Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=DeployVMCollector

Distribuzione delle appliance

Quando si integrano alcuni prodotti di terze parti con Sophos Central, occorre un’appliance che raccolga i dati da questi prodotti e li invii a Sophos. L’appliance è ospitata su una virtual machine (VM).

Attualmente Sophos supporta VMware ESXi 6.7 Update 3 o versione successiva, Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva e Amazon Web Services (AWS).

Nota

I dati syslog inviati all’appliance non sono sicuri. Se l’appliance è ospitata nel cloud, i dati non devono essere inviati tramite Internet pubblica.

Questa pagina riguarda le appliance ESXi e Hyper-V. Si presuppone che sia stata configurata e scaricata un’immagine per l’appliance di integrazione. A questo punto, è possibile distribuirla come descritto di seguito.

Nota

Se per la propria integrazione di terze parti si desidera utilizzare un’appliance su AWS, vedere Aggiunta di integrazioni in AWS.

Per visualizzare le istruzioni per la propria piattaforma, cliccare di seguito sulla scheda corrispondente.

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire una nuova VM, occorre ricreare il file OVA in Sophos Central.

Sul proprio host ESXi, svolgere le seguenti operazioni:

  1. Selezionare Macchine virtuali.

  2. Cliccare su Crea/Registra macchina virtuale.

    Scheda Crea/Registra macchina virtuale.

  3. In Seleziona tipo di creazione, selezionare Distribuisci una macchina virtuale da un file OVF o OVA. Cliccare su Next (Avanti).

    Selezionare il tipo di creazione.

  4. Nella pagina Seleziona file OVF e VMDK, procedere come segue:

    1. Immettere il Nome della VM.
    2. Cliccare sulla pagina per selezionare i file. Selezionare il file OVA scaricato.
    3. Cliccare su Next (Avanti).

    Selezione del file OVA.

  5. In Select storage (Seleziona archiviazione), cliccare su Standard. Selezionare quindi l’archivio dati in cui si desidera collocare la VM. Cliccare su Next (Avanti).

    Selezionare l’archiviazione.

  6. In Deployment Options (Opzioni di distribuzione), inserire le impostazioni indicate di seguito.

    1. SPAN1 e SPAN2. Non sono necessarie per le integrazioni. Selezionare un gruppo di porte qualsiasi come segnaposto; dovrà poi essere disconnesso in un secondo momento nelle impostazioni della VM.
    2. In SYSLOG, selezionare la porta che dovrà ricevere i dati di syslog dal prodotto di terze parti.

    3. In MGMT, selezionare l’interfaccia di gestione per l’appliance. Questa interfaccia permette all’appliance di inviare i dati al Sophos Data Lake.

      Questa interfaccia è stata configurata in precedenza in Sophos Central, sotto Impostazioni della porta di rete con connessione Internet.

      Se durante l’installazione è stato selezionato DHCP, assicurarsi che la VM sia in grado di ottenere un indirizzo IP tramite DHCP.

    4. In Disk Provisioning (Provisioning del disco), verificare che sia selezionata l’opzione Thin.

    5. Assicurarsi che sia selezionata l’opzione Power on automatically (Attivazione automatica).
    6. Cliccare su Next (Avanti).

    Opzioni di distribuzione.

  7. Saltare il passaggio delle Impostazioni aggiuntive.

  8. Cliccare su Fine. Attendere che la nuova VM venga visualizzata nell’elenco delle VM. Ciò potrebbe richiedere alcuni minuti.

    Ready to complete (Pronta per il completamento).

  9. Attivare la VM e attendere il completamento dell’installazione.

    La VM si avvierà per la prima volta e verificherà di essere in grado di connettersi ai gruppi di porte corretti e a Internet. Successivamente, effettuerà il riavvio. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.

  10. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Configurato.

  11. Selezionare la scheda Appliance di integrazione e individuare l’appliance nella VM appena distribuita. L’icona di stato indica Connesso.

    Stato dell’appliance.

Ora occorre configurare il prodotto di terze parti per l’invio di dati all’appliance. Tornare alle istruzioni di integrazione del prodotto per scoprire come procedere.

Il file ZIP scaricato in Sophos Central contiene i file necessari per distribuire la VM: unità virtuali, il file seed.iso e uno script PowerShell.

Per implementare la VM, procedere come segue:

  1. Estrarre il file ZIP in una cartella sul disco rigido.
  2. Aprire la cartella, cliccare con il pulsante destro del mouse sul file ndr-sensor.ps1 e selezionare Esegui con PowerShell.

  3. Se viene visualizzato un messaggio intitolato Avviso di sicurezza, cliccare su Apri per consentire l’esecuzione del file.

    Bisognerà rispondere a una serie di domande.

  4. Assegnare un nome alla VM.

  5. Lo script mostrerà la cartella in cui verranno memorizzati i file della VM. Si tratta di una nuova cartella nel percorso di installazione predefinito per le unità virtuali. Immettere C per permettere allo script di crearla.
  6. Immettere il numero di processori (CPU) da utilizzare per la VM.
  7. Immettere la quantità di memoria da utilizzare, in GB.

  8. Lo script mostrerà un elenco numerato di tutti i vSwitch attuali.

    Selezionare il vSwitch al quale si desidera collegare l’interfaccia di gestione e immetterne il numero. Questa interfaccia permette all’appliance di inviare i dati al Sophos Data Lake.

    Questa interfaccia è stata configurata in precedenza in Sophos Central, sotto Impostazioni della porta di rete con connessione Internet.

    Se durante l’installazione è stato selezionato DHCP, assicurarsi che la VM sia in grado di ottenere un indirizzo IP tramite DHCP.

    Selezionare il vSwitch.

  9. Immettere il vSwitch che si desidera collegare all’interfaccia syslog.

    Sarà il vSwitch che riceverà i dati di syslog dal prodotto di terze parti.

  10. Non occorre specificare vSwitch per l’acquisizione del traffico di rete. Queste impostazioni sono pertinenti solo se si usa Sophos NDR. Selezionare un vSwitch qualsiasi come segnaposto, che dovrà poi essere disconnesso nelle impostazioni della VM.

    Lo script PowerShell configurerà la VM in Hyper-V. Verrà visualizzato il messaggio Installazione completata.

  11. Premere un tasto qualsiasi per uscire.

  12. Aprire la Console di gestione di Hyper-V per visualizzare la VM aggiunta all’elenco delle virtual machine. Le impostazioni possono essere modificate. Procedere con l’avvio.

    La VM si avvierà per la prima volta e verificherà di essere in grado di connettersi ai vSwitch corretti e a Internet. Successivamente, effettuerà il riavvio. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.

  13. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Configurato.

  14. Selezionare la scheda Appliance di integrazione e individuare l’appliance nella VM appena distribuita. L’icona di stato indica Connesso.

    Stato dell’appliance.

Ora occorre configurare il prodotto di terze parti per l’invio di dati all’appliance. Tornare alle istruzioni di integrazione del prodotto per scoprire come procedere.