Aller au contenu
Découvrez comment nous prenons en charge MDR.

Sophos NDR

Collecteur de journaux

Vous devez avoir un pack de licence d’intégration « Sophos Network Detection and Response » pour utiliser cette fonction.

Sophos Network Detection and Response (NDR) détecte un comportement malveillant sur votre réseau.

Vous pouvez intégrer Sophos NDR à Sophos Central afin que ses détections soient disponibles pour investigation dans le Centre d’ analyse des menaces.

Pour intégrer la technologie NDR, vous devez configurer une appliance virtuelle NDR qui se connecte à Sophos Central et lui envoie des données. Les étapes principales sont les suivantes :

  • Vérifier les conditions requises.
  • Ajouter une intégration.
  • Configurez vos switchs pour que NDR puisse voir le trafic.
  • Télécharger l’image de la machine virtuelle NDR.
  • Déployer la machine virtuelle de sécurité.

Restriction

Le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Une fois déployé, il ne peut plus être utilisé.

Si vous devez déployer une nouvelle machine virtuelle, veuillez effectuer de nouveau toutes ces étapes pour lier cette intégration à Sophos Central.

Cette vidéo vous guide tout au long des étapes de configuration de Sophos NDR sur VMware ESXi.

Conditions requises

Vous avez besoin d’un serveur VMware ESXi à partir de la version 6.7.

Lors de l’installation de la VM, il vous sera peut-être nécessaire d’effectuer une configuration qui permette à l’appliance virtuelle NDR d’offrir les meilleures performances et l’impact le plus faible sur le réseau. Voir Guide de dimensionnement des machines virtuelles Sophos NDR.

Ajouter une intégration

Pour ajouter l’intégration, procédez de la manière suivante :

  1. Connectez-vous à Sophos Central.
  2. Allez dans Centre d’analyse des menaces > Intégrations.
  3. Cliquez sur Sophos Network Detection & Response (NDR).

  4. Dans Intégrations, cliquez sur Ajouter une intégration.

    Intégrations NDR

  5. Dans Étapes d’intégration, à l’Étape 1, saisissez le Nom d’alias et la Description de l’alias.

    Étapes d’intégration

  6. À l’Étape 2, sélectionnez la machine virtuelle qui exécutera l’appliance NDR.

    Si vous avez besoin d’une nouvelle machine virtuelle, cliquez sur Créer une machine virtuelle.

    Si vous souhaitez utiliser une machine virtuelle existante, sélectionnez-la dans la liste déroulante et passez à l’étape 8.

    Étape 2 de l’intégration

  7. Pour créer une nouvelle machine virtuelle, procédez comme suit :

    1. Saisissez le Nom de la machine virtuelle.

    2. Saisissez la Description de la machine virtuelle.

    3. Sélectionnez la plate-forme virtuelle. (Actuellement, nous ne prenons en charge que VMware).

    4. Indiquez le ports du réseau connecté à Internet.

      • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

      • Sélectionnez Manuel pour spécifier les paramètres réseau. Par exemple :

      • Adresse IP : 10.0.252.5

        • Masque de sous-réseau : 255.255.255.0
        • Adresse de la passerelle : 10.0.252.1
        • DNS 1 : 8.8.8.8
        • DNS 2 : 8.8.4.4

    Paramètres de la machine virtuelle de l’étape 2 de l’intégration

  8. À l’Étape 3, excluez les domaines et protocoles spécifiques de la vérification.

    1. Saisissez le Nom de la liste d’exclusion.

    2. Pour exclure un domaine, cliquez sur Exclusions de domaine. Saisissez le nom de domaine, par exemple sophos.com, et cliquez sur Ajouter.

    3. Pour exclure un protocole, cliquez sur Exclusions de protocole. Vous pouvez saisir des informations dans l’un des champs ou dans les deux :

      • Dans le premier champ, saisissez un protocole maître. Par exemple, TCP ou UDP.
      • Dans le deuxième champ, saisissez un sous-protocole (site Web). Par exemple facebook.

      Si vous saisissez des informations dans les deux champs, nous les assemblons en une seule chaîne avec un seul séparateur de points.

      La capture d’écran présente des exemples d’informations.

    4. Cliquez sur Ajouter.

    Vous pouvez exporter vos exclusions dans un fichier JSON. Vous pouvez également télécharger des exclusions dans la liste à partir d’un fichier JSON que vous avez exporté précédemment.

    Exclusions de l’étape 3 de l’intégration

  9. Cliquez sur Enregistrer.

Sur la page Intégrations, vous voyez maintenant la nouvelle intégration.

Configurez ensuite vos switchs de manière à ce que l’appliance NDR puisse surveiller le trafic de votre réseau.

Configurer les switchs

Avant de télécharger et de déployer la machine virtuelle Sophos NDR, configurez la mise en miroir des ports, également appelée Switched Port Analyzer (SPAN). Une copie du trafic entrant et sortant des ports ou des VLAN est transférée d’un switch vers un autre port de switch pour analyse.

Vous devez configurer la mise en miroir de ports pour le trafic réseau virtuel interne et le trafic réseau physique externe.

Lorsque vous déploierez votre appliance NDR VM ultérieurement, vous pourrez la connecter à vos ports SPAN afin de permettre à NDR de surveiller le trafic réseau.

Configurer les switchs virtuels

Pour configurer la mise en miroir des ports pour les switchs internes virtuels, procédez comme suit :

  1. Dans ESXi, allez dans Mise en réseau. Dans l’onglet Switchs virtuels, sélectionnez un switch à utiliser pour la mise en miroir des ports.

    Si vous n’avez pas encore identifié de switch à utiliser, cliquez sur Ajouter un switch virtuel standard pour en ajouter un nouveau et y ajouter des groupes de ports.

    Switchs virtuels

  2. Dans l’onglet Port groups, cliquez sur Add port group.

    Nouveau groupe de ports

  3. Dans les paramètres du nouveau groupe de ports, procédez de la manière suivante :

    1. Saisir un nom.
    2. Définissez l’ID VLAN sur 4095. Cela permet à tous les autres groupes de ports déjà sur le switch de transférer le trafic vers le nouveau groupe de ports.
    3. Cliquez sur Sécurité et définissez le Mode non sécurisé comme Accepter.
    4. Cliquez sur Ajouter.

    Vous avez configuré le transfert du trafic de votre réseau interne virtuel. Procédez ensuite de la même manière pour le trafic externe physique, comme décrit dans les étapes suivantes.

  4. Dans ESXi, sélectionnez ou créez un autre switch virtuel qui gère le trafic externe physique envoyé par un switch physique sur votre réseau.

  5. Configurez le switch de la manière suivante :

    1. Dans l’onglet Groupes de ports, cliquez sur Ajouter un groupe de ports.
    2. Saisir un nom.
    3. Définissez l’ID VLAN sur 4095.
    4. Cliquez sur Sécurité et définissez le Mode non sécurisé comme Accepter.

    Connectez ensuite votre switch virtuel à votre réseau physique pour qu’il puisse recevoir du trafic externe.

  6. Dans le menu de gauche de ESXi, allez dans Mise en réseau et sélectionnez le switch que vous souhaitez utiliser pour le trafic externe.

    vSwitch sélectionné

  7. Dans les détails du switch, recherchez Topologie vSwitch. Vous verrez s’afficher « Pas de cartes physiques ».

    Topologie vSwitch

  8. Cliquez sur Ajouter une liaison montante.

    Ajouter un bouton pour les liaisons montantes

  9. Dans Liaison montante 1, sélectionnez une carte réseau (NIC ou Network Interface Card) disponible. Ceci vous permettra de connecter le switch virtuel à un port de votre serveur ESXi.

    Liaison montante 1

  10. Dans Topologie réseau, vérifiez qu’une carte physique est connectée.

    Carte physique

  11. Accédez à votre switch physique et utilisez un câble pour vous connecter directement au port de votre serveur ESXi.

Vous devez ensuite configurer la mise en miroir sur le switch physique.

Configurer un switch physique

Cette section décrit la configuration de la mise en miroir des ports sur un switch Sophos. Les étapes de configuration des autres switchs diffèrent.

Pour configurer la mise en miroir de ports, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Switchs.

  2. Sélectionnez le switch à configurer et cliquez sur Exécuter les commandes.

    Page Switchs dans Sophos Central

  3. Dans la console Exécuter les commandes du switch, saisissez les commandes pour mettre en miroir tout le trafic. Dans cet exemple, les commandes vont mettre en miroir tout le trafic entrant et sortant sur les ports 1-4, et l’envoyer sur le port 8.

    configure terminal
    monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
    monitor session 1 source interface gigabitethernet 0/1 both
    monitor session 1 source interface gigabitethernet 0/2 both
    monitor session 1 source interface gigabitethernet 0/3 both
    monitor session 1 source interface gigabitethernet 0/4 both
    end
    show monitor session 1
    

    Console Switch par ligne de commande

  4. Cliquez sur Exécuter. La console affiche les commandes lorsqu’elles s’exécutent sur un arrière-plan vert.

    Console du switch exécutant les commandes

  5. Lorsque la dernière commande est exécutée, la console affiche la configuration terminée. Cliquez sur Fermer.

    Console du switch exécutant les commandes

Vous avez terminé la configuration du transfert du trafic vers les ports SPAN. Vous configurerez ensuite Sophos NDR pour surveiller ce trafic.

Téléchargez ensuite l’image de la machine virtuelle NDR.

Télécharger l’image de la machine virtuelle

Vous téléchargez maintenant l’image NDR (le fichier OVA) dont vous avez besoin pour déployer et démarrer la nouvelle machine virtuelle.

  1. À côté de la nouvelle intégration, cliquez sur Icône trois points dans la colonne Actions et sélectionnez Télécharger le fichier OVA.

    Vous voyez le téléchargement commencer.

    Menu de téléchargement

  2. Placez le pointeur de la souris sur l’icône à gauche du nom de l’intégration. Le message « Déploiement en attente » s’affiche.

    État de l’intégration

Vous êtes prêt à déployer la machine virtuelle.

Déployer la machine virtuelle

  1. Allez dans votre hôte ESXi.

Avertissement

Si vous déployez l’OVA sur un hôte ESXi s’exécutant dans un cluster EVC (Enhanced vMotion Compatibility), l’EVC doit être en mode Skylake (ou ultérieur). L’appliance virtuelle Sophos NDR ne s’exécute pas sur une machine virtuelle en mode EVC Skylake (ou antérieur).

  1. Sélectionnez Machines virtuelles et cliquez sur Créer/Enregistrer une machine virtuelle.

    Onglet Créer/Enregistrer une machine virtuelle

  2. Dans Sélectionner le type de création, sélectionnez Déployer une machine virtuelle à partir d’un fichier OVF ou OVA. Cliquez sur Suivant.

    Sélectionner le type de création

  3. Dans Sélectionner les fichiers OVF et VMDK, saisissez un nom de machine virtuelle.

    Cliquez sur la page pour sélectionner des fichiers. Sélectionnez le fichier OVA ndr-sensor.ova. Cliquez sur Suivant.

    Sélectionner le fichier OVA

  4. Dans Sélectionner le stockage, sélectionnez Standard. Cliquez sur Suivant.

    Sélectionner le stockage

  5. Dans Options de déploiement, sélectionnez Mappages réseau. Dans notre exemple, tous sont définis sur SPAN (les ports vers lequel vous transférez le trafic), à l’exception de MGMT, qui est défini sur Réseau VM. Cliquez sur Suivant.

    Options de déploiement

  6. Ignorez l’étape Paramètres supplémentaires.

  7. Cliquez sur Terminer. Attendez que la nouvelle machine virtuelle apparaisse dans la liste des machines virtuelles. L’opération peut prendre quelques minutes.

    Prêt à terminer

  8. Mettez la machine virtuelle sous tension et attendez la fin du processus d’installation. L’opération peut durer jusqu’à 10 minutes.

    Avertissement

    N’interrompez pas ce processus.

  9. Dans Sophos Central, accédez à la page Intégrations NDR et actualisez-la. L’état de la machine virtuelle est maintenant Connecté.

    État de l’intégration

Si l’état de la machine virtuelle est Connecté mais qu’elle ne semble pas fonctionner, vérifiez l’état du service Dragonfly dans la console de l’appliance virtuelle Sophos NDR. Voir la Console de l’appliance virtuelle Sophos

Si vous voyez dans la console que le service Dragonfly est à l’état En attente et que votre machine virtuelle est dans un cluster EVC (Enhanced vMotion Compatibility), vérifiez que le mode EVC est Skylake ou ultérieur.

L’appliance virtuelle Sophos NDR ne prend pas en charge l’exécution dans les clusters EVC en mode Sandy Bridge.