Aller au contenu
Découvrez comment nous prenons en charge MDR.

Sophos NDR sur matériel NUC

Sophos NDR prend désormais en charge l'installation sur les systèmes Intel NUC 13 que nous avons testés et certifiés.

Créer une image d’appliance NDR

Sophos NDR fonctionne par le biais d’une appliance qui reçoit des données et les transfère au Sophos Data Lake.

Avant de configurer votre matériel, vous devrez créer et télécharger une image d'installation de l'appliance NDR. Cette image ISO sera ensuite déployée en tant qu’appliance NDR.

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations.
  2. Recherchez et cliquez sur Sophos Network Detection and Response (NDR).
  3. Sur la page NDR, dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Les Étapes de configuration de l’intégration s’affichent.

  4. À l’Étape 1, saisissez le nom et la description de l’intégration.

  5. À l’Étape 2, sélectionnez Créer une nouvelle appliance.
  6. Pour créer la nouvelle appliance, procédez comme suit :

    1. Saisissez le nom de l’appliance et sa description. Saisissez un nom unique.
    2. Dans Plate-forme virtuelle, sélectionnez Matériel.
  7. À l’Étape 3, excluez les domaines et protocoles spécifiques de la vérification. Par exemple, vous pouvez le faire si vous avez un domaine qui cause de faux positifs.

    Vous pouvez configurer vos exclusions ultérieurement, mais vous devez saisir un nom de liste d’exclusion dès maintenant.

    1. Saisissez le Nom de la liste d’exclusion.
    2. Pour exclure un domaine, cliquez sur Exclusions de domaine. Saisissez le nom de domaine, par exemple sophos.com, et cliquez sur Ajouter.
    3. Pour exclure un protocole, cliquez sur Exclusions de protocole. Vous pouvez saisir des informations dans l’un des champs ou dans les deux :

      • Dans le premier champ, saisissez un protocole maître. Par exemple, TCP ou UDP.
      • Dans le deuxième champ, saisissez un sous-protocole (site Web). Par exemple facebook.

      Nous ne recommandons pas d’exclure complètement un protocole maître. Ne faites cela que si un protocole à trafic élevé qui n’est généralement pas risqué, comme un protocole de routage, génère trop de données.

      Remarque

      Vous pouvez exporter vos exclusions dans un fichier JSON. Vous pouvez également télécharger des exclusions dans la liste à partir d’un fichier JSON que vous avez exporté précédemment.

    4. Cliquez sur Ajouter.

    5. Cliquez sur Enregistrer.

      Une fenêtre contextuelle affiche les identifiants de Sophos Appliance Manager. Notez-les. Vous aurez besoin d’Appliance Manager pour accéder à et gérer les appliances.

      Votre nouvelle intégration apparaît maintenant dans la liste Intégrations NDR configurées.

  8. Pour télécharger l'image, cliquez sur les trois points de la colonne Actions et sélectionnez Télécharger l'image. Vous devrez peut-être attendre que l'image soit disponible pour le téléchargement.

Créer un support d’installation USB

Vous devrez copier l'image ISO sur une clé USB. Les instructions ci-dessous décrivent comment le faire en utilisant un outil tiers appelé balenaEtcher.

  1. Cliquez sur le lien suivant pour télécharger balenaEtcher à l'aide du programme d'installation le mieux adapté à votre système d'exploitation : Télécharger. Suivez le processus d'installation.
  2. Insérez une clé USB dans votre ordinateur ou ordinateur portable.

    Remarque

    Assurez-vous que la clé USB ne contienne pas de données que vous souhaitez conserver.

  3. Démarrez l'application balenaEtcher de la manière suivante :

    1. Cliquez sur Flash from file
    2. Dans le champ de sélection de fichier, sélectionnez l'image ISO de l'appliance NDR que vous avez téléchargée depuis Sophos Central.
    3. Si vous voyez un avertissement concernant une table de partition manquante, cliquez sur Continue.
    4. Cliquez sur Select target
    5. Sélectionnez le lecteur USB sur lequel installer l'image ISO.

      Remarque

      En choisissant votre clé USB, tenez compte du fait que le processus effacera toutes les données stockées dessus.

    6. Cliquez sur Select 1.

    7. Cliquez sur Flash.
    8. Acceptez tous les messages de Contrôle d'accès utilisateur.

    L’avancement de la tâche s'affiche sur le panneau de gauche.

    Une fois le processus terminé, vous pouvez quitter balenaEtcher.

Installer et connecter le système

  1. Déballez le matériel NUC.
  2. Connectez les câbles et périphériques suivants à l'appareil NUC :

    • Câbles d'alimentation vers les blocs d'alimentation.
    • Écran HDMI : Une connexion VGA peut être utilisée via un adaptateur USB-C vers VGA (non inclus)
    • Clavier USB.
    • Câble réseau de gestion relié au port d'interface réseau supérieur.
    • Capturez le câble réseau vers le port d'interface réseau inférieur.

Mise à jour des paramètres du BIOS

  1. Mettez le système sous tension à l'aide du bouton d'alimentation situé à l'avant du NUC.
  2. Commencez immédiatement à appuyer sur le bouton F2 pour accéder à l'écran de configuration du BIOS.
  3. À l'aide des touches fléchées, mettez en surbrillance le bouton Alimentation, performances et refroidissement, puis appuyez sur Entrée.
  4. Sélectionnez Paramètres d'alimentation secondaire à l'aide des touches fléchées, puis appuyez sur Entrée.
  5. Sélectionnez le menu déroulant Après une panne de courant à l’aide des touches fléchées, puis appuyez sur Entrée.
  6. Remplacez le paramètre Mise hors tension par Dernier état, puis appuyez sur Entrée.
  7. Utilisez les touches fléchées pour sélectionner le paramètre Prise en charge PCIE ASPM, puis appuyez sur Entrée pour décocher le paramètre.
  8. Appuyez sur F10 pour enregistrer les paramètres et quitter.
  9. Utilisez les touches fléchées pour sélectionner OK, puis appuyez sur Entrée pour enregistrer et quitter.

Lancer l’installation

  1. Insérez la clé USB d'installation que vous avez créée précédemment dans n’importe quel port USB disponible du NUC.
  2. Mettez le NUC sous tension ou appuyez sur Ctrl+Alt+Delete pour le redémarrer.
  3. Dans le menu de démarrage, sélectionnez Installer Sophos NDR -- modèles NUC à l'aide des touches fléchées, puis appuyez sur Entrée.

    Le démarrage du système prendra un certain temps. Vous devez attendre la fin du chargement du programme d’installation. Le programme d’installation est prêt lorsque l’écran Connexions réseau apparaît.

Configurer les interfaces réseau

Configurer l’adresse IP de gestion

Identifiez l'interface à utiliser pour le réseau de gestion et la connexion à Sophos Central.

Configurez cette interface avec une adresse IP, une passerelle par défaut et une adresse DNS. La configuration DHCP est possible mais non recommandée, car l'adresse IP de l'appliance peut changer lors d'un redémarrage ultérieur.

  1. Sélectionnez l'interface de gestion à l'aide des touches fléchées, puis appuyez sur Entrée.
  2. Sélectionnez Modifier IPv4, puis appuyez sur Entrée.
  3. Appuyez sur Entrée sur la Méthode IPv4, puis sélectionnez Manuel.
  4. Saisissez le sous-réseau de l'interface en notation CIDR.
  5. Saisissez l'adresse IP de l'interface dans le champ Adresse.
  6. Saisissez la passerelle par défaut dans le champ Passerelle.
  7. Saisissez le ou les serveurs DNS dans le champ Serveurs de noms.
  8. Facultatif : Saisissez un domaine dans le champ Domaines de recherche.
  9. Sélectionnez Enregistrer à l’aide des touches fléchées et appuyez sur Entrée.

Configurer les interfaces de capture

Les interfaces de capture (paramètres SPAN) se configurent après l'installation, à l'aide de l'interface utilisateur Web du Gestionnaire d'appliances. Voir Paramètres SPAN.

Pour l'instant, désactivez toutes les interfaces réseau restantes, de la manière suivante :

  1. Sélectionner l’interface à l'aide des touches fléchées et appuyez sur Entrée.
  2. Sélectionnez Modifier IPv4, puis appuyez sur Entrée.
  3. Sélectionner Désactivé à l'aide des touches fléchées et appuyez sur Entrée.
  4. Sélectionnez Enregistrer à l’aide des touches fléchées et appuyez sur Entrée.

Le système NUC inclut une interface Wi‑Fi nommée wlo1. Le logiciel de l'appliance n'utilise pas cette interface: celle-ci doit donc rester désactivée.

Processus d’installation

Le système est maintenant prêt à partitionner les disques et à commencer le processus d'installation.

Sélectionnez Continuer à l’aide des touches fléchées et appuyez sur Entrée. Ceci confirme le partitionnement et l'installation du disque.

L'installation du logiciel prendra un certain temps. L'installation est terminée lorsque le message Installation terminée s'affiche en haut de l'écran.

Installation terminée

Une fois l'installation terminée, sélectionnez Redémarrer maintenant, à l'aide des touches fléchées, puis appuyez sur Entrée.

Le processus de sortie s'interrompt et vous invite à retirer le support d'installation.

Retirez la clé USB du système et appuyez sur Entrée pour poursuivre le processus de fermeture et de redémarrage.