Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=NDR-Nutanix

Sophos NDR su Nutanix

Agente di raccolta log Sophos Network Detection and Response

Per utilizzare questa funzionalità, è necessario avere il pacchetto di licenza per l’integrazione “Sophos Network Detection and Response”.

È possibile configurare Sophos NDR su Nutanix per permettere a NDR di rilevare comportamenti dannosi all’interno della rete.

I principali passaggi necessari per questa procedura sono i seguenti:

  • Creazione di un’immagine dell’appliance NDR
  • Download dell’immagine VM
  • Caricamento dei file di immagine
  • Caricamento dello script di installazione
  • Eseguire lo script di installazione
  • Avvio della VM

Creazione di un’immagine dell’appliance NDR

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
  2. Cercare Sophos Network Detection and Response (NDR) e cliccare su questa voce.

  3. Nella pagina NDR, in Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

  4. Nel Passaggio 1 Immettere un nome e una descrizione per l’integrazione.

    Passaggi di integrazione.

  5. Nel Passaggio 2, cliccare su Crea nuova appliance.

  6. Per creare una nuova appliance, procedere come segue:

    1. Inserire un nome e una descrizione per l’appliance. Il nome specificato deve essere univoco.
    2. In Piattaforma virtuale, selezionare Nutanix.

    3. Specificare le porte di rete con connessione Internet.

      • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

        Nota

        Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

      • Selezionare Manuale per specificare le impostazioni di rete. Per esempio:

        • Indirizzo IP: 10.0.252.5
        • Subnet mask: 255.255.255.0
        • Indirizzo del gateway: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

  7. Nel Passaggio 3, escludere dal controllo domini e protocolli specifici. Questa opzione potrebbe essere utile se, ad esempio, si ha un dominio che causa falsi positivi.

    Le esclusioni possono essere impostate in un secondo momento, ma il nome dell’elenco delle esclusioni deve essere specificato subito.

    1. Inserire un nome in Nome elenco di esclusioni.
    2. Per escludere un dominio, cliccare su Esclusioni per il dominio. Immettere il nome del dominio, ad esempio sophos.com, e cliccare su Aggiungi.

    3. Per escludere un protocollo, cliccare su Esclusioni per il protocollo. Si possono immettere le informazioni in uno o entrambi i campi:

      • Nel primo campo, inserire un protocollo di primo livello. Ad esempio, TCP o UDP.
      • Nel secondo campo, immettere un sottoprotocollo (sito web). Ad esempio Facebook.

      Se si immettono informazioni in entrambi i campi, le includeremo in una sola stringa, con un punto come separatore.

      Si consiglia di non escludere completamente un protocollo di primo livello. Svolgere questa operazione solo nel caso in cui un protocollo con elevati volumi di traffico che i solito non presenta rischi (ad es. un protocollo di routing) dovesse generare troppi dati.

      Lo screenshot mostra informazioni di esempio.

    4. Cliccare su Aggiungi.

    Le esclusioni possono essere esportate in un file JSON. È anche possibile caricare le esclusioni nell’elenco da un file JSON precedentemente esportato.

    Passaggio 3 dell’integrazione, esclusioni.

  8. Cliccare su Salva.

Nella pagina NDR, la nuova integrazione viene visualizzata nell’elenco delle integrazioni configurate.

Download dell’immagine VM

A questo punto occorre scaricare l’immagine di NDR richiesta per distribuire e avviare la nuova VM.

  1. Accanto alla nuova integrazione, cliccare su Icona con i tre puntini. nella colonna Azioni e selezionare Scarica immagine.

  2. Passare il cursore del mouse sull’icona a sinistra del nome dell’integrazione. Verrà visualizzato il messaggio “In attesa di distribuzione”.

    Stato di integrazione.

Il file di distribuzione di Nutanix è un file zip che contiene file di immagine del disco, un file ISO iniziale contenente la chiave di autorizzazione e uno script di installazione. È necessario decomprimere il file per poterne utilizzare i contenuti.

Caricamento dei file di immagine

Per caricare i file immagine del disco e l’ISO iniziale sul sistema Nutanix, procedere come segue:

  1. Da un browser web, accedere alla console web di Nutanix sulla porta 9440.

  2. Aprire Home (Pagina principale) > Settings (Impostazioni.

    Console web di Nutanix.

  3. Selezionare Image Configuration (Configurazione dell’immagine).

    Configurazione di Nutanix.

Caricamento del file di immagine root

  1. Cliccare su Upload Image (Carica immagine)
  2. Immettere un nome. Consigliamo di includere la parola “root” nel nome.
  3. (Facoltativo) Aggiungere un’Annotation (Annotazione).

  4. Selezionare Upload a file (Carica un file), cliccare su Browse (Sfoglia) e selezionare il file.

    Quando si seleziona il file, l’opzione Image type (Tipo di immagine) viene selezionata automaticamente.

    Carica file.

  5. Cliccare su Salva.

    Viene avviato il caricamento del file. Attendere il termine del caricamento prima di continuare con la configurazione.

Caricamento del file di immagine ISO iniziale

  1. Cliccare su Upload Image.
  2. Immettere un nome. Consigliamo di includere la parola “ISO” nel nome.
  3. (Facoltativo) Aggiungere un’Annotation (Annotazione).

  4. Selezionare Upload a file (Carica un file), cliccare su Browse (Sfoglia) e selezionare il file.

    Quando si seleziona il file, l’opzione Image type (Tipo di immagine) viene selezionata automaticamente.

  5. Cliccare su Save (Salva).

    Viene avviato il caricamento del file. Attendere il termine del caricamento prima di continuare con la configurazione.

I tre file caricati vengono visualizzati nella pagina Image Configuration.

Immagini caricate.

Caricamento dello script di installazione

Nel file zip è incluso anche uno script denominato ndr-sensor.sh. Per il caricamento sul controller della VM Nutanix AHV, utilizzare il protocollo di trasferimento file sicuro (SCP), procedendo come segue:

  1. In Windows, aprire un prompt dei comandi oppure, in macOS o Linux, aprire un terminale.
  2. Passare alla directory in cui si trovano i file decompressi.

  3. Eseguire il seguente comando: scp ndr-sensor.sh admin@<ip-address>:~/.

    Prompt dei comandi.

  4. Inserire la password amministratore.

Eseguire lo script di installazione

  1. Aprire la VM Nutanix AHV.
  2. Utilizzare il seguente comando per accedere ed effettuare la connessione tramite SSH: ssh admin@<ip-address>.
  3. Per eseguire lo script di installazione, eseguire questo comando: bash ndr-sensor.sh.

  4. Inserire un nome per la VM dell’appliance. Il nome predefinito è ndr-sensor.

    Inserire il nome dell’appliance.

    Nota

    Per gli elementi per i quali viene elencato un valore predefinito, è possibile premere Invio per accettare il valore predefinito.

  5. Inserire il numero di core CPU da assegnare alla VM. L’impostazione predefinita è 4.

  6. Inserire la quantità di memoria da assegnare alla VM. L’impostazione predefinita è 16(GB).

Viene visualizzato il seguente messaggio: Created vm <name> UUID <UUID>.

Selezione dei file di immagine del disco della VM

Nota

Per tutti i passaggi di selezione del disco, è possibile inserire “L” per elencare le immagini memorizzate nel sistema.

Per selezionare i file di immagine del disco della VM, procedere come segue:

  1. Inserire il nome dell’immagine per l’ISO iniziale caricato.

    Inserire il nome dell’ISO iniziale.

  2. Inserire il nome dell’immagine per il file di immagine del disco root caricato.

  3. Inserire il nome dell’immagine per il file di immagine del disco dati caricato.

Configurazione della rete

Lo script crea le seguenti interfacce di rete per la VM:

  • Rete di gestione
  • Rete syslog
  • ERSPAN per i dati di acquisizione nei tunnel
  • SPAN per la rete con mirroring, per ricevere i dati di acquisizione da un’altra VM su questo server VM

Lo script elencherà le subnet virtuali disponibili che possono essere utilizzate dai dati di acquisizione ottenuti dalle reti di gestione, syslog e Remote Switched Port Analyzer (RSPAN) nei tunnel.

È possibile utilizzare una singola subnet per tutte e tre le reti.

Per assegnare subnet alle reti, procedere come segue:

  1. Inserire il numero corrispondente alla subnet da utilizzare per la rete di gestione.

    Inserire il numero di rete.

  2. Inserire il numero corrispondente alla subnet virtuale da utilizzare per la rete syslog di ricezione.

  3. La configurazione per la rete SPAN viene creata automaticamente utilizzando i parametri di configurazione. L’impostazione predefinita è type=kSpanDestinationNic.
  4. Inserire il numero corrispondente alla subnet virtuale da utilizzare per la rete di acquisizione RSPAN nei tunnel.

Una volta completata l’esecuzione dello script, verranno forniti alcuni comandi acli di esempio per abilitare una sessione SPAN di Nutanix. L’indirizzo MAC elencato nei comandi di esempio è l’indirizzo MAC dell’interfaccia SPAN creata dallo script.

I comandi di esempio possono essere utilizzati per i seguenti tipi di sessione SPAN:

  • Dati SPAN provenienti da tutte le VM sull’host della VM.
  • Dati SPAN provenienti da una singola VM sull’host della VM.

Per maggiori informazioni, vedere Mirroring del traffico sugli host AHV.

Avvio della VM

Una volta completata l’esecuzione dello script, tornare alla console web di Nutanix, aprire la pagina della VM, e successivamente avviare la VM.

La VM viene visualizzata nella console web di Nutanix.

Nota

Quando si avvia la VM, viene eseguito il processo di primo avvio, che può richiedere fino a dieci minuti.

In Sophos Central, caricare e aggiornare la pagina Integrazioni del prodotto che si sta integrando. Lo stato della VM è ora Connesso.