Vai al contenuto
Il supporto che offriamo per MDR.

Sophos NDR

Agente di raccolta log

Per utilizzare questa funzionalità, è necessario avere il pacchetto di licenza per l’integrazione “Sophos Network Detection and Response”.

Sophos Network Detection and Response (NDR) rileva i comportamenti dannosi all’interno della rete.

Sophos NDR può essere integrata con Sophos Central in modo che i suoi rilevamenti siano disponibili per le indagini nel Centro di analisi delle minacce.

Per integrare NDR occorre configurare un’appliance virtuale NDR che si connette a Sophos Central e invia dati. I principali passaggi necessari per questa procedura sono i seguenti:

  • Verificare i requisiti.
  • Aggiunta di un’integrazione.
  • Configurazione degli switch in modo che NDR possa vedere il traffico.
  • Download dell’immagine della virtual machine (VM) di NDR.
  • Distribuzione della nuova VM.

Restrizione

Il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Dopo la distribuzione, non potrà essere riutilizzato.

Se si deve distribuire una nuova VM, occorrerà ripetere tutti questi passaggi per collegare questa integrazione a Sophos Central.

Questo video descrive tutti i passaggi di configurazione di Sophos NDR su VMware ESXi.

Requisiti

Occorre un server VMware ESXi versione 6.7 o successiva.

Quando si installa la VM, potrebbe essere necessario configurarla in modo che l’appliance virtuale NDR offra i massimi livelli di performance con minore impatto sulla rete. Vedere Guida alla scelta della VM Sophos NDR.

Aggiunta di un’integrazione

Per aggiungere l’integrazione, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Centro di analisi delle minacce > Integrazioni.
  3. Cliccare su Sophos Network Detection and Response (NDR).

  4. In Integrazioni, cliccare su Aggiungi integrazione.

    Integrazioni NDR

  5. In Passaggi di integrazione, al Passaggio 1 immettere il Nome alias e la Descrizione alias.

    Passaggi di integrazione

  6. Nel Passaggio 2, selezionare la VM che eseguirà l’appliance NDR.

    Se occorre una nuova VM, cliccare su Crea nuova VM.

    Se si desidera utilizzare una VM esistente, selezionarla dall’elenco a discesa e passare al punto 8.

    Passaggio 2 dell’integrazione

  7. Per creare una nuova VM, procedere come segue:

    1. Immettere il Nome VM.

    2. Immettere la Descrizione VM.

    3. Selezionare la piattaforma virtuale. (Al momento è supportata solo VMware).

    4. Specificare le porte di rete con connessione Internet.

      • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

      • Selezionare Manuale per specificare le impostazioni di rete. Per esempio:

      • Indirizzo IP: 10.0.252.5

        • Subnet mask: 255.255.255.0
        • Indirizzo del gateway: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Passaggio 2 dell’integrazione, impostazioni della VM

  8. Nel Passaggio 3, escludere dal controllo domini e protocolli specifici.

    1. Immettere il Nome elenco di esclusioni.

    2. Per escludere un dominio, cliccare su Esclusioni per il dominio. Immettere il nome del dominio, ad esempio sophos.com, e cliccare su Aggiungi.

    3. Per escludere un protocollo, cliccare su Esclusioni per il protocollo. Si possono immettere le informazioni in uno o entrambi i campi:

      • Nel primo campo, immettere un protocollo master. Ad esempio, TCP o UDP.
      • Nel secondo campo, immettere un sottoprotocollo (sito web). Ad esempio facebook.

      Se si immettono informazioni in entrambi i campi, le includeremo in una sola stringa, con un punto come separatore.

      Lo screenshot mostra informazioni di esempio.

    4. Cliccare su Aggiungi.

    Le esclusioni possono essere esportate in un file JSON. È anche possibile caricare le esclusioni nell’elenco da un file JSON precedentemente esportato.

    Passaggio 3 dell’integrazione, esclusioni

  9. Cliccare su Salva.

Nella pagina Integrazioni, verrà visualizzata la nuova integrazione.

Successivamente, occorrerà configurare gli switch in modo che l’appliance NDR sia in grado di monitorare il traffico di rete.

Configurazione degli switch

Prima di scaricare e distribuire la VM di Sophos NDR, è necessario configurare il mirroring delle porte, detto anche Switched Port Analyzer (SPAN). Verrà così inoltrata una copia del traffico in entrata e in uscita dalle porte o dalle VLAN di uno switch a un’altra porta dello switch a scopo di analisi.

Occorre configurare il mirroring delle porte sia per il traffico di rete virtuale interno che per quello fisico esterno.

Quando si distribuirà l’appliance virtuale NDR in un secondo momento, sarà possibile collegarla alle porte SPAN in modo che NDR possa monitorare il traffico di rete.

Configurazione di switch virtuali

Per configurare il mirroring delle porte per switch virtuali interni, procedere come segue:

  1. In ESXi, selezionare Networking (Servizi di rete). Nella scheda Virtual switches (switch virtuali), selezionare uno switch da utilizzare per il mirroring delle porte.

    Se non si ha già di uno switch da utilizzare, cliccare su Add standard virtual switch (Aggiungi switch virtuale standard) per aggiungerne uno nuovo e includervi dei gruppi di porte.

    Switch virtuali

  2. Nella scheda Port groups (Gruppi di porte), cliccare su Add port group (Aggiungi gruppo di porte).

    Nuovo gruppo di porte

  3. Nelle impostazioni per il nuovo gruppo di porte, procedere come segue:

    1. Immettere un nome.
    2. Impostare VLAN ID (ID VLAN) su 4095. Questo consente a tutti gli altri gruppi di porte già presenti sullo switch di inoltrare il traffico al nuovo gruppo di porte.
    3. Cliccare su Security (Sicurezza) e impostare Promiscuous mode (Modalità promiscua) su Accept (Accetta).
    4. Cliccare su Aggiungi.

    L’inoltro per il traffico di rete virtuale interno è ora impostato. A questo punto, eseguire la stessa operazione per il traffico fisico esterno, come descritto nei passaggi che seguono.

  4. In ESXi, selezionare o creare un altro switch virtuale che gestirà il traffico fisico esterno ricevuto da uno switch fisico sulla rete.

  5. Configurare lo switch come segue:

    1. Selezionare Port groups (Gruppi di porte) e cliccare su Add port group (Aggiungi gruppo di porte).
    2. Immettere un nome.
    3. Impostare VLAN ID (ID VLAN) su 4095.
    4. Cliccare su Security (Sicurezza) e impostare Promiscuous mode (Modalità promiscua) su Accept (Accetta).

    Occorre ora connettere lo switch virtuale alla rete fisica, in modo che possa ricevere traffico esterno.

  6. Nel menu a sinistra di ESXi, selezionare Networking (Servizi di rete) e successivamente lo switch che si desidera utilizzare per il traffico esterno.

    vSwitch selezionato

  7. Nei dettagli dello switch, cercare vSwitch topology (topologia vSwitch). Verrà visualizzato il messaggio “No physical adapters” (Nessuna scheda fisica).

    Topologia vSwitch

  8. Cliccare su Add uplink (Aggiungi uplink).

    Pulsante Add uplink

  9. In Uplink 1, selezionare una NIC (Network Interface Card) disponibile. In questo modo lo switch virtuale verrà connesso a una porta sul server ESXi.

    Uplink 1

  10. In *Network topology* (Topologia della rete), verificare che sia possibile vedere una scheda fisica collegata.

    Scheda fisica

  11. Accedere allo switch fisico e utilizzare un cavo per connetterlo direttamente alla porta sul server ESXi.

Il passaggio successivo prevede la configurazione del mirroring sullo switch fisico.

Configurazione di uno switch fisico

In questa sezione viene descritta la configurazione del mirroring delle porte su un Sophos Switch. I passaggi di configurazione per altri switch sono diversi.

Per configurare il mirroring, procedere come segue:

  1. In Sophos Central, aprire Switch.

  2. Selezionare gli switch che si desidera configurare e successivamente cliccare su Esegui comandi.

    Pagina Switch in Sophos Central

  3. Nella console Esegui comandi switch, immettere i comandi per il mirroring di tutto il traffico. In questo esempio, i comandi effettueranno il mirroring di tutto il traffico in entrata e in uscita sulle porte 1-4 e lo invieranno sulla porta 8.

    configure terminal
    monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
    monitor session 1 source interface gigabitethernet 0/1 both
    monitor session 1 source interface gigabitethernet 0/2 both
    monitor session 1 source interface gigabitethernet 0/3 both
    monitor session 1 source interface gigabitethernet 0/4 both
    end
    show monitor session 1
    

    Console a riga di comando dello switch

  4. Cliccare su Esegui. La console mostrerà i comandi su sfondo verde, mentre vengono eseguiti.

    Comandi in esecuzione nella console dello switch

  5. Una volta eseguito l’ultimo comando, nella console verrà visualizzata la configurazione completata. Cliccare su Chiudi.

    Comandi in esecuzione nella console dello switch

L’inoltro del traffico sulle porte SPAN è stato configurato. Il passaggio successivo prevede la configurazione di Sophos NDR per il monitoraggio di questo traffico.

A questo punto, occorre scaricare l’immagine della VM NDR.

Download dell’immagine VM

A questo punto occorre scaricare l’immagine di NDR (il file OVA) richiesta per distribuire e avviare la nuova VM.

  1. Accanto alla nuova integrazione, cliccare su Icona con i tre puntini nella colonna Azioni e selezionare Scarica file OVA.

    Verrà visualizzato l’inizio del download.

    Menu di download

  2. Passare il cursore del mouse sull’icona a sinistra del nome dell’integrazione. Verrà visualizzato il messaggio “In attesa di distribuzione”.

    Stato di integrazione

È ora possibile distribuire la VM.

Distribuzione della VM

  1. Accedere al proprio host ESXi.

Avviso

Se si distribuisce il file OVA su un host ESXi che si esegue in un cluster EVC (Enhanced vMotion Compatibility), EVC deve essere in modalità Skylake (o successiva). L’appliance virtuale (VA) Sophos NDR non si eseguirà su una VM in modalità EVC Skylake (o precedente).

  1. Selezionare Virtual Machines (VM) e cliccare su Create/Register VM (Crea/Registra VM).

    Scheda Crea/Registra macchina virtuale

  2. In Seleziona tipo di creazione, selezionare Distribuisci una macchina virtuale da un file OVF o OVA. Clicca su Avanti.

    Selezionare il tipo di creazione

  3. In Select OVF and VMDK files (Seleziona file OVF e VMDK), immettere un nome per la VM.

    Cliccare sulla pagina per selezionare i file. Selezionare il file OVA ndr-sensor.ova. Clicca su Avanti.

    Selezione del file OVA

  4. In Seleziona storage, selezionare Standard. Clicca su Next.

    Selezionare l’archiviazione

  5. In Deployment options (Opzioni di distribuzione), selezionare Network mappings (Mapping di rete). Nel nostro esempio, tutti i mapping sono impostati su SPAN (le porte sulle quali si inoltra il traffico), ad eccezione di MGMT, che è impostato su VM Network. Cliccare su Next.

    Opzioni di distribuzione

  6. Saltare il passaggio delle Impostazioni aggiuntive.

  7. Cliccare su Fine. Attendere che la nuova VM venga visualizzata nell’elenco delle VM. Ciò potrebbe richiedere alcuni minuti.

    Ready to complete (Pronta per il completamento)

  8. Accendere la VM e attendere il completamento del processo di installazione. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.

    Avviso

    Questo processo non deve essere interrotto.

  9. In Sophos Central, aprire la pagina delle Integrazioni NDR e aggiornarla. Lo stato della VM è ora Connesso.

    Stato di integrazione

Se lo stato della VM è Connesso ma la VM non sembra funzionare, verificare lo stato del servizio Dragonfly nella console della virtual appliance (VA) Sophos per NDR. Vedere Console della VA Sophos.

Se nella console lo stato del servizio Dragonfly risulta In sospeso e la VM si trova in un cluster EVC (Enhanced vMotion Compatibility), verificare che la modalità EVC sia Skylake o successiva.

La VA Sophos NDR non supporta l’esecuzione in cluster EVC in modalità Sandy Bridge.