Déployer des appliances

Sur votre hôte VMware ESXi, procédez de la manière suivante :

1. Sélectionnez Machines virtuelles.

2. Cliquez sur Créer/Enregistrer une machine virtuelle.

   

3. Dans Sélectionner le type de création, sélectionnez Déployer une machine virtuelle à partir d’un fichier OVF ou OVA. Cliquez sur Suivant.

   

4. Dans Sélectionner les fichiers OVF et VMDK, procédez de la manière suivante.

   1. Saisissez le nom de la machine virtuelle.
   2. Cliquez sur la page pour sélectionner des fichiers. Sélectionnez le fichier OVA que vous avez téléchargé.
   3. Cliquez sur Suivant.

   

5. Dans Sélectionner le stockage, sélectionnez le stockage Standard. Sélectionnez ensuite le « datastore » dans lequel vous souhaitez placer votre machine virtuelle. Cliquez sur Suivant.

   

6. Dans Options de déploiement, saisissez les paramètres comme suit.

   1. SPAN1 et SPAN2. Vous n’en avez pas besoin pour les intégrations. Sélectionnez un groupe de ports comme paramètre fictif et déconnectez-le ultérieurement dans les paramètres de la machine virtuelle.
   2. Dans SYSLOG, sélectionnez le port qui recevra les données syslog de votre produit tiers.

   3. Dans MGMT, sélectionnez l’interface de gestion de l’appliance. Cette interface permet à l’appliance d’envoyer des données à Sophos Data Lake.

      Vous avez configuré cette interface plus tôt dans Sophos Central dans Paramètres du port réseau connecté à Internet.

      Si vous avez sélectionné DHCP lors de la configuration, assurez-vous que la machine virtuelle peut obtenir une adresse IP via DHCP.

   4. Dans Provisionnement de disques, assurez-vous que Thin est sélectionné.

   5. Assurez-vous que l’option Mise sous tension automatique est sélectionnée.
   6. Cliquez sur Suivant.

   

7. Ignorez l’étape Paramètres supplémentaires.

8. Cliquez sur Terminer. Attendez que la nouvelle machine virtuelle apparaisse dans la liste des machines virtuelles. L’opération peut prendre quelques minutes.

   

9. Démarrez la machine virtuelle et attendez la fin du processus d’installation.

   La machine virtuelle démarre pour la première fois et vérifie que ses connexions aux groupes de ports voulus et à Internet fonctionnent. Puis elle redémarre. L’opération peut durer jusqu’à 10 minutes.

10. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Configuré.

11. Sélectionnez l’onglet Appliances d’intégration et recherchez l’appliance sur la machine virtuelle que vous venez de déployer. L’icône d’état indique Connecté.

    

Configurez à présent votre produit tiers pour lui permettre d’envoyer des données à l’appliance. Revenez aux instructions d’intégration de ce produit pour voir comment procéder.

Le fichier Zip que vous avez téléchargé dans Sophos Central contient les fichiers dont vous avez besoin pour déployer votre machine virtuelle : disques virtuels, fichiers seed.iso et script PowerShell.

Pour déployer la machine virtuelle, procédez de la manière suivante :

1. Extrayez le fichier Zip dans un dossier de votre disque dur.
2. Accédez au dossier, cliquez sur le fichier ndr-sensor.ps1 avec le bouton droit de la souris et sélectionnez Exécuter avec PowerShell.

3. Si un message Avertissement de sécurité s’affiche, cliquez sur Ouvrir pour autoriser l’exécution du fichier.

   Vous serez invité à répondre à une série de questions.

4. Nommez la machine virtuelle.

5. Le script affiche le dossier dans lequel les fichiers VM seront stockés. Il s’agit d’un nouveau dossier dans votre emplacement d’installation par défaut pour les lecteurs virtuels. Saisissez C pour permettre au script de le créer.
6. Saisissez le nombre de processeurs (CPU) qui seront utilisés par la machine virtuelle.
7. Saisissez la quantité de mémoire en Go à utiliser.

8. Le script affiche une liste numérotée de tous vos vSwitchs existants.

   Sélectionnez le vSwitch auquel vous souhaitez associer l’interface de gestion et saisissez son numéro. Cette interface permet à l’appliance d’envoyer des données à Sophos Data Lake.

   Vous avez configuré cette interface plus tôt dans Sophos Central dans Paramètres du port réseau connecté à Internet.

   Si vous avez sélectionné DHCP lors de la configuration, assurez-vous que la machine virtuelle peut obtenir une adresse IP via DHCP.

   

9. Saisissez le vSwitch que vous souhaitez associer à l’interface Syslog.

   Il s’agit du vSwitch qui recevra les données syslog de votre produit tiers.

10. Il n’est pas nécessaire d’assigner des vSwitchs spécifiques à la capture du trafic réseau. Ces paramètres ne sont utiles que si vous avez Sophos NDR. Sélectionnez un vSwitch comme paramètre fictif et déconnectez-le ultérieurement dans les paramètres de la machine virtuelle.

    Le script PowerShell configure la machine virtuelle dans Hyper-V. Vous verrez s’afficher le message Installation réussie.

11. Appuyez sur une touche pour quitter.

12. Ouvrez Hyper-V Manager pour voir la machine virtuelle ajoutée à la liste des machines virtuelles. Vous pouvez modifier les paramètres si nécessaire. Puis démarrez-la.

    La machine virtuelle démarre pour la première fois et vérifie que ses connexions aux vSwitch et à Internet fonctionnent. Puis elle redémarre. L’opération peut durer jusqu’à 10 minutes.

13. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Configuré.

14. Sélectionnez l’onglet Appliances d’intégration et recherchez l’appliance sur la machine virtuelle que vous venez de déployer. L’icône d’état indique Connecté.

    

Configurez à présent votre produit tiers pour lui permettre d’envoyer des données à l’appliance. Revenez aux instructions d’intégration de ce produit pour voir comment procéder.

Télécharger des fichiers image

Pour télécharger les fichiers d'image disque et l'image ISO d'origine sur le système Nutanix, procédez de la manière suivante :

1. Depuis un navigateur Web, connectez-vous à la console Web Nutanix sur le port 9440.

2. Allez dans Accueil > Paramètres.

   

3. Sélectionnez Configuration de l’image.

   

Télécharger le fichier image racine

1. Cliquez sur Télécharger l’image
2. Saisissez un nom. Nous vous recommandons d'inclure le mot « racine » dans le nom.
3. (Facultatif) Ajouter une Annotation.

4. Sélectionnez Télécharger un fichier, cliquez sur Parcourir, puis sélectionnez votre fichier.

   Lorsque vous sélectionnez votre fichier, le Type d’image est automatiquement sélectionné.

   

5. Cliquez sur Enregistrer.

   Le téléchargement du fichier commence. Attendez la fin du téléchargement avant de poursuivre la configuration.

Télécharger le fichier image ISO d'origine

1. Cliquez sur Télécharger l’image.
2. Saisissez un nom. Nous vous recommandons d'inclure le mot « ISO » dans le nom.
3. (Facultatif) Ajouter une Annotation.

4. Sélectionnez Télécharger un fichier, cliquez sur Parcourir, puis sélectionnez votre fichier.

   Lorsque vous sélectionnez votre fichier, le Type d’image est automatiquement sélectionné.

5. Cliquez sur Enregistrer.

   Le téléchargement du fichier commence. Attendez la fin du téléchargement avant de poursuivre la configuration.

Les trois fichiers téléchargés apparaîtront sur la page Configuration de l’image.

Télécharger le script d’installation

Un script nommé ndr-sensor.sh est également inclus dans le fichier zip. Pour télécharger vers le contrôleur VM Nutanix AHV, utilisez le protocole de transfert de fichiers sécurisé (SCP), de la manière suivante :

1. Pour Windows, ouvrez une invite de commande ou, sous MacOS ou Linux, ouvrez un terminal.
2. Accédez au répertoire où se trouvent les fichiers décompressés.

3. Exécutez la commande suivante : scp ndr-sensor.sh admin@<ip-address>:~/.

   

4. Saisissez le mot de passe admin.

Exécuter le script d’installation

1. Ouvrez la VM Nutanix AHV.
2. Utilisez la commande suivante pour ouvrir une session et vous connecter via SSH : ssh admin@<ip-address>.
3. Pour exécuter le script d'installation, exécutez la commande suivante : bash ndr-sensor.sh.

4. Saisissez un nom pour la machine virtuelle de l'appliance. Le nom par défaut est ndr-sensor.

   

   Remarque

   Pour les éléments qui affichent une valeur par défaut, vous pouvez appuyer sur Entrée pour accepter la valeur par défaut.

5. Saisissez le nombre de cœurs de processeur à attribuer à la machine virtuelle. Par défaut, il s’agit de 4.

6. Saisissez la quantité de mémoire à assigner à la machine virtuelle. Par défaut, il s’agit de 16(GB).

Vous verrez le message suivant : Created vm <name> UUID <UUID>.

Sélectionner les fichiers d’image disque de VM

Pour sélectionner les fichiers image du disque de la VM, procédez de la manière suivante :

1. Saisissez le nom de l'image ISO d'origine que vous avez téléchargée.

   

2. Saisissez le nom de l'image du fichier image du disque racine que vous avez téléchargé.

3. Saisissez le nom de l'image du fichier image du disque de données que vous avez téléchargé.

Configuration du réseau

Le script crée les interfaces réseau suivantes pour la machine virtuelle :

• Réseau de gestion
• Réseau syslog
• ERSPAN pour les données de capture par tunnel
• SPAN pour que le réseau en miroir reçoive les données de capture d'autres machines virtuelles sur ce serveur de machines virtuelles

Le script répertorie les sous-réseaux virtuels disponibles pouvant être utilisés par les données de gestion, syslog et de capture RSPAN (Remote Switched Port Analyzer) tunnellisées.

Un seul sous-réseau peut être utilisé pour les trois réseaux.

Pour attribuer des sous-réseaux aux réseaux, procédez de la manière suivante :

1. Saisissez le numéro correspondant au sous-réseau à utiliser pour le réseau de gestion.

   

2. Saisissez le numéro correspondant au sous-réseau virtuel à utiliser pour le réseau de réception syslog.

3. La configuration du réseau SPAN est automatiquement créée à l'aide des paramètres de configuration. Il est défini comme type=kSpanDestinationNic.
4. Saisissez le numéro correspondant au sous-réseau virtuel à utiliser pour le réseau de capture RSPAN par tunnel.

Lorsque le script est terminé, il fournit quelques exemples de commandes acli pour activer une session Nutanix SPAN. L'adresse MAC répertoriée dans les exemples de commandes est l'adresse MAC de l'interface SPAN créée par le script.

Les exemples de commandes peuvent être utilisés pour les types de session SPAN suivants :

• Les données SPAN de toutes les machines virtuelles sur l'hôte de machine virtuelle.
• Les données SPAN d'une seule machine virtuelle sur l'hôte de machine virtuelle.

Retrouvez plus de renseignements sur Mise en miroir du trafic sur les hôtes AHV.

Démarrer la machine virtuelle

Après avoir terminé le script, retournez à la console Web Nutanix et accédez à la page VM, puis allumez votre VM.

Dans Sophos Central, accédez à la page Intégrations du produit que vous intégrez et actualisez-le. L’état de la machine virtuelle est maintenant Connecté.