Implementazione di una VM per le integrazioni

Quando si integrano alcuni prodotti di terze parti con Sophos Central, occorre una VM che ospiti un’appliance che a sua volta raccolga dati da questi prodotti e li invii a Sophos.

Attualmente Sophos supporta VMware ESXi 6.7 Update 3 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

Dopo aver configurato e scaricato un’immagine VM per l’integrazione, distribuirla come descritto di seguito. Successivamente, sarà possibile configurare il prodotto di terze parti per l’invio dei dati a questa VM.

Per visualizzare le istruzioni per la propria piattaforma, cliccare di seguito sulla scheda corrispondente.

ESXiHyper-V

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire una nuova VM, occorre ricreare il file OVA in Sophos Central.

Sul proprio host ESXi, svolgere le seguenti operazioni:

Selezionare Macchine virtuali.
Cliccare su Crea/Registra macchina virtuale.
In Seleziona tipo di creazione, selezionare Distribuisci una macchina virtuale da un file OVF o OVA. Cliccare su Next (Avanti).
Nella pagina Seleziona file OVF e VMDK, procedere come segue:
1. Immettere il Nome della VM.
2. Cliccare sulla pagina per selezionare i file. Selezionare il file OVA scaricato.
3. Cliccare su Next (Avanti).
In Select storage (Seleziona archiviazione), cliccare su Standard. Selezionare quindi l’archivio dati in cui si desidera collocare la VM. Cliccare su Next (Avanti).
In Deployment Options (Opzioni di distribuzione), inserire le impostazioni indicate di seguito.
1. SPAN1 e SPAN2. Non sono necessarie per le integrazioni. Selezionare un gruppo di porte qualsiasi come segnaposto; dovrà poi essere disconnesso in un secondo momento nelle impostazioni della VM.
2. In SYSLOG, selezionare la porta che dovrà ricevere i dati di syslog dal prodotto di terze parti.
3. In MGMT, selezionare l’interfaccia di gestione per l’appliance. Questa interfaccia permette all’appliance di inviare i dati al Sophos Data Lake.
  
  Questa interfaccia è stata configurata in precedenza in Sophos Central, sotto Impostazioni della porta di rete con connessione Internet.
  
  Se durante l’installazione è stato selezionato DHCP, assicurarsi che la VM sia in grado di ottenere un indirizzo IP tramite DHCP.
4. In Disk Provisioning (Provisioning del disco), verificare che sia selezionata l’opzione Thin.
5. Assicurarsi che sia selezionata l’opzione Power on automatically (Attivazione automatica).
6. Cliccare su Next (Avanti).
Saltare il passaggio delle Impostazioni aggiuntive.
Cliccare su Fine. Attendere che la nuova VM venga visualizzata nell’elenco delle VM. Ciò potrebbe richiedere alcuni minuti.
Attivare la VM e attendere il completamento dell’installazione.

La VM si avvierà per la prima volta e verificherà di essere in grado di connettersi ai gruppi di porte corretti e a Internet. Successivamente, effettuerà il riavvio. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.
In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Configurato.
Selezionare la scheda Appliance di integrazione e individuare l’appliance nella VM appena distribuita. L’icona di stato indica Connesso.

Il file ZIP scaricato in Sophos Central contiene i file necessari per distribuire la VM: unità virtuali, il file seed.iso e uno script PowerShell.

Per implementare la VM, procedere come segue:

Estrarre il file ZIP in una cartella sul disco rigido.
Aprire la cartella, cliccare con il pulsante destro del mouse sul file ndr-sensor.ps1 e selezionare Esegui con PowerShell.
Se viene visualizzato un messaggio intitolato Avviso di sicurezza, cliccare su Apri per consentire l’esecuzione del file.

Bisognerà rispondere a una serie di domande.
Assegnare un nome alla VM.
Lo script mostrerà la cartella in cui verranno memorizzati i file della VM. Si tratta di una nuova cartella nel percorso di installazione predefinito per le unità virtuali. Immettere C per permettere allo script di crearla.
Immettere il numero di processori (CPU) da utilizzare per la VM.
Immettere la quantità di memoria da utilizzare, in GB.
Lo script mostrerà un elenco numerato di tutti i vSwitch attuali.

Selezionare il vSwitch al quale si desidera collegare l’interfaccia di gestione e immetterne il numero. Questa interfaccia permette all’appliance di inviare i dati al Sophos Data Lake.

Questa interfaccia è stata configurata in precedenza in Sophos Central, sotto Impostazioni della porta di rete con connessione Internet.

Se durante l’installazione è stato selezionato DHCP, assicurarsi che la VM sia in grado di ottenere un indirizzo IP tramite DHCP.
Immettere il vSwitch che si desidera collegare all’interfaccia syslog.

Sarà il vSwitch che riceverà i dati di syslog dal prodotto di terze parti.
Non occorre specificare vSwitch per l’acquisizione del traffico di rete. Queste impostazioni sono pertinenti solo se si usa Sophos NDR. Selezionare un vSwitch qualsiasi come segnaposto, che dovrà poi essere disconnesso nelle impostazioni della VM.

Lo script PowerShell configurerà la VM in Hyper-V. Verrà visualizzato il messaggio Installazione completata.
Premere un tasto qualsiasi per uscire.
Aprire la Console di gestione di Hyper-V per visualizzare la VM aggiunta all’elenco delle virtual machine. Le impostazioni possono essere modificate. Procedere con l’avvio.

La VM si avvierà per la prima volta e verificherà di essere in grado di connettersi ai vSwitch corretti e a Internet. Successivamente, effettuerà il riavvio. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.
In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Configurato.
Selezionare la scheda Appliance di integrazione e individuare l’appliance nella VM appena distribuita. L’icona di stato indica Connesso.