Exigences de configuration sur le collecteur de données
Si vos intégrations utilisent un collecteur de données, la machine virtuelle sur laquelle il s’exécute doit répondre aux exigences de configuration.
Les exigences de configuration s’appliquent à Sophos NDR et aux intégrations de collecteur de journal tiers. Sont inclus :
- Configuration minimale requise
- Configuration requise pour le processeur
- Dimensionnement des machines virtuelles
- Exclusions de port et de domaine
Configuration minimale requise
La configuration minimale requise est la même sur toutes les plates-formes.
Sur VMware, notre image OVA est préconfigurée pour répondre aux exigences minimales pour les intégrations de Sophos NDR et du collecteur de données.
Les conditions requises sont les suivantes :
- 4 CPU
- 1 Go de RAM
- 160 Go de stockage
Le collecteur de données nécessite également des microarchitectures de processeur spécifiques. Voir la configuration requise pour le processeur.
Vous devrez peut-être redimensionner la machine virtuelle si votre collecteur de données gère un grand volume de données ou exécute plusieurs intégrations. Voir Dimensionnement des machines virtuelles.
Configuration requise pour le processeur
Le système exécutant la machine virtuelle doit utiliser l’une des microarchitectures de processeur indiquées ci-dessous.
Si vous avez Sophos NDR, veuillez également vous assurer que les indicateurs de CPU suivants sont définis :
pdpe1gb: pour la technologie de capture de paquets.avx2: pour les fonctions de Machine Learning de Sophos.
Les deux indicateurs sont disponibles dans les processeurs Intel et AMD illustrés ici.
Processeurs Intel
| Nom | Génération | Nom de code | Date |
|---|---|---|---|
| Skylake | 6 | Skylake | Q3 2015 |
| Skylake | 7 | Kaby Lake | Q3 2016 |
| Skylake | 8 | Coffee Lake | Q3 2017 |
| Skylake | 9 | Coffee Lake Refresh | Q4 2018 |
| Skylake | 9 | Cascade Lake | Q2 2019 |
| Skylake | 10 | Comet Lake | Q3 2019 |
| Palm Cove | 10 | Cannon Lake | Q2 2018 |
| Sunny Cove | 10 | Ice Lake | Q3 2019 |
| Cypress Cove | 11 | Rocket Lake | Q1 2021 |
| Golden Cove | 12 | Alder Lake | Q4 2021 |
| Raptor Cove | 13 | Raptor Lake | Q4 2022 |
Pour vous aider à identifier les processeurs, les conventions de dénomination des processeurs Intel sont indiquées ci-dessous.
Mode VMware EVC
Si votre appliance se trouve sur un hôte VMware ESXi exécuté dans un cluster EVC (Enhanced vMotion Compatibility), vous devez vous assurer que vous avez sélectionné :
- Processeur de génération Skylake ou ultérieur
- Matériel VMware à partir de la version 11
Processeurs AMD
| Nom | Génération | Nom de code | Date |
|---|---|---|---|
| Zen | 1 | Naples | Q2 2017 |
| Zen | 1 | Great Horned Owl | Q1 2018 |
| Zen 2 | 2 | Rome | Q3 2019 |
| Zen 3 | 3 | Milan | Q2 2021 |
| Zen 4 | 4 | Genoa | Q4 2022 |
Pour vous aider à identifier les processeurs, les conventions de dénomination des processeurs AMD sont présentées ci-dessous.
Dimensionnement des machines virtuelles
Les instructions de dimensionnement des machines virtuelles varient selon que vous utilisiez Sophos NDR, les intégrations de collecteur de journaux ou les deux sur la machine virtuelle.
Sophos NDR uniquement
Il vous sera peut-être nécessaire de configurer la VM de façon à ce que l’appliance virtuelle Sophos NDR offre les meilleures performances et un impact minimal sur le réseau.
Voici nos recommandations, basées sur votre trafic réseau.
-
Trafic moyen
- Jusqu’à 500Mbps
- Jusqu’à 70 000 paquets par seconde
- Jusqu’à 1200 débits par seconde
Vous pouvez installer la machine virtuelle à l’aide des paramètres par défaut. Aucune modification des paramètres de la VM n’est requise.
-
Trafic élevé
- Jusqu’à 1Gbps
- Jusqu’à 300 000 paquets par seconde
- Jusqu’à 4500 débits par seconde
Vous devez redimensionner votre machine virtuelle à 8 CPU virtuels.
Si les statistiques de votre réseau sont supérieures à celles de la configuration Trafic élevé, déployez plusieurs machines virtuelles sur votre réseau.
Les recommandations ci-dessus concernent uniquement les machines virtuelles exécutant Sophos NDR. S’il exécute également des intégrations de l’outil de collecte de journaux sous charge lourde, il vous sera peut-être nécessaire d’ajouter d’autres processeurs virtuels. Voir Sophos NDR et intégrations du collecteur de journaux.
Intégration du collecteur de journaux uniquement
Vous n’avez généralement pas besoin de redimensionner une machine virtuelle si vous exécutez une intégration de collecteur de journaux unique. Les paramètres par défaut suffisent.
Cependant, vous devrez peut-être modifier les paramètres ou ajouter des machines virtuelles si vous disposez de plusieurs intégrations ou si un volume élevé d’événements est envoyé à vos collecteurs de journaux.
Mémoire
Vous avez besoin de jusqu’à 400 Mo de mémoire pour chaque intégration.
Vous pouvez exécuter jusqu’à quatre intégrations par collecteur de journaux. La mémoire maximale par défaut pour le conteneur du collecteur de journaux est de 2 Go.
Si vous souhaitez exécuter davantage d’intégrations, augmentez la mémoire maximale. Pour ce faire, modifiez les paramètres du port SYSLOG dans la console du collecteur de données. Voi Port réseau Syslog.
Volume des événements
La machine virtuelle accepte un maximum de 8 000 événements par seconde. Cela s’applique quel que soit le nombre d’intégrations que vous avez sur la machine virtuelle.
Si vous avez plusieurs intégrations et pensez que vous allez dépasser cette limite, déployez plusieurs machines virtuelles.
Si l’intégration d’un collecteur de journaux dépasse la limite, utilisez les paramètres syslog de l’appareil source pour tenter de réduire le nombre d’événements.
Sophos NDR et intégrations du collecteur de journaux
Si vous disposez de Sophos NDR et des intégrations du collecteur de journaux sur la même machine virtuelle, il n’existe pas de solution unique pour le dimensionnement. Nous vous recommandons de commencer par le dimensionnement NDR, puis de prendre en compte les besoins des intégrations du collecteur de journaux.
Voici quelques facteurs qui peuvent avoir une incidence sur le dimensionnement :
- NDR peut prendre le contrôle des processeurs et définir la priorité accordée aux autres intégrations qui les utilisent. Si vous avez 4 processeurs, NDR en utilise 2. Si vous avez 8 processeurs, NDR en utilise 3.
- Même lorsque NDR utilise un processeur, d’autres intégrations peuvent encore l’utiliser et affecter la quantité de trafic que NDR peut gérer.
- Si vous avez 16 Go de mémoire, nous ne permettons pas à l’intégration du collecteur de journaux d’utiliser plus de 2GB. Cela garantit que NDR dispose de suffisamment de mémoire.
- Lorsqu’une intégration de collecteur de journaux traite le nombre maximal d’événements, elle utilise la même puissance de traitement que Sophos NDR sous une charge modérément lourde. Cela suppose que la machine virtuelle possède les 4 processeurs par défaut.
Exclusions de port et de domaine
Assurez-vous que le ports et les domaines ci-dessous sont autorisés sur votre pare-feu. Cela permet à l’appliance virtuelle Sophos de démarrer et de télécharger les mises à jour.
| Nom d’hôte/IP | Port | Protocole |
|---|---|---|
| 104.18.124.25 | 443 | TLS |
| 18.192.249.164 | 443 | TLS |
| 185.125.190.36 | 80 | HTTP |
| 185.125.190.39 | 80 | HTTP |
| 185.125.190.57 | 123 | NTP |
| 3.124.86.55 | 443 | TLS |
| 3.125.70.229 | 443 | TLS |
| 44.194.184.98 | 443 | TLS |
| 52.216.101.243 | 443 | TLS |
| 52.216.224.128 | 443 | TLS |
| 54.231.236.249 | 443 | TLS |
| 54.93.58.97 | 443 | TLS |
| 91.189.91.157 | 123 | NTP |
| 91.189.91.39 | 80 | HTTP |
| api.snapcraft.io | 443 | TLS |
| archive.ubuntu.com | 80 | HTTP |
| auth.docker.io | 443 | TLS |
| baltocdn.com | 443 | TLS |
| central.sophos.com | 443 | TLS |
| changelogs.ubuntu.com | 443 | TLS |
| entropy.ubuntu.com | 443 | TLS |
| jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com | 443 | TLS |
| nta-proxy.cloudstation.eu-central-1.prod.hydra.sophos.com | 443 | TLS |
| nta-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com | 443 | TLS |
| nta-proxy.cloudstation.us-east-2.prod.hydra.sophos.com | 443 | TLS |
| nta-proxy.cloudstation.us-west-2.prod.hydra.sophos.com | 443 | TLS |
| nta-push-ws.cloudstation.eu-central-1.prod.hydra.sophos.com | 443 | TLS |
| nta-push-ws.cloudstation-eu-central-1.prod.hydra.sophos.com | 443 | TLS |
| nta-push-ws.cloudstation-eu-west-1.prod.hydra.sophos.com | 443 | TLS |
| nta-push-ws.cloudstation-us-east-2.prod.hydra.sophos.com | 443 | TLS |
| nta-push-ws.cloudstation-us-west-2.prod.hydra.sophos.com | 443 | TLS |
| production.cloudflare.docker.com | 443 | TLS |
| raw.githubusercontent.com | 443 | TLS |
| registry-1.docker.io | 443 | TLS |
| sdu-feedback.sophos.com | 443 | TLS |
| security.ubuntu.com | 80 | HTTP |
| sophossecops.jfrog.io | 443 | TLS |
| tf-nta-sva-images-cloudstation-ap-northeast-1-prod-bucket.s3.ap-northeast-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-ap-south-1-prod-bucket.s3.ap-south-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-ap-southeast-2-prod-bucket.s3.ap-southeast-2.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-ca-central-1-prod-bucket.s3.ca-central-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-eu-central-1-prod-bucket.s3.eu-central-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-eu-west-1-prod-bucket.s3.eu-west-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-sa-east-1-prod-bucket.s3.sa-east-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-us-east-2-prod-bucket.s3.us-east-2.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-us-west-2-prod-bucket.s3.us-west-2.amazonaws.com | 443 | TLS |