コンテンツにスキップ
MDR のサポート提供の詳細はこちら

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=NDR-aws

AWS の Sophos NDR

この機能を使用するには、「Sophos Network Detection and Response」統合ライセンスパックが必要です。

Sophos Network Detection and Response (NDR) は、ネットワーク上の悪意のある動作を検出します。

Sophos NDR を Sophos Central と統合して、検出結果を脅威解析センターで調査できるようにすることができます。

統合では、データを受信し、Sophos Data Lake に転送するアプライアンスを使用します。

主な手順は次のとおりです。

  • 要件の確認。
  • ソフォスアプライアンスを作成します。これは CloudFormation テンプレートに基づいています。
  • AWS で Sophos NDR に登録します。
  • スタックを作成します。ここでは、NDR の VPC とサブネットを指定します。
  • トラフィック ミラー セッションを作成します。解析用にファイルが NDR に送信されます。
  • セキュリティグループを編集して syslog トラフィックを許可し、Sophos Appliance Manager にアクセスを許可します。
  • Sophos Appliance Manager のパスワードを設定します。

Sophos Appliance Manager によって Sophos NDR を監視および管理できます。

要件

AWS で Sophos NDR をセットアップするには、次のアカウントとインフラストラクチャが必要です。

  • AWS アカウント。
  • Sophos Central アカウント。
  • EC2 インスタンス。
  • VPC、サブネット、およびアベイラビリティーゾーン。既にお持ちのものを使用できます。
  • NDR 管理インターフェースで使用される、少なくとも 1つの割り当てられた Elastic IP Address。

次の EC2 インスタンスタイプがサポートされています。

  • c5n.2xlarge
  • c6i.4xlarge
  • c7i.16xlarge (nitro 仮想化)

AWS アカウントの SSH 秘密鍵を作成して保存する必要があります。

選択したいずれかの地域で VPC を作成する必要があります。VPC リソースマップの例を次に示します。

VPCリソースマップの例。

アプライアンスの作成

ソフォスアプライアンスを作成および設定するには、CloudFormation テンプレートを作成してダウンロードします。

CloudFormation テンプレートの作成

CloudFormation テンプレートを作成するには、次の手順を実行します。

  1. Sophos Central で、「脅威解析センター > 統合 > マーケットプレイス」に移動します。
  2. Sophos Network Detection and Response (NDR)」を探してクリックします。

  3. 「NDR」ページの「データの取り込み (セキュリティ警告)」で、 「設定の追加」をクリックします。

    統合のセットアップ手順」が表示されます。

  4. ステップ 1 」で、統合の名前と説明を入力します。

    統合の手順。

  5. ステップ 2」で、CloudFormation テンプレート (CFT) を作成します。「仮想プラットフォーム」で、「AWS」を選択します。

    仮想プラットフォームを選択します。

  6. 保存」をクリックします。

CloudFormation (CF) JSON ファイル aws_ndr_cf_latest.json が作成されます。

CloudFormation テンプレートのダウンロード

CloudFormation テンプレートをダウンロードするには、次の手順を実行します。

  1. Sophos Central で「統合 > 設定済み」の順に選択します。
  2. 統合アプライアンス」タブを選択し、Sophos NDR アプライアンスを見つけます。

  3. 右端の列で、3つの点をクリックし、「イメージのダウンロード」を選択します。

    ダウンロードオプションが表示されている設定済みの統合リスト。

aws_ndr_cf_latest.json ファイルが「ダウンロード」フォルダにダウンロードされます。

Sophos NDR に登録

AWS Marketplace コンソールで NDR に登録する必要があります。これには、次の手順を実行します。

  1. AWS Marketplace」ページに移動し、Sophos NDR を見つけます。

  2. Product Overview」(製品の概要) ページで、「Continue to Subscrib」(サブスクライブを続ける) をクリックします。

    NDRの「製品の概要」ページ。

  3. Subscribe to this software」(このソフトウェアをサブスクライブ) ページで、契約条件に同意し、「Continue to Configuration」(設定に進む) をクリックします。

    「Subscribe to this software」(このソフトウェアをサブスクライブ) ページ。

  4. Configure this software」(このソフトウェアを設定) ページで、バージョンと地域を確認し、「Continue to Launch」(続行して起動する) をクリックします。

    「Configure this software」(このソフトウェアを設定)ページ。

  5. Launch this software」(このソフトウェアを起動する) ページで「Usage instructions」(使用方法) をクリックして、Sophos Appliance Manager へのアクセス方法を確認します。

    「Launch this software」(このソフトウェアを起動する) ページ。

  6. Launch」(起動) をクリックします

AWS は「Create stack」(スタックの作成) ページを開きます。

スタックの作成

次に、ダウンロードした CloudFormation テンプレートを使用して、AWS アカウントの NDR Sensor を作成します。これを行うには、スタックを作成します。

  1. Create stack」(スタックの作成) ページで、次の手順を実行します。

    1. Template is ready」(テンプレートの準備ができています) を選択したままにします。
    2. Specify template」(テンプレートの指定) で、「Upload a template file」(テンプレートファイルのアップロード) を選択します。
    3. Choose File」(ファイルの選択) をクリックして、aws_ndr_cf_latest.json を選択します。
    4. 次へ」をクリックします。

    テンプレートファイルの選択を示す「Create stack」(スタックの作成) ページ。

  2. Specify stack details」(スタック詳細の指定) ページで、名前と次の「Network Configuration」(ネットワークの設定) の詳細を入力します。

    1. NDR に使用する既存の VPC。
    2. NDR 管理インターフェースのサブネット。これはパブリックサブネットです。
    3. NDR syslog インターフェースのサブネット。これにより、NDR はインターフェースを付加でき、このインターフェースは、後で別のサードパーティのログコレクタを追加した場合に使用できます。
    4. NDR SPAN インターフェースのサブネット。SPAN インターフェースは、ネットワークトラフィックのミラーコピーを取得し、解析用に NDR に送信します。
    5. 管理者に NDR インスタンスへの SSH アクセスを許可するセキュリティグループ。

    完成したネットワーク設定の詳細は、次の例のようになります。

    「Specify stack details」(スタック詳細の指定) ページ。

  3. EC2 Instance Configuration」(EC2 インスタンスの設定) で、NDR EC2 インスタンスへのアクセスに必要な SSH キーを入力し、「Next」(次へ) をクリックします。

    以前にこの SSH キーペアを作成して保存しています。

    「EC2 Instance Configuration」(EC2 インスタンスの設定) フィールド。

  4. Configure Stack options」(スタックオプションの設定) ページで、デフォルトの AWS 設定を受け入れるか、必要に応じて変更を加えます。「送信」をクリックします。

CloudFormation テンプレートは、テンプレートのアップロードに使用したアカウントの AWS リージョンに基づいて、適切なリージョンと AMIS を自動的に選択します。

NDR Sensor の作成が完了するまで待ちます。終了するまで最長 5分または 6分かかることがあります。

トラフィック ミラー セッションの作成

ネットワークトラフィックをミラーリングして NDR に転送するターゲット ミラー セッションを作成します。これには、次の手順を実行します。

  1. AWSで、「VPC > Traffic mirror sessions (トラフィック ミラー セッション) > Create traffic mirror session (トラフィック ミラー セッションを作成)」に移動します。

  2. Session settings」(セッション設定) で、次の手順を実行します。

    1. Name Tag」(名前タグ) と「Description」(説明) を入力します。
    2. Mirror Source」(ミラーソース) に、ネットワークトラフィックのミラーリング元となるネットワークインターフェースを入力します。
    3. Mirror Target」(ミラーターゲット) に、ネットワークトラフィックのミラーリング先の SPAN インターフェースを入力します。CloudFormation テンプレートで作成した「NDR SPAN Target」 (NDR SPAN ターゲット) を選択します。

    トラフィックミラーセッションの設定。

  3. Additional settings」(追加設定) で、次の手順を実行します。

    1. セッションの番号を入力します。この番号は、同じソースからのセッションを評価する順序を決定します。
    2. VNI」(Virtual Network Interface) を 1 に設定します。
    3. Filter」で、 CloudFormation テンプレートが既に作成した「NDR Traffic Mirror Filter」(NDR トラフィックフィルター) を選択します。
    4. Create」(作成) をクリックします。

    トラフィックミラーの追加設定。

セキュリティグループの編集

AWS セキュリティグループを編集する必要があります。これにより、次の変更を行うことができます。

  • syslog トラフィックがアプライアンスに送信されるようにします。
  • Appliance Manager へのアクセスを許可します。

セキュリティ グループを編集するには、次の手順を実行します。

  1. AWS で、Sophos NDR アプライアンスのセキュリティの詳細に移動します。

    これを行うには、AWS コンソールの検索バーにアプライアンス名を入力します。見つかったら、「EC2」タブを選択し、 Sophos Appliance インスタンスをクリックします。

  2. Instance Summary」(インスタンスの概要) ページで、タブページまでスクロールダウンし、「Security」(セキュリティ) タブを選択します。

  3. InternalSyslogSG グループを検索し、ログ収集のトラフィックを許可する送信元を入力します。

  4. InternalMgmtSG セキュリティグループを検索します。これは CloudFormation テンプレートが作成したものです。管理者をグループに追加し、「Inbound rule」(受信ルール) のポート 8443 へのアクセスを許可します。

    セキュリティグループの着信ルール。

Appliance Manager を使用する前に、パスワードも設定する必要があります。

Appliance Manager のパスワードの設定

Appliance Manager のユーザー名は zadmin です 。パスワードをセットするには、次の手順を実行します。

  1. Sophos Central で、「脅威解析センター > 統合 > 設定済み」に移動します。

  2. 統合アプライアンス」タブを参照します。

  3. アプライアンスを見つけます。右端の列で、3つの点をクリックし、「Appliance Manager を開く」を選択します。

    アプライアンスのアクションメニュー。

  4. 確認ダイアログで、リセットするようにクリックします。

    確認ダイアログ。

Appliance Manager を使用する他の管理者もパスワードを設定する必要があります。