Aller au contenu

Sophos NDR

Veuillez rejoindre le programme d’accès anticipé (EAP) pour utiliser cette fonction.

Sophos Network Detection and Response (NDR) détecte un comportement malveillant sur votre réseau.

Vous pouvez intégrer Sophos NDR à Sophos Central afin que ses détections soient disponibles pour investigation dans le Centre d’ analyse des menaces.

Pour intégrer la technologie NDR, vous devez configurer une appliance virtuelle NDR qui se connecte à Sophos Central et lui envoie des données. Les étapes principales sont les suivantes :

  • Ajouter une intégration.
  • Configurez vos switchs pour que NDR puisse voir le trafic.
  • Télécharger l’image de la machine virtuelle NDR.
  • Déployer la machine virtuelle de sécurité.

Ajouter une intégration

Pour ajouter l’intégration, procédez de la manière suivante :

  1. Connectez-vous à Sophos Central.
  2. Allez dans Centre d’analyse des menaces > Intégrations.
  3. Cliquez sur Sophos Network Detection & Response (NDR).

  4. Dans Intégrations, cliquez sur Ajouter une instance.

    Intégrations NDR

  5. Dans Étapes d’intégration, à l’Étape 1, saisissez le Nom d’alias et la Description de l’alias.

    Étapes d’intégration

  6. À l’Étape 2, sélectionnez la machine virtuelle qui exécutera l’appliance NDR.

    Si vous avez besoin d’une nouvelle machine virtuelle, cliquez sur Créer une machine virtuelle.

    Si vous souhaitez utiliser une machine virtuelle existante, sélectionnez-la dans la liste déroulante et passez à l’étape 8.

    Étape 2 de l’intégration

  7. Pour créer une nouvelle machine virtuelle, procédez comme suit :

    1. Saisissez le Nom de la machine virtuelle.

    2. Saisissez la Description de la machine virtuelle.

    3. Sélectionnez la plate-forme virtuelle. (Actuellement, nous ne prenons en charge que VMware).

    4. Indiquez le ports du réseau connecté à Internet.

      • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      • Sélectionnez Manuel pour indiquer vous-même les paramètres d’adresse IP et éventuellement les paramètres du serveur DNS interne. Par exemple :

        • Adresse IP : 10.0.252.5
        • Masque de sous-réseau : 255.255.255.0
        • Adresse de la passerelle : 10.0.252.1
        • DNS 1 : 8.8.8.8
        • DNS 2 : 8.8.4.4

    Paramètres de la machine virtuelle de l’étape 2 de l’intégration

  8. À l’Étape 3, excluez le trafic de domaines spécifiques, comme suit :

    1. Saisissez le Nom de la liste d’exclusion.

    2. Saisissez le Domaine, par exemple sophos.com, et cliquez sur Ajouter.

    Exclusions de l’étape 3 de l’intégration

  9. Cliquez sur Enregistrer.

Sur la page Intégrations, vous voyez maintenant la nouvelle intégration.

Configurez ensuite vos switchs de manière à ce que l’appliance NDR puisse surveiller le trafic de votre réseau.

Configurer les switchs

Avant de télécharger et de déployer la machine virtuelle Sophos NDR, configurez la mise en miroir des ports, également appelée Switched Port Analyzer (SPAN). Une copie du trafic entrant et sortant des ports ou des VLAN est transférée d’un switch vers un autre port de switch pour analyse.

Vous devez configurer la mise en miroir de ports pour le trafic réseau virtuel interne et le trafic réseau physique externe.

Lorsque vous déploierez votre appliance NDR VM ultérieurement, vous pourrez la connecter à vos ports SPAN afin de permettre à NDR de surveiller le trafic réseau.

Pour configurer la mise en miroir de ports, procédez comme suit :

  1. Dans ESXi, allez dans Mise en réseau. Dans l’onglet Switchs virtuels, sélectionnez un switch à utiliser pour la mise en miroir des ports.

    Si vous n’avez pas encore identifié de switch à utiliser, cliquez sur Ajouter un switch virtuel standard pour en ajouter un nouveau et y ajouter des groupes de ports.

    Switchs virtuels

  2. Dans l’onglet Port groups, cliquez sur Add port group.

    Nouveau groupe de ports

  3. Dans les paramètres du nouveau groupe de ports, procédez de la manière suivante :

    1. Saisir un nom.
    2. Définissez l’ID VLAN sur 4095. Cela permet à tous les autres groupes de ports déjà sur le switch de transférer le trafic vers le nouveau groupe de ports.
    3. Cliquez sur Sécurité et définissez le Mode non sécurisé comme Accepter.
    4. Cliquez sur Ajouter.

    Vous avez configuré le transfert du trafic de votre réseau interne virtuel. Procédez ensuite de la même manière pour le trafic externe physique, comme décrit dans les étapes suivantes.

  4. Dans ESXi, sélectionnez ou créez un autre switch virtuel qui gère le trafic externe physique envoyé par un switch physique sur votre réseau.

  5. Configurez le switch de la manière suivante :

    1. Dans l’onglet Groupes de ports, cliquez sur Ajouter un groupe de ports.
    2. Saisir un nom.
    3. Définissez l’ID VLAN sur 4095.
    4. Cliquez sur Sécurité et définissez le Mode non sécurisé comme Accepter.

    Connectez ensuite votre switch virtuel à votre réseau physique pour qu’il puisse recevoir du trafic externe.

  6. Dans le menu de gauche de ESXi, allez dans Mise en réseau et sélectionnez le switch que vous souhaitez utiliser pour le trafic externe.

    vSwitch sélectionné

  7. Dans les détails du switch, recherchez Topologie vSwitch. Vous verrez s’afficher « Pas de cartes physiques ».

    Topologie vSwitch

  8. Cliquez sur Ajouter une liaison montante.

    Ajouter un bouton pour les liaisons montantes

  9. Dans Liaison montante 1, sélectionnez une carte réseau (NIC ou Network Interface Card) disponible. Ceci vous permettra de connecter le switch virtuel à un port de votre serveur ESXi.

    Liaison montante 1

  10. Dans Topologie réseau, vérifiez qu’une carte physique est connectée.

    Carte physique

  11. Accédez à votre switch physique et utilisez un câble pour vous connecter directement au port de votre serveur ESXi.

    La façon de procéder dépendra du type et de la configuration de votre switch physique.

Vous avez configuré le transfert du trafic interne virtuel et externe physique sur les ports SPAN. Vous configurerez ensuite Sophos NDR pour le surveiller.

Téléchargez ensuite l’image de la machine virtuelle NDR.

Télécharger l’image de la machine virtuelle

Vous téléchargez maintenant l’image NDR (le fichier OVA) dont vous avez besoin pour déployer et démarrer la nouvelle machine virtuelle.

  1. À côté de la nouvelle intégration, cliquez sur Icône trois points dans la colonne Actions et sélectionnez Télécharger le fichier OVA.

    Vous voyez le téléchargement commencer.

    Menu de téléchargement

  2. Placez le pointeur de la souris sur l’icône à gauche du nom de l’intégration. Le message « Déploiement en attente » s’affiche.

    État de l’intégration

Vous êtes prêt à déployer la machine virtuelle.

Déployer la machine virtuelle

  1. Allez dans votre hôte ESXi.

  2. Sélectionnez Machines virtuelles et cliquez sur Créer/Enregistrer une machine virtuelle.

    Onglet Créer/Enregistrer une machine virtuelle

  3. Dans Sélectionner le type de création, sélectionnez Déployer une machine virtuelle à partir d’un fichier OVF ou OVA. Cliquez sur Suivant.

    Sélectionner le type de création

  4. Dans Sélectionner les fichiers OVF et VMDK, saisissez un nom de machine virtuelle.

    Cliquez sur la page pour sélectionner des fichiers. Sélectionnez le fichier OVA ndr-sensor.ova. Cliquez sur Suivant.

    Sélectionner le fichier OVA

  5. Dans Sélectionner le stockage, sélectionnez Standard. Cliquez sur Suivant.

    Sélectionner le stockage

  6. Dans Options de déploiement, sélectionnez Mappages réseau. Dans notre exemple, tous sont définis sur SPAN (les ports vers lequel vous transférez le trafic), à l’exception de MGMT, qui est défini sur Réseau VM. Cliquez sur Suivant.

    Options de déploiement

  7. Ignorez l’étape Paramètres supplémentaires.

  8. Cliquez sur Terminer. Attendez que la nouvelle machine virtuelle apparaisse dans la liste des machines virtuelles. L’opération peut prendre quelques minutes.

    Prêt à terminer

  9. Mettez la machine virtuelle sous tension et attendez la fin du processus d’installation. L’opération peut durer jusqu’à 10 minutes.

    Avertissement

    N’interrompez pas ce processus.

  10. Dans Sophos Central, accédez à la page Intégrations NDR et actualisez-la. L’état de la machine virtuelle est maintenant Connecté.

    État de l’intégration