コンテンツにスキップ

調査コンソール

NDR 調査コンソールを使用すると、Data Lake に入力されるデータだけでなく、NDR センサーのすべてのデータにアクセスできます。このデータは脅威ハンティングに使用できます。

Sophos Central からコンソールをセットアップし、ローカルネットワーク上で実行します。コンソールは NDR 統合アプライアンスからデータを取得し、監視またはクエリを実行できます。

このページでは、調査コンソールを作成および管理する方法について説明します。

調査コンソールの作成

NDR からデータを収集する NDR 統合をすでにセットアップしていることを想定しています。まだインストールされていない場合は、ESXi または Hyper-V 上の Sophos NDRを参照してください。

コンソールを作成する際の主な手順は次のとおりです。

  • コンソールを設定します。これにより、仮想ネットワークに導入できるイメージが作成されます。
  • イメージをダウンロードして導入します。
  • NDR 統合アプライアンスをコンソールに割り当てます。これにより、NDR データがコンソールに送信されます。

コンソールの設定

  1. NDR > 調査コンソール」の順に選択します。
  2. コンソールの作成」をクリックします。

    「コンソールの作成」ボタン。

  3. コンソールを次のように設定します。

    1. 名前」と「説明」を入力します。
    2. 仮想プラットフォーム」を選択します。調査コンソールは、VMware ESXi または Microsoft Hyper-V でのみサポートされています。
    3. インターネットに接続するネットワークポートの設定」を指定します。これによって、管理インターフェースが設定されます。

      • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

        DHCP を選択した場合は、IP アドレスを予約する必要があります。

      • ネットワーク設定を指定するには、「手動」を選択します。

    4. 保存」をクリックします。

    調査コンソールの設定。

  4. アプライアンスの認証情報」ポップアップが表示されます。コンソールをホストするアプライアンスにアクセスするには、認証情報が必要です。

    ユーザー名は zadmin で、パスワードはメッセージに表示されます。パスワードは安全に保管してください。一度だけ表示されます。

    OK」をクリックします。

    アプライアンスの認証情報のポップアップ。

  5. 調査コンソール」ページで、新しいコンソールがリストに表示されます。名前の上にカーソルを置くと、「導入待機中」と表示されます。

    イメージが作成されるのを待ちます。終了するまで 5分かかることがあります。

    導入を待機しているコンソールのツールヒント。

  6. 右端の列で、3つの点をクリックし、「イメージのダウンロード」を選択します。

    「詳細」メニューの「画像をダウンロード」。

イメージの導入

環境にイメージを導入します。

導入は、VMware ESXi または Hyper-V のどちらを使用しているかによって異なります。 手順については、下の該当するタブをクリックしてください。

制限事項

ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。新しい VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。

ESXi ホスト上で、次の手順を実行します。

  1. 仮想マシン」を選択します。
  2. VM の作成/登録」をクリックします。

    「仮想マシンの作成/登録」タブ。

  3. 作成タイプの選択」で、「OVF ファイルまたは OVA ファイルから仮想マシンをデプロイ」を選択します。「次へ」をクリックします。

    作成タイプの選択。

  4. OVF ファイルと VMDK ファイルの選択」で、以下の手順に従います。

    1. VM 名を入力します。
    2. 「クリックしてファイルを選択...」と表示されている画面をクリックし、ダウンロードした OVA ファイルを選択します。
    3. 次へ」をクリックします。

    OVA ファイルの選択。

  5. ストレージの選択」で、「標準」ストレージを選択します。次に、VM を配置するデータストアを選択します。 「次へ」をクリックします。

    ストレージの選択。

  6. デプロイのオプション」で、次のように設定を入力します。

    1. MGMT」で、アプライアンスの管理インターフェースを選択します。

      このインターフェースは、Sophos Central の「インターネットに接続するネットワークポートの設定」で先ほど設定しました。

      設定時に DHCP を選択した場合は、VM が DHCP 経由で IP アドレスを取得できることを確認します。

    2. ディスクプロビジョニング」で、「シン」が選択されていることを確認します。

    3. 自動的にパワーオン」が選択されていることを確認します。
    4. 次へ」をクリックします。

    デプロイのオプション。

  7. 追加設定」の手順をスキップします。

  8. 完了」をクリックします。VM リストに新しい VM が表示されるまで待ちます。これには数分かかることがあります。

    設定の確認。

  9. VM を起動し、インストールが完了するまで待ちます。

    VM は、はじめて起動し、適切なポートグループとインターネットに接続できるかどうかを確認します。その後、再起動します。終了するまで最長 10分かかることがあります。

Sophos Central でダウンロードした ZIP ファイルには、仮想マシンの導入に必要なファイル (仮想ドライブ、seed.iso ファイル、PowerShell スクリプト) が含まれています。

VM を導入するには、次の手順を実行します。

  1. ZIP ファイルをハードドライブのフォルダに解凍します。
  2. そのフォルダに移動し、ndr-sensor.ps1 ファイルを右クリックして、「 PowerShell で実行」を選択します。
  3. セキュリティ警告」メッセージが表示された場合は、「開く」をクリックしてファイルの実行を許可します。

    一連の質問に答えるように求められます。

  4. VM に名前を付けます。

  5. スクリプトは、VM ファイルが保存されるフォルダを表示します。これは、仮想ドライブのデフォルトのインストール場所にある新しいフォルダです。スクリプトがそれを作成できるよう、「C」と入力します。
  6. VM に使用するプロセッサ (CPU) の数を入力します。
  7. 使用するメモリ容量をギガバイト (GB) 単位で入力します。
  8. スクリプトは、現在使用している vSwitch すべての番号付きリストを表示します。

    管理インターフェースを接続する vSwitch を選択し、その番号を入力します。このインターフェースは、Sophos Central の「インターネットに接続するネットワークポートの設定」で先ほど設定しました。

    設定時に DHCP を選択した場合は、VM が DHCP 経由で IP アドレスを取得できることを確認します。

    vSwitch を選択します。

  9. ネットワークトラフィックをキャプチャするために、vSwitch を指定する必要はありません。このような設定は、Sophos NDR を使用している場合のみに該当します。任意の vSwitch をプレースホルダとして選択し、後で VM 設定で切断します。

    PowerShell スクリプトは、Hyper-V で VM を設定します。「インストールが正常に完了しました」というメッセージが表示されます。

  10. 任意のキーを使用して終了します。

  11. Hyper-V マネージャーを開き、この VM が仮想マシンのリストに追加されたことを確認します。必要に応じて、設定を編集できます。次に、VM を起動します。

    VM は、はじめて起動し、適切な vSwitch とインターネットに接続できるかどうかを確認します。その後、再起動します。終了するまで最長 10分かかることがあります。

  12. Sophos Central で、「NDR > 調査コンソール」の順に選択します。状態のアイコンに「接続済み」と表示されます。

NDR アプライアンスの割り当て

ここで、NDR アプライアンスを割り当てます。

コンソールが Sophos Central に登録され、「緑色」の状態が表示されるまで、NDR アプライアンスを割り当てることはできません。

  1. 調査コンソール」ページで、リストから新しいコンソールを選択します。右端の列で、3つの点をクリックし、「アプライアンスの割り当て」を選択します。

    「詳細」メニューの「アプライアンスの割り当て」。

  2. 割り当てるアプライアンスを選択し、「保存」をクリックします。

調査コンソールを開く

調査コンソールを開くには、次の手順を実行します。

  1. NDR > 調査コンソール」の順に選択します。
  2. リストからコンソールを見つけます。
  3. 右端の列で、3つの点 3つのドットアイコン。 をクリックし、「NDR コンソールを開く」を選択します。

    Sophos Central を終了するという警告が表示されます。

    パスワードを忘れた場合は、「リセット」をクリックしてリセットしてください。

  4. ユーザー名とパスワードを入力し、「コンソールを開く」をクリックします。

調査コンソールの表示

調査コンソール」ページ には、設定とパフォーマンスの詳細が表示されたコンソールが一覧表示されます。

  • コンソール名
  • アプライアンス: コンソールに割り当てられている NDR 統合アプライアンスの数。
  • 種類: コンソールが存在する仮想プラットフォーム (例:VMware)。
  • バージョン: プラットフォームのバージョン。
  • CPU: CPU 使用率。
  • メモリ: メモリ使用率。
  • IP アドレス

割り当てられたアプライアンスの表示

調査コンソール」ページのコンソールリストで、コンソール名の横にある矢印をクリックして、割り当てられている NDR 統合アプライアンスの詳細を表示します。

割り当てられた NDR アプライアンス。

  • アプライアンス名
  • 統合: アプライアンスを使用する統合の数。
  • メモリ: メモリ使用率。
  • ストレージ
  • 種類: アプライアンスをホストする仮想プラットフォーム。
  • バージョン: 仮想プラットフォームのバージョン。
  • 管理 IP: 管理インターフェース。
  • Syslog IP: Syslog インターフェース。

新しいパスワードの生成

調査コンソールへのアクセスに使用するパスワードをリセットできます。

  1. 調査コンソール」ページで、コンソールを選択します。
  2. 右端の列で、3つの点 3つのドットアイコン。 をクリックし、「新しいパスワードの生成」を選択します。

    パスワードをコピーして安全に保管してください。パスワードは一度だけ表示されます。再度確認することはできません。

  3. リセット」をクリックします。

ログの収集

コンソールアクティビティのログを収集するには、次の手順を実行します。

  1. 調査コンソール」ページで、コンソールを選択します。
  2. 右端の列で、3つの点 3つのドットアイコン。 をクリックし、「ログの収集」を選択します。

リモートアシスタント

ソフォスサポートは、調査コンソールをホストするソフォスアプライアンスのトラブルシューティングの支援を行います。

場合によっては、ソフォスサポートがアプライアンスにリモートでアクセスする必要があります。次のようにして、最長で 24時間までアクセスを許可できます。

アプライアンスはオンラインである必要があります。

  1. 調査コンソール」ページに移動します。

  2. アプライアンスを見つけます。右端の列で、3つの点 3つのドットアイコン。 をクリックし、「リモートアシスタンス」を選択します。

  3. リモートアシスタンス」ダイアログで、次の手順を実行します。

    1. 有効」を選択します
    2. Sophos Group 個人情報保護通知を確認して、チェックボックスをオンにします。
    3. 保存」をクリックします。

    Sophos Central がアプライアンスからのアクセス ID を要求します。使用可能な場合は、ダイアログに表示されます。

    リモートアシスタンスダイアログ。

  4. アクセス ID をコピーして、ソフォスサポートに送信します。アプライアンスにアクセスするために使用されます。

リモートアシスタンスは、24時間後に自動的にオフになります。手動でオフにするには。「リモートアシスタンス」ダイアログに戻り、 「有効」をオフにします。