Sophos NDR
Per utilizzare questa funzionalità, è necessario avere il pacchetto di licenza per l’integrazione “Sophos Network Detection and Response”.
Sophos Network Detection and Response (NDR) rileva i comportamenti dannosi all’interno della rete.
Sophos NDR può essere integrata con Sophos Central in modo che i suoi rilevamenti siano disponibili per le indagini nel Centro di analisi delle minacce.
Per integrare NDR occorre configurare un’appliance virtuale NDR che si connette a Sophos Central e invia dati. I principali passaggi necessari per questa procedura sono i seguenti:
- Verificare i requisiti.
- Aggiunta di un’integrazione.
- Configurazione degli switch in modo che NDR possa vedere il traffico.
- Download dell’immagine della virtual machine (VM) di NDR.
- Distribuzione della nuova VM.
Restrizione
Il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Dopo la distribuzione, non potrà essere riutilizzato.
Se si deve distribuire una nuova VM, occorrerà ripetere tutti questi passaggi per collegare questa integrazione a Sophos Central.
Questo video descrive tutti i passaggi di configurazione di Sophos NDR su VMware ESXi.
Requisiti
Occorre un server VMware ESXi versione 6.7 o successiva.
Quando si installa la VM, potrebbe essere necessario configurarla in modo che l’appliance virtuale NDR offra i massimi livelli di performance con minore impatto sulla rete. Vedere Guida alla scelta della VM Sophos NDR.
Aggiunta di un’integrazione
Per aggiungere l’integrazione, procedere come segue:
- Accedere a Sophos Central.
- Selezionare Centro di analisi delle minacce > Integrazioni.
-
Cliccare su Sophos Network Detection and Response (NDR).
-
In Integrazioni, cliccare su Aggiungi integrazione.
-
In Passaggi di integrazione, al Passaggio 1 immettere il Nome alias e la Descrizione alias.
-
Nel Passaggio 2, selezionare la VM che eseguirà l’appliance NDR.
Se occorre una nuova VM, cliccare su Crea nuova VM.
Se si desidera utilizzare una VM esistente, selezionarla dall’elenco a discesa e passare al punto 8.
-
Per creare una nuova VM, procedere come segue:
-
Immettere il Nome VM.
-
Immettere la Descrizione VM.
-
Selezionare la piattaforma virtuale. (Al momento è supportata solo VMware).
-
Specificare le porte di rete con connessione Internet.
-
Selezionare DHCP per assegnare automaticamente l’indirizzo IP.
-
Selezionare Manuale per specificare le impostazioni di rete. Per esempio:
-
Indirizzo IP: 10.0.252.5
- Subnet mask: 255.255.255.0
- Indirizzo del gateway: 10.0.252.1
- DNS 1: 8.8.8.8
- DNS 2: 8.8.4.4
-
-
-
Nel Passaggio 3, escludere dal controllo domini e protocolli specifici.
-
Immettere il Nome elenco di esclusioni.
-
Per escludere un dominio, cliccare su Esclusioni per il dominio. Immettere il nome del dominio, ad esempio
sophos.com
, e cliccare su Aggiungi. -
Per escludere un protocollo, cliccare su Esclusioni per il protocollo. Si possono immettere le informazioni in uno o entrambi i campi:
- Nel primo campo, immettere un protocollo master. Ad esempio,
TCP
oUDP
. - Nel secondo campo, immettere un sottoprotocollo (sito web). Ad esempio
facebook
.
Se si immettono informazioni in entrambi i campi, le includeremo in una sola stringa, con un punto come separatore.
Lo screenshot mostra informazioni di esempio.
- Nel primo campo, immettere un protocollo master. Ad esempio,
-
Cliccare su Aggiungi.
Le esclusioni possono essere esportate in un file JSON. È anche possibile caricare le esclusioni nell’elenco da un file JSON precedentemente esportato.
-
-
Cliccare su Salva.
Nella pagina Integrazioni, verrà visualizzata la nuova integrazione.
Successivamente, occorrerà configurare gli switch in modo che l’appliance NDR sia in grado di monitorare il traffico di rete.
Configurazione degli switch
Prima di scaricare e distribuire la VM di Sophos NDR, è necessario configurare il mirroring delle porte, detto anche Switched Port Analyzer (SPAN). Verrà così inoltrata una copia del traffico in entrata e in uscita dalle porte o dalle VLAN di uno switch a un’altra porta dello switch a scopo di analisi.
Occorre configurare il mirroring delle porte sia per il traffico di rete virtuale interno che per quello fisico esterno.
Quando si distribuirà l’appliance virtuale NDR in un secondo momento, sarà possibile collegarla alle porte SPAN in modo che NDR possa monitorare il traffico di rete.
Configurazione di switch virtuali
Per configurare il mirroring delle porte per switch virtuali interni, procedere come segue:
-
In ESXi, selezionare Networking (Servizi di rete). Nella scheda Virtual switches (switch virtuali), selezionare uno switch da utilizzare per il mirroring delle porte.
Se non si ha già di uno switch da utilizzare, cliccare su Add standard virtual switch (Aggiungi switch virtuale standard) per aggiungerne uno nuovo e includervi dei gruppi di porte.
-
Nella scheda Port groups (Gruppi di porte), cliccare su Add port group (Aggiungi gruppo di porte).
-
Nelle impostazioni per il nuovo gruppo di porte, procedere come segue:
- Immettere un nome.
- Impostare VLAN ID (ID VLAN) su 4095. Questo consente a tutti gli altri gruppi di porte già presenti sullo switch di inoltrare il traffico al nuovo gruppo di porte.
- Cliccare su Security (Sicurezza) e impostare Promiscuous mode (Modalità promiscua) su Accept (Accetta).
- Cliccare su Aggiungi.
L’inoltro per il traffico di rete virtuale interno è ora impostato. A questo punto, eseguire la stessa operazione per il traffico fisico esterno, come descritto nei passaggi che seguono.
-
In ESXi, selezionare o creare un altro switch virtuale che gestirà il traffico fisico esterno ricevuto da uno switch fisico sulla rete.
-
Configurare lo switch come segue:
- Selezionare Port groups (Gruppi di porte) e cliccare su Add port group (Aggiungi gruppo di porte).
- Immettere un nome.
- Impostare VLAN ID (ID VLAN) su 4095.
- Cliccare su Security (Sicurezza) e impostare Promiscuous mode (Modalità promiscua) su Accept (Accetta).
Occorre ora connettere lo switch virtuale alla rete fisica, in modo che possa ricevere traffico esterno.
-
Nel menu a sinistra di ESXi, selezionare Networking (Servizi di rete) e successivamente lo switch che si desidera utilizzare per il traffico esterno.
-
Nei dettagli dello switch, cercare vSwitch topology (topologia vSwitch). Verrà visualizzato il messaggio “No physical adapters” (Nessuna scheda fisica).
-
Cliccare su Add uplink (Aggiungi uplink).
-
In Uplink 1, selezionare una NIC (Network Interface Card) disponibile. In questo modo lo switch virtuale verrà connesso a una porta sul server ESXi.
-
In *Network topology* (Topologia della rete), verificare che sia possibile vedere una scheda fisica collegata.
-
Accedere allo switch fisico e utilizzare un cavo per connetterlo direttamente alla porta sul server ESXi.
Il passaggio successivo prevede la configurazione del mirroring sullo switch fisico.
Configurazione di uno switch fisico
In questa sezione viene descritta la configurazione del mirroring delle porte su un Sophos Switch. I passaggi di configurazione per altri switch sono diversi.
Per configurare il mirroring, procedere come segue:
-
In Sophos Central, aprire Switch.
-
Selezionare gli switch che si desidera configurare e successivamente cliccare su Esegui comandi.
-
Nella console Esegui comandi switch, immettere i comandi per il mirroring di tutto il traffico. In questo esempio, i comandi effettueranno il mirroring di tutto il traffico in entrata e in uscita sulle porte 1-4 e lo invieranno sulla porta 8.
configure terminal monitor session 1 destination interface gigabitethernet 0/8 allow-ingress monitor session 1 source interface gigabitethernet 0/1 both monitor session 1 source interface gigabitethernet 0/2 both monitor session 1 source interface gigabitethernet 0/3 both monitor session 1 source interface gigabitethernet 0/4 both end show monitor session 1
-
Cliccare su Esegui. La console mostrerà i comandi su sfondo verde, mentre vengono eseguiti.
-
Una volta eseguito l’ultimo comando, nella console verrà visualizzata la configurazione completata. Cliccare su Chiudi.
L’inoltro del traffico sulle porte SPAN è stato configurato. Il passaggio successivo prevede la configurazione di Sophos NDR per il monitoraggio di questo traffico.
A questo punto, occorre scaricare l’immagine della VM NDR.
Download dell’immagine VM
A questo punto occorre scaricare l’immagine di NDR (il file OVA) richiesta per distribuire e avviare la nuova VM.
-
Accanto alla nuova integrazione, cliccare su
nella colonna Azioni e selezionare Scarica file OVA.
Verrà visualizzato l’inizio del download.
-
Passare il cursore del mouse sull’icona a sinistra del nome dell’integrazione. Verrà visualizzato il messaggio “In attesa di distribuzione”.
È ora possibile distribuire la VM.
Distribuzione della VM
- Accedere al proprio host ESXi.
Avviso
Se si distribuisce il file OVA su un host ESXi che si esegue in un cluster EVC (Enhanced vMotion Compatibility), EVC deve essere in modalità Skylake (o successiva). L’appliance virtuale (VA) Sophos NDR non si eseguirà su una VM in modalità EVC Skylake (o precedente).
-
Selezionare Virtual Machines (VM) e cliccare su Create/Register VM (Crea/Registra VM).
-
In Seleziona tipo di creazione, selezionare Distribuisci una macchina virtuale da un file OVF o OVA. Clicca su Avanti.
-
In Select OVF and VMDK files (Seleziona file OVF e VMDK), immettere un nome per la VM.
Cliccare sulla pagina per selezionare i file. Selezionare il file OVA ndr-sensor.ova. Clicca su Avanti.
-
In Seleziona storage, selezionare Standard. Clicca su Next.
-
In Deployment options (Opzioni di distribuzione), selezionare Network mappings (Mapping di rete). Nel nostro esempio, tutti i mapping sono impostati su SPAN (le porte sulle quali si inoltra il traffico), ad eccezione di MGMT, che è impostato su VM Network. Cliccare su Next.
-
Saltare il passaggio delle Impostazioni aggiuntive.
-
Cliccare su Fine. Attendere che la nuova VM venga visualizzata nell’elenco delle VM. Ciò potrebbe richiedere alcuni minuti.
-
Accendere la VM e attendere il completamento del processo di installazione. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.
Avviso
Questo processo non deve essere interrotto.
-
In Sophos Central, aprire la pagina delle Integrazioni NDR e aggiornarla. Lo stato della VM è ora Connesso.
Se lo stato della VM è Connesso ma la VM non sembra funzionare, verificare lo stato del servizio Dragonfly nella console della virtual appliance (VA) Sophos per NDR. Vedere Console della VA Sophos.
Se nella console lo stato del servizio Dragonfly risulta In sospeso e la VM si trova in un cluster EVC (Enhanced vMotion Compatibility), verificare che la modalità EVC sia Skylake o successiva.
La VA Sophos NDR non supporta l’esecuzione in cluster EVC in modalità Sandy Bridge.