AWS の Sophos NDR
この機能を使用するには、「Sophos Network Detection and Response」統合ライセンスパックが必要です。
Sophos Network Detection and Response (NDR) は、ネットワーク上の悪意のある動作を検出します。
Sophos NDR を Sophos Central と統合して、検出結果を脅威解析センターで調査できるようにすることができます。
統合では、データを受信し、Sophos Data Lake に転送するアプライアンスを使用します。
主な手順は次のとおりです。
- 要件の確認。
- ソフォスアプライアンスを作成します。これは CloudFormation テンプレートに基づいています。
- AWS で Sophos NDR に登録します。
- スタックを作成します。ここでは、NDR の VPC とサブネットを指定します。
- トラフィック ミラー セッションを作成します。解析用にファイルが NDR に送信されます。
- セキュリティグループを編集して syslog トラフィックを許可し、Sophos Appliance Manager にアクセスを許可します。
- Sophos Appliance Manager のパスワードを設定します。
Sophos Appliance Manager によって Sophos NDR を監視および管理できます。
要件
AWS で Sophos NDR をセットアップするには、次のアカウントとインフラストラクチャが必要です。
- AWS アカウント。
- Sophos Central アカウント。
- EC2 インスタンス。
- VPC、サブネット、およびアベイラビリティーゾーン。既にお持ちのものを使用できます。
- NDR 管理インターフェースで使用される、少なくとも 1つの割り当てられた Elastic IP Address。
次の EC2 インスタンスタイプがサポートされています。
- c5n.2xlarge
- c6i.4xlarge
- c7i.16xlarge (nitro 仮想化)
AWS アカウントの SSH 秘密鍵を作成して保存する必要があります。
選択したいずれかの地域で VPC を作成する必要があります。VPC リソースマップの例を次に示します。
アプライアンスの作成
ソフォスアプライアンスを作成および設定するには、CloudFormation テンプレートを作成してダウンロードします。
CloudFormation テンプレートの作成
CloudFormation テンプレートを作成するには、次の手順を実行します。
- Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
- 「Sophos Network Detection and Response (NDR)」を探してクリックします。
-
「NDR」ページの「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。
「統合のセットアップ手順」が表示されます。
-
「ステップ 1 」で、統合の名前と説明を入力します。
-
「ステップ 2」で、CloudFormation テンプレート (CFT) を作成します。「仮想プラットフォーム」で、「AWS」を選択します。
-
「保存」をクリックします。
CloudFormation (CF) JSON ファイル aws_ndr_cf_latest.json
が作成されます。
CloudFormation テンプレートのダウンロード
CloudFormation テンプレートをダウンロードするには、次の手順を実行します。
- Sophos Central で「統合 > 設定済み」の順に選択します。
- 「統合アプライアンス」タブを選択し、Sophos NDR アプライアンスを見つけます。
-
右端の列で、3つの点をクリックし、「イメージのダウンロード」を選択します。
aws_ndr_cf_latest.json
ファイルが「ダウンロード」フォルダにダウンロードされます。
Sophos NDR に登録
AWS Marketplace コンソールで NDR に登録する必要があります。これには、次の手順を実行します。
- 「AWS Marketplace」ページに移動し、Sophos NDR を見つけます。
-
「Product Overview」(製品の概要) ページで、「Continue to Subscrib」(サブスクライブを続ける) をクリックします。
-
「Subscribe to this software」(このソフトウェアをサブスクライブ) ページで、契約条件に同意し、「Continue to Configuration」(設定に進む) をクリックします。
-
「Configure this software」(このソフトウェアを設定) ページで、バージョンと地域を確認し、「Continue to Launch」(続行して起動する) をクリックします。
-
「Launch this software」(このソフトウェアを起動する) ページで「Usage instructions」(使用方法) をクリックして、Sophos Appliance Manager へのアクセス方法を確認します。
-
「Launch」(起動) をクリックします
AWS は「Create stack」(スタックの作成) ページを開きます。
スタックの作成
次に、ダウンロードした CloudFormation テンプレートを使用して、AWS アカウントの NDR Sensor を作成します。これを行うには、スタックを作成します。
-
「Create stack」(スタックの作成) ページで、次の手順を実行します。
- 「Template is ready」(テンプレートの準備ができています) を選択したままにします。
- 「Specify template」(テンプレートの指定) で、「Upload a template file」(テンプレートファイルのアップロード) を選択します。
- 「Choose File」(ファイルの選択) をクリックして、
aws_ndr_cf_latest.json
を選択します。 - 「次へ」をクリックします。
-
「Specify stack details」(スタック詳細の指定) ページで、名前と次の「Network Configuration」(ネットワークの設定) の詳細を入力します。
- NDR に使用する既存の VPC。
- NDR 管理インターフェースのサブネット。これはパブリックサブネットです。
- NDR syslog インターフェースのサブネット。これにより、NDR はインターフェースを付加でき、このインターフェースは、後で別のサードパーティのログコレクタを追加した場合に使用できます。
- NDR SPAN インターフェースのサブネット。SPAN インターフェースは、ネットワークトラフィックのミラーコピーを取得し、解析用に NDR に送信します。
- 管理者に NDR インスタンスへの SSH アクセスを許可するセキュリティグループ。
完成したネットワーク設定の詳細は、次の例のようになります。
-
「EC2 Instance Configuration」(EC2 インスタンスの設定) で、NDR EC2 インスタンスへのアクセスに必要な SSH キーを入力し、「Next」(次へ) をクリックします。
注
以前にこの SSH キーペアを作成して保存しています。
-
「Configure Stack options」(スタックオプションの設定) ページで、デフォルトの AWS 設定を受け入れるか、必要に応じて変更を加えます。「送信」をクリックします。
CloudFormation テンプレートは、テンプレートのアップロードに使用したアカウントの AWS リージョンに基づいて、適切なリージョンと AMIS を自動的に選択します。
NDR Sensor の作成が完了するまで待ちます。終了するまで最長 5分または 6分かかることがあります。
トラフィック ミラー セッションの作成
ネットワークトラフィックをミラーリングして NDR に転送するターゲット ミラー セッションを作成します。これには、次の手順を実行します。
-
AWSで、「VPC > Traffic mirror sessions (トラフィック ミラー セッション) > Create traffic mirror session (トラフィック ミラー セッションを作成)」に移動します。
-
「Session settings」(セッション設定) で、次の手順を実行します。
- 「Name Tag」(名前タグ) と「Description」(説明) を入力します。
- 「Mirror Source」(ミラーソース) に、ネットワークトラフィックのミラーリング元となるネットワークインターフェースを入力します。
- 「Mirror Target」(ミラーターゲット) に、ネットワークトラフィックのミラーリング先の SPAN インターフェースを入力します。CloudFormation テンプレートで作成した「NDR SPAN Target」 (NDR SPAN ターゲット) を選択します。
-
「Additional settings」(追加設定) で、次の手順を実行します。
- セッションの番号を入力します。この番号は、同じソースからのセッションを評価する順序を決定します。
- 「VNI」(Virtual Network Interface) を 1 に設定します。
- 「Filter」で、 CloudFormation テンプレートが既に作成した「NDR Traffic Mirror Filter」(NDR トラフィックフィルター) を選択します。
- 「Create」(作成) をクリックします。
セキュリティグループの編集
AWS セキュリティグループを編集する必要があります。これにより、次の変更を行うことができます。
- syslog トラフィックがアプライアンスに送信されるようにします。
- Appliance Manager へのアクセスを許可します。
セキュリティ グループを編集するには、次の手順を実行します。
-
AWS で、Sophos NDR アプライアンスのセキュリティの詳細に移動します。
これを行うには、AWS コンソールの検索バーにアプライアンス名を入力します。見つかったら、「EC2」タブを選択し、 Sophos Appliance インスタンスをクリックします。
-
「Instance Summary」(インスタンスの概要) ページで、タブページまでスクロールダウンし、「Security」(セキュリティ) タブを選択します。
-
InternalSyslogSG
グループを検索し、ログ収集のトラフィックを許可する送信元を入力します。 -
InternalMgmtSG
セキュリティグループを検索します。これは CloudFormation テンプレートが作成したものです。管理者をグループに追加し、「Inbound rule」(受信ルール) のポート 8443 へのアクセスを許可します。
Appliance Manager を使用する前に、パスワードも設定する必要があります。
Appliance Manager のパスワードの設定
Appliance Manager のユーザー名は zadmin
です 。パスワードをセットするには、次の手順を実行します。
- Sophos Central で、「脅威解析センター > 統合 > 設定済み」に移動します。
-
「統合アプライアンス」タブを参照します。
-
アプライアンスを見つけます。右端の列で、3つの点をクリックし、「Appliance Manager を開く」を選択します。
-
確認ダイアログで、リセットするようにクリックします。
Appliance Manager を使用する他の管理者もパスワードを設定する必要があります。