Implantar dispositivos

Ao integrar alguns produtos de terceiros ao Sophos Central, você precisa de um dispositivo para coletar seus dados e encaminhá-los para a Sophos. O dispositivo é hospedado em uma VM.

Atualmente, o Sophos aceita VMware ESXi 6.7 Update 3 ou posterior, o Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior e a Amazon Web Services (AWS).

Nota

Os dados do syslog enviados para o dispositivo não são seguros. Se o seu dispositivo estiver hospedado na nuvem, não envie os dados através da Internet pública.

Esta página é para os dispositivos ESXi e Hyper-V. Pressupomos que você configurou e baixou uma imagem do dispositivo de integração. Agora você a implanta como descrito abaixo.

Nota

Se você quiser usar um dispositivo na AWS para a sua integração de terceiros, consulte Adicionar integrações na AWS.

Clique na guia da sua plataforma abaixo para ver as instruções.

ESXiHyper-V

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar uma nova VM, você deve criar o arquivo OVA novamente no Sophos Central.

Em seu host ESXi, faça o seguinte:

Selecione Virtual Machines.
Clique em Create/Register VM.
Em Select creation type, selecione Deploy a virtual machine from an OVF or OVA file. Clique em Avançar.
Em Select OVF and VMDK files, faça o seguinte:
1. Digite o nome da VM.
2. Clique na página para selecionar arquivos. Selecione o arquivo OVA que você baixou.
3. Clique em Avançar.
Em Select storage, selecione o armazenamento Standard. Em seguida, selecione o repositório de dados em que deseja colocar sua VM. Clique em Avançar.
Em Deployment options, insira as configurações da seguinte forma.
1. SPAN1 e SPAN2. Você não precisa delas para essas integrações. Selecione qualquer grupo de portas como um espaço reservado e, posteriormente, desconecte-o nas configurações da VM.
2. Em SYSLOG, selecione a porta que receberá dados do syslog do seu produto de terceiros.
3. Em MGMT, selecione a interface de gerenciamento para o dispositivo. Essa interface permite que o dispositivo envie dados para o Sophos Data Lake.
  
  Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.
  
  Se você selecionou DHCP durante a configuração, certifique-se de que a VM possa obter um endereço IP via DHCP.
4. Em Disk Provisioning, certifique-se de que Thin esteja selecionado.
5. Certifique-se de que Power on automatically esteja selecionado.
6. Clique em Avançar.
Ignore a etapa Additional settings.
Clique em Concluir. Aguarde até que a nova VM apareça na lista de VMs. Isso pode levar alguns minutos.
Ligue a VM e aguarde a conclusão da instalação.

A VM é inicializada pela primeira vez e verifica se pode se conectar aos grupos de portas corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.
No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.
Selecione a guia Dispositivos de integração e encontre o dispositivo na VM que você acabou de implantar. O ícone de status mostra Conectado.

Agora você configura seu produto de terceiros para enviar dados ao dispositivo. Volte às instruções de integração do produto para ver como.

O arquivo Zip que você baixou no Sophos Central contém os arquivos necessários para implantar a sua VM: unidades virtuais, seed.iso e um script do PowerShell.

Para implantar a VM, faça o seguinte:

Extraia o arquivo Zip para uma pasta no seu disco rígido.
Vá para a pasta, clique com o botão direito do mouse no arquivo ndr-sensor.ps1 e selecione Executar com o PowerShell.
Se você vir uma mensagem de Aviso de segurança, clique em Abrir para permitir que o arquivo seja executado.

Você será solicitado a responder a uma série de perguntas.
Dê um nome à VM.
O script mostra a pasta em que os arquivos da VM serão armazenados. Essa é uma nova pasta no local de instalação padrão das unidades virtuais. Digite C para permitir que o script a crie.
Digite o número de processadores (CPUs) a serem usados para a VM.
Insira a quantidade de memória a ser usada em GB.
O script mostra uma lista numerada de todos os vSwitches atuais.

Selecione o vSwitch ao qual você deseja conectar a interface de gerenciamento e digite seu número. Essa interface permite que o dispositivo envie dados para o Sophos Data Lake.

Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.

Se você selecionou DHCP durante a configuração, certifique-se de que a VM possa obter um endereço IP via DHCP.
Digite o vSwitch que você deseja anexar à interface do syslog.

Esse é o vSwitch que receberá dados do syslog do seu produto de terceiros.
Você não precisa especificar vSwitches para capturar o tráfego de rede. Essas configurações só serão relevantes se você tiver o Sophos NDR. Selecione qualquer vSwitch como um espaço reservado e, posteriormente, desconecte-o nas configurações da VM.

O script do PowerShell configura a VM no Hyper-V. Você verá uma mensagem de Instalação concluída com êxito.
Use qualquer tecla para sair.
Abra o Hyper-V Manager para ver a VM adicionada à lista de máquinas virtuais. Se precisar, você pode alterar as configurações. Em seguida, ligue-a.

A VM é inicializada pela primeira vez e verifica se pode se conectar aos vSwitches corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.
No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.
Selecione a guia Dispositivos de integração e encontre o dispositivo na VM que você acabou de implantar. O ícone de status mostra Conectado.

Agora você configura seu produto de terceiros para enviar dados ao dispositivo. Volte às instruções de integração do produto para ver como.