조사 콘솔
NDR 조사 콘솔을 사용하면 Data Lake에 들어가는 데이터뿐만 아니라 NDR 센서의 모든 데이터에 액세스할 수 있습니다. 이 데이터를 위협 사냥에 사용할 수 있습니다.
Sophos Central에서 콘솔을 설정하지만 로컬 네트워크에서 실행합니다. 콘솔은 NDR 통합 어플라이언스에서 데이터를 가져와 모니터링하거나 쿼리할 수 있도록 합니다.
이 페이지에서는 조사 콘솔을 작성하고 관리하는 방법을 설명합니다.
조사 콘솔 만들기
NDR에서 데이터를 수집하는 NDR 통합을 이미 설정했다고 가정합니다. 그렇지 않은 경우 Sophos NDR ESXi 또는 Hyper-V를 참조하십시오.
콘솔을 만드는 주요 단계는 다음과 같습니다.
- 콘솔을 구성합니다. 그러면 가상 네트워크에 배포할 이미지가 생성됩니다.
- 이미지를 다운로드하여 배포합니다.
- 콘솔에 NDR 통합 어플라이언스를 할당합니다. 그러면 NDR 데이터가 콘솔로 전송됩니다.
콘솔 구성
- NDR > 조사 콘솔 로 이동합니다.
-
콘솔 만들기 를 클릭합니다.
-
콘솔을 다음과 같이 구성합니다.
- 이름 및 설명을 입력합니다.
- 가상 플랫폼을 선택합니다. 조사 콘솔은 VMware ESXi 또는 Microsoft Hyper-V에서만 지원됩니다.
-
인터넷 연결 네트워크 포트 설정을 지정합니다. 이렇게 하면 관리 인터페이스가 설정됩니다.
-
IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.
참고
DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.
-
네트워크 설정을 지정하려면 수동을 선택합니다.
-
-
저장을 클릭합니다.
-
어플라이언스 자격 증명 팝업이 표시됩니다. 콘솔을 호스팅하는 어플라이언스에 액세스하려면 자격 증명이 필요합니다.
사용자 이름은
zadmin
이고 암호는 메시지에 표시됩니다. 암호를 안전하게 보관하십시오. 암호는 한 번만 표시됩니다.OK를 클릭합니다.
-
조사 콘솔 페이지에서 새 콘솔이 목록에 표시됩니다. 이름 위로 마우스를 가져가면 "배포 대기 중"이 표시됩니다.
이미지가 생성될 때까지 기다립니다. 이 작업은 5분 정도 걸릴 수 있습니다.
-
맨 오른쪽 열에서 세 개의 점을 클릭하고 이미지 다운로드를 선택합니다.
이미지 배포
사용자 환경에 이미지를 배포합니다.
구축은 VMware ESXi를 사용하는지 Hyper-V를 사용하는지에 따라 달라집니다. 지침을 보려면 아래에서 관련 탭을 클릭하십시오.
제한
ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 새 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.
ESXi 호스트에서 다음과 같이 하십시오.
- 가상 머신을 선택합니다.
-
VM 만들기/등록을 클릭합니다.
-
생성 유형 선택에서 OVF 또는 OVA 파일에서 가상 머신 배포를 선택합니다. 다음을 클릭합니다.
-
OVF 및 VMDK 파일 선택에서 다음과 같이 하십시오.
- VM 이름을 입력합니다.
- "파일을 선택하려면 클릭하십시오 ..."라는 화면을 클릭하고 다운로드한 OVA 파일을 선택합니다.
- 다음을 클릭합니다.
-
스토리지 선택에서 표준을 선택합니다. 그런 다음 VM을 배치할 데이터 저장소를 선택합니다. 다음을 클릭합니다.
-
배포 옵션에 다음과 같이 설정을 입력합니다.
-
MGMT에서, 어플라이언스의 관리 인터페이스를 선택합니다.
초기에 Sophos Central의 인터넷 연결 네트워크 포트 설정에서 이 인터페이스를 설정하십시오.
설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.
-
디스크 프로비저닝에서 씬이 선택되어 있는지 확인합니다.
- 자동으로 전원 켜기가 선택되어 있는지 확인합니다.
- 다음을 클릭합니다.
-
-
추가 설정 단계를 건너뜁니다.
-
마침을 클릭합니다. 새 VM이 VM 목록에 나타날 때까지 기다립니다. 몇 분 정도 걸릴 수 있습니다.
-
VM의 전원을 켜고 설치가 완료될 때까지 기다립니다.
VM이 처음으로 부팅되고 올바른 포트 그룹 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 10분 정도 걸릴 수 있습니다.
Sophos Central에서 다운로드한 Zip 파일에는 가상 드라이브, seed.iso
및 Powershell 스크립트와 같이 VM을 배포하는 데 필요한 파일이 들어 있습니다.
VM을 배포하려면 다음과 같이 하십시오.
- 하드 드라이브의 폴더에 Zip 파일의 압축을 풉니다.
- 해당 폴더로 이동하여
ndr-sensor.ps1
파일을 마우스 오른쪽 단추로 클릭하고 PowerShell로 실행을 선택합니다. -
보안 경고 메시지가 표시되면 열기를 클릭하여 파일 실행을 허용합니다.
일련의 질문에 답하라는 메시지가 표시됩니다.
-
VM에 이름을 지정합니다.
- 스크립트는 VM 파일이 저장될 폴더를 표시합니다. 이것은 가상 드라이브의 기본 설치 위치에 있는 새 폴더입니다. 스크립트가 생성하도록 하려면
C
를 입력하십시오. - VM에 사용할 프로세서(CPU) 수를 입력합니다.
- 사용할 메모리 양을 GB 단위로 입력합니다.
-
이 스크립트는 현재 모든 vSwitch에 대해 번호가 매겨진 목록을 표시합니다.
관리 인터페이스를 연결할 vSwitch를 선택하고 해당 번호를 입력합니다. 초기에 Sophos Central의 인터넷 연결 네트워크 포트 설정에서 이 인터페이스를 설정하십시오.
설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.
-
네트워크 트래픽을 캡처하기 위해 vSwitch를 지정할 필요는 없습니다. 이러한 설정은 Sophos NDR이 있는 경우에만 적용됩니다. vSwitch를 플레이스홀더로 선택하고 나중에 VM 설정에서 연결을 해제합니다.
PowerShell 스크립트는 Hyper-V에서 VM을 설정합니다. 설치 완료 메시지가 표시됩니다.
-
종료하려면 아무 키나 누르십시오.
-
Hyper-V 관리자를 열어 가상 컴퓨터 목록에 추가된 VM을 확인합니다. 필요한 경우 설정을 편집할 수 있습니다. 그런 다음 VM을 시작합니다.
VM이 처음으로 부팅되고 올바른 vSwitch 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 10분 정도 걸릴 수 있습니다.
-
Sophos Central에서 NDR > 조사 콘솔 로이동합니다. 상태 아이콘에 연결됨이 표시됩니다.
NDR 어플라이언스 할당
이제 NDR 어플라이언스 또는 어플라이언스를 할당합니다.
콘솔이 Sophos Central에 등록되고 "녹색" 상태가 표시될 때까지 NDR 어플라이언스를 할당할 수 없습니다.
조사 콘솔 열기
조사 콘솔을 열려면 다음과 같이 하십시오.
- NDR > 조사 콘솔 로 이동합니다.
- 목록에서 본체를 찾습니다.
-
맨 오른쪽 열에서 세 개의 점을 클릭하고 NDR 콘솔 열기를 선택합니다.
Sophos Central에서 나간다는 경고가 표시됩니다.
암호를 잊어버린 경우 "재설정"이라는 단어를 클릭하여 재설정합니다.
-
사용자 이름과 암호를 입력하고 콘솔 열기를 클릭합니다.
조사 콘솔 보기
Investigation Console 페이지에는 콘솔이 구성 및 성능 세부 정보와 함께 나열됩니다.
- 콘솔 이름
- 가전 제품: 콘솔에 할당된 NDR 통합 어플라이언스의 수입니다.
- 유형: 콘솔이 있는 가상 플랫폼(예: VMware)
- 버전: 플랫폼의 버전입니다.
- CPU: CPU 사용.
- 메모리: 메모리 사용.
- IP 주소
할당된 어플라이언스 보기
조사 콘솔 페이지의 콘솔 목록에서 콘솔 이름 옆에 있는 화살표를 클릭하여 할당된 NDR 통합 어플라이언스의 세부 정보를 확인합니다.
- 어플라이언스 이름
- 통합: 어플라이언스를 사용한 통합 수입니다.
- 메모리: 메모리 사용.
- 저장소
- 유형: 어플라이언스를 호스팅하는 가상 플랫폼입니다.
- 버전: 가상 플랫폼의 버전입니다.
- 관리 IP: 관리 인터페이스.
- Syslog IP: Syslog 인터페이스.
새 암호 생성
조사 콘솔에 액세스하는 데 사용하는 암호를 재설정할 수 있습니다.
- 조사 콘솔 페이지에서 콘솔을 선택합니다.
-
맨 오른쪽 열에서 세 개의 점을 클릭하고 새 암호 생성을 선택합니다.
암호를 복사하여 안전하게 보관합니다. 한 번만 표시됩니다. 나중에 복구할 수 없습니다.
-
다시 설정을 클릭합니다.
로그 수집
콘솔 활동 로그를 수집하려면 다음과 같이 하십시오.
- 조사 콘솔 페이지에서 콘솔을 선택합니다.
- 맨 오른쪽 열에서 세 개의 점을 클릭하고 로그 수집을 선택합니다.
원격 지원
Sophos Support는 조사 콘솔을 호스팅하는 Sophos 어플라이언스의 문제를 해결하는 데 도움을 줄 수 있습니다.
경우에 따라 Sophos 지원에서 어플라이언스에 원격으로 액세스해야 합니다. 다음과 같이 최대 24시간 동안 액세스 권한을 부여할 수 있습니다.
어플라이언스가 온라인 상태여야 합니다.
-
조사 콘솔 페이지로 이동합니다.
-
어플라이언스를 찾습니다. 맨 오른쪽 열에서 점 세 개를 클릭하고 리모컨을 선택합니다.
-
원격 지원 대화 상자에서 다음과 같이 하십시오.
- 활성화를 선택합니다.
- 이 확인란을 선택하여 Sophos Group 개인 정보 보호 고지를 확인합니다.
- 저장을 클릭합니다.
Sophos Central은 어플라이언스로부터 액세스 ID를 요청합니다. 준비가 되면 대화 상자에 자동으로 표시됩니다.
-
액세스 ID를 복사하여 Sophos 지원 팀에 보냅니다. 이것은 어플라이언스에 액세스하는 데 사용합니다.
원격 지원은 24시간이 지나면 자동으로 꺼집니다. 또는 수동으로 끄려면 원격 지원 대화 상자로 돌아가서 활성화를 끕니다.