. Il sera utilisé pour accéder à votre appliance.

L’Assistance à distance est automatiquement désactivée au bout de 24 heures. Pour la désactiver manuellement, retournez dans la boîte de dialogue Assistance à distance et désactivez Activer.