ESXi または Hyper-V 上の Sophos NDR
この機能を使用するには、「Sophos Network Detection and Response」統合ライセンスパックが必要です。
このページでは、セットアップについて説明します。既に設定されている場合は、「マイプロダクト > NDR」に移動して、Sophos NDR を監視および管理します。
Sophos Network Detection and Response (NDR) は、ネットワーク上の悪意のある動作を検出します。
Sophos NDR を Sophos Central と統合して、検出結果を脅威解析センターで調査できるようにすることができます。
統合では、仮想マシン (VM) 上にホストされているログコレクタが使用されます。それらは共にアプライアンスと呼ばれています。アプライアンスはデータを受信し、Sophos Data Lake に転送します。
現在、Sophos NDR は、VMware ESXi 6.7 以降および Microsoft Hyper-V 6.0.6001.18016(Windows Server 2016) 以降をサポートしています。
主な手順は次のとおりです。
- 要件の確認。
- 統合を設定します。これにより、VM で使用するイメージが設定されます。
- NDR がトラフィックを認識できるようにスイッチを設定します。
- イメージをダウンロードして VM に展開します。これがアプライアンスになります。
要件
現在ソフォスは、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V のみに対応しています。
アプライアンスを実行する VM には、システムおよびネットワークアクセスの要件があります。詳細は、アプライアンスの要件を参照してください。
必要な CPU マイクロアーキテクチャと CPU フラグの詳細は、CPU の要件を参照してください。
最適なパフォーマンスを得るために VM のサイズを変更するためのクイックガイドは、Sophos NDR アプライアンス サイズガイドを参照してください。
統合の設定
統合を設定するには、以下の手順に従います。
- Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
-
「Sophos Network Detection and Response (NDR)」を探してクリックします。
-
「NDR」ページの「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。
「統合のセットアップ手順」が表示されます。
VM の設定
-
「ステップ 1 」で、統合の名前と説明を入力します。
-
「ステップ 2」で、NDR ログを収集するアプライアンスを選択または作成します。
アプライアンスごとに 1つの NDR 統合のみを指定できます。
新しいアプライアンスを使用する場合は、「新しいアプライアンスの作成」をクリックします。
既存のアプライアンスを使用する場合は、それをドロップダウンリストから選択し、「ステップ 3」に進んで、除外を設定します。
-
新しいアプライアンスを作成するには、次の手順を実行します。
-
アプライアンス名と説明を入力します。一意の名前を入力する必要があります。
-
仮想プラットフォームを選択します。現在、VMware ESXi 6.7 Update 3 以降および Microsoft Hyper-V のみに対応しています。
-
インターネットに接続するネットワークポートを指定します。
-
IP アドレスを自動的に割り当てるには、「DHCP」を選択します。
注
DHCP を選択した場合は、IP アドレスを予約する必要があります。
-
ネットワーク設定を指定するには、「手動」を選択します。例:
-
IP アドレス: 10.0.252.5
- サブネットマスク: 255.255.255.0
- ゲートウェイのアドレス: 10.0.252.1
- DNS 1: 8.8.8.8
- DNS 2: 8.8.4.4
-
-
-
「ステップ 3」で、特定のドメインとプロトコルを検索から除外します。これは、誤検知の原因となるドメインがある場合などに行います。
除外リストは後で設定できますが、除外リスト名はここで入力する必要があります。
- 「除外リスト名」を入力します。
- ドメインを除外するには、「ドメインの除外」をクリックします。ドメイン名 (例:
sophos.com
) を入力し、「追加」をクリックします。 -
プロトコルを除外するには、「プロトコルの除外」をクリックします。次のいずれかまたは両方のフィールドに情報を入力します。
- 最初のフィールドに、マスタープロトコルを入力します。例:
TCP
またはUDP
。 - 2番目のフィールドに、サブプロトコル (Webサイト) を入力します。例:
facebook
。
両方のフィールドに情報を入力した場合、それは、1つのドットで区切った 1つの文字列に組み合わされます。
マスタープロトコルを完全に除外することは推奨されません。ルーティングプロトコルなど、通常、危険ではない高トラフィックのプロトコルで、大量のデータが生成される場合のみにこれを実行するようにしてください。
スクリーンショットでは、サンプル情報を示しています。
- 最初のフィールドに、マスタープロトコルを入力します。例:
-
「追加」をクリックします。
除外対象項目は、JSON ファイルとしてエクスポートできます。以前にエクスポートした JSON ファイルから、除外対象項目をリストにアップロードすることもできます。
-
「保存」をクリックします。
「NDR」ページの設定済み統合のリストに新しい統合が表示されます。
次に、NDR アプライアンスがネットワークトラフィックを監視できるようにスイッチを設定します。
スイッチの設定
Sophos NDR VM をダウンロードして導入する前に、SPAN (Switched Port Analyzer) とも呼ばれるポートミラーリングを設定する必要があります。これにより、スイッチのポートまたは VLAN からの受信および送信トラフィックのコピーが、解析用に別のスイッチポートに転送されます。
仮想内部および物理外部ネットワークトラフィックの両方にポートミラーリングを設定する必要があります。
後で NDR VM アプライアンスを導入すると、そのアプライアンスを SPAN ポートに接続して、NDR がネットワークトラフィックを監視できるようになります。
ポートミラーリングの手順は、ESXi または Hyper-V のどちらで NDR を設定しているかによって異なります。 下の仮想環境のタブをクリックします。
ESXiを使用している場合、ポートミラーリングには次の手順が含まれます。
- 仮想スイッチの設定。
- 物理スイッチの設定。
仮想スイッチの設定
仮想内部スイッチのポートミラーリングを設定するには、次の手順を実行します。
- ESXiで、「ネットワーク」に移動します。「仮想スイッチ」タブで、ポートミラーリングに使用するスイッチを選択します。
使用可能なスイッチがない場合は、「標準の仮想スイッチの追加」をクリックして新しいスイッチを追加し、それにポートグループを追加します。
-
「ポートグループ」タブ上で、「ポートグループの追加」をクリックします。
-
新しいポートグループの設定で、次の手順を実行します。
- 名前を入力してください。
- 「VLAN ID」を 4095 に設定します。これにより、スイッチ上の他のすべてのポートグループが、新しいポートグループにトラフィックを転送できるようになります。
- 「セキュリティ」をクリック し、「無差別モード」を「許可」に設定します。
- 「追加」をクリックします。
仮想内部ネットワークトラフィックの転送を設定しました。次に、次の手順で説明するように、物理外部トラフィックについても同じ手順を実行します。
-
ESXi で、ネットワーク上の物理スイッチから送信される物理外部トラフィックを処理する別の仮想スイッチを選択または作成します。
-
スイッチは、次のように設定します。
- 「ポートグループ」に移動し、「ポートグループの追加」をクリックします。
- 名前を入力してください。
- 「VLAN ID」を 4095 に設定します。
- 「セキュリティ」をクリック し、「無差別モード」を「許可」に設定します。
次に、仮想スイッチを物理ネットワークに接続して、外部トラフィックが受信できるようにします。
-
ESXi の左側のメニューで、「ネットワーク」に移動 し、外部トラフィックで使用するスイッチを選択します。
-
スイッチの詳細で、「vSwitch トポロジ」を探します。「物理アダプタがありません」と表示されます。
-
「アップリンクの追加」をクリックします。
-
「アップリンク 1」で、 使用可能な NIC (ネットワークインターフェースカード) を選択します。これにより、仮想スイッチが ESXi サーバーのポートに接続されます。
-
「ネットワークトポロジ」で、物理アダプタが接続されていることを確認します。
-
物理スイッチに移動し、ケーブルを使用して ESXi サーバーのポートに直接接続します。
次に、物理スイッチでミラーリングを設定する必要があります。
物理スイッチの設定
ここでは、ソフォスのスイッチでポートミラーリングを設定する方法について説明します。他のスイッチでの設定手順は異なります。
ミラーリングを設定するには、次の手順を実行します。
- Sophos Central で、「スイッチ」を参照します。
-
設定するスイッチを選択し、「コマンドの実行」をクリックします。
-
「コマンドの実行」コンソールで、すべてのトラフィックをミラーリングするコマンドを入力します。以下のコマンドの例では、ポート 1~4 のすべての受信および送信トラフィックをミラーリングし、ポート 8 に送信します。
configure terminal
monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
monitor session 1 source interface gigabitethernet 0/1 both
monitor session 1 source interface gigabitethernet 0/2 both
monitor session 1 source interface gigabitethernet 0/3 both
monitor session 1 source interface gigabitethernet 0/4 both
save
end
show monitor session 1
![スイッチ コマンドライン コンソール。](../../../../images/ndr-switch-commands.png)
これで、SPAN ポートへのトラフィック転送の設定が完了しました。後で Sophos NDR を設定して、このトラフィックを監視するようにします。
Hyper-V を使用している場合、ポートミラーリングには次の手順が含まれます。
- Hyper-Vで トラフィック ミラーリング ポートを設定します。
- SPAN 仮想インターフェースを仮想スイッチに接続します。
- Microsoft NDIS キャプチャ拡張機能を有効にします。
- スイッチのミラーリングモードを設定します。
- トラフィックミラーリングを検証します。
手順については、Hyper-V vSwitch を使用してトラフィックミラーリングを構成するを参照してください。
次に NDR の VM イメージをダウンロードします。
VM イメージのダウンロード
次に、新しい VM を導入して起動するために必要な NDR イメージをダウンロードします。
-
新しい統合の「アクション」列で をクリックし、ESXi 用の 「OVA ファイルのダウンロード」など、該当するプラットフォーム用のダウンロードを選択します。
ダウンロードが開始されます。
-
統合名の左側にあるアイコンをマウスオーバーします。「導入待機中」と表示されるのがわかります。
これで、VM を導入する準備が整いました。
VM の展開
該当するプラットフォームのタブをクリックして、手順を確認してください。
制限事項
ESXi を使用している場合、OVA ファイルは Sophos Central で検証されるため、一度のみ使用できます。新しい VM を導入する必要がある場合は、Sophos Central で OVA ファイルを再作成する必要があります。
警告
EVC (Enhanced vMotion Compatibility) クラスタで実行されている ESXi ホストに OVA を導入する場合、EVC は Skylake またはそれ以降のモードである必要があります。
- ESXi ホストに移動します。
-
「仮想マシン」を選択して、「仮想マシンの作成/登録」をクリックします。
-
「作成タイプの選択」で、「OVF ファイルまたは OVA ファイルから仮想マシンをデプロイ」を選択します。「次へ」をクリックします。
-
「OVF ファイルと VMDK ファイルの選択」で、VM 名を入力します。
ページをクリックしてファイルを選択します。OVAファイル「ndr-sensor.ova」を選択します。「次へ」をクリックします。
-
「ストレージの選択」で、「標準」ストレージを選択します。次に、VM を配置するデータストアを選択します。 「次へ」をクリックします。
-
「デプロイのオプション」で、次のように設定を入力します。
- 「SPAN1」で、NDR アプリケーションの SPAN トラフィックを受信するポートグループを選択します。これは先ほど設定しました。詳細は、スイッチの設定を参照してください。
-
「SPAN2」で、SPAN トラフィックを受信し、監視が必要な 2つ目のポートグループを選択します (存在する場合)。物理スイッチと、物理スイッチにトラフィックを送信しない vSwitch がある場合がその例です。
SPAN2 を使用する場合は、VM の CPU 数を少なくとも 8個に増やす必要があります。詳細は、Sophos NDR アプライアンス サイズガイドを参照してください。
-
「SYSLOG」は、Sophos NDR 統合では必要ありません。任意のポートグループをプレースホルダとして選択し、後で VM 設定で切断します。
この Sophos NDR アプライアンスも使用するサードパーティ製品統合を設定する場合は、サードパーティ製品から syslog データを受信するポートを選択します。
-
「MGMT」で、管理インターフェースを選択します。このインターフェースを使用すると、アプライアンスは Sophos Central にデータを送信できます。
このインターフェースは、Sophos Central の「インターネットに接続するネットワークポートの設定」で先ほど設定しました。
アプライアンス設定時に DHCP を選択した場合は、VM が DHCP 経由で IP アドレスを取得できることを確認します。
-
「ディスクプロビジョニング」で、「シン」が選択されていることを確認します。
- 「自動的にパワーオン」が選択されていることを確認します。
- 「次へ」をクリックします。
-
「追加設定」の手順をスキップします。
-
「完了」をクリックします。VM リストに新しい VM が表示されるまで待ちます。これには数分かかることがあります。
-
VM の電源を入れ、インストールプロセスが完了するまで待ちます。
VM は、はじめて起動し、適切な vSwitch とインターネットに接続できるかどうかを確認します。その後、再起動します。終了するまで最長 10分かかることがあります。
警告
このプロセスは中断しないでください。
-
Sophos Central で、NDR「統合」ページに移動して、更新します。VM の状態が「接続済み」になります。
仮想マシンの状態が「接続済み」であるが、動作していないと思われる場合は、NDR 用の Sophos VA コンソールで Dragonfly サービスの状態を確認してください。詳細は、Sophos VA コンソールを参照してください。
Dragonfly サービスの状態が「保留中」であるとコンソールに表示され、仮想マシンが EVC (Enhanced vMotion Compatibility) クラスタにある場合は、EVC が Skylake モード以降であることを確認してください。
Sophos NDR VA は、Sandy Bridge モードの EVC クラスタでの実行には対応していません。
Sophos Central でダウンロードした ZIP ファイルには、仮想マシンの導入に必要なファイル (仮想ドライブ、seed.iso、PowerShellスクリプト) が含まれています。
VM を導入するには、次の手順を実行します。
- ZIP ファイルをハードドライブのフォルダに解凍します。
- そのフォルダに移動し、
ndr-sensor.ps1
ファイルを右クリックして、「 PowerShell で実行」を選択します。 -
「セキュリティ警告」メッセージが表示された場合は、「開く」をクリックしてファイルの実行を許可します。
一連の質問に答えるように求められます。
-
VM に名前を付けます。
- スクリプトは、VM ファイルが保存されるフォルダを表示します。これは、仮想ドライブのデフォルトのインストール場所にある新しいフォルダです。スクリプトがそれを作成できるよう、「
C
」と入力します。 - VM に使用するプロセッサ (CPU) の数を入力します。
- 使用するメモリ容量を GB単位で入力します。
-
スクリプトは、現在使用している vSwitch すべての番号付きリストを表示します。
管理インターフェースを接続する vSwitch を選択し、その番号を入力します。このインターフェースを使用すると、アプライアンスは Sophos Data Lake にデータを送信できます。
このインターフェースは、Sophos Central の「インターネットに接続するネットワークポートの設定」で先ほど設定しました。
設定時に DHCP を選択した場合は、VM が DHCP 経由で IP アドレスを取得できることを確認します。
-
Syslog インターフェースに vSwitch を入力する必要はありません。これは、サードパーティ製品の統合のみに該当します。
任意の vSwitch をプレースホルダとして選択し、後で VM 設定で切断します。
-
NDR アプリケーションの SPAN トラフィックを受信する vSwitch を選択します。これは先ほど設定しました。詳細は、スイッチの設定を参照してください。
-
任意で、SPAN トラフィックを受信し、監視が必要な 2つ目の vSwitch を選択します (存在する場合)。物理スイッチと、物理スイッチにトラフィックを送信しない vSwitch がある場合がその例です。
2つ目の vSwitch を使用する場合は、VM の CPU 数を少なくとも 8個に増やす必要があります。詳細は、Sophos NDR アプライアンス サイズガイドを参照してください。
-
PowerShell スクリプトは、Hyper-V で VM を設定します。「インストールが正常に完了しました」というメッセージが表示されます。
- 任意のキーを使用して終了します。
-
Hyper-V マネージャーを開き、この VM が仮想マシンのリストに追加されたことを確認します。必要な場合は、設定を変更できます。その後、電源を入れます。
VM は、はじめて起動し、適切な vSwitch とインターネットに接続できるかどうかを確認します。その後、再起動します。終了するまで最長 10分かかることがあります。
-
Sophos Central で、統合する製品の「統合」ページに移動し、更新します。VM の状態が「接続済み」になります。