Sophos NDR su hardware OnLogic
Sophos NDR ora supporta l’installazione sui sistemi OnLogic testati e certificati da Sophos.
Creazione di un’immagine dell’appliance NDR
Sophos NDR utilizza un’appliance per raccogliere dati e inoltrarli al Sophos Data Lake a scopo di analisi.
Prima di configurare l’hardware, è necessario creare e scaricare un’immagine di installazione dell’appliance NDR. Questa immagine ISO verrà distribuita come appliance NDR in seguito.
- In Sophos Central, aprire Centro di analisi delle minacce > Integrazioni.
- Cercare Sophos Network Detection and Response (NDR) e cliccare su questa voce.
-
Nella pagina NDR, in Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.
Verranno visualizzati i Passaggi di configurazione dell’integrazione.
-
Nel Passaggio 1 Immettere un nome e una descrizione per l’integrazione.
- Nel Passaggio 2, selezionare Crea nuova appliance.
-
Per creare una nuova appliance, procedere come segue:
- Inserire un nome e una descrizione per l’appliance. Il nome specificato deve essere univoco.
- In Piattaforma virtuale, selezionare Hardware.
-
Nel Passaggio 3, escludere dal controllo domini e protocolli specifici. Questa opzione potrebbe essere utile se, ad esempio, si ha un dominio che causa falsi positivi.
Le esclusioni possono essere impostate in un secondo momento, ma il nome dell’elenco delle esclusioni deve essere specificato subito.
- Inserire il Nome elenco di esclusioni.
- Per escludere un dominio, cliccare su Esclusioni per il dominio. Immettere il nome del dominio, ad esempio
sophos.com
, e cliccare su Aggiungi. -
Per escludere un protocollo, cliccare su Esclusioni per il protocollo. Si possono immettere le informazioni in uno o entrambi i campi:
- Nel primo campo, immettere un protocollo master. Ad esempio,
TCP
oUDP
. - Nel secondo campo, immettere un sottoprotocollo (sito web). Ad esempio
facebook
.
Si consiglia di non escludere completamente un protocollo master. Svolgere questa operazione solo nel caso in cui un protocollo con elevati volumi di traffico che i solito non presenta rischi (ad es. un protocollo di routing) dovesse generare troppi dati.
Nota
Le esclusioni possono essere esportate in un file JSON. È anche possibile caricare le esclusioni nell’elenco da un file JSON precedentemente esportato.
- Nel primo campo, immettere un protocollo master. Ad esempio,
-
Cliccare su Aggiungi.
-
Cliccare su Salva.
Una finestra popup mostrerà le credenziali di Sophos Appliance Manager (Gestione dell’appliance). Prenderne nota. Si avrà bisogno di Sophos Appliance Manager per accedere alle appliance e risolverne i problemi.
La nuova integrazione verrà ora visualizzata nell’elenco delle Integrazioni NDR configurate.
-
Per scaricare l’immagine, cliccare sui tre puntini nella colonna Azioni e selezionare Scarica immagine. Potrebbe essere necessario attendere che l’immagine diventi disponibile per il download.
Creazione di un supporto di installazione USB
L’immagine ISO deve essere copiata su un’unità USB. Le istruzioni riportate di seguito descrivono come svolgere questa operazione utilizzando uno strumento di terze parti chiamato balenaEtcher.
- Cliccare su questo link per scaricare balenaEtcher con il programma di installazione specifico per il sistema operativo utilizzato: Download. Completare il processo di installazione.
-
Inserire una chiave USB nel proprio computer o laptop.
Nota
Assicurarsi che l’unità USB non contenga dati che si desidera conservare.
-
Avviare l’applicazione balenaEtcher procedendo come segue:
- Cliccare su Flash from file (Esegui flashing da file)
- Utilizzando la finestra di dialogo della selezione del file, selezionare l’immagine ISO dell’appliance NDR scaricata da Sophos Central.
- Se viene visualizzato un avviso relativo a una tabella di partizione mancante, cliccare su Continue (Continua).
- Cliccare su Select target (Seleziona destinazione)
-
Selezionare l’unità USB sulla quale si desidera installare l’immagine ISO.
Nota
Prestare attenzione quando si seleziona il dispositivo USB da usare, poiché questa procedura cancellerà tutti i dati attualmente presenti sull’unità.
-
Cliccare su Select 1 (Seleziona 1).
- Cliccare su Flash.
- Accettare eventuali messaggi del Controllo dell’account utente.
Sul pannello a sinistra, verrà visualizzato l’avanzamento del flashing.
Una volta completato il processo, è possibile uscire da balenaEtcher.
Installazione e collegamento del sistema
- Estrarre l’hardware OnLogic dalla confezione.
-
Collegare i seguenti cavi e periferiche al dispositivo OnLogic:
- I cavi di alimentazione agli alimentatori.
- Monitor HDMI: è possibile utilizzare una connessione VGA tramite adattatore da USB-C a VGA (non incluso)
- La tastiera USB.
- Il cavo di rete di gestione alla porta dell’interfaccia di rete situata in alto.
- Il cavo di acquisizione di rete alla porta dell’interfaccia di rete situata in basso.
Inizio dell’installazione
- Inserire l’unità USB di installazione creata in precedenza in una delle porte USB disponibili del dispositivo OnLogic.
- Accendere il dispositivo OnLogic o premere
Ctrl+Alt+Delete
per riavviarlo. -
Nel menu di avvio, utilizzare i tasti freccia per selezionare Install Sophos NDR -- NUC/OnLogic Models (Installa Sophos NDR -- Modelli NUC/OnLogic) e premere Invio.
L’avvio del sistema richiederà alcuni minuti. Occorrerà attendere che il programma di installazione termini il caricamento. Il programma di installazione sarà pronto quando verrà visualizzata la schermata Network connections (Connessioni di rete).
Configurazione delle interfacce di rete
Configurazione dell’indirizzo IP di gestione
Identificare l’interfaccia da utilizzare per la rete di gestione e la connessione a Sophos Central.
Configurare questa interfaccia con un indirizzo IP, un gateway predefinito e un indirizzo DNS. La configurazione DHCP è possibile ma non è consigliata, poiché l’indirizzo IP dell’appliance potrebbe cambiare durante un riavvio futuro.
- Utilizzare i tasti freccia per selezionare l’interfaccia di gestione e premere Invio.
- Selezionare Edit IPv4 (Modifica IPv4) e premere Invio.
- Premere Invio sull’IPv4 Method (Metodo IPv4) e selezionare Manual (Manuale).
- Inserire la subnet per l’interfaccia nella notazione CIDR.
- Inserire l’indirizzo IP per l’interfaccia nel campo Address (Indirizzo).
- Inserire il gateway predefinito nel campo Gateway.
- Inserire il/i server DNS nel campo Name servers (Nomina server).
- Opzionale: inserire un dominio nel campo Search domains (Cerca domini).
- Utilizzare i tasti freccia per selezionare Save e premere Invio.
Configurazione delle interfacce di acquisizione
Le interfacce di acquisizione (impostazioni SPAN) vengono configurate dopo l’installazione, utilizzando l’interfaccia utente web Gestione dell’appliance. Vedere Impostazioni SPAN.
Per il momento, disattivare tutte le interfacce di rete rimanenti, procedendo come segue:
- Utilizzare i tasti freccia per selezionare l’interfaccia e premere Invio.
- Selezionare Edit IPv4 (Modifica IPv4) e premere Invio.
- Utilizzare i tasti freccia per selezionare Disabled (Disattivata) e premere Invio.
- Utilizzare i tasti freccia per selezionare Save e premere Invio.
Processo di installazione
Il sistema è ora pronto per partizionare i dischi e iniziare il processo di installazione.
Utilizzare i tasti freccia per selezionare Continue (Continua) e premere Invio. Si confermerà così il partizionamento e l’installazione del disco.
L’installazione del software richiederà del tempo. L’installazione sarà completa quando verrà visualizzato il messaggio Install complete! (Installazione completata!) nella parte alta dello schermo.
Completamento dell’installazione
Al termine dell’installazione, utilizzare i tasti freccia per selezionare Reboot Now (Riavvia ora) e premere Invio.
Il processo di uscita verrà sospeso e sarà necessario rimuovere il supporto di installazione.
Rimuovere l’unità USB dal sistema e premere Invio per continuare il processo di uscita e riavvio.