コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

AWS での統合

AWS にソフォス統合アプライアンスを導入することで、サードパーティ製品を Sophos Central と統合できます。

アプライアンスは、Syslog を使用してサードパーティ製品から警告を受信し、ソフォスに転送するログコレクタをホストします。

このページでは、AWS でアプライアンスを設定および導入する方法を説明します。これは AWS でホストされている場合に,、統合するサードパーティ製品に適用される手順です。

AWS を使用して Sophos NDR (Network Detection and Response) を統合することもできます。AWS 上の NDR を参照してください。

必要条件

AWS にアプライアンスを導入するには、次の要件を満たす必要があります。

  • AWS アカウント。サードパーティ製品が AWS でホストされており、アプライアンスを同じ AWS アカウントに導入する必要があります。
  • XDR または MDR ライセンスを持つ Sophos Central アカウント。
  • 統合する製品の種類 (ファイアウォールなど) のソフォス統合ライセンスパック。
  • EC2 インスタンス。サポートされている種類は c5n.2xlarge、c6i.4xlarge、c7i.16xlarge (Nitro仮想化) です。
  • VPC、サブネット、およびアベイラビリティーゾーン。既にお持ちのものを使用できます。
  • SSH のセキュリティグループ。
  • 管理ファイアウォールに割り当てられた少なくとも 1つの Elastic IP アドレス。

必要なライセンスパックが不明な場合は、「脅威解析センター > 統合 > マーケットプレイス」に移動します。製品のタイルに、必要なライセンスの種類が表示されています。

また、次の操作も実行する必要があります。

  • AWS アカウントの ssh 秘密鍵を作成して保存します。

主な手順

主なステップは次のとおりです。

  • アプライアンス用の CloudFormation テンプレートを作成します。
  • CloudFormation テンプレートのダウンロード。
  • AWS で "Sophos Integration Appliance" に登録します。
  • スタックを作成します。
  • AWS セキュリティグループを編集します。
  • Appliance Manager のパスワードを設定します。

CloudFormation テンプレートの作成

アプライアンス用の CloudFormation テンプレート(CFT)を次のようにして作成します。

  1. Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
  2. 統合するサードパーティ製品を見つけてクリックします。
  3. 「統合」ページの「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。

    製品の統合ページ。

  4. 統合のセットアップ手順」で、統合の名前と説明を入力します。

  5. 新しいアプライアンスの作成」をクリックします。
  6. アプライアンスの名前と説明を入力します。
  7. 仮想プラットフォーム」で、「AWS」を選択します。

    AWS をプラットフォームとして選択したアプライアンス設定。

  8. プロトコル」でプロトコルを選択する。

  9. 保存」をクリックします。CloudFormation (CF) JSON ファイル ndr_<product-name>_cf_latest.json が作成されます。

CloudFormation テンプレートのダウンロード

  1. Sophos Central で、「脅威解析センター > 統合 > 設定済み」に移動します。
  2. 統合アプライアンス」タブを選択し、アプライアンスを見つけます。
  3. 右端の列で、3つの点をクリックし、「イメージのダウンロード」を選択します。

これで、AWS でサブスクリプションを登録し、ソフォスのアプライアンスを導入する準備ができました。

Sophos Integration Appliance をサブスクライブ

AWS Marketplace で Sophos Integration Appliance をサブスクライブする必要があります。これにより、AWS が CloudFormation テンプレートを認識し、AWS アカウントにそのリソースをインストールできるようになります。

サブスクライブするには、以下を実行します。

  1. AWS Marketplace」ページに移動し、"Sophos Integration Appliance" を見つけます。
  2. Product Overview」(製品の概要) ページで、「Continue to Subscrib」(サブスクライブを続ける) をクリックします。

    AWSの「製品の概要」ページ。

  3. Subscribe to this software」(このソフトウェアをサブスクライブ) ページで、契約条件に同意し、「Continue to Configuration」(設定に進む) をクリックします。

    AWS "Subscribe to this software" ページ。

  4. Configure this software」(このソフトウェアを設定) ページで、バージョンと地域を確認し、「Continue to Launch」(続行して起動する) をクリックします。

    AWS の「Configure this software」(このソフトウェアを設定)ページ。

  5. Launch this software」(このソフトウェアを起動する) ページで「Usage instructions」(使用方法) をクリックして、Sophos Appliance Manager へのアクセス方法を確認します。

    AWS の「Launch this software」(このソフトウェアを起動する) ページ。

  6. Launch」(起動) をクリックします

    AWS は「Create stack」(スタックの作成) ページを開きます。

スタックの作成

次に、ダウンロードした CloudFormation テンプレートを使用して、AWS アカウントのソフォスアプライアンスを導入します。これを行うには、次のようにスタックを作成します。

  1. Create stack」(スタックの作成) ページで、次の手順を実行します。

    1. Template is ready」(テンプレートの準備ができています) を選択したままにします。
    2. Specify template」(テンプレートの指定) で、「Upload a template file」(テンプレートファイルのアップロード) を選択します。
    3. Choose File」(ファイルの選択) をクリックして、ndr_<appliance-name>_cf_latest.json を選択します。

      appliance-name は、Sophos Central で CFT を作成したときにアプライアンスに付けた名前です。

    4. 次へ」をクリックします。

    テンプレートファイルの選択を示す「Create stack」(スタックの作成) ページ。

  2. Specify stack details」(スタック詳細の指定) ページで、名前と次の「Network Configuration」(ネットワークの設定) の詳細を入力します。

    1. アプライ安津に使用する既存の VPC。
    2. 管理インターフェースのサブネット。これはパブリックサブネットです。
    3. syslog インターフェースのサブネット。
    4. 管理者に Sophos Integration Appliance インスタンスへの SSH アクセスを許可するセキュリティグループ。

    完成したネットワーク設定の詳細は、次の例のようになります。

    「Specify stack details」(スタック詳細の指定) ページ。

  3. EC2 Instance Configuration」(EC2 インスタンスの設定) で、Sophos Integration Appliance EC2 インスタンスへのアクセスに必要な SSH キーを入力し、「Next」(次へ) をクリックします。

    以前にこの SSH キーペアを作成して保存しています。

    「EC2 Instance Configuration」(EC2 インスタンスの設定) フィールド。

  4. Configure Stack options」(スタックオプションの設定) ページで、デフォルトの AWS 設定を受け入れるか、必要に応じて変更を加えます。「送信」をクリックします。

CloudFormation テンプレートは、テンプレートのアップロードに使用したアカウントの AWS リージョンに基づいて、適切なリージョンと AMIS を自動的に選択します。

Sophos Integration Appliance の作成が完了するまで待ちます。終了するまで最長 5分または 6分かかることがあります。

セキュリティグループの編集

AWS セキュリティグループを編集する必要があります。これにより、次の変更を行うことができます。

  • syslog トラフィックがアプライアンスに送信されるようにします。
  • Sophos Appliance Manager へのアクセスを許可します。

セキュリティ グループを編集するには、次の手順を実行します。

  1. AWS で、Sophos Integration アプライアンスのセキュリティの詳細に移動します。

    これを行うには、AWS コンソールの検索バーにアプライアンス名を入力します。見つかったら、「EC2」タブを選択し、 Sophos Integration Appliance インスタンスをクリックします。

  2. Instance Summary」(インスタンスの概要) ページで、タブページまでスクロールダウンし、「Security」(セキュリティ) タブを選択します。

  3. InternalSyslogSG グループを検索し、ログ収集のトラフィックを許可する送信元を入力します。

  4. InternalMgmtSG セキュリティグループを検索します。これは CloudFormation テンプレートが作成したものです。管理者をグループに追加し、「Inbound rule」(受信ルール) のポート 8443 へのアクセスを許可します。

    セキュリティグループの着信ルール。

Sophos Appliance Manager を使用する前に、パスワードも設定する必要があります。

Sophos Appliance Manager のパスワードの設定

Sophos Appliance Manager のユーザー名は zadmin です 。パスワードをセットするには、次の手順を実行します。

  1. Sophos Central で、「脅威解析センター > 統合 > 設定済み」に移動します。
  2. 統合アプライアンス」タブを参照します。

  3. アプライアンスを見つけます。右端の列で、3つの点をクリックし、「Appliance Manager を開く」を選択します。

    アプライアンスのアクションメニュー。

  4. 確認ダイアログで、リセットするようにクリックします。

    確認ダイアログ。

Appliance Manager を使用する他の管理者もパスワードを設定する必要があります。

アプライアンスの導入が完了しました。

統合が完了しました。Sophos Appliance Manager でアプライアンスのステータスとアクティビティを監視できます。