Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=NDR-Nutanix

Sophos NDR sur Nutanix

Vous devez avoir un pack de licence d’intégration Sophos Network Detection and Response pour utiliser cette fonction.

Vous pouvez configurer Sophos NDR sur Nutanix afin que NDR puisse détecter les comportements malveillants sur votre réseau.

Remarque

Les instructions ci-dessous s'appliquent à la version 6.8 de Nutanix. Si vous utilisez une version antérieure ou ultérieure, quelques différences pourraient survenir.

Vidéo d’installation

Regardez la vidéo d’installation pour vous guider tout au long du processus :

Installer NDR Sensor sur Nutanix AHV

Conditions requises

La machine virtuelle qui exécute l’appliance a des exigences d’accès au système et au réseau. Retrouvez plus de renseignements sur Exigences relatives à l’appliance.

Retrouvez plus de renseignements sur les exigences en termes de microarchitecture du processeur et d’indicateurs de CPU sur Configuration requise pour le processeur.

Remarque

Si vous utilisez les deux interfaces SPAN, votre machine virtuelle devra comporter 8 cœurs de CPU.

Retrouvez plus de renseignements sur le redimensionnement de la machine virtuelle afin d’obtenir des performances optimales sur Guide de dimensionnement des appliances Sophos NDR.

Créer une image d’appliance NDR

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Recherchez et cliquez sur Sophos Network Detection and Response (NDR).

  3. Sur la page NDR, dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Les Étapes de configuration de l’intégration s’affichent.

  4. À l’Étape 1, saisissez le nom et la description de l’intégration.

    Étapes d’intégration.

  5. À l’Étape 2, cliquez sur Créer une nouvelle appliance.

  6. Pour créer la nouvelle appliance, procédez comme suit :

    1. Saisissez le nom de l’appliance et sa description.
    2. Dans Plate-forme virtuelle, sélectionnez Nutanix.

    3. Indiquez le ports du réseau connecté à Internet.

      • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

        Remarque

        Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

      • Sélectionnez Manuel pour spécifier les paramètres réseau. Par exemple :

        • Adresse IP : 10.0.252.5
        • Masque de sous-réseau : 255.255.255.0
        • Adresse de la passerelle : 10.0.252.1
        • DNS 1 : 8.8.8.8
        • DNS 2 : 8.8.4.4

  7. À l’Étape 3, excluez les domaines et protocoles spécifiques de la vérification. Par exemple, vous pouvez le faire si vous avez un domaine qui cause de faux positifs.

    Vous pouvez configurer vos exclusions ultérieurement, mais vous devez saisir un nom de liste d’exclusion dès maintenant.

    1. Saisissez un nom dans le champ Nom de la liste d’exclusion.
    2. Pour exclure un domaine, cliquez sur Exclusions de domaine. Saisissez le nom de domaine, par exemple sophos.com, et cliquez sur Ajouter.

    3. Pour exclure un protocole, cliquez sur Exclusions de protocole.

      Vous pouvez saisir des informations dans l’un des champs ou dans les deux, comme suit :

      • Dans le premier champ, saisissez un protocole de niveau supérieur. Par exemple, TCP ou UDP.
      • Dans le deuxième champ, saisissez un sous-protocole (site Web). Par exemple, Facebook.

      Si vous saisissez des informations dans les deux champs, nous les assemblons en une seule chaîne avec un seul séparateur de points.

      Nous ne recommandons pas d’exclure complètement un protocole de niveau supérieur. Ne faites cela que si un protocole à trafic élevé qui n’est généralement pas risqué, comme un protocole de routage, génère trop de données.

      La capture d’écran présente des exemples d’informations.

    4. Cliquez sur Ajouter.

    Vous pouvez exporter vos exclusions dans un fichier JSON. Vous pouvez également importer des exclusions dans la liste à partir d’un fichier JSON que vous avez exporté précédemment.

    Exclusions de l’étape 3 de l’intégration.

  8. Revenez en haut de la page et cliquez sur Enregistrer.

    Vous voyez vos Identifiants de l'appliance. Copiez-les et conservez-les en lieu sûr.

    Remarque

    Il ne sont affichés qu'une seule fois.

  9. Cliquez sur OK.

    Votre programme d’installation Nutanix est généré. L’opération peut prendre quelques minutes.

Sur la page NDR, sous Intégrations NDR configurées, vous voyez la nouvelle intégration. Si elle n’apparait pas, cliquez sur l'icône Actualiser. Icône Actualiser.

Télécharger l’image de la machine virtuelle

Vous téléchargez maintenant l’image NDR dont vous avez besoin pour déployer et démarrer la nouvelle machine virtuelle.

  1. À côté de la nouvelle intégration, cliquez sur l’Icône représentant trois points. dans la colonne Actions puis sélectionnez Télécharger l’image.

    Le fichier de déploiement Nutanix est un fichier zip qui contient des fichiers image disque, une image ISO d’origine contenant la clé d’autorisation et un script d’installation.

  2. Décompressez le fichier pour pouvoir en utiliser le contenu.

  3. (Facultatif) Vous pouvez placer le curseur sur l’icône à gauche du nom de l’intégration. Le message « Déploiement en attente » s’affiche.

    État de l’intégration.

Téléverser des fichiers image

Pour téléverser les fichiers d'image disque et l'image ISO d'origine sur le système Nutanix, procédez de la manière suivante :

  1. Depuis un navigateur Web, connectez-vous à la console Web Nutanix sur le port 9440.

  2. Allez dans Accueil > Paramètres.

    Console web Nutanix.

  3. Sélectionnez Configuration de l’image.

    Configuration Nutanix.

Téléverser le fichier image racine

  1. Cliquez sur Téléverser l’image.
  2. Saisir un nom. Nous vous recommandons d'inclure le mot « racine » dans le nom.
  3. (Facultatif) Vous pouvez ajouter une Annotation.
  4. Pour Type d'image, sélectionnez DISQUE.
  5. Sélectionnez Téléverser un fichier, cliquez sur Parcourir, puis sélectionnez et ouvrez le fichier ndr-root.qcow2.

  6. Cliquez sur Save.

    Téléverser un fichier.

    Le téléversement du fichier commence. L’opération peut prendre quelques minutes. Attendez la fin du téléversement avant de poursuivre la configuration.

Téléverser le fichier de données d’image

  1. Cliquez sur Téléverser l’image.
  2. Saisir un nom. Nous vous recommandons d'inclure le mot « données » dans le nom.
  3. (Facultatif) Vous pouvez ajouter une Annotation.
  4. Pour Type d'image, sélectionnez DISQUE.
  5. Sélectionnez Téléverser un fichier, cliquez sur Parcourir, puis sélectionnez et ouvrez le fichier ndr-data.qcow2.

  6. Cliquez sur Save.

    Le téléversement du fichier commence. L’opération peut prendre quelques minutes. Attendez la fin du téléversement avant de poursuivre la configuration.

Téléverser le fichier image ISO d'origine

  1. Cliquez sur Téléverser l’image.
  2. Saisir un nom. Nous vous recommandons d'inclure le mot « ISO » dans le nom.
  3. (Facultatif) Vous pouvez ajouter une Annotation.
  4. Pour Type d'image, sélectionnez ISO.
  5. Sélectionnez Téléverser un fichier, cliquez sur Parcourir, puis sélectionnez et ouvrez le fichier seed.iso.

  6. Cliquez sur Save.

    Le téléversement du fichier commence. L’opération peut prendre quelques minutes. Attendez la fin du téléversement avant de poursuivre la configuration.

Les trois fichiers téléversés apparaîtront sur la page Configuration de l’image.

Images téléversées.

Téléverser le script d’installation

Un script nommé ndr-sensor.sh est également inclus dans le fichier zip. Pour téléverser le script vers Nutanix Controller VM (CVM), utilisez le protocole SCP (Secure Copy Protocol), de la manière suivante :

  1. Pour Windows, ouvrez une invite de commande. Pour macOS et Linux, ouvrez un terminal.
  2. Accédez au répertoire où se trouvent les fichiers décompressés.

  3. Exécutez la commande suivante : scp ndr-sensor.sh admin@<adresse IP>:~/.

    Invite de commande.

    Remarque

    Si vous utilisez une version antérieure de Nutanix, vous devrez peut-être ajouter l’indicateur -O à la commande, comme suit : scp -O ndr-sensor.sh admin@<ip-address>:~/

  4. Saisissez le mot de passe admin.

    Le script est copié de manière sécurisée dans le dossier personnel de l'utilisateur administrateur sur Nutanix CVM.

Exécuter le script d’installation

  1. Utilisez la commande suivante pour vous connecter au contrôleur CVM Nutanix via SSH : ssh admin@<adresse-ip>.
  2. Saisissez le mot de passe admin.
  3. Pour exécuter le programme d’installation, exécutez la commande suivante : bash ndr-sensor.sh.

  4. Saisissez un nom pour la machine virtuelle de l'appliance. Le nom par défaut est ndr-sensor.

    Saisissez le nom de l'appliance.

  5. Saisissez le nombre de cœurs CPU et la quantité de mémoire à utiliser.

    Pour les éléments qui affichent une valeur par défaut, vous pouvez appuyer sur Entrée pour accepter la valeur par défaut.

    1. Saisissez le nombre de cœurs de processeur à attribuer à la machine virtuelle. Le nombre par défaut est 4.
    2. Saisissez la quantité de mémoire à assigner à la machine virtuelle. La valeur par défaut est 16 (Go).

Vous verrez le message suivant : Created vm <name> UUID <UUID>.

Sélectionner les fichiers d’image disque de VM

Remarque

Pour toutes les étapes de sélection du disque, vous pouvez saisir 'L' pour afficher la liste des images stockées sur le système.

Pour sélectionner les fichiers image du disque de la VM, procédez de la manière suivante :

  1. Saisissez le nom de l'image ISO d'origine que vous avez téléversée.

    Saisissez le nom ISO d’origine.

  2. Saisissez le nom de l'image du fichier image du disque racine que vous avez téléversé.

  3. Saisissez le nom de l'image du fichier image du disque de données que vous avez téléversé.

Configuration du réseau

Le script crée les interfaces réseau suivantes pour la machine virtuelle :

  • Réseau de gestion
  • Réseau syslog
  • ERSPAN pour les données de capture par tunnel
  • SPAN pour que le réseau en miroir reçoive les données de capture d'autres machines virtuelles sur ce serveur de machines virtuelles

Le script répertorie les sous-réseaux virtuels disponibles pouvant être utilisés par les données de gestion, syslog et de capture RSPAN (Remote Switched Port Analyzer) tunnellisées.

Un seul sous-réseau peut être utilisé pour les trois réseaux.

Pour attribuer des sous-réseaux aux réseaux, procédez de la manière suivante :

  1. Saisissez le numéro correspondant au sous-réseau à utiliser pour le réseau de gestion.

    Saisissez le numéro de réseau.

  2. Saisissez le numéro correspondant au sous-réseau virtuel à utiliser pour le réseau de réception syslog.

  3. La configuration du réseau SPAN est automatiquement créée à l'aide des paramètres de configuration. Le type est défini comme type=kSpanDestinationNic.

  4. Saisissez le numéro correspondant au sous-réseau virtuel à utiliser pour le réseau de capture ERSPAN par tunnel.

    Une fois le script terminé, il fournit quelques exemples de commandes acli pour activer une session Nutanix SPAN. L'adresse MAC répertoriée dans les exemples de commandes est l'adresse MAC de l'interface SPAN créée par le script.

    Les exemples de mise en miroir du trafic présentés concernent les scénarios suivants :

    • Pour activer la mise en miroir du trafic pour tous les VM situés sur un hôte
    • Pour activer la mise en miroir du trafic pour un NIC sur une machine virtuelle spécifique

    Exemples de mise en miroir du trafic.

  5. Copiez les exemples de commandes. Vous en aurez besoin plus tard.

Retrouvez plus de renseignements sur Mise en miroir du trafic sur les hôtes AHV.

Modifier un exemple de commande

  1. Utilisez la commande suivante pour lister vos UUID d’hôtes : acli host.list.
  2. Copiez votre UUID d'hôte.

  3. Collez-la à l’espace réservé au sein de la commande « Activer la mise en miroir du trafic pour tous les VM situés sur un hôte ».

    L’identificateur est l’interface réseau qui sera surveillée. Dans l’exemple, il s’agit de br0-up, qui correspond à deux interfaces physiques connectées par un pont, telles qu’une configuration actif-actif ou actif-passif.

  4. (Facultatif) Si nécessaire, remplacez l’identificateur par une autre interface réseau, telle que eth0.

Activer le CPU Passthrough

Ces étapes ne s’appliquent qu’à Nutanix version 6.8 et ultérieure.

  1. Vérifiez si le cpu-passthrough est activé, comme suit :

    1. Utilisez la commande acli vm.list pour répertorier vos VM.
    2. Copiez l'UUID de la machine virtuelle que vous avez créée.
    3. Saisissez acli vm.get <UUID> pour voir les détails de la machine virtuelle.
    4. Faites défiler vers le haut et vérifiez si cpu-passthrough est affiché comme True ou False.

  2. Si cpu-passthrough est False, procédez comme suit :

    1. Exécutez la commande suivante : acli vm.update <UUID> cpu-passthrough=true.
    2. Saisissez acli vm.get <UUID> pour voir les détails de la machine virtuelle.
    3. Faites défiler vers le haut et vérifiez si cpu-passthrough est désormais affiché comme True.

Démarrer la machine virtuelle

  1. Sur la console Web Nutanix, cliquez sur Paramètres, puis sur VM.

  2. Cliquez avec le bouton droit sur le nom de la VM, puis cliquez sur Démarrer.

    Allumer la machine virtuelle.

  3. Cliquez avec le bouton droit sur le nom de la VM, puis cliquez sur Lancer la Console.

    Vous pouvez surveiller l'avancement du premier processus de démarrage.

    Remarque

    L’opération peut prendre jusqu’à 10 minutes.

  4. Dans Sophos Central, cliquez sur Centre d'analyse des menaces. Sous Intégrations, allez dans Configuré > Appliances d'intégration.

    L’état de la machine virtuelle est maintenant Connecté.

Activer la mise en miroir du trafic pour toutes les VM situées sur un hôte

  1. Retournez à l'invite de commande qui exécute l'interface en ligne de commande de l'hôte Nutanix, puis collez et exécutez la commande que vous avez modifiée précédemment.

    La session SPAN est créée.

Vérifier le flux de trafic

  1. Ouvrez une session SSH dans un client SSH, tel que PuTTY.
  2. Connectez-vous à l’adresse IP de l’appliance NDR et connectez-vous en tant qu’utilisateur zadmin avec le mot de passe que vous avez enregistré précédemment dans Sophos Central. Voir Créer une image d’appliance NDR.
  3. Exécutez la commande suivante : sudo kubectl logs -f deployment/dragonfly.

  4. Entrez le mot de passe zadmin.

    Vérifiez que l'interface SPAN est surveillée en vérifiant les paquets de l'interface SPAN.

  5. Tapez exit.

Configurer ERSPAN

Pour surveiller le trafic provenant du reste du réseau en dehors de l'environnement Nutanix, vous devez utiliser ERSPAN.

Pour configurer ERSPAN, consultez la section « Trafic SPAN distant encapsulé » dans Sophos Appliance Manager pour MDR et NDR : SPAN.

Une fois les modifications appliquées, la machine virtuelle redémarrera et vous serez déconnecté du gestionnaire d'appareils. Vous pourrez en surveiller la progression depuis la console.

Remarque

Assurez-vous que ERSPAN est configuré sur l’appareil réseau à partir duquel vous envoyez le trafic et que vous utilisez les mêmes paramètres que vous avez configurés dans le gestionnaire d'appareils.

Vérifier le flux de trafic

  1. Ouvrez une session SSH dans un client SSH, tel que PuTTY.
  2. Connectez-vous à l’adresse IP de l’appliance NDR et connectez-vous en tant qu’utilisateur zadmin avec le mot de passe que vous avez enregistré précédemment dans Sophos Central. Voir Créer une image d’appliance NDR.
  3. Exécutez la commande suivante : sudo kubectl logs -f deployment/dragonfly.
  4. Vérifiez que l'interface SPAN est surveillée en contrôlant les paquets des interfaces SPAN.

Afficher les détails de l'appareil

  1. Dans Sophos Central, retournez à Appliances d’intégration, et développez la flèche sur la gauche du nom de l'appareil. Dans l'exemple ci-dessous, l'appareil est connecté et en bon état de fonctionnement.

    Détails de l'appareil.

  2. Cliquez sur les trois points situés sur le côté droit des informations de votre appareil Icône des trois points., puis cliquez sur Ouvrir le Gestionnaire d'.appliances.

  3. Cliquez sur Ouvrir.
  4. Sur la page des avertissements, acceptez l'avertissement correspondant au certificat auto-signé.

  5. Connectez-vous avec le nom d’utilisateur et le mot de passe zadmin.

    Dans l'exemple ci-dessous, vous pouvez voir que le trafic a été reçu sur chaque interface.

    Onglet NDR du gestionnaire d'appareils.