コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=NDR-Nutanix

Nutanix 上の Sophos NDR

ログコレクタ Sophos Network Detection and Response

この機能を使用するには、「Sophos Network Detection and Response」統合ライセンスパックが必要です。

Nutanix で Sophos NDR を設定して、NDR がネットワーク上の悪意のある動作を検出できるようにすることができます。

主な手順は次のとおりです。

  • NDR アプライアンスイメージの作成
  • VM イメージのダウンロード
  • イメージファイルのアップロード
  • インストールスクリプトのアップロード
  • コマンドでインストールスクリプトを実行
  • VM の起動

NDR アプライアンスイメージの作成

  1. Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
  2. Sophos Network Detection and Response (NDR)」を探してクリックします。

  3. NDR」ページの「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。

    統合のセットアップ手順」が表示されます。

  4. ステップ 1」で、統合の名前と説明を入力します。

    統合の手順。

  5. ステップ 2」で、「新しいアプライアンスの作成」をクリックします。

  6. 新しいアプライアンスを作成するには、次の手順を実行します。

    1. アプライアンス名と説明を入力します。一意の名前を入力する必要があります。
    2. 仮想プラットフォーム」で、「Nutanix」を選択します。

    3. インターネットに接続するネットワークポートを指定します。

      • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

        DHCP を選択した場合は、IP アドレスを予約する必要があります。

      • ネットワーク設定を指定するには、「手動」を選択します。例:

        • IP アドレス: 10.0.252.5
        • サブネットマスク: 255.255.255.0
        • ゲートウェイのアドレス: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

  7. ステップ 3」で、特定のドメインとプロトコルを検索から除外します。これは、誤検知の原因となるドメインがある場合などに行います。

    除外リストは後で設定できますが、除外リスト名はここで入力する必要があります。

    1. 除外リスト名」に名前を入力します。
    2. ドメインを除外するには、「ドメインの除外」をクリックします。ドメイン名 (例: sophos.com) を入力し、「追加」をクリックします。

    3. プロトコルを除外するには、「プロトコルの除外」をクリックします。次のいずれかまたは両方のフィールドに情報を入力します。

      • 最初のフィールドに、トップレベル プロトコルを入力します。例: TCP または UDP
      • 2番目のフィールドに、サブプロトコル (Webサイト) を入力します。例: Facebook

      両方のフィールドに情報を入力した場合、それは、1つのドットで区切った 1つの文字列に組み合わされます。

      トップレベル プロトコルを完全に除外することは推奨されません。ルーティングプロトコルなど、通常、危険ではない高トラフィックのプロトコルで、大量のデータが生成される場合のみにこれを実行するようにしてください。

      スクリーンショットでは、サンプル情報を示しています。

    4. 追加」をクリックします。

    除外対象項目は、JSON ファイルとしてエクスポートできます。以前にエクスポートした JSON ファイルから、除外対象項目をリストにアップロードすることもできます。

    統合のステップ 3 - 除外。

  8. 保存」をクリックします。

NDR」ページの設定済み統合のリストに新しい統合が表示されます。

VM イメージのダウンロード

次に、新しい VM を導入して起動するために必要な NDR イメージをダウンロードします。

  1. 新しい統合の「アクション」カラムの 3つのドットアイコン。 をクリックし、「イメージのダウンロード」を選択します。

  2. 統合名の左側にあるアイコンをマウスオーバーします。「導入待機中」と表示されるのがわかります。

    統合の状態。

Nutanix 導入ファイルは、ディスク イメージ ファイル、認証キーを含むシード ISO、およびインストールスクリプトを含む zip ファイルです。内容を使用できるように、ファイルを解凍する必要があります。

イメージファイルのアップロード

ディスク イメージ ファイルとシード ISO を Nutanix システムにアップロードするには、次の手順に従います。

  1. Web ブラウザから、ポート 9440 で Nutanix Web コンソールにサインインします。

  2. Home > Settings」に移動します。

    Nutanix Web コンソール。

  3. Image Configuration」を選択します。

    Nutanix の設定。

ルート イメージ ファイルのアップロード

  1. Upload Image」をクリックします。
  2. 名前を入力します。名前に "root" という単語を含めることをお勧めします。
  3. (任意)「Annotation」を追加します。

  4. Upload a file」を選択し、「Browse」をクリックしてファイルを選択します。

    ファイルを選択すると、「Image type」が自動的に選択されます。

    ファイルをアップロードします。

  5. Save」をクリックします。

    ファイルのアップロードが開始されます。アップロードが完了するのを待ってから、セットアップを続行してください。

シード ISO イメージファイルのアップロード

  1. Upload Image」をクリックします。
  2. 名前を入力します。名前に "ISO" という単語を含めることをお勧めします。
  3. (任意)「Annotation」を追加します。

  4. Upload a file」を選択し、「Browse」をクリックしてファイルを選択します。

    ファイルを選択すると、「Image type」が自動的に選択されます。

  5. Save」をクリックします。

    ファイルのアップロードが開始されます。アップロードが完了するのを待ってから、セットアップを続行してください。

アップロードされた 3つのファイルが「Image Configuration」ページに表示されます。

アップロードされたイメージ。

インストールスクリプトのアップロード

ndr-sensor.sh という名前のスクリプトも zip ファイルに含まれています。Nutanix AHV VM コントローラにアップロードするには、次のようにセキュアファイル転送プロトコル (SCP) を使用します。

  1. Windows の場合はコマンドプロンプトを開きます。macOS または Linux の場合はターミナルを開きます。
  2. 解凍したファイルがあるディレクトリに移動します。

  3. 次のコマンドを実行します。scp ndr-sensor.sh admin@<ip-address>:~/

    コマンドプロンプト。

  4. 管理者パスワードを入力します。

コマンドでインストールスクリプトを実行

  1. Nutanix AHV VM を開きます。
  2. 次のコマンドを使用してサインインし、SSH 経由で接続します。ssh admin@<ip-address>
  3. インストールスクリプトを実行するには、次のコマンドを実行します。bash ndr-sensor.sh

  4. アプライアンス VM の名前を入力します。デフォルト名は ndr-sensor です。

    アプライアンス名を入力します。

    デフォルト値が表示されている項目では、Enter キーを押してデフォルト値を受け入れることができます。

  5. VM に割り当てる CPU コアの数を入力します。デフォルトは「4」です。

  6. 仮想マシンに割り当てるメモリ容量を入力します。デフォルトは「16(GB)」です。

以下のメッセージが表示されます。Created vm <name> UUID <UUID>

VM ディスク イメージ ファイルの選択

すべてのディスク選択手順で、 'L' を入力してシステムに保存されているイメージを一覧表示できます。

VM ディスクイメージファイルを選択するには、次の手順に従います。

  1. アップロードしたシード ISO のイメージ名を入力します。

    シード ISO 名を入力してください。

  2. アップロードしたルート ディスク イメージ ファイルのイメージ名を入力します。

  3. アップロードしたデータ ディスク イメージ ファイルのイメージ名を入力します。

ネットワーク設定

このスクリプトは、VM 用に次のネットワークインターフェースを作成します。

  • 管理ネットワーク
  • Syslog ネットワーク
  • トンネル化されたキャプチャデータの ERSPAN
  • ミラー化されたネットワークの SPAN は、この VM サーバー上の他の VM からキャプチャデータを受信します。

スクリプトには、管理、syslog、およびトンネル化された RSPAN (Remote Switched Port Analyzer) キャプチャデータで使用できる使用可能な仮想サブネットが一覧表示されます。

3つのネットワークすべてに 1つのサブネットを使用できます。

サブネットをネットワークに割り当てるには、次の手順に従います。

  1. 管理ネットワークに使用するサブネットに対応する番号を入力します。

    ネットワーク番号を入力します。

  2. Syslog 受信ネットワークに使用する仮想サブネットに対応する番号を入力します。

  3. SPAN ネットワークの設定は、設定パラメータを使用して自動的に作成されます。type=kSpanDestinationNic に設定されています。
  4. トンネル化された RSPAN キャプチャネットワークに使用する仮想サブネットに対応する番号を入力します。

スクリプトが完了すると、 Nutanix SPANセッションをイネーブルにするための acli コマンド例がいくつか提供されます。コマンド例に示されている MAC アドレスは、スクリプトによって作成された SPAN インターフォースの MAC アドレスです。

コマンド例は、次の種類の SPAN セッションに使用できます。

  • VM ホスト上のすべての VM からの SPAN データ。
  • VM ホスト上の単一 VM からの SPAN データ。

詳細については、 Traffic Mirroring on AHV Hosts を参照してください。

VM の起動

スクリプトが完了したら、Nutanix Web コンソールに戻り、[VM]ページに移動して、VMの電源をオンにします。

Nutanix Web コンソールに VM が表示されます。

仮想マシンの電源をオンにすると、最初の起動プロセスが実行されます。起動プロセスには最大 10分かかる場合があります。

Sophos Central で、統合する製品の「統合」ページに移動し、更新します。VM の状態が「接続済み」になります。