Aller au contenu
Découvrez comment nous prenons en charge MDR.

Exigences de configuration sur le collecteur de données

Si vos intégrations utilisent un collecteur de données, la machine virtuelle sur laquelle il s’exécute doit répondre aux exigences de configuration.

Les exigences de configuration s’appliquent à Sophos NDR et aux intégrations de collecteur de journal tiers. Sont inclus :

  • Configuration minimale requise
  • Configuration requise pour le processeur
  • Dimensionnement des machines virtuelles
  • Exclusions de port et de domaine

Configuration minimale requise

La configuration minimale requise est la même sur toutes les plates-formes.

Sur VMware, notre image OVA est préconfigurée pour répondre aux exigences minimales pour les intégrations de Sophos NDR et du collecteur de données.

Les conditions requises sont les suivantes :

  • 4 CPU
  • 1 Go de RAM
  • 160 Go de stockage

Le collecteur de données nécessite également des microarchitectures de processeur spécifiques. Voir la configuration requise pour le processeur.

Vous devrez peut-être redimensionner la machine virtuelle si votre collecteur de données gère un grand volume de données ou exécute plusieurs intégrations. Voir Dimensionnement des machines virtuelles.

Configuration requise pour le processeur

Le système exécutant la machine virtuelle doit utiliser l’une des microarchitectures de processeur indiquées ci-dessous.

Si vous avez Sophos NDR, veuillez également vous assurer que les indicateurs de CPU suivants sont définis :

  • pdpe1gb : pour la technologie de capture de paquets.
  • avx2 : pour les fonctions de Machine Learning de Sophos.

Les deux indicateurs sont disponibles dans les processeurs Intel et AMD illustrés ici.

Processeurs Intel

Nom Génération Nom de code Date
Skylake 6 Skylake Q3 2015
Skylake 7 Kaby Lake Q3 2016
Skylake 8 Coffee Lake Q3 2017
Skylake 9 Coffee Lake Refresh Q4 2018
Skylake 9 Cascade Lake Q2 2019
Skylake 10 Comet Lake Q3 2019
Palm Cove 10 Cannon Lake Q2 2018
Sunny Cove 10 Ice Lake Q3 2019
Cypress Cove 11 Rocket Lake Q1 2021
Golden Cove 12 Alder Lake Q4 2021
Raptor Cove 13 Raptor Lake Q4 2022

Pour vous aider à identifier les processeurs, les conventions de dénomination des processeurs Intel sont indiquées ci-dessous.

Dénomination des processeurs Intel

Mode VMware EVC

Si votre appliance se trouve sur un hôte VMware ESXi exécuté dans un cluster EVC (Enhanced vMotion Compatibility), vous devez vous assurer que vous avez sélectionné :

  • Processeur de génération Skylake ou ultérieur
  • Matériel VMware à partir de la version 11

Processeurs AMD

Nom Génération Nom de code Date
Zen 1 Naples Q2 2017
Zen 1 Great Horned Owl Q1 2018
Zen 2 2 Rome Q3 2019
Zen 3 3 Milan Q2 2021
Zen 4 4 Genoa Q4 2022

Pour vous aider à identifier les processeurs, les conventions de dénomination des processeurs AMD sont présentées ci-dessous.

Dénomination des processeurs Intel

Dimensionnement des machines virtuelles

Les instructions de dimensionnement des machines virtuelles varient selon que vous utilisiez Sophos NDR, les intégrations de collecteur de journaux ou les deux sur la machine virtuelle.

Sophos NDR uniquement

Il vous sera peut-être nécessaire de configurer la VM de façon à ce que l’appliance virtuelle Sophos NDR offre les meilleures performances et un impact minimal sur le réseau.

Voici nos recommandations, basées sur votre trafic réseau.

  • Trafic moyen


    • Jusqu’à 500Mbps
    • Jusqu’à 70 000 paquets par seconde
    • Jusqu’à 1200 débits par seconde

    Vous pouvez installer la machine virtuelle à l’aide des paramètres par défaut. Aucune modification des paramètres de la VM n’est requise.

  • Trafic élevé


    • Jusqu’à 1Gbps
    • Jusqu’à 300 000 paquets par seconde
    • Jusqu’à 4500 débits par seconde

    Vous devez redimensionner votre machine virtuelle à 8 CPU virtuels.

Si les statistiques de votre réseau sont supérieures à celles de la configuration Trafic élevé, déployez plusieurs machines virtuelles sur votre réseau.

Les recommandations ci-dessus concernent uniquement les machines virtuelles exécutant Sophos NDR. S’il exécute également des intégrations de l’outil de collecte de journaux sous charge lourde, il vous sera peut-être nécessaire d’ajouter d’autres processeurs virtuels. Voir Sophos NDR et intégrations du collecteur de journaux.

Intégration du collecteur de journaux uniquement

Vous n’avez généralement pas besoin de redimensionner une machine virtuelle si vous exécutez une intégration de collecteur de journaux unique. Les paramètres par défaut suffisent.

Cependant, vous devrez peut-être modifier les paramètres ou ajouter des machines virtuelles si vous disposez de plusieurs intégrations ou si un volume élevé d’événements est envoyé à vos collecteurs de journaux.

Mémoire

Vous avez besoin de jusqu’à 400 Mo de mémoire pour chaque intégration.

Vous pouvez exécuter jusqu’à quatre intégrations par collecteur de journaux. La mémoire maximale par défaut pour le conteneur du collecteur de journaux est de 2 Go.

Si vous souhaitez exécuter davantage d’intégrations, augmentez la mémoire maximale. Pour ce faire, modifiez les paramètres du port SYSLOG dans la console du collecteur de données. Voi Port réseau Syslog.

Volume des événements

La machine virtuelle accepte un maximum de 8 000 événements par seconde. Cela s’applique quel que soit le nombre d’intégrations que vous avez sur la machine virtuelle.

Si vous avez plusieurs intégrations et pensez que vous allez dépasser cette limite, déployez plusieurs machines virtuelles.

Si l’intégration d’un collecteur de journaux dépasse la limite, utilisez les paramètres syslog de l’appareil source pour tenter de réduire le nombre d’événements.

Sophos NDR et intégrations du collecteur de journaux

Si vous disposez de Sophos NDR et des intégrations du collecteur de journaux sur la même machine virtuelle, il n’existe pas de solution unique pour le dimensionnement. Nous vous recommandons de commencer par le dimensionnement NDR, puis de prendre en compte les besoins des intégrations du collecteur de journaux.

Voici quelques facteurs qui peuvent avoir une incidence sur le dimensionnement :

  • NDR peut prendre le contrôle des processeurs et définir la priorité accordée aux autres intégrations qui les utilisent. Si vous avez 4 processeurs, NDR en utilise 2. Si vous avez 8 processeurs, NDR en utilise 3.
  • Même lorsque NDR utilise un processeur, d’autres intégrations peuvent encore l’utiliser et affecter la quantité de trafic que NDR peut gérer.
  • Si vous avez 16 Go de mémoire, nous ne permettons pas à l’intégration du collecteur de journaux d’utiliser plus de 2GB. Cela garantit que NDR dispose de suffisamment de mémoire.
  • Lorsqu’une intégration de collecteur de journaux traite le nombre maximal d’événements, elle utilise la même puissance de traitement que Sophos NDR sous une charge modérément lourde. Cela suppose que la machine virtuelle possède les 4 processeurs par défaut.

Exclusions de port et de domaine

Assurez-vous que le ports et les domaines ci-dessous sont autorisés sur votre pare-feu. Cela permet à l’appliance virtuelle Sophos de démarrer et de télécharger les mises à jour.

Nom d’hôte/IP Port Protocole
104.18.124.25 443 TLS
18.192.249.164 443 TLS
185.125.190.36 80 HTTP
185.125.190.39 80 HTTP
185.125.190.57 123 NTP
3.124.86.55 443 TLS
3.125.70.229 443 TLS
44.194.184.98 443 TLS
52.216.101.243 443 TLS
52.216.224.128 443 TLS
54.231.236.249 443 TLS
54.93.58.97 443 TLS
91.189.91.157 123 NTP
91.189.91.39 80 HTTP
api.snapcraft.io 443 TLS
archive.ubuntu.com 80 HTTP
auth.docker.io 443 TLS
baltocdn.com 443 TLS
central.sophos.com 443 TLS
changelogs.ubuntu.com 443 TLS
entropy.ubuntu.com 443 TLS
jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com 443 TLS
nta-proxy.cloudstation.eu-central-1.prod.hydra.sophos.com 443 TLS
nta-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com 443 TLS
nta-proxy.cloudstation.us-east-2.prod.hydra.sophos.com 443 TLS
nta-proxy.cloudstation.us-west-2.prod.hydra.sophos.com 443 TLS
nta-push-ws.cloudstation.eu-central-1.prod.hydra.sophos.com 443 TLS
nta-push-ws.cloudstation-eu-central-1.prod.hydra.sophos.com 443 TLS
nta-push-ws.cloudstation-eu-west-1.prod.hydra.sophos.com 443 TLS
nta-push-ws.cloudstation-us-east-2.prod.hydra.sophos.com 443 TLS
nta-push-ws.cloudstation-us-west-2.prod.hydra.sophos.com 443 TLS
production.cloudflare.docker.com 443 TLS
raw.githubusercontent.com 443 TLS
registry-1.docker.io 443 TLS
sdu-feedback.sophos.com 443 TLS
security.ubuntu.com 80 HTTP
sophossecops.jfrog.io 443 TLS
tf-nta-sva-images-cloudstation-ap-northeast-1-prod-bucket.s3.ap-northeast-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-ap-south-1-prod-bucket.s3.ap-south-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-ap-southeast-2-prod-bucket.s3.ap-southeast-2.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-ca-central-1-prod-bucket.s3.ca-central-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-eu-central-1-prod-bucket.s3.eu-central-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-eu-west-1-prod-bucket.s3.eu-west-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-sa-east-1-prod-bucket.s3.sa-east-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-us-east-2-prod-bucket.s3.us-east-2.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-us-west-2-prod-bucket.s3.us-west-2.amazonaws.com 443 TLS