Distribuzione delle appliance

Sul proprio host ESXi, svolgere le seguenti operazioni:

1. Selezionare Macchine virtuali.

2. Cliccare su Crea/Registra macchina virtuale.

   

3. In Seleziona tipo di creazione, selezionare Distribuisci una macchina virtuale da un file OVF o OVA. Cliccare su Next (Avanti).

   

4. Nella pagina Seleziona file OVF e VMDK, procedere come segue:

   1. Immettere il Nome della VM.
   2. Cliccare sulla pagina per selezionare i file. Selezionare il file OVA scaricato.
   3. Cliccare su Next (Avanti).

   

5. In Select storage (Seleziona archiviazione), cliccare su Standard. Selezionare quindi l’archivio dati in cui si desidera collocare la VM. Cliccare su Next (Avanti).

   

6. In Deployment Options (Opzioni di distribuzione), inserire le impostazioni indicate di seguito.

   1. SPAN1 e SPAN2. Non sono necessarie per le integrazioni. Selezionare un gruppo di porte qualsiasi come segnaposto; dovrà poi essere disconnesso in un secondo momento nelle impostazioni della VM.
   2. In SYSLOG, selezionare la porta che dovrà ricevere i dati di syslog dal prodotto di terze parti.

   3. In MGMT, selezionare l’interfaccia di gestione per l’appliance. Questa interfaccia permette all’appliance di inviare i dati al Sophos Data Lake.

      Questa interfaccia è stata configurata in precedenza in Sophos Central, sotto Impostazioni della porta di rete con connessione Internet.

      Se durante l’installazione è stato selezionato DHCP, assicurarsi che la VM sia in grado di ottenere un indirizzo IP tramite DHCP.

   4. In Disk Provisioning (Provisioning del disco), verificare che sia selezionata l’opzione Thin.

   5. Assicurarsi che sia selezionata l’opzione Power on automatically (Attivazione automatica).
   6. Cliccare su Next (Avanti).

   

7. Saltare il passaggio delle Impostazioni aggiuntive.

8. Cliccare su Fine. Attendere che la nuova VM venga visualizzata nell’elenco delle VM. Ciò potrebbe richiedere alcuni minuti.

   

9. Attivare la VM e attendere il completamento dell’installazione.

   La VM si avvierà per la prima volta e verificherà di essere in grado di connettersi ai gruppi di porte corretti e a Internet. Successivamente, effettuerà il riavvio. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.

10. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Configurato.

11. Selezionare la scheda Appliance di integrazione e individuare l’appliance nella VM appena distribuita. L’icona di stato indica Connesso.

    

Ora occorre configurare il prodotto di terze parti per l’invio di dati all’appliance. Tornare alle istruzioni di integrazione del prodotto per scoprire come procedere.

Il file ZIP scaricato in Sophos Central contiene i file necessari per distribuire la VM: unità virtuali, il file seed.iso e uno script PowerShell.

Per implementare la VM, procedere come segue:

1. Estrarre il file ZIP in una cartella sul disco rigido.
2. Aprire la cartella, cliccare con il pulsante destro del mouse sul file ndr-sensor.ps1 e selezionare Esegui con PowerShell.

3. Se viene visualizzato un messaggio intitolato Avviso di sicurezza, cliccare su Apri per consentire l’esecuzione del file.

   Bisognerà rispondere a una serie di domande.

4. Assegnare un nome alla VM.

5. Lo script mostrerà la cartella in cui verranno memorizzati i file della VM. Si tratta di una nuova cartella nel percorso di installazione predefinito per le unità virtuali. Immettere C per permettere allo script di crearla.
6. Immettere il numero di processori (CPU) da utilizzare per la VM.
7. Immettere la quantità di memoria da utilizzare, in GB.

8. Lo script mostrerà un elenco numerato di tutti i vSwitch attuali.

   Selezionare il vSwitch al quale si desidera collegare l’interfaccia di gestione e immetterne il numero. Questa interfaccia permette all’appliance di inviare i dati al Sophos Data Lake.

   Questa interfaccia è stata configurata in precedenza in Sophos Central, sotto Impostazioni della porta di rete con connessione Internet.

   Se durante l’installazione è stato selezionato DHCP, assicurarsi che la VM sia in grado di ottenere un indirizzo IP tramite DHCP.

   

9. Immettere il vSwitch che si desidera collegare all’interfaccia syslog.

   Sarà il vSwitch che riceverà i dati di syslog dal prodotto di terze parti.

10. Non occorre specificare vSwitch per l’acquisizione del traffico di rete. Queste impostazioni sono pertinenti solo se si usa Sophos NDR. Selezionare un vSwitch qualsiasi come segnaposto, che dovrà poi essere disconnesso nelle impostazioni della VM.

    Lo script PowerShell configurerà la VM in Hyper-V. Verrà visualizzato il messaggio Installazione completata.

11. Premere un tasto qualsiasi per uscire.

12. Aprire la Console di gestione di Hyper-V per visualizzare la VM aggiunta all’elenco delle virtual machine. Le impostazioni possono essere modificate. Procedere con l’avvio.

    La VM si avvierà per la prima volta e verificherà di essere in grado di connettersi ai vSwitch corretti e a Internet. Successivamente, effettuerà il riavvio. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.

13. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Configurato.

14. Selezionare la scheda Appliance di integrazione e individuare l’appliance nella VM appena distribuita. L’icona di stato indica Connesso.

    

Ora occorre configurare il prodotto di terze parti per l’invio di dati all’appliance. Tornare alle istruzioni di integrazione del prodotto per scoprire come procedere.

Caricamento dei file di immagine

Per caricare i file immagine del disco e l’ISO iniziale sul sistema Nutanix, procedere come segue:

1. Da un browser web, accedere alla console web di Nutanix sulla porta 9440.

2. Aprire Home (Pagina principale) > Settings (Impostazioni.

   

3. Selezionare Image Configuration (Configurazione dell’immagine).

   

Caricamento del file di immagine root

1. Cliccare su Upload Image (Carica immagine)
2. Immettere un nome. Consigliamo di includere la parola “root” nel nome.
3. (Facoltativo) Aggiungere un’Annotation (Annotazione).

4. Selezionare Upload a file (Carica un file), cliccare su Browse (Sfoglia) e selezionare il file.

   Quando si seleziona il file, l’opzione Image type (Tipo di immagine) viene selezionata automaticamente.

   

5. Cliccare su Save.

   Viene avviato il caricamento del file. Attendere il termine del caricamento prima di continuare con la configurazione.

Caricamento del file di immagine ISO iniziale

1. Cliccare su Upload Image.
2. Immettere un nome. Consigliamo di includere la parola “ISO” nel nome.
3. (Facoltativo) Aggiungere un’Annotation (Annotazione).

4. Selezionare Upload a file (Carica un file), cliccare su Browse (Sfoglia) e selezionare il file.

   Quando si seleziona il file, l’opzione Image type (Tipo di immagine) viene selezionata automaticamente.

5. Cliccare su Save.

   Viene avviato il caricamento del file. Attendere il termine del caricamento prima di continuare con la configurazione.

I tre file caricati vengono visualizzati nella pagina Image Configuration.

Caricamento dello script di installazione

Nel file zip è incluso anche uno script denominato ndr-sensor.sh. Per il caricamento sul controller della VM Nutanix AHV, utilizzare il protocollo di trasferimento file sicuro (SCP), procedendo come segue:

1. In Windows, aprire un prompt dei comandi oppure, in macOS o Linux, aprire un terminale.
2. Passare alla directory in cui si trovano i file decompressi.

3. Eseguire il seguente comando: scp ndr-sensor.sh admin@<ip-address>:~/.

   

4. Inserire la password amministratore.

Eseguire lo script di installazione

1. Aprire la VM Nutanix AHV.
2. Utilizzare il seguente comando per accedere ed effettuare la connessione tramite SSH: ssh admin@<ip-address>.
3. Per eseguire lo script di installazione, eseguire questo comando: bash ndr-sensor.sh.

4. Inserire un nome per la VM dell’appliance. Il nome predefinito è ndr-sensor.

   

   Nota

   Per gli elementi per i quali viene elencato un valore predefinito, è possibile premere Invio per accettare il valore predefinito.

5. Inserire il numero di core CPU da assegnare alla VM. L’impostazione predefinita è 4.

6. Inserire la quantità di memoria da assegnare alla VM. L’impostazione predefinita è 16(GB).

Viene visualizzato il seguente messaggio: Created vm <name> UUID <UUID>.

Selezione dei file di immagine del disco della VM

Per selezionare i file di immagine del disco della VM, procedere come segue:

1. Inserire il nome dell’immagine per l’ISO iniziale caricato.

   

2. Inserire il nome dell’immagine per il file di immagine del disco root caricato.

3. Inserire il nome dell’immagine per il file di immagine del disco dati caricato.

Configurazione della rete

Lo script crea le seguenti interfacce di rete per la VM:

• Rete di gestione
• Rete syslog
• ERSPAN per i dati di acquisizione nei tunnel
• SPAN per la rete con mirroring, per ricevere i dati di acquisizione da un’altra VM su questo server VM

Lo script elencherà le subnet virtuali disponibili che possono essere utilizzate dai dati di acquisizione ottenuti dalle reti di gestione, syslog e Remote Switched Port Analyzer (RSPAN) nei tunnel.

È possibile utilizzare una singola subnet per tutte e tre le reti.

Per assegnare subnet alle reti, procedere come segue:

1. Inserire il numero corrispondente alla subnet da utilizzare per la rete di gestione.

   

2. Inserire il numero corrispondente alla subnet virtuale da utilizzare per la rete syslog di ricezione.

3. La configurazione per la rete SPAN viene creata automaticamente utilizzando i parametri di configurazione. L’impostazione predefinita è type=kSpanDestinationNic.
4. Inserire il numero corrispondente alla subnet virtuale da utilizzare per la rete di acquisizione RSPAN nei tunnel.

Una volta completata l’esecuzione dello script, verranno forniti alcuni comandi acli di esempio per abilitare una sessione SPAN di Nutanix. L’indirizzo MAC elencato nei comandi di esempio è l’indirizzo MAC dell’interfaccia SPAN creata dallo script.

I comandi di esempio possono essere utilizzati per i seguenti tipi di sessione SPAN:

• Dati SPAN provenienti da tutte le VM sull’host della VM.
• Dati SPAN provenienti da una singola VM sull’host della VM.

Per maggiori informazioni, vedere Mirroring del traffico sugli host AHV.

Avvio della VM

Una volta completata l’esecuzione dello script, tornare alla console web di Nutanix, aprire la pagina della VM, e successivamente avviare la VM.

In Sophos Central, caricare e aggiornare la pagina Integrazioni del prodotto che si sta integrando. Lo stato della VM è ora Connesso.