Sophos NDR on 누타닉스

NDR이 네트워크에서 악의적인 동작을 감지할 수 있도록 Nutanix에 Sophos NDR를 설정할 수 있습니다.

주요 단계는 다음과 같습니다.

• NDR 어플라이언스 이미지 생성
• VM 이미지 다운로드
• 이미지 파일 업로드
• 설치 스크립트 업로드
• 설치 스크립트 실행
• VM 시작

NDR 어플라이언스 이미지 생성

1. Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.
2. Sophos NDR(네트워크 감지 및 응답)을 찾아서 클릭합니다.

3. NDR 페이지의 데이터 수집(보안 경고)에서 구성 추가를 클릭합니다.

   통합 설정 단계가 나타납니다.

4. 1단계에서 통합의 이름 및 설명을 입력합니다.

   

5. 2단계 에서 새 어플라이언스 생성을 클릭합니다.

6. 새 어플라이언스를 생성하려면 다음과 같이 하십시오.

   1. 어플라이언스 이름과 설명을 입력합니다. 고유한 이름을 입력해야 합니다.
   2. 가상 플랫폼에서 Nutanix 를 선택합니다.

   3. 인터넷 연결 네트워크 포트를 지정합니다.

      • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

        참고

        DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.

      • 네트워크 설정을 지정하려면 수동을 선택합니다. 예:

        • IP 주소: 10.0.252.5
        • 서브넷 마스크: 255.255.255.0
        • 게이트웨이 주소: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

7. 3단계에서 특정 도메인 및 프로토콜을 검사에서 제외합니다. 예를 들어 잘못된 감지를 발생시키는 도메인이 있는 경우 이것을 수행할 수 있습니다.

   제외 항목을 나중에 설정할 수 있지만 제외 목록 이름은 지금 입력해야 합니다.

   1. 제외 목록 이름 에 이름을 입력합니다.
   2. 도메인을 제외하려면 도메인 제외를 클릭합니다. 도메인 이름(예:sophos.com)을 입력하고 추가를 클릭합니다.

   3. 프로토콜을 제외하려면 프로토콜 제외를 클릭합니다. 다음 필드 중 하나 또는 둘 다에 정보를 입력할 수 있습니다.

      • 첫 번째 필드에 최상위 프로토콜을 입력합니다. 예: TCP 또는 UDP.
      • 두 번째 필드에 하위 프로토콜(웹 사이트)을 입력합니다. 예: Facebook.

      두 필드에 정보를 입력하면, 하나의 점 구분 기호를 통해 하나의 문자열로 조합됩니다.

      최상위 프로토콜을 완전히 배제하는 것은 권장하지 않습니다. 라우팅 프로토콜처럼 일반적으로 위험하지 않은 트래픽이 많은 프로토콜이 너무 많은 데이터를 생성하는 경우에만 이 작업을 수행하십시오.

      스크린샷은 예제 정보를 보여 줍니다.

   4. 추가를 클릭합니다.

   제외 항목을 JSON 파일로 내보낼 수 있습니다. 이전에 내보낸 JSON 파일에서 제외 항목을 목록에 업로드할 수도 있습니다.

   

8. 저장을 클릭합니다.

NDR 페이지의 구성된 통합 목록에 새 통합이 표시됩니다.

VM 이미지 다운로드

이제 새 VM을 배포하고 부팅하는 데 필요한 NDR 이미지를 다운로드합니다.

1. 새 통합 옆에 있는 작업 열에서 을 클릭하고 이미지 다운로드를 선택합니다.

2. 통합 이름 왼쪽에 있는 아이콘 위로 마우스를 가져갑니다. 이제 "배포 대기 중"이 표시됩니다.

   

Nutanix 배포 파일은 디스크 이미지 파일, 인증 키가 포함된 시드 ISO 및 설치 스크립트가 포함된 zip 파일입니다. 컨텐츠를 사용할 수 있도록 파일의 압축을 풀어야 합니다.

이미지 파일 업로드

Nutanix 시스템에 디스크 이미지 파일 및 시드 ISO를 업로드하려면 다음을 수행하십시오.

1. 웹 브라우저에서 포트 9440으로 Nutanix 웹 콘솔에 로그인합니다.

2. 홈 > 설정 으로이동합니다.

   

3. 이미지 구성을 선택합니다.

   

루트 이미지 파일 업로드

1. 이미지 업로드를 클릭합니다.
2. 이름을 입력합니다. 이름에 "root"라는 단어를 포함하는 것이 좋습니다.
3. (선택 사항) 주석 추가.

4. 파일 업로드를 선택하고 찾아보기 를 클릭한다음 파일을 선택합니다.

   파일을 선택하면 이미지 유형이 자동으로 선택됩니다.

   

5. 저장을 클릭합니다.

   파일 업로드가 시작됩니다. 설치를 계속하기 전에 업로드가 완료될 때까지 기다리십시오.

시드 ISO 이미지 파일 업로드

1. 이미지 업로드를클릭합니다.
2. 이름을 입력합니다. 이름에 "ISO"라는 단어를 포함하는 것이 좋습니다.
3. (선택 사항) 주석 추가.

4. 파일 업로드를 선택하고 찾아보기 를 클릭한다음 파일을 선택합니다.

   파일을 선택하면 이미지 유형이 자동으로 선택됩니다.

5. 저장을 클릭합니다.

   파일 업로드가 시작됩니다. 설치를 계속하기 전에 업로드가 완료될 때까지 기다리십시오.

업로드된 세 개의 파일이 이미지 구성 페이지에 나타납니다.

설치 스크립트 업로드

이름이 지정된 스크립트도 ndr-sensor.sh zip 파일에 포함되어 있습니다. Nutanix AHV VM 컨트롤러에 업로드하려면 다음과 같이 보안 파일 전송 프로토콜(SCP)을 사용합니다.

1. Windows의 경우 명령 프롬프트를 열거나 macOS 또는 Linux의 경우 터미널을 엽니다.
2. 압축이 풀린 파일이 있는 디렉터리로 변경합니다.

3. 다음 명령을 실행합니다. scp ndr-sensor.sh admin@<ip-address>:~/.

   

4. 관리자 암호를 입력합니다.

설치 스크립트 실행

1. Nutanix AHV VM을 엽니다.
2. 다음 명령을 사용하여 로그인하고 SSH를 통해 연결합니다. ssh admin@<ip-address>.
3. 설치 스크립트를 실행하려면 다음 명령을 실행합니다. bash ndr-sensor.sh.

4. 어플라이언스 VM의 이름을 입력합니다. 기본 이름은 입니다 ndr-sensor.

   

   참고

   기본값이 나열된 항목의 경우 Enter 키를 눌러 기본값을 그대로 사용할 수 있습니다.

5. VM에 할당할 CPU 코어 수를 입력합니다. 기본값은 4입니다.

6. VM에 할당할 메모리 용량을 입력합니다. 기본값은 16(GB)입니다.

다음과 같은 메시지가 표시됩니다. Created vm <name> UUID <UUID>.

VM 디스크 이미지 파일 선택

VM 디스크 이미지 파일을 선택하려면 다음과 같이 하십시오.

1. 업로드한 시드 ISO의 이미지 이름을 입력합니다.

   

2. 업로드한 루트 디스크 이미지 파일의 이미지 이름을 입력합니다.

3. 업로드한 데이터 디스크 이미지 파일의 이미지 이름을 입력합니다.

네트워크 구성

이 스크립트는 VM에 대해 다음과 같은 네트워크 인터페이스를 생성합니다.

• 관리 네트워크
• Syslog 네트워크
• 터널링된 캡처 데이터에 대한 ERSPAN
• 미러링된 네트워크가 이 VM 서버의 다른 VM에서 캡처 데이터를 수신하는 범위

스크립트에는 관리, syslog 및 터널링된 RSPAN(Remote Switched Port Analyzer) 캡처 데이터에 사용할 수 있는 사용 가능한 가상 서브넷이 나열됩니다.

세 네트워크 모두에 단일 서브넷을 사용할 수 있습니다.

네트워크에 서브넷을 할당하려면 다음과 같이 하십시오.

1. 관리 네트워크에 사용할 서브넷에 해당하는 번호를 입력합니다.

   

2. syslog 수신 네트워크에 사용할 가상 서브넷에 해당하는 번호를 입력합니다.

3. SPAN 네트워크의 구성은 구성 매개변수를 사용하여 자동으로 생성됩니다. 로 설정되어 있습니다 type=kSpanDestinationNic.
4. 터널링된 RSPAN 캡처 네트워크에 사용할 가상 서브넷에 해당하는 번호를 입력합니다.

스크립트가 완료되면 acli Nutanix Span 세션을 활성화하는 몇 가지 예제 명령이 제공됩니다. 예제 명령에 나열된 MAC 주소는 스크립트에 의해 생성된 SPAN 인터페이스의 MAC 주소입니다.

예제 명령은 다음 유형의 SPAN 세션에 사용할 수 있습니다.

• VM 호스트의 모든 VM에서 데이터를 확장합니다.
• VM 호스트의 단일 VM에서 데이터를 확장합니다.

추가 정보의 경우 AHV 호스트에서 트래픽 미러링을 참조하십시오.

VM 시작

스크립트를 완료한 후 Nutanix 웹 콘솔로 돌아가서 VM 페이지로 이동한 다음 VM의 전원을 켭니다.

Sophos Central에서, 통합하려는 제품의 통합 페이지로 이동하여 새로 고침합니다. 이제 VM의 상태가 연결됨입니다.