OnLogic ハードウェア上の Sophos NDR
Sophos NDR は、ソフォスがテストおよび認定した OnLogic システムにインストールできます。
NDR アプライアンスイメージの作成
Sophos NDR は、アプライアンスを使用してデータを収集し、解析のために Sophos Data Lake に転送します。
ハードウェアをセットアップする前に、NDR アプライアンスのインストールイメージを作成してダウンロードする必要があります。この ISO イメージは、後で NDR アプライアンスとして展開します。
- Sophos Central で、「脅威解析センター > 統合」に移動します。
- 「Sophos Network Detection and Response (NDR)」を探してクリックします。
-
「NDR」ページの「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。
「統合のセットアップ手順」が表示されます。
-
「ステップ 1 」で、統合の名前と説明を入力します。
- 「ステップ 2」で、「新しいアプライアンスの作成」を選択します。
-
新しいアプライアンスを作成するには、次の手順を実行します。
- アプライアンス名と説明を入力します。一意の名前を入力する必要があります。
- 「仮想プラットフォーム」で、「ハードウェア」を選択します。
-
「ステップ 3」で、特定のドメインとプロトコルを検索から除外します。これは、誤検知の原因となるドメインがある場合などに行います。
除外リストは後で設定できますが、除外リスト名はここで入力する必要があります。
- 「除外リスト名」を入力します。
- ドメインを除外するには、「ドメインの除外」をクリックします。ドメイン名 (例:
sophos.com
) を入力し、「追加」をクリックします。 -
プロトコルを除外するには、「プロトコルの除外」をクリックします。次のいずれかまたは両方のフィールドに情報を入力します。
- 最初のフィールドに、マスタープロトコルを入力します。例:
TCP
またはUDP
。 - 2番目のフィールドに、サブプロトコル (Webサイト) を入力します。例:
facebook
。
マスタープロトコルを完全に除外することは推奨されません。ルーティングプロトコルなど、通常、危険ではない高トラフィックのプロトコルで、大量のデータが生成される場合のみにこれを実行するようにしてください。
注
除外対象項目は、JSON ファイルとしてエクスポートできます。以前にエクスポートした JSON ファイルから、除外対象項目をリストにアップロードすることもできます。
- 最初のフィールドに、マスタープロトコルを入力します。例:
-
「追加」をクリックします。
-
「保存」をクリックします。
ポップアップに Sophos Appliance Manager 認証情報が表示されます。それをメモします。アプライアンスにアクセスしてトラブルシューティングを行うには、Appliance Manager が必要です。
これで、新しい統合が「Configured NDR integrations」(設定された NDR 統合) リストに表示されます。
-
イメージをダウンロードするには、「アクション」列の 3つのドットをクリックし、 「イメージのダウンロード」を選択します。イメージがダウンロード可能になるまで待機する必要がある場合があります。
USB インストールメディアの作成
ISO イメージを USB ドライブにコピーする必要があります。以下の手順では、balenaEtcher と呼ばれるサードパーティ製ツールを使用してこれを行う方法について説明します。
- 次のリンクをクリックして、 お客様の OS に適したインストーラを使用して balenaEtcher をダウンロードします。ダウンロード。インストールプロセスを実行します。
-
USB ドライブをコンピューターまたはラップトップに挿入します。
注
USB ドライブに保存が必要なデータが含まれていないことを確認してください。
-
次のようにして、balenaEtcher アプリケーションを起動します。
- 「Flash from file」をクリックします
- ファイル選択ダイアログを使用して、Sophos Central からダウンロードした NDR アプライアンスの ISO イメージを選択します。
- パーティションテーブルが見つからないという警告が表示された場合は、「Continue」をクリックします。
- 「ターゲットを選択」をクリックします
-
ISO イメージをインストールする USB ドライブを選択します。
注
USB デバイスを選択すると、現在ドライブにあるすべてのデータが消去されるので注意してください。
-
「Select 1」をクリックします。
- 「Flash」をクリックします。
- ユーザーアクセス制御のメッセージを受け入れます。
左側のパネルに進行状況が点滅して表示されます。
プロセスが完了したら、balenaEtcher を終了できます。
システムのインストールと接続
- OnLogic ハードウェアを開封します。
-
次のケーブルと周辺機器を OnLogic デバイスに接続します。
- 電源装置への電源ケーブル。
- HDMI モニター:VGA 接続は USB-C-VGA アダプタ(別売)を介して使用できます
- USB キーボード。
- 管理ネットワークケーブルを一番上のネットワークインタフェースポートに接続します。
- ネットワークケーブルを下のネットワークインターフェースポートに接続します。
インストールの開始
- 先に作成したインストール用 USB ドライブを、OnLogic の使用可能な USB ポートに挿入します。
- OnLogic の電源をオンにするか、
Ctrl+Alt+Delete
を押して OnLogic を再起動します。 -
起動メニューで矢印キーを使用して「Install Sophos NDR -- NUC/OnLogic Models」を選択し、Enter キーを押します。
システムの起動に時間がかかります。インストーラの読み込みが完了するまで待つ必要があります。「Network connections」画面が表示されたら、インストーラの準備が整います。
ネットワークインターフェースの設定
管理 IP アドレスの設定
管理ネットワークと Sophos Central への接続に使用するインターフェースを特定します。
このインターフェースに IP アドレス、デフォルトゲートウェイ、および DNS アドレスを設定します。DHCP 設定は可能ですが、アプライアンスの IP アドレスは今後の再起動時に変更される可能性があるため、推奨されません。
- 矢印キーを使用して管理インターフェースを選択し、Enter を押します。
- 「Edit IPv4」を選択し、Enter を押します。
- 「IPv4 method」で Enter を押し、「Manual」を選択します。
- インターフェースのサブネットを CIDR 表記で入力します。
- 「Address」フィールドにインターフェースの IP アドレスを入力します。
- 「Gateway」フィールドにデフォルトゲートウェイを入力します。
- 「Name servers」フィールドに DNS サーバーを入力します 。
- 任意: 「Search domains」フィールドにドメインを入力します。
- 矢印キーを使用して「Save」を選択し、Enter を押します。
キャプチャインターフェースの設定
キャプチャインターフェース (SPAN 設定) は、インストール後に Appliance Manager の Web UI を使用して設定します。SPAN 設定を参照してください。
ここでは、次のように残りのすべてのネットワークインターフェースを無効にします。
- 矢印キーを使用してインターフェースを選択し、Enter を押します。
- 「Edit IPv4」を選択し、Enter を押します。
- 矢印キーを使用して「Disabled」を選択し、Enter を押します。
- 矢印キーを使用して「Save」を選択し、Enter を押します。
インストールプロセス
システムはディスクにパーティションを作成し、インストールプロセスを開始する準備ができました。
矢印キーを使用して「Continue」を選択し、Enter を押します。これにより、ディスクパーティションとインストールが確認されます。
ソフトウェアのインストールには時間がかかります。画面上部に「Install complete!」のメッセージが表示されたら、インストールが完了します。
インストールの完了
インストールが完了したら、矢印キーを使用して 「Reboot Now」を選択し、Enter を押します。
終了プロセスが一時停止し、インストールメディアを取り出す必要があります。
USB ドライブをシステムから取り外し、Enter キーを押して終了し、再起動プロセスを続行します。