Sophos NDR

ログコレクタ

Sophos Network Detection and Response (NDR) は、ネットワーク上の悪意のある動作を検出します。

Sophos NDR を Sophos Central と統合して、検出結果を脅威解析センターで調査できるようにすることができます。

NDR を統合するには、Sophos Central に接続してデータを送信する NDR 仮想アプライアンスを設定します。主な手順は次のとおりです。

• 要件の確認。
• 統合を追加します。
• NDR がトラフィックを認識できるようにスイッチを設定します。
• NDR の仮想マシン (VM) イメージをダウンロードします。
• 新しい VM を導入します。

以下の動画では、VMware ESXi で Sophos NDR を設定する方法について説明しています。

要件

バージョン 6.7以降を実行している VMware ESXi サーバーが必要です。

VM をインストールする際、NDR 仮想アプライアンスが最高のパフォーマンスを発揮しつつ、最小限の影響をネットワークに抑えるように VM を設定することが必要になる場合があります。詳細は、Sophos NDR VM サイズガイドを参照してください。

統合の追加

統合を追加するには、次の手順を実行します。

1. Sophos Central にサインインします。
2. 「脅威解析センタ－ > 統合」を参照します。

3. 「Sophos Network Detection and Response (NDR)」をクリックします。

   

4. 「統合」で、「統合の追加」をクリックします。

   

5. 「統合の手順」の「ステップ １」で、「エイリアス名」と「エイリアスの説明」を入力します。

   

6. 「ステップ 2」で、NDR アプライアンスを実行する VM を選択します。

   新しい VM を使用する場合は、「VM の新規作成」をクリックします。

   既存の VM を使用する場合は、それをドロップダウンリストからを選択し、ステップ 8 に進みます。

   

7. 新しい VM を作成するには、次の手順を実行します。

   1. 「VM 名」を入力します。

   2. 「VM の説明」を入力します。

   3. 仮想プラットフォームを選択します。(現在、VMware のみに対応しています)。

   4. インターネットに接続するネットワークポートを指定します。

      • IP アドレスを自動的に割り当てるには、「DHCP」を選択します。

      • ネットワーク設定を指定するには、「手動」を選択します。例:

      • IP アドレス: 10.0.252.5

        • サブネットマスク: 255.255.255.0
        • ゲートウェイのアドレス: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

   

8. 「ステップ3」で、特定のドメインとプロトコルを検索から除外します。

   1. 「除外リスト名」を入力します。

   2. ドメインを除外するには、「ドメインの除外」をクリックします。ドメイン名 (例: sophos.com) を入力し、「追加」をクリックします。

   3. プロトコルを除外するには、「プロトコルの除外」をクリックします。次のいずれかまたは両方のフィールドに情報を入力します。

      • 最初のフィールドに、マスタープロトコルを入力します。例: TCP または UDP。
      • 2番目のフィールドに、サブプロトコル (Webサイト) を入力します。例: facebook。

      両方のフィールドに情報を入力した場合、それは、1つのドットで区切った 1つの文字列に組み合わされます。

      スクリーンショットでは、サンプル情報を示しています。

   4. 「追加」をクリックします。

   除外対象項目は、JSON ファイルとしてエクスポートできます。以前にエクスポートした JSON ファイルから、除外対象項目をリストにアップロードすることもできます。

   

9. 「保存」をクリックします。

「統合」ページに、新しい統合が表示されます。

次に、NDR アプライアンスがネットワークトラフィックを監視できるようにスイッチを設定します。

スイッチの設定

Sophos NDR VM をダウンロードして導入する前に、SPAN (Switched Port Analyzer) とも呼ばれるポートミラーリングを設定する必要があります。これにより、スイッチのポートまたは VLAN からの受信および送信トラフィックのコピーが、解析用に別のスイッチポートに転送されます。

仮想内部および物理外部ネットワークトラフィックの両方にポートミラーリングを設定する必要があります。

後で NDR VM アプライアンスを導入すると、そのアプライアンスを SPAN ポートに接続して、NDR がネットワークトラフィックを監視できるようになります。

仮想スイッチの設定

仮想内部スイッチのポートミラーリングを設定するには、次の手順を実行します。

1. ESXiで、「ネットワーク」に移動します。「仮想スイッチ」タブで、ポートミラーリングに使用するスイッチを選択します。

   使用可能なスイッチがない場合は、「標準の仮想スイッチの追加」をクリックして新しいスイッチを追加し、それにポートグループを追加します。

   

2. 「ポートグループ」タブ上で、「ポートグループの追加」をクリックします。

   

3. 新しいポートグループの設定で、次の手順を実行します。

   1. 名前を入力してください。
   2. 「VLAN ID」を 4095 に設定します。これにより、スイッチ上の他のすべてのポートグループが、新しいポートグループにトラフィックを転送できるようになります。
   3. 「セキュリティ」をクリックし、「無差別モード」を「許可」に設定します。
   4. 「追加」をクリックします。

   

   仮想内部ネットワークトラフィックの転送を設定しました。次に、次の手順で説明するように、物理外部トラフィックについても同じ手順を実行します。

4. ESXi で、ネットワーク上の物理スイッチから送信される物理外部トラフィックを処理する別の仮想スイッチを選択または作成します。

5. スイッチは、次のように設定します。

   1. 「ポートグループ」に移動し、「ポートグループの追加」をクリックします。
   2. 名前を入力してください。
   3. 「VLAN ID」を 4095 に設定します。
   4. 「セキュリティ」をクリック し、「無差別モード」を「許可」に設定します。

   次に、仮想スイッチを物理ネットワークに接続して、外部トラフィックが受信できるようにします。

6. ESXi の左側のメニューで、「ネットワーク」に移動 し、外部トラフィックで使用するスイッチを選択します。

   

7. スイッチの詳細で、「vSwitch トポロジ」を探します。「物理アダプタがありません」と表示されます。

   

8. 「アップリンクの追加」をクリックします。

   

9. 「アップリンク 1」で、 使用可能な NIC (ネットワークインターフェースカード) を選択します。これにより、仮想スイッチが ESXi サーバーのポートに接続されます。

   

10. 「ネットワークトポロジ」で、物理アダプタが接続されていることを確認します。

    

11. 物理スイッチに移動し、ケーブルを使用して ESXi サーバーのポートに直接接続します。

次に、物理スイッチでミラーリングを設定する必要があります。

物理スイッチの設定

ここでは、ソフォスのスイッチでポートミラーリングを設定する方法について説明します。他のスイッチでの設定手順は異なります。

ミラーリングを設定するには、次の手順を実行します。

1. Sophos Central で、「スイッチ」を参照します。

2. 設定するスイッチを選択し、「コマンドの実行」をクリックします。

   

3. 「コマンドの実行」コンソールで、すべてのトラフィックをミラーリングするコマンドを入力します。以下のコマンドの例では、ポート 1～4 のすべての受信および送信トラフィックをミラーリングし、ポート 8 に送信します。

   configure terminal
   monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
   monitor session 1 source interface gigabitethernet 0/1 both
   monitor session 1 source interface gigabitethernet 0/2 both
   monitor session 1 source interface gigabitethernet 0/3 both
   monitor session 1 source interface gigabitethernet 0/4 both
   end
   show monitor session 1
   

   

4. 「実行」をクリックします。コンソールには、実行されるコマンドが緑色の背景で表示されます。

   

5. 最後のコマンドが実行されると、完了した設定がコンソールに表示されます。「閉じる」をクリックします。

   

これで、SPAN ポートへのトラフィック転送の設定が完了しました。後で Sophos NDR を設定して、このトラフィックを監視するようにします。

次に NDR の VM イメージをダウンロードします。

VM イメージのダウンロード

次に、新しい VM を導入して起動するために必要な NDR イメージ (OVA ファイル) をダウンロードします。

1. 新しい統合の「アクション」カラムの をクリックし、「OVA のダウンロード」を選択します。

   ダウンロードが開始されます。

   

2. 統合名の左側にあるアイコンをマウスオーバーします。「導入待機中」と表示されるのがわかります。

   

これで、VM を導入する準備が整いました。

VM の導入

1. ESXi ホストに移動します。

1. 「仮想マシン」を選択して、「仮想マシンの作成/登録」をクリックします。

   

2. 「作成タイプの選択」で、「OVF ファイルまたは OVA ファイルから仮想マシンをデプロイ」を選択します。「次へ」をクリックします。

   

3. 「OVF ファイルと VMDK ファイルの選択」で、VM 名を入力します。

   ページをクリックしてファイルを選択します。OVAファイル「ndr-sensor.ova」を選択します。「次へ」をクリックします。

   

4. 「ストレージの選択」で、「標準」を選択します。「次へ」をクリックします。

   

5. 「デプロイのオプション」で、「ネットワークのマッピング」を選択します。この例では、すべてが「SPAN」(トラフィックを転送しているポート) に設定されています。ただし、「MGMT」は「VM ネットワーク」に設定されています。「次へ」をクリックします。

   

6. 「追加設定」の手順をスキップします。

7. 「完了」をクリックします。VM リストに新しい VM が表示されるまで待ちます。これには数分かかることがあります。

   

8. VM の電源を入れ、インストールプロセスが完了するまで待ちます。終了するまで最長 10分かかることがあります。

   警告

   このプロセスは中断しないでください。

9. Sophos Central で、NDR「統合」ページに移動して、更新します。VM の状態が「接続済み」になります。

   

仮想マシンの状態が「接続済み」であるが、動作していないと思われる場合は、NDR 用の Sophos VA コンソールで Dragonfly サービスの状態を確認してください。詳細は、Sophos VA コンソールを参照してください。

Dragonfly サービスの状態が「保留中」であるとコンソールに表示され、仮想マシンが EVC (Enhanced vMotion Compatibility) クラスタにある場合は、EVC が Skylake モード以降であることを確認してください。

Sophos NDR VA は、Sandy Bridge モードの EVC クラスタでの実行には対応していません。