Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=NDR-dell

Sophos NDR su hardware Dell

Agente di raccolta log Sophos Network Detection and Response

È possibile installare NDR sui sistemi Dell testati e certificati da Sophos.

Creazione di un’immagine dell’appliance NDR

Sophos NDR utilizza un’appliance per raccogliere dati e inoltrarli al Sophos Data Lake a scopo di analisi.

Prima di configurare l’hardware, è necessario creare e scaricare un’immagine di installazione dell’appliance NDR. Questa immagine ISO verrà distribuita come appliance NDR in seguito.

  1. In Sophos Central, aprire Centro di analisi delle minacce > Integrazioni.
  2. Cercare Sophos Network Detection and Response (NDR) e cliccare su questa voce.

  3. Nella pagina NDR, in Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

  4. Nel Passaggio 1 Immettere un nome e una descrizione per l’integrazione.

  5. Nel Passaggio 2, cliccare su Crea nuova appliance.

  6. Per creare una nuova appliance, procedere come segue:

    1. Inserire un nome e una descrizione per l’appliance. Il nome specificato deve essere univoco.
    2. In Piattaforma virtuale, selezionare Hardware.

  7. Nel Passaggio 3, escludere dal controllo domini e protocolli specifici. Questa opzione potrebbe essere utile se, ad esempio, si ha un dominio che causa falsi positivi.

    Le esclusioni possono essere impostate in un secondo momento, ma il nome dell’elenco delle esclusioni deve essere specificato subito.

    1. Inserire un nome in Nome elenco di esclusioni.
    2. Per escludere un dominio, cliccare su Esclusioni per il dominio. Immettere il nome del dominio, ad esempio sophos.com, e cliccare su Aggiungi.

    3. Per escludere un protocollo, cliccare su Esclusioni per il protocollo. Si possono immettere le informazioni in uno o entrambi i campi:

      • Nel primo campo, immettere un protocollo master. Ad esempio, TCP o UDP.
      • Nel secondo campo, immettere un sottoprotocollo (sito web). Ad esempio facebook.

      Si consiglia di non escludere completamente un protocollo master. Svolgere questa operazione solo nel caso in cui un protocollo con elevati volumi di traffico che i solito non presenta rischi (ad es. un protocollo di routing) dovesse generare troppi dati.

      Nota

      Le esclusioni possono essere esportate in un file JSON. È anche possibile caricare le esclusioni nell’elenco da un file JSON precedentemente esportato.

    4. Cliccare su Add (Aggiungi).

    5. Cliccare su Salva.

      Una finestra popup mostrerà le credenziali di Sophos Appliance Manager (Gestione dell’appliance). Prenderne nota. Si avrà bisogno di Sophos Appliance Manager per accedere alle appliance e risolverne i problemi.

      La nuova integrazione verrà ora visualizzata nell’elenco delle Integrazioni NDR configurate.

  8. Per scaricare l’immagine dell’appliance, cliccare sui tre puntini nella colonna Azioni e selezionare Scarica immagine. Potrebbe essere necessario attendere che l’immagine diventi disponibile per il download.

Installazione e collegamento del sistema

  1. Estrarre l’hardware Dell dalla confezione.
  2. Installare i binari di montaggio su rack. Consultare i Manuali di Dell PowerEdge.

  3. Collegare i seguenti cavi e periferiche al dispositivo Dell:

    • I cavi di alimentazione agli alimentatori.
    • Il monitor VGA e la tastiera USB.
    • Il cavo di rete di gestione alla porta contrassegnata con il numero 1.
    • Il cavo di rete syslog alla porta contrassegnata con il numero 2.
    • Il cavo di rete iDRAC alla porta contrassegnata con la dicitura “iDRAC”.
    • Eventuali cavi di acquisizione di rete alle porte SPAN/di mirroring.

Configurazione delle impostazioni iDRAC

iDRAC offre funzionalità video e tastiera in remoto, oltre a supporti virtuali remoti. Questo sistema verrà utilizzato per facilitare l’installazione del software NDR tramite un’immagine ISO di avvio.

Quando il sistema è in un rack e sono stati effettuati tutti i collegamenti indicati sopra, accendere il sistema.

Premere F2 sulla tastiera all’avvio per accedere a System Setup (Configurazione del sistema).

Accesso al menu delle impostazioni di iDRAC

  1. Nella schermata della configurazione del sistema, utilizzare i tasti freccia per selezionare iDRAC settings (Impostazioni iDRAC) e premere Invio.
  2. Utilizzare i tasti freccia per selezionare Network (Rete) e premere Invio.

Configurazione delle impostazioni di rete di iDRAC

  1. Utilizzare i tasti freccia per scorrere tra le impostazioni dell’IP e configurare l’indirizzo da utilizzare per la connessione al sistema iDRAC.
  2. Premere TAB per evidenziare il pulsante Back (Indietro) in basso a destra e premere Invio.

Configurazione del nome utente e della password di iDRAC

Si consiglia vivamente di modificare la password predefinita. Per farlo, procedere come segue:

  1. Utilizzare i tasti freccia per selezionare User Configuration (Configurazione utente) nelle impostazioni di iDRAC e premere Invio.
  2. Il nome utente predefinito è root. Può essere modificato specificando un nuovo nome utente.
  3. Per modificare la password, utilizzare i tasti freccia per scorrere verso il basso fino al campo Change password (Modifica password) e premere Invio.
  4. Inserire la nuova password e confermarla.
  5. Premere TAB per evidenziare il pulsante Back e premere Invio.
  6. Premere TAB per evidenziare il pulsante Finish (Fine) e premere Invio.
  7. Utilizzare i tasti freccia per selezionare il pulsante Yes (Sì) e salvare le modifiche.
  8. Nella schermata System Setup, premere TAB per evidenziare il pulsante Finish e premere Invio.
  9. Utilizzare i tasti freccia per selezionare il pulsante Yes e confermare che si desidera uscire.

Verifica della connettività

A questo punto, il sistema iDRAC dovrebbe essere accessibile tramite un browser web. Per verificarlo, aprire il browser e andare alla pagina http://<configured IP address>. Se la pagina iDRAC non si carica, controllare la connessione di rete di iDRAC e riprovare.

Nota

Tutte le configurazioni successive verranno effettuate in remoto. È possibile disconnettere la tastiera e il monitor VGA.

Connessione a iDRAC

  1. Se non si è già effettuata la connessione all’interfaccia di iDRAC, aprire il browser web e andare alla pagina http://<configured IP address>.

  2. Inserire il nome utente e la password configurati nella sezione precedente.

    Dopo aver eseguito correttamente l’accesso, verrà visualizzata la dashboard di iDRAC.

Creazione di una partizione dati RAID (solo per sistemi R660 a 2 socket)

Nel sistema Dell R660 a 2 socket è sufficiente creare una partizione dati RAID che includa tre unità disco nell’alloggiamento anteriore del disco.

Se il sistema non è stato fornito con i dischi preconfigurati nella configurazione RAID 5, occorre configurare RAID per l’unità dati.

  1. Nella dashboard di iDRAC, cliccare su Storage (Archiviazione). Assicurarsi che Summary (Riepilogo) sia selezionato.
  2. Nella sezione Summary of Disks (Riepilogo dei dischi), controllare il numero di dischi virtuali. Se sono elencati due dischi virtuali, è possibile saltare i passaggi rimanenti in questa sezione e passare alla sezione “Connessione dell’ISO di installazione”.

  3. Cliccare su Virtual Disks (Dischi virtuali).

    Il disco virtuale corrente è per il disco del sistema operativo. Occorre creare l’array RAID 5 per la partizione dati.

  4. Cliccare su Create Virtual Disk (Crea disco virtuale) e selezionare Basic Configuration (Configurazione di base).

  5. Selezionare il controller PERC dall’elenco a discesa Controller.
  6. Selezionare RAID 5 dall’elenco a discesa Layout.
  7. Cliccare su Add to Pending (Aggiungi a In sospeso).

  8. Cliccare su Apply Now (Applica ora).

    La creazione del volume verrà aggiunta alla coda dei processi.

  9. Cliccare su Job Queue (Coda dei processi) per visualizzare lo stato dell’operazione.

    Se non si vede alcun elemento, assicurarsi che la vista attuale sia Pending Operations (Operazioni in sospeso) nella scheda Tasks (Attività). È possibile cliccare periodicamente su Refresh (Aggiorna), fino a quando l’elenco di operazioni in sospeso non sarà vuoto.

  10. Nella dashboard di iDRAC, cliccare su Storage e verificare che siano presenti due dischi virtuali in Summary of Disks.

Connessione dell’ISO di installazione

Apertura della console virtuale

  1. Se ci si trova già nella dashboard, cliccare su Dashboard nell’angolo in alto a sinistra del menu di iDRAC, nella pagina web.
  2. Nell’angolo in basso a destra della pagina, cliccare su Virtual Console (Console virtuale). Si aprirà una nuova finestra del browser.

Nota

Se si utilizza un blocco popup, la console virtuale non si aprirà. Per aprirla, occorrerà consentire i popup per questo sito web.

Connessione dei supporti virtuali

  1. Cliccare su Virtual Media (Supporti virtuali) sulla barra dei menu, nella parte alta della Console virtuale.
  2. Cliccare su Connect Virtual Media (Connetti supporti virtuali).
  3. Se non è già stato fatto, scaricare l’immagine di installazione dell’appliance NDR da Sophos Central.
  4. Sotto Map CD/DVD (Mappa CD/DVD), cliccare sul pulsante Browse (Sfoglia).

  5. Utilizzare la finestra di dialogo della selezione dei file per selezionare l’immagine ISO dell’appliance scaricata da Central.

    Selezionando l’immagine ISO, si attiverà il pulsante Map Device (Mappa dispositivo).

  6. Cliccare su Map Device.

  7. Cliccare su Close (Chiudi).

Avvio dall’ISO di installazione

  1. Cliccare su Boot (Avvio) sulla barra dei menu, nella parte alta della Console virtuale.
  2. Cliccare su Virtual CD/DVD/ISO (CD/DVD/ISO virtuale).
  3. Cliccare su Yes per confermare la selezione.
  4. Cliccare su Power (Alimentazione) sulla barra dei menu nella parte alta della Console virtuale.
  5. Cliccare su Reset System (warm boot) (Ripristina sistema (avvio a caldo).
  6. Cliccare su Yes per confermare la selezione.

Il processo di riavvio avrà inizio quando il sistema verrà configurato per l’avvio dall’ISO di installazione.

Inizio dell’installazione

Assicurarsi che l’opzione Install Sophos NDR - Dell Models (Installa Sophos NDR - Modelli Dell) sia evidenziata e premere Invio.

L’avvio dall’immagine ISO potrebbe richiedere del tempo, quindi è necessario attendere il caricamento completo del programma di installazione. Quando viene visualizzata la schermata Network Connections (Connessioni di rete), il programma di installazione avrà terminato il caricamento.

Configurazione dell’indirizzo IP di gestione

Identificare l’interfaccia da utilizzare per la rete di gestione e la connessione a Sophos Central.

Questa interfaccia deve essere configurata con un indirizzo IP, un gateway predefinito e un indirizzo DNS. La configurazione DHCP è possibile ma non è consigliata, poiché l’indirizzo IP dell’appliance potrebbe cambiare durante un riavvio futuro.

  1. Utilizzare i tasti freccia per selezionare l’interfaccia di gestione e premere Invio.
  2. Selezionare Edit IPv4 (Modifica IPv4) e premere Invio.
  3. Premere Invio sull’IPv4 Method (Metodo IPv4) e selezionare Manual (Manuale).
  4. Inserire la subnet per l’interfaccia nella notazione CIDR.
  5. Inserire l’indirizzo IP per l’interfaccia nel campo Address (Indirizzo).
  6. Inserire il gateway predefinito nel campo Gateway.
  7. Inserire il/i server DNS nel campo Name servers (Nomina server).
  8. Opzionale: inserire un dominio nel campo Search domains (Cerca domini).
  9. Utilizzare i tasti freccia per selezionare Save e premere Invio.

Configurazione dell’indirizzo IP del syslog

  1. Utilizzare i tasti freccia per selezionare l’interfaccia da utilizzare per syslog e premere Invio.
  2. Utilizzare i tasti freccia per selezionare Edit IPv4 e premere Invio.
  3. Selezionare Manual per il metodo IPv4 e premere Invio.
  4. Inserire la subnet per l’interfaccia nella notazione CIDR.
  5. Inserire l’indirizzo IP per l’interfaccia nel campo Address (Indirizzo).
  6. Utilizzare i tasti freccia per selezionare Save e premere Invio.

Nota

Non specificare un gateway o un indirizzo DNS. Vanno configurati solo per l’interfaccia di gestione.

Configurazione delle interfacce di acquisizione

Le interfacce di acquisizione (impostazioni SPAN) vengono configurate dopo l’installazione, utilizzando l’interfaccia utente web Gestione dell’appliance. Vedere Impostazioni SPAN.

Per il momento, disattivare tutte le interfacce di rete rimanenti, procedendo come segue:

  1. Utilizzare i tasti freccia per selezionare l’interfaccia e premere Invio.
  2. Selezionare Edit IPv4 (Modifica IPv4) e premere Invio.
  3. Utilizzare i tasti freccia per selezionare Disabled (Disattivata) e premere Invio.
  4. Utilizzare i tasti freccia per selezionare Save e premere Invio

Verifica delle impostazioni di rete

Verificare le proprie impostazioni per gli indirizzi IP di gestione e del syslog. Tutte le altre interfacce sono disattivate.

Quando tutte le impostazioni di rete sono corrette, utilizzare i tasti freccia per selezionare Done (Fatto) e premere Invio.

Processo di installazione

Il sistema è ora pronto per partizionare i dischi e iniziare il processo di installazione.

Utilizzare i tasti freccia per selezionare Continue (Continua) e premere Invio. Si confermerà così il partizionamento e l’installazione del disco.

L’installazione del software richiede del tempo e si svolge in due fasi. Nella prima fase viene installato il server Ubuntu. Una volta completata l’installazione, verrà visualizzato il messaggio Install complete! (Installazione completata!) nella parte alta dello schermo. La seconda fase prevede l’installazione del software NDR. Una volta completata questa attività, il simbolo di caricamento smetterà di girare.

Riavvio dopo l’installazione

  1. Al termine dell’installazione, utilizzare i tasti freccia per selezionare Reboot Now (Riavvia ora) e premere Invio.

    Il processo di uscita verrà sospeso e sarà necessario rimuovere il supporto di installazione.

  2. Selezionare il pulsante Virtual Media sulla barra dei menu in alto, nella Console virtuale.

  3. Cliccare su Disconnect Virtual Media (Disconnetti supporti virtuali), cliccare su Yes e successivamente su Close.
  4. Premere Invio per continuare il processo di uscita e riavvio.