AWS での統合
AWS にソフォス統合アプライアンスを導入することで、サードパーティ製品を Sophos Central と統合できます。
アプライアンスは、Syslog を使用してサードパーティ製品から警告を受信し、ソフォスに転送するログコレクタをホストします。
このページでは、AWS でアプライアンスを設定および導入する方法を説明します。これは AWS でホストされている場合に,、統合するサードパーティ製品に適用される手順です。
注
AWS を使用して Sophos NDR (Network Detection and Response) を統合することもできます。AWS 上の NDR を参照してください。
必要条件
AWS にアプライアンスを導入するには、次の要件を満たす必要があります。
- AWS アカウント。サードパーティ製品が AWS でホストされており、アプライアンスを同じ AWS アカウントに導入する必要があります。
- XDR または MDR ライセンスを持つ Sophos Central アカウント。
- 統合する製品の種類 (ファイアウォールなど) のソフォス統合ライセンスパック。
- EC2 インスタンス。サポートされている種類は c5n.2xlarge、c6i.4xlarge、c7i.16xlarge (Nitro仮想化) です。
- VPC、サブネット、およびアベイラビリティーゾーン。既にお持ちのものを使用できます。
- SSH のセキュリティグループ。
- 管理ファイアウォールに割り当てられた少なくとも 1つの Elastic IP アドレス。
注
必要なライセンスパックが不明な場合は、「脅威解析センター > 統合 > マーケットプレイス」に移動します。製品のタイルに、必要なライセンスの種類が表示されています。
また、次の操作も実行する必要があります。
- AWS アカウントの
ssh
秘密鍵を作成して保存します。
主な手順
主なステップは次のとおりです。
- アプライアンス用の CloudFormation テンプレートを作成します。
- CloudFormation テンプレートのダウンロード。
- AWS で "Sophos Integration Appliance" に登録します。
- スタックを作成します。
- AWS セキュリティグループを編集します。
- Appliance Manager のパスワードを設定します。
CloudFormation テンプレートの作成
アプライアンス用の CloudFormation テンプレート(CFT)を次のようにして作成します。
- Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
- 統合するサードパーティ製品を見つけてクリックします。
-
「統合」ページの「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。
-
「統合のセットアップ手順」で、統合の名前と説明を入力します。
- 「新しいアプライアンスの作成」をクリックします。
- アプライアンスの名前と説明を入力します。
-
「仮想プラットフォーム」で、「AWS」を選択します。
-
「プロトコル」でプロトコルを選択する。
-
「保存」をクリックします。CloudFormation (CF) JSON ファイル
ndr_<product-name>_cf_latest.json
が作成されます。
CloudFormation テンプレートのダウンロード
- Sophos Central で、「脅威解析センター > 統合 > 設定済み」に移動します。
- 「統合アプライアンス」タブを選択し、アプライアンスを見つけます。
-
右端の列で、3つの点をクリックし、「イメージのダウンロード」を選択します。
これで、AWS でサブスクリプションを登録し、ソフォスのアプライアンスを導入する準備ができました。
Sophos Integration Appliance をサブスクライブ
AWS Marketplace で Sophos Integration Appliance をサブスクライブする必要があります。これにより、AWS が CloudFormation テンプレートを認識し、AWS アカウントにそのリソースをインストールできるようになります。
サブスクライブするには、以下を実行します。
- 「AWS Marketplace」ページに移動し、"Sophos Integration Appliance" を見つけます。
-
「Product Overview」(製品の概要) ページで、「Continue to Subscrib」(サブスクライブを続ける) をクリックします。
-
「Subscribe to this software」(このソフトウェアをサブスクライブ) ページで、契約条件に同意し、「Continue to Configuration」(設定に進む) をクリックします。
-
「Configure this software」(このソフトウェアを設定) ページで、バージョンと地域を確認し、「Continue to Launch」(続行して起動する) をクリックします。
-
「Launch this software」(このソフトウェアを起動する) ページで「Usage instructions」(使用方法) をクリックして、Sophos Appliance Manager へのアクセス方法を確認します。
-
「Launch」(起動) をクリックします
AWS は「Create stack」(スタックの作成) ページを開きます。
スタックの作成
次に、ダウンロードした CloudFormation テンプレートを使用して、AWS アカウントのソフォスアプライアンスを導入します。これを行うには、次のようにスタックを作成します。
-
「Create stack」(スタックの作成) ページで、次の手順を実行します。
- 「Template is ready」(テンプレートの準備ができています) を選択したままにします。
- 「Specify template」(テンプレートの指定) で、「Upload a template file」(テンプレートファイルのアップロード) を選択します。
-
「Choose File」(ファイルの選択) をクリックして、
ndr_<appliance-name>_cf_latest.json
を選択します。appliance-name
は、Sophos Central で CFT を作成したときにアプライアンスに付けた名前です。 -
「次へ」をクリックします。
-
「Specify stack details」(スタック詳細の指定) ページで、名前と次の「Network Configuration」(ネットワークの設定) の詳細を入力します。
- アプライ安津に使用する既存の VPC。
- 管理インターフェースのサブネット。これはパブリックサブネットです。
- syslog インターフェースのサブネット。
- 管理者に Sophos Integration Appliance インスタンスへの SSH アクセスを許可するセキュリティグループ。
完成したネットワーク設定の詳細は、次の例のようになります。
-
「EC2 Instance Configuration」(EC2 インスタンスの設定) で、Sophos Integration Appliance EC2 インスタンスへのアクセスに必要な SSH キーを入力し、「Next」(次へ) をクリックします。
注
以前にこの SSH キーペアを作成して保存しています。
-
「Configure Stack options」(スタックオプションの設定) ページで、デフォルトの AWS 設定を受け入れるか、必要に応じて変更を加えます。「送信」をクリックします。
CloudFormation テンプレートは、テンプレートのアップロードに使用したアカウントの AWS リージョンに基づいて、適切なリージョンと AMIS を自動的に選択します。
Sophos Integration Appliance の作成が完了するまで待ちます。終了するまで最長 5分または 6分かかることがあります。
セキュリティグループの編集
AWS セキュリティグループを編集する必要があります。これにより、次の変更を行うことができます。
- syslog トラフィックがアプライアンスに送信されるようにします。
- Sophos Appliance Manager へのアクセスを許可します。
セキュリティ グループを編集するには、次の手順を実行します。
-
AWS で、Sophos Integration アプライアンスのセキュリティの詳細に移動します。
これを行うには、AWS コンソールの検索バーにアプライアンス名を入力します。見つかったら、「EC2」タブを選択し、 Sophos Integration Appliance インスタンスをクリックします。
-
「Instance Summary」(インスタンスの概要) ページで、タブページまでスクロールダウンし、「Security」(セキュリティ) タブを選択します。
-
InternalSyslogSG
グループを検索し、ログ収集のトラフィックを許可する送信元を入力します。 -
InternalMgmtSG
セキュリティグループを検索します。これは CloudFormation テンプレートが作成したものです。管理者をグループに追加し、「Inbound rule」(受信ルール) のポート 8443 へのアクセスを許可します。
Sophos Appliance Manager を使用する前に、パスワードも設定する必要があります。
Sophos Appliance Manager のパスワードの設定
Sophos Appliance Manager のユーザー名は zadmin
です 。パスワードをセットするには、次の手順を実行します。
- Sophos Central で、「脅威解析センター > 統合 > 設定済み」に移動します。
-
「統合アプライアンス」タブを参照します。
-
アプライアンスを見つけます。右端の列で、3つの点をクリックし、「Appliance Manager を開く」を選択します。
-
確認ダイアログで、リセットするようにクリックします。
Appliance Manager を使用する他の管理者もパスワードを設定する必要があります。
アプライアンスの導入が完了しました。
統合が完了しました。Sophos Appliance Manager でアプライアンスのステータスとアクティビティを監視できます。