Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Implantar uma VM para integrações

Ao integrar alguns produtos de terceiros ao Sophos Central, você precisa de uma VM para hospedar o dispositivo que coleta dados deles e os encaminha ao Sophos.

Atualmente, o Sophos aceita VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

Depois de configurar e baixar uma imagem de VM para a integração, implemente-a conforme descrito abaixo. Em seguida, você pode configurar o produto de terceiros para enviar dados a ele.

Clique na guia da sua plataforma abaixo para ver as instruções.

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar uma nova VM, você deve criar o arquivo OVA novamente no Sophos Central.

Em seu host ESXi, faça o seguinte:

  1. Selecione Virtual Machines.
  2. Clique em Create/Register VM.

    Guia Create/Register VM.

  3. Em Select creation type, selecione Deploy a virtual machine from an OVF or OVA file. Clique em Avançar.

    Selecionar tipo de criação.

  4. Em Select OVF and VMDK files, faça o seguinte:

    1. Digite o nome da VM.
    2. Clique na página para selecionar arquivos. Selecione o arquivo OVA que você baixou.
    3. Clique em Avançar.

    Selecionar arquivo OVA.

  5. Em Select storage, selecione o armazenamento Standard. Em seguida, selecione o repositório de dados em que deseja colocar sua VM. Clique em Avançar.

    Selecionar armazenamento.

  6. Em Deployment options, insira as configurações da seguinte forma.

    1. SPAN1 e SPAN2. Você não precisa delas para essas integrações. Selecione qualquer grupo de portas como um espaço reservado e, posteriormente, desconecte-o nas configurações da VM.
    2. Em SYSLOG, selecione a porta que receberá dados do syslog do seu produto de terceiros.
    3. Em MGMT, selecione a interface de gerenciamento para o dispositivo. Essa interface permite que o dispositivo envie dados para o Sophos Data Lake.

      Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.

      Se você selecionou DHCP durante a configuração, certifique-se de que a VM possa obter um endereço IP via DHCP.

    4. Em Disk Provisioning, certifique-se de que Thin esteja selecionado.

    5. Certifique-se de que Power on automatically esteja selecionado.
    6. Clique em Avançar.

    Opções de implantação.

  7. Ignore a etapa Additional settings.

  8. Clique em Concluir. Aguarde até que a nova VM apareça na lista de VMs. Isso pode levar alguns minutos.

    Pronto para concluir.

  9. Ligue a VM e aguarde a conclusão da instalação.

    A VM é inicializada pela primeira vez e verifica se pode se conectar aos grupos de portas corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.

  10. No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.

  11. Selecione a guia Dispositivos de integração e encontre o dispositivo na VM que você acabou de implantar. O ícone de status mostra Conectado.

    Status do dispositivo.

O arquivo Zip que você baixou no Sophos Central contém os arquivos necessários para implantar a sua VM: unidades virtuais, seed.iso e um script do PowerShell.

Para implantar a VM, faça o seguinte:

  1. Extraia o arquivo Zip para uma pasta no seu disco rígido.
  2. Vá para a pasta, clique com o botão direito do mouse no arquivo ndr-sensor.ps1 e selecione Executar com o PowerShell.
  3. Se você vir uma mensagem de Aviso de segurança, clique em Abrir para permitir que o arquivo seja executado.

    Você será solicitado a responder a uma série de perguntas.

  4. Dê um nome à VM.

  5. O script mostra a pasta em que os arquivos da VM serão armazenados. Essa é uma nova pasta no local de instalação padrão das unidades virtuais. Digite C para permitir que o script a crie.
  6. Digite o número de processadores (CPUs) a serem usados para a VM.
  7. Insira a quantidade de memória a ser usada em GB.
  8. O script mostra uma lista numerada de todos os vSwitches atuais.

    Selecione o vSwitch ao qual você deseja conectar a interface de gerenciamento e digite seu número. Essa interface permite que o dispositivo envie dados para o Sophos Data Lake.

    Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.

    Se você selecionou DHCP durante a configuração, certifique-se de que a VM possa obter um endereço IP via DHCP.

    Selecione o vSwitch.

  9. Digite o vSwitch que você deseja anexar à interface do syslog.

    Esse é o vSwitch que receberá dados do syslog do seu produto de terceiros.

  10. Você não precisa especificar vSwitches para capturar o tráfego de rede. Essas configurações só serão relevantes se você tiver o Sophos NDR. Selecione qualquer vSwitch como um espaço reservado e, posteriormente, desconecte-o nas configurações da VM.

    O script do PowerShell configura a VM no Hyper-V. Você verá uma mensagem de Instalação concluída com êxito.

  11. Use qualquer tecla para sair.

  12. Abra o Hyper-V Manager para ver a VM adicionada à lista de máquinas virtuais. Se precisar, você pode alterar as configurações. Em seguida, ligue-a.

    A VM é inicializada pela primeira vez e verifica se pode se conectar aos vSwitches corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.

  13. No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.

  14. Selecione a guia Dispositivos de integração e encontre o dispositivo na VM que você acabou de implantar. O ícone de status mostra Conectado.

    Status do dispositivo.