Pular para o conteúdo

Console de investigação

O console de investigação NDR permite acessar todos os dados em seus sensores NDR, não apenas os dados que entram em nosso Data Lake. Você pode usar esses dados para caçar ameaças.

Você configura o console do Sophos Central, mas o executa em sua rede local. O console obtém dados de um dispositivo de integração NDR e permite que você os monitore ou consulte-os.

Esta página informa como criar e gerenciar um console de investigação.

Criar um console de investigação

Assumimos que você já configurou uma integração NDR que coleta dados do NDR. Se não tiver, consulte Sophos NDR em ESXi ou Hyper-V..

As principais etapas para criar um console são as seguintes:

  • Configurar um console. Isso cria uma imagem que você implantará em sua rede virtual.
  • Baixar a imagem e implantá-la.
  • Atribua um dispositivo de integração NDR ao console. Isso envia dados do NDR para o console.

Configurar um console

  1. Vá para NDR > Console de investigação.
  2. Clique em Criar console.

    Botão Criar console.

  3. Configure o console da seguinte maneira:

    1. Insira um Nome e uma Descrição.
    2. Selecione a Plataforma virtual. O console de investigação só é suportado no VMware ESXi ou Microsoft Hyper-V.
    3. Especifique as Configurações da porta de rede voltada para a Internet. Isso configura a interface de gerenciamento.

      • Selecione DHCP para atribuir o endereço IP automaticamente.

        Nota

        Se você selecionar DHCP, deverá reservar o endereço IP.

      • Selecione Manual para especificar as configurações de rede.

    4. Clique em Salvar.

    Configurações do console de investigação.

  4. A janela pop-up Credenciais do dispositivo é exibida. Você precisa das credenciais para acessar o dispositivo que hospeda o console.

    O nome de usuário é zadmin e a senha é apresentada em uma mensagem. Mantenha a senha em segurança. Ela só é mostrada uma vez.

    Clique em OK.

    Pop-up Credenciais do dispositivo.

  5. Na página Console de Investigação, o novo console é mostrado na lista. Se você passar o mouse sobre o nome, verá "Aguardando implantação".

    Aguarde até que uma imagem seja criada. Isso pode levar cinco minutos.

    Dica de ferramenta em um console aguardando implantação.

  6. Na coluna mais à direita, clique nos três pontos e selecione Download da imagem.

    "Download da imagem" no menu Mais.

Implantar a imagem

Implante a imagem em seu ambiente.

A implantação depende se você estiver usando o VMware ESXi ou Hyper-V. Clique na guia relevante abaixo para obter instruções.

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar uma nova VM, você deve criar o arquivo OVA novamente no Sophos Central.

Em seu host ESXi, faça o seguinte:

  1. Selecione Virtual Machines.
  2. Clique em Create/Register VM.

    Guia Create/Register VM.

  3. Em Select creation type, selecione Deploy a virtual machine from an OVF or OVA file. Clique em Avançar.

    Selecionar tipo de criação.

  4. Em Select OVF and VMDK files, faça o seguinte:

    1. Digite o nome da VM.
    2. Na tela, clique na área em "Clique para selecionar arquivos…" e selecione o arquivo OVA que você baixou.
    3. Clique em Avançar.

    Selecionar arquivo OVA.

  5. Em Select storage, selecione o armazenamento Standard. Em seguida, selecione o repositório de dados em que deseja colocar sua VM. Clique em Avançar.

    Selecionar armazenamento.

  6. Em Deployment options, insira as configurações da seguinte forma:

    1. Em MGMT, selecione a interface de gerenciamento para o dispositivo.

      Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.

      Se você selecionou DHCP durante a configuração, certifique-se de que a VM possa obter um endereço IP via DHCP.

    2. Em Disk Provisioning, certifique-se de que Thin esteja selecionado.

    3. Certifique-se de que Power on automatically esteja selecionado.
    4. Clique em Avançar.

    Opções de implantação.

  7. Ignore a etapa Additional settings.

  8. Clique em Concluir. Aguarde até que a nova VM apareça na lista de VMs. Isso pode levar alguns minutos.

    Pronto para concluir.

  9. Ligue a VM e aguarde a conclusão da instalação.

    A VM é inicializada pela primeira vez e verifica se pode se conectar aos grupos de portas corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.

O arquivo zip que você baixou no Sophos Central contém os arquivos necessários para implantar a sua VM: unidades virtuais, um arquivo seed.iso e um script do PowerShell.

Para implantar a VM, faça o seguinte:

  1. Extraia o arquivo Zip para uma pasta no seu disco rígido.
  2. Vá para a pasta, clique com o botão direito do mouse no arquivo ndr-sensor.ps1 e selecione Executar com o PowerShell.
  3. Se você vir uma mensagem de Aviso de segurança, clique em Abrir para permitir que o arquivo seja executado.

    Você será solicitado a responder a uma série de perguntas.

  4. Dê um nome à VM.

  5. O script mostra a pasta em que os arquivos da VM serão armazenados. Essa é uma nova pasta no local de instalação padrão das unidades virtuais. Digite C para permitir que o script a crie.
  6. Digite o número de processadores (CPUs) a serem usados para a VM.
  7. Insira a quantidade de memória a ser usada em gigabytes (GB).
  8. O script mostra uma lista numerada de todos os vSwitches atuais.

    Escolha o vSwitch ao qual deseja conectar a interface de gerenciamento e digite seu número. Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.

    Se você selecionou DHCP durante a configuração, certifique-se de que a VM possa obter um endereço IP via DHCP.

    Selecione o vSwitch.

  9. Você não precisa especificar vSwitches para capturar o tráfego de rede. Essas configurações só serão relevantes se você tiver o Sophos NDR. Selecione qualquer vSwitch como um espaço reservado e, posteriormente, desconecte-o nas configurações da VM.

    O script do PowerShell configura a VM no Hyper-V. Você verá uma mensagem de Instalação concluída com êxito.

  10. Pressione qualquer tecla para sair.

  11. Abra o Hyper-V Manager para ver a VM adicionada à lista de máquinas virtuais. Você pode editar as suas configurações conforme necessário. Em seguida, inicie a VM.

    A VM é inicializada pela primeira vez e verifica se pode se conectar aos vSwitches corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.

  12. No Sophos Central, vá para NDR > Console de investigação. O ícone de status mostra Conectado.

Atribuir um dispositivo NDR

Agora você atribui um dispositivo ou dispositivos NDR.

Não é possível atribuir um dispositivo NDR até que o seu console tenha se registrado no Sophos Central e mostre o status "verde".

  1. Na página Console de Investigação, selecione o novo console na lista. Na coluna mais à direita, clique nos três pontos e selecione Atribuir dispositivo.

    "Atribuir dispositivo" no menu Mais.

  2. Selecione o dispositivo que deseja atribuir e clique em Salvar.

Abrir console de investigação

Para abrir o console de investigação, siga este procedimento:

  1. Vá para NDR > Console de investigação.
  2. Encontre o seu console na lista.
  3. Na coluna mais à direita, clique nos três pontos Ícone de três pontos. e selecione Abrir NDR Console.

    Você vê um aviso de que está saindo do Sophos Central.

    Se você esqueceu sua senha, clique na palavra "redefini-la" para redefini-la.

  4. Insira seu nome de usuário e senha e clique em Abrir console.

Exibir consoles de investigação

A página Console de Investigação lista seus consoles com detalhes de configuração e desempenho.

  • Nome do console
  • Dispositivos: O número de dispositivos de integração NDR atribuídos ao console.
  • Tipo: A plataforma virtual em que o console está, por exemplo, VMware.
  • Versão: Versão da plataforma.
  • CPU: Utilização de CPU.
  • Memória: Utilização de Memória.
  • Endereço de IP

Exibir dispositivos atribuídos

Na página Console de Investigação, na lista de consoles, clique na seta ao lado de um nome de console para ver os detalhes dos dispositivos de integração NDR atribuídos a ele.

Um dispositivo NDR atribuído.

  • Nome do dispositivo
  • Integrações: Número de integrações usando o dispositivo.
  • Memória: Utilização de Memória.
  • Armazenamento
  • Tipo: Plataforma virtual que hospeda o dispositivo.
  • Versão: Versão da plataforma virtual.
  • IP de gerenciamento: Interface de gerenciamento.
  • IP de syslog: Interface de syslog.

Gerar nova senha

Você pode redefinir a senha usada para acessar o console de investigação.

  1. Na página Console de Investigação, selecione o console.
  2. Na coluna mais à direita, clique nos três pontos Ícone de três pontos. e selecione Gerar nova senha.

    Copie a senha e guarde-a em segurança. Ela é mostrada apenas uma vez. Você não pode restaurá-la mais tarde.

  3. Clique em Redefinir.

Coletar logs

Para coletar logs da atividade do console, faça o seguinte:

  1. Na página Console de Investigação, selecione o console.
  2. Na coluna mais à direita, clique nos três pontos Ícone de três pontos. e selecione Coletar logs.

Assistente remoto

O Suporte Sophos pode ajudar a solucionar problemas de dispositivos Sophos que hospedam um console de investigação.

Em alguns casos, o Suporte da Sophos precisa acessar o dispositivo remotamente. Você pode dar ao nosso pessoal o acesso por até 24 horas, como segue.

O dispositivo deve estar on-line.

  1. Vá para a página do Console de Investigação.

  2. Localize o dispositivo. Na coluna mais à direita, clique nos três pontos Ícone de três pontos. e selecione Assistente remoto.

  3. Na caixa de diálogo Assistência Remota, faça o seguinte:

    1. Selecione Ativar.
    2. Marque a caixa de seleção para confirmar o Aviso de Privacidade do Sophos Group.
    3. Clique em Salvar.

    O Sophos Central solicita um ID de acesso do dispositivo. Quando estiver disponível, ele será mostrado na caixa de diálogo.

    Caixa de diálogo Assistência remota.

  4. Copie o ID de acesso e envie-o para o Suporte da Sophos. Eles o usam para acessar seu dispositivo.

O assistente remoto é desativado automaticamente após 24 horas. Para desativá-lo manualmente, volte para a caixa de diálogo Assistência remota e desative Habilitar.