Aller au contenu
Découvrez comment nous prenons en charge MDR.

Sophos NDR sur matériel Dell

Vous pouvez installer NDR sur les systèmes Dell que nous avons testés et certifiés.

Créer une image d’appliance NDR

Sophos NDR utilise une appliance pour collecter les données et les transmettre à Sophos Data Lake pour analyse.

Avant de configurer votre matériel, veuillez créer et télécharger une image d’installation de l’appliance NDR. Cette image ISO sera ensuite déployée en tant qu’appliance NDR.

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations.
  2. Recherchez et cliquez sur Sophos Network Detection and Response (NDR).
  3. Sur la page NDR, dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Les Étapes de configuration de l’intégration s’affichent.

  4. À l’Étape 1, saisissez le nom et la description de l’intégration.

  5. À l’Étape 2, sélectionnez Créer une nouvelle appliance.
  6. Pour créer la nouvelle appliance, procédez comme suit :

    1. Saisissez le nom de l’appliance et sa description. Saisissez un nom unique.
    2. Dans Plate-forme virtuelle, sélectionnez Matériel.
  7. À l’Étape 3, excluez les domaines et protocoles spécifiques de la vérification. Par exemple, vous pouvez le faire si vous avez un domaine qui cause de faux positifs.

    Vous pouvez configurer vos exclusions ultérieurement, mais vous devez saisir un nom de liste d’exclusion dès maintenant.

    1. Saisissez un nom dans le champ Nom de la liste d’exclusion.
    2. Pour exclure un domaine, cliquez sur Exclusions de domaine. Saisissez le nom de domaine, par exemple sophos.com, et cliquez sur Ajouter.
    3. Pour exclure un protocole, cliquez sur Exclusions de protocole. Vous pouvez saisir des informations dans l’un des champs ou dans les deux :

      • Dans le premier champ, saisissez un protocole maître. Par exemple, TCP ou UDP.
      • Dans le deuxième champ, saisissez un sous-protocole (site Web). Par exemple facebook.

      Nous ne recommandons pas d’exclure complètement un protocole maître. Ne faites cela que si un protocole à trafic élevé qui n’est généralement pas risqué, comme un protocole de routage, génère trop de données.

      Remarque

      Vous pouvez exporter vos exclusions dans un fichier JSON. Vous pouvez également télécharger des exclusions dans la liste à partir d’un fichier JSON que vous avez exporté précédemment.

    4. Cliquez sur Ajouter.

    5. Cliquez sur Enregistrer.

      Une fenêtre contextuelle affiche les identifiants du Gestionnaire d’appliances Sophos. Notez-les. Vous aurez besoin du Gestionnaire d’appliances pour accéder à et gérer les appliances.

      Votre nouvelle intégration apparaît maintenant dans la liste Intégrations NDR configurées.

  8. Pour télécharger l’image de l’appliance, cliquez sur les trois points de la colonne Actions et sélectionnez Télécharger l’image. Vous devrez peut-être attendre que l’image soit disponible pour le téléchargement.

Installer et connecter le système

  1. Déballez le matériel Dell.
  2. Installez les supports de montage en rack. Voir les Manuels Dell PowerEdge.
  3. Connectez les câbles et périphériques suivants à l’appareil Dell :

    • Câbles d’alimentation sur les blocs d’alimentation.
    • Moniteur VGA et clavier USB.
    • Câble réseau de gestion au port étiqueté 1.
    • Câble réseau Syslog vers le port étiqueté 2.
    • Câble réseau iDRAC vers le port étiqueté iDRAC.
    • Câbles de capture réseau vers les ports SPAN/Mirror.

Configurer les paramètres iDRAC

IDRAC fournit une fonctionnalité de clavier et de vidéo à distance, ainsi qu’une prise en charge de média virtuel à distance. Ce système sera utilisé pour faciliter l’installation du logiciel NDR via une image ISO amorçable.

Après avoir monté le système en rack et effectué toutes les connexions énumérées ci-dessus, mettez le système sous tension.

Appuyez sur la touche F2 du clavier au démarrage pour accéder au programme de configuration du système.

Accéder au menu des paramètres iDRAC

  1. Sur l’écran de Configuration du système, sélectionnez les Paramètres iDRAC à l’aide des touches flèches, puis appuyez sur Entrée.
  2. Sélectionnez Réseau à l’aide des touches flèches et appuyez sur Entrée.

Configurer les paramètres réseau iDRAC

  1. Faites défiler les paramètres IP à l’aide des touches flèches et configurez l’adresse que vous utiliserez pour vous connecter au système iDRAC.
  2. Appuyez sur la touche de tabulation pour mettre en surbrillance le bouton Retour en bas à droite, puis appuyez sur Entrée.

Configurer le nom d’utilisateur et le mot de passe iDRAC

Nous vous recommandons vivement de modifier le mot de passe par défaut. Procédez comme suit :

  1. Utilisez les touches flèches pour sélectionner Configuration d’un utilisateur dans les paramètres iDRAC, puis appuyez sur Entrée.
  2. Le nom d’utilisateur par défaut est root. Vous pouvez le modifier en saisissant un nouveau nom d’utilisateur.
  3. Pour modifier le mot de passe, utilisez les touches flèches pour accéder au champ Modifier le mot de passe, puis appuyez sur Entrée.
  4. Saisissez votre nouveau mot de passe, puis confirmez-le.
  5. Appuyez sur la touche de tabulation pour mettre en surbrillance le bouton Retour, puis appuyez sur Entrée.
  6. Appuyez sur la touche de tabulation pour mettre en surbrillance le bouton Terminer, puis appuyez sur Entrée.
  7. Sélectionnez le bouton Oui à l’aide des touches flèches afin d’enregistrer vos modifications.
  8. Dans l'écran Configuration du système, appuyez sur la touche de tabulation pour mettre en surbrillance le bouton Terminer, puis appuyez sur Entrée.
  9. Utilisez les touches flèches pour sélectionner le bouton Oui et confirmer que vous souhaitez quitter.

Vérifier la connectivité

À ce stade, le système iDRAC doit être accessible via un navigateur Web. Pour le tester, ouvrez votre navigateur et accédez à http://<configured IP address>. Si la page iDRAC ne se connecte pas, vérifiez la connexion réseau iDRAC et réessayez.

Remarque

Toutes les configurations ultérieures seront effectuées à distance. Vous pouvez déconnecter le clavier et le moniteur VGA.

Se connecter à iDRAC

  1. Si vous n’êtes pas déjà connecté à l’interface iDRAC, ouvrez votre navigateur Web et accédez à http://<configured IP address>.
  2. Saisissez le nom d’utilisateur et le mot de passe configurés dans la section précédente.

    Après connexion, le tableau de bord iDRAC s’affiche.

Créer une partition de données RAID (système R660 à 2 sockets uniquement)

Il vous suffit de créer une partition de données RAID sur le système Dell R660 à 2 sockets, qui comprend trois lecteurs de disque dans le boîtier de disque avant.

Si le système n’a pas été livré avec les disques préconfigurés dans la configuration RAID 5, configurez RAID pour le lecteur de données.

  1. Sur le tableau de bord iDRAC, cliquez sur Stockage. Assurez-vous ensuite que Résumé est sélectionné.
  2. Dans la section Résumé des disques, vérifiez le nombre de disques virtuels. Si deux disques virtuels sont répertoriés, vous pouvez ignorer les étapes restantes de cette section et passer à la section « Connexion de l’ISO d’installation ».
  3. Cliquez sur Disques virtuels.

    Le disque virtuel actuel est destiné au disque du système d’exploitation. Nous devons créer la matrice RAID 5 pour la partition de données.

  4. Cliquez sur Créer un disque virtuel, puis sélectionnez Configuration de base.

  5. Sélectionner le contrôleur PERC dans la liste déroulante Contrôleur .
  6. Sélectionnez RAID 5 dans la liste déroulante Disposition.
  7. Cliquez sur Ajouter à En attente.
  8. Cliquez sur Appliquer maintenant.

    Le volume créé est ajouté à la file d’attente des tâches.

  9. Cliquez sur File d’attente des tâches pour afficher l’état de l’opération.

    Si vous ne voyez rien, vérifiez que vous consultez bien les Opérations en attente sous l’onglet Tâches. Vous pouvez cliquer régulièrement sur Actualiser jusqu’à ce que la liste des opérations en attente soit vide.

  10. Sur le tableau de bord iDRAC, cliquez sur Stockage et assurez-vous qu’il y a deux disques virtuels sous Résumé des disques.

Connecter l’installation ISO

Ouvrir la console virtuelle

  1. Si vous n’êtes pas déjà sur le tableau de bord, cliquez sur Tableau de bord dans le coin supérieur gauche du menu iDRAC sur la page Web.
  2. Dans le coin inférieur droit de la page, cliquez sur Console virtuelle. Une nouvelle fenêtre de navigateur s’ouvre.

Remarque

Si vous avez un bloqueur de fenêtres contextuelles, la console virtuelle ne s’ouvrira pas. Pour l’ouvrir, vous devez autoriser les fenêtres contextuelles pour ce site Web.

Connecter le média virtuel

  1. Cliquez sur Média virtuel dans la barre de menus en haut de la console virtuelle.
  2. Cliquez sur Connecter le média virtuel.
  3. Si vous ne l’avez pas déjà fait, téléchargez l’image d’installation de l’appliance NDR depuis Sophos Central.
  4. Sous Mapper CD/DVD, cliquez sur le bouton Parcourir.
  5. Utilisez la boîte de dialogue de sélection de fichier pour sélectionner l’image ISO de l’appliance que vous avez téléchargée à partir de Central.

    La sélection de l’image ISO active le bouton Mapper l’appareil.

  6. Cliquez sur Mapper l’appareil.

  7. Cliquez sur Fermer.

Démarrer à partir de l’ISO du programme d’installation

  1. Cliquez sur Démarrer dans la barre de menus située en haut de la console virtuelle.
  2. Cliquez sur CD/DVD/ISO virtuel.
  3. Cliquez sur Oui pour confirmer la sélection.
  4. Cliquez sur Alimentation dans la barre de menus située en haut de la console virtuelle.
  5. Cliquez sur Réinitialiser le système (démarrage à chaud).
  6. Cliquez sur Oui pour confirmer la sélection.

Le processus de redémarrage démarre lorsque le système est configuré pour démarrer à partir du programme d’installation ISO.

Lancer l’installation

Assurez-vous que l’option Installer Sophos NDR - modèles Dell est en surbrillance et appuyez sur Entrée.

Le démarrage à partir de l’image ISO peut prendre un certain temps. Vous devez donc attendre que le programme d’installation se charge complètement. Lorsque l’écran Connexions réseau s’affiche, le programme d’installation a terminé son chargement.

Configurer l’adresse IP de gestion

Identifiez l’interface à utiliser pour le réseau de gestion et la connexion à Sophos Central.

Vous devez configurer cette interface avec une adresse IP, une passerelle par défaut et une adresse DNS. La configuration DHCP est possible mais non recommandée, car l’adresse IP de l’appliance peut changer lors d’un redémarrage ultérieur.

  1. Sélectionnez l’interface de gestion à l’aide des touches flèches, puis appuyez sur Entrée.
  2. Sélectionnez Modifier Ipv4 et appuyez sur Entrée.
  3. Appuyez sur Entrée sur la Méthode IPv4 et sélectionnez Manuel.
  4. Saisissez le sous-réseau de l’interface en notation CIDR.
  5. Saisissez l’adresse IP de l’interface dans le champ Adresse.
  6. Saisissez la passerelle par défaut dans le champ Passerelle.
  7. Saisissez le(s) serveur(s) DNS dans le champ Serveurs de nom.
  8. Facultatif : Saisissez un domaine dans le champ Domaines de recherche.
  9. Sélectionnez Enregistrer à l’aide des touches flèches et appuyez sur Entrée.

Configurer l’adresse IP syslog

  1. À l’aide des touches flèches, sélectionnez l’interface qui sera utilisée pour syslog, puis appuyez sur Entrée.
  2. Sélectionnez Modifier IPv4 à l’aide des touches flèches et appuyez sur Entrée.
  3. Sélectionnez Manuel pour la Méthode IPv4, puis appuyez sur Entrée.
  4. Saisissez le sous-réseau de l’interface en notation CIDR.
  5. Saisissez l’adresse IP de l’interface dans le champ Adresse.
  6. Sélectionnez Enregistrer à l’aide des touches flèches et appuyez sur Entrée.

Remarque

Ne saisissez pas d’adresse de passerelle ou DNS. Vous devez uniquement les configurer pour l’interface de gestion.

Configurer les interfaces de capture

Les interfaces de capture (paramètres SPAN) se configurent après l’installation, à l’aide de l’interface utilisateur Web du Gestionnaire d’appliances. Voir Paramètres SPAN.

Pour l’instant, désactivez toutes les interfaces réseau restantes comme suit :

  1. Sélectionnez l’interface à l’aide des touches flèches et appuyez sur Entrée.
  2. Sélectionnez Modifier Ipv4 et appuyez sur Entrée.
  3. Sélectionnez Désactivé à l’aide des touches flèches et appuyez sur Entrée.
  4. Sélectionnez Enregistrer à l’aide des touches flèches et appuyez sur Entrée.

Vérifier les paramètres réseau

Vérifiez vos paramètres pour les adresses IP de gestion et syslog. Toutes les autres interfaces sont désactivées.

Lorsque tous les paramètres réseau sont corrects, sélectionnez Terminé à l’aide des touches flèches et appuyez sur Entrée.

Processus d’installation

Le système est maintenant prêt à partitionner les disques et à commencer le processus d’installation.

Sélectionnez Continuer à l’aide des touches flèches et appuyez sur Entrée. Ceci confirme le partitionnement et l’installation du disque.

L’installation du logiciel prendra un certain temps. L’installation est terminée lorsque le message Installation terminée s’affiche en haut de l’écran.

Redémarrer après l’installation

  1. Une fois l’installation terminée, sélectionnez Redémarrer maintenant à l’aide des touches flèches et appuyez sur Entrée.

    Le processus de sortie s’interrompt et vous invite à retirer le support d’installation.

  2. Sélectionnez le bouton Média virtuel dans la barre de menus supérieure de la console virtuelle.

  3. Cliquez sur Déconnecter le média virtuel, cliquez sur Oui, puis sur Fermer.
  4. Appuyez sur Entrée pour poursuivre le processus de sortie et de redémarrage.