Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=NDR-Nutanix

Sophos NDR sur Nutanix

Outil de collecte des journaux Sophos Network Detection and Response

Vous devez avoir un pack de licence d’intégration « Sophos Network Detection and Response » pour utiliser cette fonction.

Vous pouvez configurer Sophos NDR sur Nutanix, afin que NDR puisse détecter les comportements malveillants sur votre réseau.

Les étapes principales sont les suivantes :

  • Créer une image d’appliance NDR
  • Télécharger l’image de la machine virtuelle
  • Télécharger les fichiers image
  • Télécharger le script d’installation
  • Exécuter le script d’installation
  • Démarrer la machine virtuelle

Créer une image d’appliance NDR

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Recherchez et cliquez sur Sophos Network Detection and Response (NDR).

  3. Sur la page NDR, dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Les Étapes de configuration de l’intégration s’affichent.

  4. À l’Étape 1, saisissez le nom et la description de l’intégration.

    Étapes d’intégration.

  5. À l’Étape 2, cliquez sur Créer une nouvelle appliance.

  6. Pour créer la nouvelle appliance, procédez comme suit :

    1. Saisissez le nom de l’appliance et sa description. Saisissez un nom unique.
    2. Dans Plate-forme virtuelle, sélectionnez Nutanix.

    3. Indiquez le ports du réseau connecté à Internet.

      • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

        Remarque

        Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

      • Sélectionnez Manuel pour spécifier les paramètres réseau. Par exemple :

        • Adresse IP : 10.0.252.5
        • Masque de sous-réseau : 255.255.255.0
        • Adresse de la passerelle : 10.0.252.1
        • DNS 1 : 8.8.8.8
        • DNS 2 : 8.8.4.4

  7. À l’Étape 3, excluez les domaines et protocoles spécifiques de la vérification. Par exemple, vous pouvez le faire si vous avez un domaine qui cause de faux positifs.

    Vous pouvez configurer vos exclusions ultérieurement, mais vous devez saisir un nom de liste d’exclusion dès maintenant.

    1. Saisissez un nom dans le champ Nom de la liste d’exclusion.
    2. Pour exclure un domaine, cliquez sur Exclusions de domaine. Saisissez le nom de domaine, par exemple sophos.com, et cliquez sur Ajouter.

    3. Pour exclure un protocole, cliquez sur Exclusions de protocole. Vous pouvez saisir des informations dans l’un des champs ou dans les deux :

      • Dans le premier champ, saisissez un protocole de niveau supérieur. Par exemple, TCP ou UDP.
      • Dans le deuxième champ, saisissez un sous-protocole (site Web). Par exemple Facebook.

      Si vous saisissez des informations dans les deux champs, nous les assemblons en une seule chaîne avec un seul séparateur de points.

      Nous ne recommandons pas d’exclure complètement un protocole de niveau supérieur. Ne faites cela que si un protocole à trafic élevé qui n’est généralement pas risqué, comme un protocole de routage, génère trop de données.

      La capture d’écran présente des exemples d’informations.

    4. Cliquez sur Ajouter.

    Vous pouvez exporter vos exclusions dans un fichier JSON. Vous pouvez également télécharger des exclusions dans la liste à partir d’un fichier JSON que vous avez exporté précédemment.

    Exclusions de l’étape 3 de l’intégration.

  8. Cliquez sur Enregistrer.

La page NDR affiche la nouvelle intégration dans la liste des intégrations configurées.

Télécharger l’image de la machine virtuelle

Vous téléchargez maintenant l’image NDR dont vous avez besoin pour déployer et démarrer la nouvelle machine virtuelle.

  1. À côté de la nouvelle intégration, cliquez sur Icône 3 points. dans la colonne Actions et sélectionnez Télécharger l’image.

  2. Placez le pointeur de la souris sur l’icône à gauche du nom de l’intégration. Le message « Déploiement en attente » s’affiche.

    État de l’intégration.

Le fichier de déploiement Nutanix est un fichier zip qui contient des fichiers image disque, une image ISO d’origine contenant la clé d’autorisation et un script d’installation. Vous devez décompresser le fichier pour pouvoir en utiliser le contenu.

Télécharger des fichiers image

Pour télécharger les fichiers d'image disque et l'image ISO d'origine sur le système Nutanix, procédez de la manière suivante :

  1. Depuis un navigateur Web, connectez-vous à la console Web Nutanix sur le port 9440.

  2. Allez dans Accueil > Paramètres.

    Console web Nutanix.

  3. Sélectionnez Configuration de l’image.

    Configuration Nutanix.

Télécharger le fichier image racine

  1. Cliquez sur Télécharger l’image
  2. Saisissez un nom. Nous vous recommandons d'inclure le mot « racine » dans le nom.
  3. (Facultatif) Ajouter une Annotation.

  4. Sélectionnez Télécharger un fichier, cliquez sur Parcourir, puis sélectionnez votre fichier.

    Lorsque vous sélectionnez votre fichier, le Type d’image est automatiquement sélectionné.

    Télécharger un fichier.

  5. Cliquez sur Enregistrer.

    Le téléchargement du fichier commence. Attendez la fin du téléchargement avant de poursuivre la configuration.

Télécharger le fichier image ISO d'origine

  1. Cliquez sur Télécharger l’image.
  2. Saisissez un nom. Nous vous recommandons d'inclure le mot « ISO » dans le nom.
  3. (Facultatif) Ajouter une Annotation.

  4. Sélectionnez Télécharger un fichier, cliquez sur Parcourir, puis sélectionnez votre fichier.

    Lorsque vous sélectionnez votre fichier, le Type d’image est automatiquement sélectionné.

  5. Cliquez sur Enregistrer.

    Le téléchargement du fichier commence. Attendez la fin du téléchargement avant de poursuivre la configuration.

Les trois fichiers téléchargés apparaîtront sur la page Configuration de l’image.

Images téléchargées.

Télécharger le script d’installation

Un script nommé ndr-sensor.sh est également inclus dans le fichier zip. Pour télécharger vers le contrôleur VM Nutanix AHV, utilisez le protocole de transfert de fichiers sécurisé (SCP), de la manière suivante :

  1. Pour Windows, ouvrez une invite de commande ou, sous MacOS ou Linux, ouvrez un terminal.
  2. Accédez au répertoire où se trouvent les fichiers décompressés.

  3. Exécutez la commande suivante : scp ndr-sensor.sh admin@<ip-address>:~/.

    Invite de commande.

  4. Saisissez le mot de passe admin.

Exécuter le script d’installation

  1. Ouvrez la VM Nutanix AHV.
  2. Utilisez la commande suivante pour ouvrir une session et vous connecter via SSH : ssh admin@<ip-address>.
  3. Pour exécuter le script d'installation, exécutez la commande suivante : bash ndr-sensor.sh.

  4. Saisissez un nom pour la machine virtuelle de l'appliance. Le nom par défaut est ndr-sensor.

    Saisissez le nom de l'appliance.

    Remarque

    Pour les éléments qui affichent une valeur par défaut, vous pouvez appuyer sur Entrée pour accepter la valeur par défaut.

  5. Saisissez le nombre de cœurs de processeur à attribuer à la machine virtuelle. Par défaut, il s’agit de 4.

  6. Saisissez la quantité de mémoire à assigner à la machine virtuelle. Par défaut, il s’agit de 16(GB).

Vous verrez le message suivant : Created vm <name> UUID <UUID>.

Sélectionner les fichiers d’image disque de VM

Remarque

Pour toutes les étapes de sélection du disque, vous pouvez saisir 'L' pour afficher la liste des images stockées sur le système.

Pour sélectionner les fichiers image du disque de la VM, procédez de la manière suivante :

  1. Saisissez le nom de l'image ISO d'origine que vous avez téléchargée.

    Saisissez le nom ISO d’origine.

  2. Saisissez le nom de l'image du fichier image du disque racine que vous avez téléchargé.

  3. Saisissez le nom de l'image du fichier image du disque de données que vous avez téléchargé.

Configuration du réseau

Le script crée les interfaces réseau suivantes pour la machine virtuelle :

  • Réseau de gestion
  • Réseau syslog
  • ERSPAN pour les données de capture par tunnel
  • SPAN pour que le réseau en miroir reçoive les données de capture d'autres machines virtuelles sur ce serveur de machines virtuelles

Le script répertorie les sous-réseaux virtuels disponibles pouvant être utilisés par les données de gestion, syslog et de capture RSPAN (Remote Switched Port Analyzer) tunnellisées.

Un seul sous-réseau peut être utilisé pour les trois réseaux.

Pour attribuer des sous-réseaux aux réseaux, procédez de la manière suivante :

  1. Saisissez le numéro correspondant au sous-réseau à utiliser pour le réseau de gestion.

    Saisissez le numéro de réseau.

  2. Saisissez le numéro correspondant au sous-réseau virtuel à utiliser pour le réseau de réception syslog.

  3. La configuration du réseau SPAN est automatiquement créée à l'aide des paramètres de configuration. Il est défini comme type=kSpanDestinationNic.
  4. Saisissez le numéro correspondant au sous-réseau virtuel à utiliser pour le réseau de capture RSPAN par tunnel.

Lorsque le script est terminé, il fournit quelques exemples de commandes acli pour activer une session Nutanix SPAN. L'adresse MAC répertoriée dans les exemples de commandes est l'adresse MAC de l'interface SPAN créée par le script.

Les exemples de commandes peuvent être utilisés pour les types de session SPAN suivants :

  • Les données SPAN de toutes les machines virtuelles sur l'hôte de machine virtuelle.
  • Les données SPAN d'une seule machine virtuelle sur l'hôte de machine virtuelle.

Retrouvez plus de renseignements sur Mise en miroir du trafic sur les hôtes AHV.

Démarrer la machine virtuelle

Après avoir terminé le script, retournez à la console Web Nutanix et accédez à la page VM, puis allumez votre VM.

La VM s'affiche dans la console Web Nutanix.

Remarque

Lorsque vous mettez la machine virtuelle sous tension, elle passe par son premier processus de démarrage, qui peut prendre jusqu'à dix minutes.

Dans Sophos Central, accédez à la page Intégrations du produit que vous intégrez et actualisez-le. L’état de la machine virtuelle est maintenant Connecté.