Vai al contenuto
Il supporto che offriamo per MDR.

Integrazioni su AWS

È possibile integrare prodotti di terze parti con Sophos Central distribuendo un’appliance di integrazione Sophos su AWS.

L’appliance ospita un agente di raccolta log che utilizza syslog per ricevere avvisi dal prodotto di terze parti e inoltrarli a Sophos.

Questa pagina descrive come configurare e distribuire un’appliance su AWS. I passaggi sono applicabili a qualsiasi prodotto di terze parti che si desidera integrare, a condizione che il prodotto sia ospitato su AWS.

Nota

È anche possibile integrare Sophos Network Detection and Response (NDR) utilizzando AWS. Vedere NDR su AWS.

Requisiti

Per distribuire un’appliance su AWS, è necessario soddisfare i seguenti requisiti:

  • Un account AWS. Il prodotto di terze parti deve essere ospitato su AWS e l’appliance deve essere distribuita sullo stesso account AWS.
  • Un account Sophos Central con una licenza XDR o MDR.
  • Un pacchetto di licenze Sophos per il tipo di prodotto che si desidera integrare, ad esempio Firewall.
  • Istanze di EC2. I tipi supportati sono c5n.2xlarge, c6i.4xlarge, c7i.16xlarge (virtualizzazione Nitro).
  • VPC, subnet e zone di disponibilità. È possibile usare quelli già esistenti.
  • Un gruppo di sicurezza per SSH.
  • Almeno un indirizzo IP elastico allocato per l’interfaccia di gestione.

Nota

Se non si sa esattamente qual è il pacchetto di licenze di cui si ha bisogno, aprire Centro di analisi delle minacce > Integrazioni > Marketplace. Il riquadro del prodotto indica il tipo di licenza richiesto.

Occorre anche svolgere la seguente operazione:

  • Creare e salvare la propria chiave privata ssh per l’account AWS.

Passaggi principali

I passaggi chiave sono:

  • Creare un modello di CloudFormation per la propria appliance.
  • Distribuire il modello di CloudFormation.
  • Iscriversi a “Sophos Integration Appliance” su AWS.
  • Creare uno stack.
  • Modificare i gruppi di sicurezza di AWS.
  • Impostare una password per la Gestione dell’appliance.

Creazione di un modello di CloudFormation

Creare un modello CloudFormation (CFT) per la propria appliance, procedendo come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
  2. Cercare il prodotto di terze parti da integrare e cliccarci sopra.
  3. Nella pagina dell’integrazione, in Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Pagina dell’integrazione del proprio prodotto.

  4. In Passaggi di configurazione dell’integrazione, inserire un nome e una descrizione per l’integrazione.

  5. Cliccare su Crea nuova appliance.
  6. Inserire un nome e una descrizione per l’appliance.
  7. In Piattaforma virtuale, selezionare AWS.

    Impostazioni dell’appliance con AWS selezionato come piattaforma.

  8. In Protocollo, selezionare un protocollo.

  9. Cliccare su Salva. Verrà creato un file JSON di CloudFormation (CF) denominato ndr_<product-name>_cf_latest.json.

Distribuzione del modello di CloudFormation

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Configurato.
  2. Selezionare la scheda Appliance di integrazione e individuare la propria appliance.
  3. Nella prima colonna a destra, cliccare sui tre puntini e selezionare Scarica immagine.

A questo punto, è possibile iscriversi ad AWS e distribuire l’appliance Sophos.

Iscrizione a Sophos Integration Appliance

È necessario iscriversi (subscribe) a Sophos Integration Appliance su AWS Marketplace. In questo modo AWS riconoscerà il modello CloudFormation fornito e permetterà di installare le risorse nel proprio account AWS.

Per iscriversi, procedere come segue:

  1. Visitare la pagina AWS Marketplace e cercare “Sophos Integration Appliance”.
  2. Nella pagina Product Overview (Panoramica del prodotto), cliccare su Continue to Subscribe (Continua all’iscrizione).

    Pagina “Product Overview” di AWS.

  3. Nella pagina Subscribe to this software (Iscriviti a questo software), accettare i termini e condizioni e cliccare su Continue to Configuration (Continua alla configurazione).

    Pagina “Subscribe to this software” su AWS.

  4. Nella pagina Configure this software (Configura questo software), controllare la versione e l’area geografica e cliccare su Continue to Launch (Continua all’avvio).

    Pagina “Configure this software” su AWS.

  5. Nella pagina Launch this software (Avvia questo software), cliccare su Usage instructions (Istruzioni per l’uso) per scoprire come accedere a Sophos Appliance Manager (Gestione dell’appliance Sophos).

    Pagina “Launch this software” su AWS.

  6. Cliccare su Launch.

    AWS aprirà la pagina Create stack (Crea stack).

Creazione di uno stack

Il modello di CloudFormation scaricato verrà ora utilizzato per distribuire l’appliance Sophos per il proprio account AWS. Per farlo, creare uno stack procedendo come segue:

  1. Nella pagina Create stack, svolgere queste operazioni:

    1. Lasciare selezionata l’opzione Template is ready (Il modello è pronto).
    2. In Specify template (Specifica modello), selezionare Upload a template file (Carica un file di modello).
    3. Cliccare su Choose File (Scegli file) e selezionare ndr_<appliance-name>_cf_latest.json.

      appliance-name è il nome che è stato assegnato all’appliance al momento della creazione del modello di CloudFormation in Sophos Central.

    4. Cliccare su Next (Avanti).

    Pagina “Create stack” che mostra la scelta del file di modello.

  2. Nella pagina Specify stack details (Specifica dettagli dello stack), inserire un nome e i seguenti dettagli per la Network Configuration (configurazione di rete):

    1. Un VPC esistente da utilizzare per l’appliance.
    2. Una subnet per l’Interfaccia di gestione, che sarà una subnet pubblica.
    3. Una subnet per l’interfaccia syslog.
    4. Il gruppo di sicurezza che fornisce agli amministratori l’accesso SSH all’istanza della Sophos Integration Appliance.

    Una volta compilati, i dettagli della configurazione di rete sono simili a questo esempio:

    Pagina “Specify stack details”.

  3. In EC2 Instance Configuration (Configurazione dell’istanza EC2), inserire la chiave SSH richiesta per accedere all’istanza EC2 della Sophos Integration Appliance e successivamente cliccare su Next.

    Nota

    Questa coppia di chiavi SSH è stata creata e salvata in precedenza.

    Campo “EC2 Instance Configuration”.

  4. Nella pagina Configure Stack Options (Configura opzioni dello stack), accettare le impostazioni predefinite di AWS o apportare le modifiche desiderate. Cliccare su Submit (Invia).

Il modello di CloudFormation sceglierà automaticamente le giuste aree geografiche e AMI, in base all’area geografica AWS dell’account utilizzato per caricare il modello.

Attendere la creazione della Sophos Integration Appliance. Questa operazione può richiedere cinque o sei minuti.

Modifica dei gruppi di sicurezza

I gruppi di sicurezza di AWS devono essere modificati. Questa operazione consente di apportare le seguenti modifiche:

  • Permettere al traffico syslog di essere indirizzato verso l’appliance.
  • Concedere l’accesso a Sophos Appliance Manager.

Per modificare i gruppi di sicurezza, procedere come segue:

  1. In AWS, aprire i dettagli di sicurezza della Sophos Integration Appliance.

    Per farlo, inserire il nome dell’appliance nella barra di ricerca della console di AWS. Una volta trovata, selezionare la scheda EC2 e cliccare sull’istanza *Sophos Integration Appliance*.

  2. Nella pagina Instance Summary (Riepilogo dell’istanza), scorrere verso il basso fino alle pagine a schede e selezionare la scheda Security (Sicurezza).

  3. Individuare il gruppo InternalSyslogSG e inserire l’origine da cui si desidera autorizzato il traffico per la raccolta dei log.

  4. Trovare il gruppo di sicurezza InternalMgmtSG. È già stato creato dal modello di CloudFormation. Aggiungere i propri amministratori al gruppo e concedere loro l’accesso alla porta 8443 in Inbound rule (Regola in entrata).

    Regole in entrata per i gruppi di sicurezza.

Prima di poter utilizzare Sophos Appliance Manager, occorre anche impostare una password.

Impostazione di una password per Sophos Appliance Manager

Il nome utente per Sophos Appliance Manager è zadmin. Per impostare la password, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Configurato.
  2. Aprire la scheda Appliance di integrazione.

  3. Trovare la propria appliance. Nella prima colonna a destra, cliccare sui tre puntini e selezionare Apri la Gestione dell’appliance.

    Menu Azioni dell’appliance.

  4. Nella finestra di dialogo di conferma, cliccare su reimpostarla.

    Finestra di conferma.

Anche gli altri amministratori che desiderano utilizzare la Gestione dell’appliance dovranno impostare una password.

L’installazione dell’appliance è terminata.

L’integrazione è ora completata. È possibile monitorare lo stato e l’attività dell’appliance in Sophos Appliance Manager.