Vai al contenuto

Console di indagine

La Console di indagine di NDR consente di accedere a tutti i dati presenti nei sensori NDR, non solo ai dati che vengono inviati al nostro Data Lake. Questi dati possono essere utilizzati per il threat hunting.

La console viene configurata da Sophos Central, ma si esegue sulla rete locale. La console riceve dati da un’appliance di integrazione NDR e consente di monitorarli o di eseguirvi query.

Questa pagina descrive come creare e gestire una console di indagine.

Creazione di una Console di indagine

Queste istruzioni presumono che si sia già configurata un’integrazione NDR che raccoglie dati da NDR. In caso contrario, vedere Sophos NDR su ESXi o Hyper-V.

I passaggi principali per creare una console sono i seguenti:

  • Configurare una console. Si crea così un’immagine che viene distribuita sulla rete virtuale.
  • Scaricare l’immagine e distribuirla.
  • Assegnare un’appliance di integrazione NDR alla console. In questo modo, i dati di NDR vengono inviati alla console.

Configurazione di una console

  1. Selezionare NDR > Console di indagine.
  2. Cliccare su Crea console.

    Pulsante Crea console.

  3. Configurare la console come segue:

    1. Inserire un Nome e una Descrizione.
    2. Selezionare la Piattaforma virtuale. La Console di indagine è supportata solo su VMware ESXi o Microsoft Hyper-V.
    3. Specificare le Impostazioni della porta di rete con connessione Internet. Viene così configurata l’interfaccia di gestione.

      • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

        Nota

        Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

      • Selezionare Manuale per specificare le impostazioni di rete.

    4. Cliccare su Salva.

    Impostazioni della Console di indagine.

  4. Viene visualizzata una finestra popup Credenziali dell’appliance. Le credenziali sono richieste per accedere all’appliance che ospita la console.

    Il nome utente è zadmin e la password viene mostrata nel messaggio. Conservare la password in un luogo sicuro. Viene mostrata una sola volta.

    Cliccare su OK.

    Finestra popup **Credenziali dell’appliance**.

  5. Nella pagina Console di indagine, la nuova console viene visualizzata nell’elenco. Se si passa il cursore del mouse sul nome, compare la dicitura “In attesa di distribuzione”.

    Attendere la creazione di un’immagine. L’operazione potrebbe richiedere fino a cinque minuti.

    Tooltip su una console in attesa di distribuzione.

  6. Nella prima colonna a destra, cliccare sui tre puntini e selezionare Scarica immagine.

    “Scarica immagine” nel menu Altro.

Distribuzione dell’immagine

Distribuire l’immagine nel proprio ambiente.

La distribuzione sarà diversa, a seconda che si usi VMware ESXi o Hyper-V. Per visualizzare le istruzioni per la propria piattaforma, cliccare di seguito sulla scheda corrispondente.

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire una nuova VM, occorre ricreare il file OVA in Sophos Central.

Sul proprio host ESXi, svolgere le seguenti operazioni:

  1. Selezionare Macchine virtuali.
  2. Cliccare su Crea/Registra macchina virtuale.

    Scheda Crea/Registra macchina virtuale.

  3. In Seleziona tipo di creazione, selezionare Distribuisci una macchina virtuale da un file OVF o OVA. Cliccare su Next (Avanti).

    Selezionare il tipo di creazione.

  4. Nella pagina Seleziona file OVF e VMDK, procedere come segue:

    1. Immettere il Nome della VM.
    2. Cliccare sulla schermata in cui viene visualizzata la dicitura “Click to select files ...” (Cliccare per selezionare i file ...) e selezionare il file OVA scaricato.
    3. Cliccare su Next (Avanti).

    Selezione del file OVA.

  5. In Select storage (Seleziona archiviazione), cliccare su Standard. Selezionare quindi l’archivio dati in cui si desidera collocare la VM. Cliccare su Next (Avanti).

    Selezionare l’archiviazione.

  6. In Deployment Options (Opzioni di distribuzione), inserire le impostazioni indicate di seguito.

    1. In MGMT, selezionare l’interfaccia di gestione per l’appliance.

      Questa interfaccia è stata configurata in precedenza in Sophos Central, sotto Impostazioni della porta di rete con connessione Internet.

      Se durante l’installazione è stato selezionato DHCP, assicurarsi che la VM sia in grado di ottenere un indirizzo IP tramite DHCP.

    2. In Disk Provisioning (Provisioning del disco), verificare che sia selezionata l’opzione Thin.

    3. Assicurarsi che sia selezionata l’opzione Power on automatically (Attivazione automatica).
    4. Cliccare su Next (Avanti).

    Opzioni di distribuzione.

  7. Saltare il passaggio delle Impostazioni aggiuntive.

  8. Cliccare su Fine. Attendere che la nuova VM venga visualizzata nell’elenco delle VM. Ciò potrebbe richiedere alcuni minuti.

    Ready to complete (Pronta per il completamento).

  9. Avviare la VM e attendere il completamento dell’installazione.

    La VM si avvierà per la prima volta e verificherà di essere in grado di connettersi ai gruppi di porte corretti e a Internet. Successivamente, effettuerà il riavvio. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.

Il file ZIP scaricato in Sophos Central contiene i file necessari per distribuire la VM: unità virtuali, un file seed.iso e uno script PowerShell.

Per implementare la VM, procedere come segue:

  1. Estrarre il file ZIP in una cartella sul disco rigido.
  2. Aprire la cartella, cliccare con il pulsante destro del mouse sul file ndr-sensor.ps1 e selezionare Esegui con PowerShell.
  3. Se viene visualizzato un messaggio intitolato Avviso di sicurezza, cliccare su Apri per consentire l’esecuzione del file.

    Bisognerà rispondere a una serie di domande.

  4. Assegnare un nome alla VM.

  5. Lo script mostrerà la cartella in cui verranno memorizzati i file della VM. Si tratta di una nuova cartella nel percorso di installazione predefinito per le unità virtuali. Immettere C per permettere allo script di crearla.
  6. Immettere il numero di processori (CPU) da utilizzare per la VM.
  7. Immettere la quantità di memoria da utilizzare, in gigabyte (GB).
  8. Lo script mostrerà un elenco numerato di tutti i vSwitch attuali.

    Scegliere il vSwitch al quale si desidera collegare l’interfaccia di gestione e inserirne il numero. Questa interfaccia è stata configurata in precedenza in Sophos Central, sotto Impostazioni della porta di rete con connessione Internet.

    Se durante l’installazione è stato selezionato DHCP, assicurarsi che la VM sia in grado di ottenere un indirizzo IP tramite DHCP.

    Selezionare il vSwitch.

  9. Non occorre specificare vSwitch per l’acquisizione del traffico di rete. Queste impostazioni sono pertinenti solo se si usa Sophos NDR. Selezionare un vSwitch qualsiasi come segnaposto, che dovrà poi essere disconnesso nelle impostazioni della VM.

    Lo script PowerShell configurerà la VM in Hyper-V. Verrà visualizzato il messaggio Installazione completata.

  10. Premere un tasto qualsiasi per uscire.

  11. Aprire la Console di gestione di Hyper-V per visualizzare la VM aggiunta all’elenco delle virtual machine. All’occorrenza, è possibile modificare le proprie impostazioni. Successivamente, avviare la VM.

    La VM si avvierà per la prima volta e verificherà di essere in grado di connettersi ai vSwitch corretti e a Internet. Successivamente, effettuerà il riavvio. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.

  12. In Sophos Central, aprire NDR > Console di indagine. L’icona di stato indica Connesso.

Assegnazione di un’appliance NDR

Ora è possibile assegnare una o più appliance NDR.

Non è possibile assegnare un’appliance NDR prima che la console si sia registrata a Sophos Central e mostri lo stato “verde”.

  1. Nella pagina Console di indagine, selezionare la nuova console nell’elenco. Nella prima colonna a destra, cliccare sui tre puntini e selezionare Assegna appliance.

    “Assegna appliance” nel menu Altro.

  2. Selezionare l’appliance da assegnare e cliccare su Salva.

Apertura di una console di indagine

Per aprire una console di indagine, procedere come segue:

  1. Selezionare NDR > Console di indagine.
  2. Individuare la console nell’elenco.
  3. Nella prima colonna a destra, cliccare sui tre puntini Icona con i tre puntini. e selezionare Apri la console di NDR.

    Si vedrà un avviso che indica che si sta lasciando Sophos Central.

    In caso di password dimenticata, cliccare sulla parola “reimpostarla”per reimpostarla.

  4. Inserire i propri nome utente e password e cliccare su Apri la console.

Visualizzazione delle console di indagine

La pagina Console di indagine elenca le console con i dettagli di configurazione e di performance.

  • Nome della console
  • Appliance: il numero di appliance di integrazione NDR assegnate alla console.
  • Tipo: la piattaforma virtuale su cui si trova la console, ad esempio VMware.
  • Versione: la versione della piattaforma.
  • CPU: Utilizzo della CPU.
  • Memoria: Utilizzo della memoria.
  • Indirizzo IP

Visualizzazione delle appliance assegnate

Nell’elenco di console della pagina Console di indagine, cliccare sulla freccia accanto al nome di una console per visualizzare i dettagli delle appliance di integrazione NDR assegnate a quella console.

Un’appliance NDR assegnata.

  • Nome dell’appliance
  • Integrazioni: il numero di integrazioni che usano l’appliance.
  • Memoria: Utilizzo della memoria.
  • Archivio
  • Tipo: la piattaforma virtuale che ospita l’appliance.
  • Versione: la versione della piattaforma virtuale.
  • IP di gestione: Interfaccia di gestione.
  • IP del syslog: l’interfaccia syslog.

Genera nuova password

È possibile reimpostare la password da utilizzare per accedere alla console di indagine.

  1. Nella pagina Console di indagine, selezionare la console.
  2. Nella prima colonna a destra, cliccare sui tre puntini Icona con i tre puntini. e selezionare Genera nuova password.

    Copiare la password e conservarla in un luogo sicuro. Viene mostrata una sola volta. Non sarà possibile recuperarla in un secondo momento.

  3. Cliccare su Reimposta.

Raccogli log

Per raccogliere i log dell’attività della console, procedere come segue:

  1. Nella pagina Console di indagine, selezionare la console.
  2. Nella prima colonna a destra, cliccare sui tre puntini Icona con i tre puntini. e selezionare Raccogli log.

Assistente remoto

Il Supporto Sophos può aiutare a risolvere i problemi relativi alle appliance Sophos che ospitano una console di indagine.

In alcuni casi il Supporto tecnico Sophos ha bisogno di accedere da remoto all’appliance. L’accesso può essere concesso per un massimo di 24 ore, procedendo come indicato di seguito.

Le appliance devono essere on-line.

  1. Aprire la pagina Console di indagine.

  2. Trovare l’appliance. Nella prima colonna a destra, cliccare sui tre puntini Icona con i tre puntini. e selezionare Assistente remoto.

  3. Nella finestra di dialogo Assistente remoto, svolgere le seguenti operazioni:

    1. Selezionare Abilita.
    2. Selezionare la casella di controllo per confermare l’Informativa sulla privacy di Sophos Group.
    3. Cliccare su Salva.

    Sophos Central richiede un ID di accesso all’appliance. Una volta disponibile, viene visualizzato automaticamente nella finestra di dialogo.

    Finestra di dialogo Assistenza remota.

  4. Copiare l’ID di accesso e inviarlo al Supporto tecnico Sophos. Verrà utilizzato per accedere all’appliance.

L’assistenza remota sarà disattivata automaticamente dopo 24 ore. Per disattivarla manualmente, tornare alla finestra di dialogo Assistenza remota e disattivare l’opzione Abilita.