Vai al contenuto

Sophos NDR

Agente di raccolta log

Per utilizzare questa funzionalità, occorre l’iscrizione all’EAP (Early Access Program).

Sophos Network Detection and Response (NDR) rileva i comportamenti dannosi all’interno della rete.

Sophos NDR può essere integrata con Sophos Central in modo che i suoi rilevamenti siano disponibili per le indagini nel Centro di analisi delle minacce.

Per integrare NDR occorre configurare un’appliance virtuale NDR che si connette a Sophos Central e invia dati. I principali passaggi necessari per questa procedura sono i seguenti:

  • Verifica dei requisiti.
  • Aggiunta di un’integrazione.
  • Configurazione degli switch in modo che NDR possa vedere il traffico.
  • Download dell’immagine della virtual machine (VM) di NDR.
  • Distribuzione della nuova VM.

Requisiti

Assicurarsi che il server ESXi soddisfi i requisiti di NDR, in base alle dimensioni della propria rete.

Sophos supporta ESXi 6.7 e versioni successive.

Dimensioni Piccolo Medio/a Grande
Larghezza di banda 1 Gbps 5 Gbps 10 Gbps
CPU 4 8 16
RAM 16 GB 32 GB 64 GB
Archivio 160 GB 320 GB 640 GB
Porte Rame SFP+ SFP+
Utenti Fino a 2.000 Fino a 10.000 Fino a 30.000

Il numero di utenti è una stima. Il throughput di rete è l’indicatore più preciso delle dimensioni effettive.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Centro di analisi delle minacce > Integrazioni.
  3. Cliccare su Sophos Network Detection and Response (NDR).

  4. In Integrazioni, cliccare su Aggiungi integrazione.

    Integrazioni NDR

  5. In Passaggi di integrazione, al Passaggio 1 immettere il Nome alias e la Descrizione alias.

    Passaggi di integrazione

  6. Nel Passaggio 2, selezionare la VM che eseguirà l’appliance NDR.

    Se occorre una nuova VM, cliccare su Crea nuova VM.

    Se si desidera utilizzare una VM esistente, selezionarla dall’elenco a discesa e passare al punto 8.

    Passaggio 2 dell’integrazione

  7. Per creare una nuova VM, procedere come segue:

    1. Immettere il Nome VM.

    2. Immettere la **Descrizione* VM***.

    3. Selezionare la piattaforma virtuale (al momento è supportata solo VMware).

    4. Specificare le porte di rete con connessione Internet.

      • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      • Selezionare Manuale per specificare le impostazioni di rete. Per esempio:

      • Indirizzo IP: 10.0.252.5

        • Subnet mask: 255.255.255.0
        • Indirizzo del gateway: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Passaggio 2 dell’integrazione, impostazioni della VM

  8. Nel Passaggio 3, escludere il traffico da domini specifici, procedendo come segue:

    1. Immettere il Nome elenco di esclusioni.

    2. Immettere il Dominio, ad esempio sophos.com, e cliccare su Aggiungi.

    Passaggio 3 dell’integrazione, esclusioni

  9. Cliccare su Salva.

Nella pagina Integrazioni, verrà visualizzata la nuova integrazione.

Successivamente, occorrerà configurare gli switch in modo che l’appliance NDR sia in grado di monitorare il traffico di rete.

Configurazione degli switch

Prima di scaricare e distribuire la VM di Sophos NDR, è necessario configurare il mirroring delle porte, detto anche Switched Port Analyzer (SPAN). Verrà così inoltrata una copia del traffico in entrata e in uscita dalle porte o dalle VLAN di uno switch a un’altra porta dello switch a scopo di analisi.

Occorre configurare il mirroring delle porte sia per il traffico di rete virtuale interno che per quello fisico esterno.

Quando si distribuirà l’appliance virtuale NDR in un secondo momento, sarà possibile collegarla alle porte SPAN in modo che NDR possa monitorare il traffico di rete.

Per configurare il mirroring delle porte, procedere come segue:

  1. In ESXi, selezionare Networking (Servizi di rete). Nella scheda Virtual switches (switch virtuali), selezionare uno switch da utilizzare per il mirroring delle porte.

    Se non si ha già di uno switch da utilizzare, cliccare su Add standard virtual switch (Aggiungi switch virtuale standard) per aggiungerne uno nuovo e includervi dei gruppi di porte.

    Switch virtuali

  2. Nella scheda Port groups (Gruppi di porte), cliccare su Add port group (Aggiungi gruppo di porte).

    Nuovo gruppo di porte

  3. Nelle impostazioni per il nuovo gruppo di porte, procedere come segue:

    1. Immettere un nome.
    2. Impostare VLAN ID (ID VLAN) su 4095. Questo consente a tutti gli altri gruppi di porte già presenti sullo switch di inoltrare il traffico al nuovo gruppo di porte.
    3. Cliccare su Security (Sicurezza) e impostare Promiscuous mode (Modalità promiscua) su Accept (Accetta).
    4. Cliccare su Aggiungi.

    L’inoltro per il traffico di rete virtuale interno è ora impostato. A questo punto, eseguire la stessa operazione per il traffico fisico esterno, come descritto nei passaggi che seguono.

  4. In ESXi, selezionare o creare un altro switch virtuale che gestirà il traffico fisico esterno ricevuto da uno switch fisico sulla rete.

  5. Configurare lo switch come segue:

    1. Selezionare Port groups (Gruppi di porte) e cliccare su Add port group (Aggiungi gruppo di porte).
    2. Immettere un nome.
    3. Impostare VLAN ID (ID VLAN) su 4095.
    4. Cliccare su Security (Sicurezza) e impostare Promiscuous mode (Modalità promiscua) su Accept (Accetta).

    Occorre ora connettere lo switch virtuale alla rete fisica, in modo che possa ricevere traffico esterno.

  6. Nel menu a sinistra di ESXi, selezionare Networking (Servizi di rete) e successivamente lo switch che si desidera utilizzare per il traffico esterno.

    vSwitch selezionato

  7. Nei dettagli dello switch, cercare vSwitch topology (topologia vSwitch). Verrà visualizzato il messaggio “No physical adapters” (Nessuna scheda fisica).

    Topologia vSwitch

  8. Cliccare su Add uplink (Aggiungi uplink).

    Pulsante Add uplink

  9. In Uplink 1, selezionare una NIC (Network Interface Card) disponibile. In questo modo lo switch virtuale verrà connesso a una porta sul server ESXi.

    Uplink 1

  10. In *Network topology* (Topologia della rete), verificare che sia possibile vedere una scheda fisica collegata.

    Scheda fisica

  11. Accedere allo switch fisico e utilizzare un cavo per connetterlo direttamente alla porta sul server ESXi.

    Il modo in cui si esegue questa operazione dipende dal tipo di switch fisico e dalla configurazione.

L’inoltro del traffico virtuale interno e del traffico fisico esterno alle porte SPAN è ora configurato. Il passaggio successivo prevede la configurazione di Sophos NDR per il monitoraggio.

A questo punto, occorre scaricare l’immagine della VM NDR.

Download dell’immagine VM

A questo punto occorre scaricare l’immagine di NDR (il file OVA) richiesta per distribuire e avviare la nuova VM.

  1. Accanto alla nuova integrazione, cliccare su Icona con i tre puntini nella colonna Azioni e selezionare Scarica file OVA.

    Verrà visualizzato l’inizio del download.

    Menu di download

  2. Passare il cursore del mouse sull’icona a sinistra del nome dell’integrazione. Verrà visualizzato il messaggio “In attesa di distribuzione”.

    Stato di integrazione

È ora possibile distribuire la VM.

Distribuzione della VM

  1. Accedere al proprio host ESXi.

  2. Selezionare Virtual Machines (VM) e cliccare su Create/Register VM (Crea/Registra VM).

    Scheda Crea/Registra macchina virtuale

  3. In Seleziona tipo di creazione, selezionare Distribuisci una macchina virtuale da un file OVF o OVA. Cliccare su Next.

    Selezionare il tipo di creazione

  4. In Select OVF and VMDK files (Seleziona file OVF e VMDK), immettere un nome per la VM.

    Cliccare sulla pagina per selezionare i file. Selezionare il file OVA ndr-sensor.ova. Cliccare su Next.

    Selezione del file OVA

  5. In Seleziona storage, selezionare Standard. Cliccare su Next.

    Selezionare l’archiviazione

  6. In Deployment options (Opzioni di distribuzione), selezionare Network mappings (Mapping di rete). Nel nostro esempio, tutti i mapping sono impostati su SPAN (le porte sulle quali si inoltra il traffico), ad eccezione di MGMT, che è impostato su VM Network. Cliccare su Next.

    Opzioni di distribuzione

  7. Saltare il passaggio Additional settings (Impostazioni aggiuntive).

  8. Cliccare su Fine. Attendere che la nuova VM venga visualizzata nell’elenco delle VM. Ciò potrebbe richiedere alcuni minuti.

    Ready to complete (Pronta per il completamento)

  9. Accendere la VM e attendere il completamento del processo di installazione. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.

    Avviso

    Questo processo non deve essere interrotto.

  10. In Sophos Central, aprire la pagina delle Integrazioni NDR e aggiornarla. Lo stato della VM è ora Connesso.

    Stato di integrazione