調査コンソール
NDR 調査コンソールを使用すると、Data Lake に入力されるデータだけでなく、NDR センサーのすべてのデータにアクセスできます。このデータは脅威ハンティングに使用できます。
Sophos Central からコンソールをセットアップし、ローカルネットワーク上で実行します。コンソールは NDR 統合アプライアンスからデータを取得し、監視またはクエリを実行できます。
このページでは、調査コンソールを作成および管理する方法について説明します。
調査コンソールの作成
NDR からデータを収集する NDR 統合をすでにセットアップしていることを想定しています。まだインストールされていない場合は、ESXi または Hyper-V 上の Sophos NDRを参照してください。
コンソールを作成する際の主な手順は次のとおりです。
- コンソールを設定します。これにより、仮想ネットワークに導入できるイメージが作成されます。
- イメージをダウンロードして導入します。
- NDR 統合アプライアンスをコンソールに割り当てます。これにより、NDR データがコンソールに送信されます。
コンソールの設定
- 「NDR > 調査コンソール」の順に選択します。
-
「コンソールの作成」をクリックします。
-
コンソールを次のように設定します。
- 「名前」と「説明」を入力します。
- 「仮想プラットフォーム」を選択します。調査コンソールは、VMware ESXi または Microsoft Hyper-V でのみサポートされています。
-
「インターネットに接続するネットワークポートの設定」を指定します。これによって、管理インターフェースが設定されます。
-
IP アドレスを自動的に割り当てるには、「DHCP」を選択します。
注
DHCP を選択した場合は、IP アドレスを予約する必要があります。
-
ネットワーク設定を指定するには、「手動」を選択します。
-
-
「保存」をクリックします。
-
「アプライアンスの認証情報」ポップアップが表示されます。コンソールをホストするアプライアンスにアクセスするには、認証情報が必要です。
ユーザー名は
zadmin
で、パスワードはメッセージに表示されます。パスワードは安全に保管してください。一度だけ表示されます。「OK」をクリックします。
-
「調査コンソール」ページで、新しいコンソールがリストに表示されます。名前の上にカーソルを置くと、「導入待機中」と表示されます。
イメージが作成されるのを待ちます。終了するまで 5分かかることがあります。
-
右端の列で、3つの点をクリックし、「イメージのダウンロード」を選択します。
イメージの導入
環境にイメージを導入します。
導入は、VMware ESXi または Hyper-V のどちらを使用しているかによって異なります。 手順については、下の該当するタブをクリックしてください。
制限事項
ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。新しい VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。
ESXi ホスト上で、次の手順を実行します。
- 「仮想マシン」を選択します。
-
「VM の作成/登録」をクリックします。
-
「作成タイプの選択」で、「OVF ファイルまたは OVA ファイルから仮想マシンをデプロイ」を選択します。「次へ」をクリックします。
-
「OVF ファイルと VMDK ファイルの選択」で、以下の手順に従います。
- VM 名を入力します。
- 「クリックしてファイルを選択...」と表示されている画面をクリックし、ダウンロードした OVA ファイルを選択します。
- 「次へ」をクリックします。
-
「ストレージの選択」で、「標準」ストレージを選択します。次に、VM を配置するデータストアを選択します。 「次へ」をクリックします。
-
「デプロイのオプション」で、次のように設定を入力します。
-
「MGMT」で、アプライアンスの管理インターフェースを選択します。
このインターフェースは、Sophos Central の「インターネットに接続するネットワークポートの設定」で先ほど設定しました。
設定時に DHCP を選択した場合は、VM が DHCP 経由で IP アドレスを取得できることを確認します。
-
「ディスクプロビジョニング」で、「シン」が選択されていることを確認します。
- 「自動的にパワーオン」が選択されていることを確認します。
- 「次へ」をクリックします。
-
-
「追加設定」の手順をスキップします。
-
「完了」をクリックします。VM リストに新しい VM が表示されるまで待ちます。これには数分かかることがあります。
-
VM を起動し、インストールが完了するまで待ちます。
VM は、はじめて起動し、適切なポートグループとインターネットに接続できるかどうかを確認します。その後、再起動します。終了するまで最長 10分かかることがあります。
Sophos Central でダウンロードした ZIP ファイルには、仮想マシンの導入に必要なファイル (仮想ドライブ、seed.iso
ファイル、PowerShell スクリプト) が含まれています。
VM を導入するには、次の手順を実行します。
- ZIP ファイルをハードドライブのフォルダに解凍します。
- そのフォルダに移動し、
ndr-sensor.ps1
ファイルを右クリックして、「 PowerShell で実行」を選択します。 -
「セキュリティ警告」メッセージが表示された場合は、「開く」をクリックしてファイルの実行を許可します。
一連の質問に答えるように求められます。
-
VM に名前を付けます。
- スクリプトは、VM ファイルが保存されるフォルダを表示します。これは、仮想ドライブのデフォルトのインストール場所にある新しいフォルダです。スクリプトがそれを作成できるよう、「
C
」と入力します。 - VM に使用するプロセッサ (CPU) の数を入力します。
- 使用するメモリ容量をギガバイト (GB) 単位で入力します。
-
スクリプトは、現在使用している vSwitch すべての番号付きリストを表示します。
管理インターフェースを接続する vSwitch を選択し、その番号を入力します。このインターフェースは、Sophos Central の「インターネットに接続するネットワークポートの設定」で先ほど設定しました。
設定時に DHCP を選択した場合は、VM が DHCP 経由で IP アドレスを取得できることを確認します。
-
ネットワークトラフィックをキャプチャするために、vSwitch を指定する必要はありません。このような設定は、Sophos NDR を使用している場合のみに該当します。任意の vSwitch をプレースホルダとして選択し、後で VM 設定で切断します。
PowerShell スクリプトは、Hyper-V で VM を設定します。「インストールが正常に完了しました」というメッセージが表示されます。
-
任意のキーを使用して終了します。
-
Hyper-V マネージャーを開き、この VM が仮想マシンのリストに追加されたことを確認します。必要に応じて、設定を編集できます。次に、VM を起動します。
VM は、はじめて起動し、適切な vSwitch とインターネットに接続できるかどうかを確認します。その後、再起動します。終了するまで最長 10分かかることがあります。
-
Sophos Central で、「NDR > 調査コンソール」の順に選択します。状態のアイコンに「接続済み」と表示されます。
NDR アプライアンスの割り当て
ここで、NDR アプライアンスを割り当てます。
コンソールが Sophos Central に登録され、「緑色」の状態が表示されるまで、NDR アプライアンスを割り当てることはできません。
-
「調査コンソール」ページで、リストから新しいコンソールを選択します。右端の列で、3つの点をクリックし、「アプライアンスの割り当て」を選択します。
-
割り当てるアプライアンスを選択し、「保存」をクリックします。
調査コンソールを開く
調査コンソールを開くには、次の手順を実行します。
- 「NDR > 調査コンソール」の順に選択します。
- リストからコンソールを見つけます。
-
右端の列で、3つの点 をクリックし、「NDR コンソールを開く」を選択します。
Sophos Central を終了するという警告が表示されます。
パスワードを忘れた場合は、「リセット」をクリックしてリセットしてください。
-
ユーザー名とパスワードを入力し、「コンソールを開く」をクリックします。
調査コンソールの表示
「調査コンソール」ページ には、設定とパフォーマンスの詳細が表示されたコンソールが一覧表示されます。
- コンソール名
- アプライアンス: コンソールに割り当てられている NDR 統合アプライアンスの数。
- 種類: コンソールが存在する仮想プラットフォーム (例:VMware)。
- バージョン: プラットフォームのバージョン。
- CPU: CPU 使用率。
- メモリ: メモリ使用率。
- IP アドレス
割り当てられたアプライアンスの表示
「調査コンソール」ページのコンソールリストで、コンソール名の横にある矢印をクリックして、割り当てられている NDR 統合アプライアンスの詳細を表示します。
- アプライアンス名
- 統合: アプライアンスを使用する統合の数。
- メモリ: メモリ使用率。
- ストレージ
- 種類: アプライアンスをホストする仮想プラットフォーム。
- バージョン: 仮想プラットフォームのバージョン。
- 管理 IP: 管理インターフェース。
- Syslog IP: Syslog インターフェース。
新しいパスワードの生成
調査コンソールへのアクセスに使用するパスワードをリセットできます。
- 「調査コンソール」ページで、コンソールを選択します。
-
右端の列で、3つの点 をクリックし、「新しいパスワードの生成」を選択します。
パスワードをコピーして安全に保管してください。パスワードは一度だけ表示されます。再度確認することはできません。
-
「リセット」をクリックします。
ログの収集
コンソールアクティビティのログを収集するには、次の手順を実行します。
- 「調査コンソール」ページで、コンソールを選択します。
- 右端の列で、3つの点 をクリックし、「ログの収集」を選択します。
リモートアシスタント
ソフォスサポートは、調査コンソールをホストするソフォスアプライアンスのトラブルシューティングの支援を行います。
場合によっては、ソフォスサポートがアプライアンスにリモートでアクセスする必要があります。次のようにして、最長で 24時間までアクセスを許可できます。
アプライアンスはオンラインである必要があります。
-
「調査コンソール」ページに移動します。
-
アプライアンスを見つけます。右端の列で、3つの点 をクリックし、「リモートアシスタンス」を選択します。
-
「リモートアシスタンス」ダイアログで、次の手順を実行します。
- 「有効」を選択します
- Sophos Group 個人情報保護通知を確認して、チェックボックスをオンにします。
- 「保存」をクリックします。
Sophos Central がアプライアンスからのアクセス ID を要求します。使用可能な場合は、ダイアログに表示されます。
-
アクセス ID をコピーして、ソフォスサポートに送信します。アプライアンスにアクセスするために使用されます。
リモートアシスタンスは、24時間後に自動的にオフになります。手動でオフにするには。「リモートアシスタンス」ダイアログに戻り、 「有効」をオフにします。