Aller au contenu
Découvrez comment nous prenons en charge MDR.

Exigences relatives à l’appliance

Si vos intégrations utilisent une appliance, vérifiez quelles plateformes sont prises en charge et assurez-vous de répondre aux exigences requises.

Plates-formes prises en charge

Vous pouvez exécuter une appliance d’intégrations sur les plateformes logicielles suivantes :

  • VMware ESXi
  • Microsoft Hyper-V
  • Amazon Web Services (AWS)

Ces plateformes peuvent être utilisées pour les intégrations du collecteur de journaux tiers et Sophos NDR.

Cette page décrit la configuration requise pour VMware ESXi et Microsoft Hyper-V. Pour connaître les conditions requises pour AWS, voir Ajouter des intégrations sur AWS.

Vous pouvez également exécuter une appliance d’intégration sur le matériel suivant :

  • Dell
  • NUC
  • OnLogic

Ces systèmes peuvent être utilisés pour les intégrations du collecteur de journaux tiers et Sophos NDR.

Pour plus d’informations sur la configuration matérielle requise et les instructions d’installation, voirSophos NDR sur matériel.

Conditions requises

Ces conditions sont requises pour VMware ESXi ou Hyper-V.

Les exigences que vous devez remplir sont les suivantes :

  • Version de la plateforme
  • Configuration minimale requise
  • Configuration requise pour le processeur
  • Dimensionnement des machines virtuelles
  • Exclusions de port et de domaine

Version de la plateforme

Vérifiez votre version de VMware ESXi ou Microsoft Hyper-V.

Configuration VMware ESXi requise

Si vous utilisez VMware ESXi, la configuration requise est la suivante :

  • VMware ESXi à partir de la version 6.7 Update 3.
  • Matériel VM à partir de la version 11

Nous ne prenons pas en charge les déploiements VMware Cloud.

Nous prenons en charge les modes de compatibilité VMware Enhanced vMotion (EVC) si vous répondez aux exigences du processeur. Voir Configuration requise pour le processeur.

Pour vérifier votre version de VMware ESXi, consultez les articles suivants :

Conditions requises pour Microsoft Hyper-V

Si vous utilisez Microsoft Hyper-V, la configuration requise est la suivante :

  • Hyper-V version 6.0.6001.18016 (Windows Server 2016) ou version ultérieure

Nous ne prenons pas en charge le mode de compatibilité des processeurs.

Pour vérifier votre version de Microsoft Hyper-V, consultez Identifier votre version Hyper-V.

Configuration minimale requise

La configuration minimale requise est la même sur toutes les plates-formes.

Sur VMware, notre image OVA est préconfigurée pour répondre aux exigences minimales pour les intégrations de Sophos NDR et du collecteur de données.

Les conditions requises sont les suivantes :

  • 4 CPU
  • 1 Go de RAM
  • 160 Go de stockage

L’appliance nécessite également des microarchitectures de processeur spécifiques. Voir la configuration requise pour le processeur.

Vous devrez peut-être redimensionner la machine virtuelle si votre appliance gère un grand volume de données ou exécute plusieurs intégrations. Voir Dimensionnement des machines virtuelles.

Configuration requise pour le processeur

Le système exécutant la machine virtuelle doit utiliser l’une des microarchitectures de processeur indiquées ci-dessous.

Si vous avez Sophos NDR, veuillez également vous assurer que les indicateurs de CPU suivants sont définis :

  • pdpe1gb : pour la technologie de capture de paquets.
  • avx2 : pour les fonctions de Machine Learning de Sophos.

Les deux indicateurs sont disponibles dans les processeurs Intel et AMD illustrés dans le tableau ci-dessous.

NDR peut également s’exécuter sur des machines virtuelles dotées de processeurs plus actuels, tels que le processeur Intel Core i5, à condition que les indicateurs de processeur soient définis. Tout processeur lancé depuis le 1er trimestre 2015 devrait fonctionner.

Processeurs Intel

Nom Génération Nom de code Date
Skylake 6 Skylake Q3 2015
Skylake 7 Kaby Lake Q3 2016
Skylake 8 Coffee Lake Q3 2017
Skylake 9 Coffee Lake Refresh Q4 2018
Skylake 9 Cascade Lake Q2 2019
Skylake 10 Comet Lake Q3 2019
Palm Cove 10 Cannon Lake Q2 2018
Sunny Cove 10 Ice Lake Q3 2019
Cypress Cove 11 Rocket Lake Q1 2021
Golden Cove 12 Alder Lake Q4 2021
Raptor Cove 13 Raptor Lake Q4 2022

Pour vous aider à identifier les processeurs, les conventions de dénomination des processeurs Intel sont indiquées ci-dessous.

Dénomination des processeurs Intel.

Mode VMware EVC

Si votre appliance se trouve sur un hôte VMware ESXi exécuté dans un cluster EVC (Enhanced vMotion Compatibility), vous devez vous assurer que vous avez sélectionné :

  • Processeur de génération Skylake ou ultérieur
  • Matériel VMware à partir de la version 11

Processeurs AMD

Nom Génération Nom de code Date
Zen 1 Naples Q2 2017
Zen 1 Great Horned Owl Q1 2018
Zen 2 2 Rome Q3 2019
Zen 3 3 Milan Q2 2021
Zen 4 4 Genoa Q4 2022

Pour vous aider à identifier les processeurs, les conventions de dénomination des processeurs AMD sont présentées ci-dessous.

Dénomination des processeurs Intel.

Dimensionnement des machines virtuelles

Les instructions de dimensionnement des machines virtuelles varient selon que vous utilisiez Sophos NDR, les intégrations de collecteur de journaux ou les deux sur la machine virtuelle.

Sophos NDR uniquement

Il vous sera peut-être nécessaire de configurer la VM de façon à ce que l’appliance virtuelle Sophos NDR offre les meilleures performances et un impact minimal sur le réseau.

Voici nos recommandations, basées sur votre trafic réseau.

  • Trafic moyen


    • Jusqu’à 500Mbps
    • Jusqu’à 70 000 paquets par seconde
    • Jusqu’à 1200 débits par seconde

    Vous pouvez installer la machine virtuelle à l’aide des paramètres par défaut. Aucune modification des paramètres de la VM n’est requise.

  • Trafic élevé


    • Jusqu’à 1Gbps
    • Jusqu’à 300 000 paquets par seconde
    • Jusqu’à 4500 débits par seconde

    Vous devez redimensionner votre machine virtuelle à 8 CPU virtuels.

Si les statistiques de votre réseau sont supérieures à celles de la configuration Trafic élevé, déployez plusieurs machines virtuelles sur votre réseau.

Les recommandations ci-dessus concernent uniquement les machines virtuelles exécutant Sophos NDR. S’il exécute également des intégrations de l’outil de collecte de journaux sous charge lourde, il vous sera peut-être nécessaire d’ajouter d’autres processeurs virtuels. Voir Sophos NDR et intégrations du collecteur de journaux.

Intégration du collecteur de journaux uniquement

Vous n’avez généralement pas besoin de redimensionner une machine virtuelle si vous exécutez une intégration de collecteur de journaux unique. Les paramètres par défaut suffisent.

Cependant, vous devrez peut-être modifier les paramètres ou ajouter des machines virtuelles si vous disposez de plusieurs intégrations ou si un volume élevé d’événements est envoyé à vos collecteurs de journaux.

Mémoire

Vous avez besoin de jusqu’à 400 Mo de mémoire pour chaque intégration.

Vous pouvez exécuter jusqu’à quatre intégrations par collecteur de journaux. La mémoire maximale par défaut pour le conteneur du collecteur de journaux est de 2 Go.

Si vous souhaitez exécuter davantage d’intégrations, augmentez la mémoire maximale. Pour ce faire, modifiez la limite de mémoire SYSLOG dans la console de l’appliance. Voir Limite de mémoire Syslog.

Volume des événements

La machine virtuelle accepte un maximum de 8 000 événements par seconde. Cela s’applique quel que soit le nombre d’intégrations que vous avez sur la machine virtuelle.

Si vous avez plusieurs intégrations et pensez que vous allez dépasser cette limite, déployez plusieurs machines virtuelles.

Si l’intégration d’un collecteur de journaux dépasse la limite, utilisez les paramètres syslog de l’appareil source pour tenter de réduire le nombre d’événements.

Sophos NDR et intégrations du collecteur de journaux

Si vous disposez de Sophos NDR et des intégrations du collecteur de journaux sur la même machine virtuelle, il n’existe pas de solution unique pour le dimensionnement. Nous vous recommandons de commencer par le dimensionnement NDR, puis de prendre en compte les besoins des intégrations du collecteur de journaux.

Voici quelques facteurs qui peuvent avoir une incidence sur le dimensionnement :

  • NDR peut prendre le contrôle des processeurs et définir la priorité accordée aux autres intégrations qui les utilisent. Si vous avez 4 processeurs, NDR en utilise 2. Si vous avez 8 processeurs, NDR en utilise 3.
  • Même lorsque NDR utilise un processeur, d’autres intégrations peuvent encore l’utiliser et affecter la quantité de trafic que NDR peut gérer.
  • Si vous avez 16 Go de mémoire, nous ne permettons pas à l’intégration du collecteur de journaux d’utiliser plus de 2GB. Cela garantit que NDR dispose de suffisamment de mémoire.
  • Lorsqu’une intégration de collecteur de journaux traite le nombre maximal d’événements, elle utilise la même puissance de traitement que Sophos NDR sous une charge modérément lourde. Cela suppose que la machine virtuelle possède les 4 processeurs par défaut.

Exclusions de port et de domaine

Assurez-vous que le ports et les domaines ci-dessous sont autorisés sur votre pare-feu. Cela permet à l’appliance virtuelle Sophos de démarrer et de télécharger les mises à jour.

Les domaines que vous autoriserez dépendront de la prise en charge des caractères de remplacement par votre pare-feu.

Cliquez sur l’onglet pertinent pour obtenir plus de renseignements.

Domaine Ports Protocoles
*.sophos.com TCP/443, TCP/22 HTTPS, SSH
*.amazonaws.com TCP/443 HTTPS
*.ubuntu.com TCP/80, TCP/443, UDP/123 HTTP, HTTPS, NTP
api.snapcraft.io TCP/443 HTTPS
auth.docker.io TCP/443 HTTPS
baltocdn.com TCP/443 HTTPS
get.k3s.io TCP/443 HTTPS
github.com TCP/443 HTTPS
objects.githubusercontent.com TCP/443 HTTPS
production.cloudflare.docker.com TCP/443 HTTPS
raw.githubusercontent.com TCP/443 HTTPS
registry-1.docker.io TCP/443 HTTPS
sophossecops.jfrog.io TCP/443 HTTPS
Domaine Port Protocole
api.snapcraft.io TCP/443 HTTPS
archive.ubuntu.com TCP/80 HTTP
auth.docker.io TCP/443 HTTPS
baltocdn.com TCP/443 HTTPS
central.sophos.com TCP/443 HTTPS
changelogs.ubuntu.com TCP/443 HTTPS
entropy.ubuntu.com TCP/443 HTTPS
get.k3s.io TCP/443 HTTPS
github.com TCP/443 HTTPS
jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com TCP/443 HTTPS
ndr.apu.sophos.com TCP/22 SSH
nta-proxy.cloudstation.eu-central-1.prod.hydra.sophos.com TCP/443 HTTPS
nta-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com TCP/443 HTTPS
nta-proxy.cloudstation.us-east-2.prod.hydra.sophos.com TCP/443 HTTPS
nta-proxy.cloudstation.us-west-2.prod.hydra.sophos.com TCP/443 HTTPS
nta-proxy.cloudstation.ca-central-1.prod.hydra.sophos.com TCP/443 HTTPS
nta-proxy.cloudstation.ap-northeast-1.prod.hydra.sophos.com TCP/443 HTTPS
nta-proxy.cloudstation.ap-southeast-2.prod.hydra.sophos.com TCP/443 HTTPS
nta-proxy.cloudstation.ap-south-1.prod.hydra.sophos.com TCP/443 HTTPS
nta-proxy.cloudstation.sa-east-1.prod.hydra.sophos.com TCP/443 HTTPS
nta-push-ws.cloudstation-eu-central-1.prod.hydra.sophos.com TCP/443 HTTPS
nta-push-ws.cloudstation-eu-west-1.prod.hydra.sophos.com TCP/443 HTTPS
nta-push-ws.cloudstation-us-east-2.prod.hydra.sophos.com TCP/443 HTTPS
nta-push-ws.cloudstation-us-west-2.prod.hydra.sophos.com TCP/443 HTTPS
nta-push-ws.cloudstation.ca-central-1.prod.hydra.sophos.com TCP/443 HTTPS
nta-push-ws.cloudstation.ap-northeast-1.prod.hydra.sophos.com TCP/443 HTTPS
nta-push-ws.cloudstation.ap-southeast-2.prod.hydra.sophos.com TCP/443 HTTPS
nta-push-ws.cloudstation.ap-south-1.prod.hydra.sophos.com TCP/443 HTTPS
nta-push-ws.cloudstation.sa-east-1.prod.hydra.sophos.com TCP/443 HTTPS
ntp.ubuntu.com UDP/123 NTP
objects.githubusercontent.com TCP/443 HTTPS
production.cloudflare.docker.com TCP/443 HTTPS
raw.githubusercontent.com TCP/443 HTTPS
registry-1.docker.io TCP/443 HTTPS
s3-r-w.eu-west-1.amazonaws.com TCP/443 HTTPS
s3-r-w.eu-central-1.amazonaws.com TCP/443 HTTPS
s3-r-w.us-east-2.amazonaws.com TCP/443 HTTPS
s3-r-w.us-west-2.amazonaws.com TCP/443 HTTPS
s3-r-w.ca-central-1.amazonaws.com TCP/443 HTTPS
s3-r-w.ap-southeast-2.amazonaws.com TCP/443 HTTPS
s3-r-w.ap-northeast-1.amazonaws.com TCP/443 HTTPS
s3-r-w.ap-south-1.amazonaws.com TCP/443 HTTPS
s3-r-w.sa-east-1.amazonaws.com TCP/443 HTTPS
sdu-feedback.sophos.com TCP/443 HTTPS
security.ubuntu.com TCP/80 HTTP
sophossecops.jfrog.io TCP/443 HTTPS
tf-nta-sva-images-cloudstation-eu-west-1-prod-bucket.s3.eu-west-1.amazonaws.com TCP/443 HTTPS
tf-nta-sva-images-cloudstation-eu-central-1-prod-bucket.s3.eu-central-1.amazonaws.com TCP/443 HTTPS
tf-nta-sva-images-cloudstation-us-east-2-prod-bucket.s3.us-east-2.amazonaws.com TCP/443 HTTPS
tf-nta-sva-images-cloudstation-us-west-2-prod-bucket.s3.us-west-2.amazonaws.com TCP/443 HTTPS
tf-nta-sva-images-cloudstation-ca-central-1-prod-bucket.s3.ca-central-1.amazonaws.com TCP/443 HTTPS
tf-nta-sva-images-cloudstation-ap-southeast-2-prod-bucket.s3.ap-southeast-2.amazonaws.com TCP/443 HTTPS
tf-nta-sva-images-cloudstation-ap-northeast-1-prod-bucket.s3.ap-northeast-1.amazonaws.com TCP/443 HTTPS
tf-nta-sva-images-cloudstation-ap-south-1-prod-bucket.s3.ap-south-1.amazonaws.com TCP/443 HTTPS
tf-nta-sva-images-cloudstation-sa-east-1-prod-bucket.s3.sa-east-1.amazonaws.com TCP/443 HTTPS
tf-presigned-url-eu-west-1-prod-ndr-bucket.s3.eu-west-1.amazonaws.com TCP/443 HTTPS
tf-presigned-url-eu-central-1-prod-ndr-bucket.s3.eu-central-1.amazonaws.com TCP/443 HTTPS
tf-presigned-url-us-east-2-prod-ndr-bucket.s3.us-east-2.amazonaws.com TCP/443 HTTPS
tf-presigned-url-us-west-2-prod-ndr-bucket.s3.us-west-2.amazonaws.com TCP/443 HTTPS
tf-presigned-url-ca-central-1-prod-ndr-bucket.s3.ca-central-1.amazonaws.com TCP/443 HTTPS
tf-presigned-url-ap-southeast-2-prod-ndr-bucket.s3.ap-southeast-2.amazonaws.com TCP/443 HTTPS
tf-presigned-url-ap-northeast-1-prod-ndr-bucket.s3.ap-northeast-1.amazonaws.com TCP/443 HTTPS
tf-presigned-url-ap-south-1-prod-ndr-bucket.s3.ap-south-1.amazonaws.com TCP/443 HTTPS
tf-presigned-url-sa-east-1-prod-ndr-bucket.s3.sa-east-1.amazonaws.com TCP/443 HTTPS