Implantar dispositivos

Em seu host ESXi, faça o seguinte:

1. Selecione Virtual Machines.

2. Clique em Create/Register VM.

   

3. Em Select creation type, selecione Deploy a virtual machine from an OVF or OVA file. Clique em Avançar.

   

4. Em Select OVF and VMDK files, faça o seguinte:

   1. Digite o nome da VM.
   2. Clique na página para selecionar arquivos. Selecione o arquivo OVA que você baixou.
   3. Clique em Avançar.

   

5. Em Select storage, selecione o armazenamento Standard. Em seguida, selecione o repositório de dados em que deseja colocar sua VM. Clique em Avançar.

   

6. Em Deployment options, insira as configurações da seguinte forma.

   1. SPAN1 e SPAN2. Você não precisa delas para essas integrações. Selecione qualquer grupo de portas como um espaço reservado e, posteriormente, desconecte-o nas configurações da VM.
   2. Em SYSLOG, selecione a porta que receberá dados do syslog do seu produto de terceiros.

   3. Em MGMT, selecione a interface de gerenciamento para o dispositivo. Essa interface permite que o dispositivo envie dados para o Sophos Data Lake.

      Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.

      Se você selecionou DHCP durante a configuração, certifique-se de que a VM possa obter um endereço IP via DHCP.

   4. Em Disk Provisioning, certifique-se de que Thin esteja selecionado.

   5. Certifique-se de que Power on automatically esteja selecionado.
   6. Clique em Avançar.

   

7. Ignore a etapa Additional settings.

8. Clique em Concluir. Aguarde até que a nova VM apareça na lista de VMs. Isso pode levar alguns minutos.

   

9. Ligue a VM e aguarde a conclusão da instalação.

   A VM é inicializada pela primeira vez e verifica se pode se conectar aos grupos de portas corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.

10. No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.

11. Selecione a guia Dispositivos de integração e encontre o dispositivo na VM que você acabou de implantar. O ícone de status mostra Conectado.

    

Agora você configura seu produto de terceiros para enviar dados ao dispositivo. Volte às instruções de integração do produto para ver como.

O arquivo Zip que você baixou no Sophos Central contém os arquivos necessários para implantar a sua VM: unidades virtuais, seed.iso e um script do PowerShell.

Para implantar a VM, faça o seguinte:

1. Extraia o arquivo Zip para uma pasta no seu disco rígido.
2. Vá para a pasta, clique com o botão direito do mouse no arquivo ndr-sensor.ps1 e selecione Executar com o PowerShell.

3. Se você vir uma mensagem de Aviso de segurança, clique em Abrir para permitir que o arquivo seja executado.

   Você será solicitado a responder a uma série de perguntas.

4. Dê um nome à VM.

5. O script mostra a pasta em que os arquivos da VM serão armazenados. Essa é uma nova pasta no local de instalação padrão das unidades virtuais. Digite C para permitir que o script a crie.
6. Digite o número de processadores (CPUs) a serem usados para a VM.
7. Insira a quantidade de memória a ser usada em GB.

8. O script mostra uma lista numerada de todos os vSwitches atuais.

   Selecione o vSwitch ao qual você deseja conectar a interface de gerenciamento e digite seu número. Essa interface permite que o dispositivo envie dados para o Sophos Data Lake.

   Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.

   Se você selecionou DHCP durante a configuração, certifique-se de que a VM possa obter um endereço IP via DHCP.

   

9. Digite o vSwitch que você deseja anexar à interface do syslog.

   Esse é o vSwitch que receberá dados do syslog do seu produto de terceiros.

10. Você não precisa especificar vSwitches para capturar o tráfego de rede. Essas configurações só serão relevantes se você tiver o Sophos NDR. Selecione qualquer vSwitch como um espaço reservado e, posteriormente, desconecte-o nas configurações da VM.

    O script do PowerShell configura a VM no Hyper-V. Você verá uma mensagem de Instalação concluída com êxito.

11. Use qualquer tecla para sair.

12. Abra o Hyper-V Manager para ver a VM adicionada à lista de máquinas virtuais. Se precisar, você pode alterar as configurações. Em seguida, ligue-a.

    A VM é inicializada pela primeira vez e verifica se pode se conectar aos vSwitches corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.

13. No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.

14. Selecione a guia Dispositivos de integração e encontre o dispositivo na VM que você acabou de implantar. O ícone de status mostra Conectado.

    

Agora você configura seu produto de terceiros para enviar dados ao dispositivo. Volte às instruções de integração do produto para ver como.

Carregar os arquivos de imagem

Para carregar os arquivos de imagem de disco e o ISO de semeadura para o sistema Nutanix, faça o seguinte:

1. A partir de um navegador da Web, inicie uma sessão no console da Web do Nutanix na porta 9440.

2. Vá para Home > Settings.

   

3. Selecione Image Configuration.

   

Carregar arquivo de imagem root

1. Clique em Upload Image
2. Insira um nome. Recomendamos que você inclua a palavra "root" no nome.
3. (Opcional) Adicione uma anotação.

4. Clique em Upload a file, clique em Browse e selecione o seu arquivo.

   Quando você seleciona o arquivo, o Tipo de imagem é selecionado automaticamente.

   

5. Clique em Salvar.

   O carregamento do arquivo é iniciado. Aguarde até que o carregamento termine antes de continuar a configuração.

Carregar arquivo de imagem ISO de semeadura

1. Clique em Upload Image.
2. Insira um nome. Recomendamos que você inclua a palavra "ISO" no nome.
3. (Opcional) Adicione uma anotação.

4. Clique em Upload a file, clique em Browse e selecione o seu arquivo.

   Quando você seleciona o arquivo, o Tipo de imagem é selecionado automaticamente.

5. Clique em Salvar.

   O carregamento do arquivo é iniciado. Aguarde até que o carregamento termine antes de continuar a configuração.

Os três arquivos carregados aparecerão na página Image Configuration.

Carregar o script de instalação

Um script chamado ndr-sensor.sh também é incluído no arquivo zip. Para fazer o upload para o controlador da VM do Nutanix AHV, use o protocolo de transferência de arquivos seguro (SCP) da seguinte forma:

1. Para Windows, abra um prompt de comando, e no macOS ou Linux, abra um terminal.
2. Mude para o diretório onde os arquivos descompactados estão localizados.

3. Execute o seguinte comando: scp ndr-sensor.sh admin@<ip-address>:~/.

   

4. Insira a senha do administrador.

Executar o script de instalação

1. Abra a VM do Nutanix AHV.
2. Use o seguinte comando para entrar e se conectar via SSH: ssh admin@<ip-address>.
3. Para executar o script de instalação, execute o seguinte comando: bash ndr-sensor.sh.

4. Insira um nome para a VM do dispositivo. O nome padrão é ndr-sensor.

   

   Nota

   Para itens que listam um valor padrão, você pode pressionar Enter para aceitar o valor padrão.

5. Digite o número de núcleos de CPU a serem atribuídos à VM. O padrão é 4.

6. Insira a quantidade de memória para atribuir à VM. O padrão é 16(GB).

Você verá a seguinte mensagem: Created vm <name> UUID <UUID>.

Selecione os arquivos de imagem de disco da VM

Para selecionar os arquivos de imagem de disco da VM, faça o seguinte:

1. Digite o nome da imagem do ISO de semeadura que você carregou.

   

2. Insira o nome da imagem do arquivo de imagem do disco raiz que você carregou.

3. Insira o nome da imagem do arquivo de imagem do disco de dados que você carregou.

Configuração de Rede

O script cria as seguintes interfaces de rede para a VM:

• Rede de gerenciamento
• Rede de syslog
• ERSPAN para dados de captura de túnel
• SPAN para rede espelhada para receber dados de captura de outra VM neste servidor de VM

O script listará as sub-redes virtuais disponíveis que podem ser usadas pelos dados de captura de túnel de RSPAN (Remote Switched Port Analyzer), gerenciamento e syslog.

Uma única sub-rede pode ser usada para todas as três redes.

Para atribuir sub-redes às redes, faça o seguinte:

1. Insira o número correspondente à sub-rede para usar na rede de gerenciamento.

   

2. Insira o número correspondente à sub-rede virtual para usar na rede de recepção de syslog, ou servidor syslog.

3. A configuração da rede SPAN é criada automaticamente usando os parâmetros de configuração. Ela é definida como type=kSpanDestinationNic.
4. Insira o número correspondente à sub-rede virtual para usar na rede de captura RSPAN de túnel.

Quando o script for concluído, ele fornece alguns comandos acli de exemplo para ativar uma sessão Nutanix SPAN. O endereço MAC listado nos comandos de exemplo é o endereço MAC da interface SPAN criada pelo script.

Os comandos de exemplo podem ser usados para os seguintes tipos de sessão SPAN:

• Dados de SPAN de todas as VMs no host da VM.
• Dados de SPAN de uma única VM no host da VM.

Para obter mais informações, consulte Traffic Mirroring on AHV Hosts.

Iniciar a VM

Depois de concluir o script, retorne ao console da Web do Nutanix, vá para a página da VM e ligue sua VM.

No Sophos Central, vá para a página Integrações do produto que você está integrando e atualize-a. O status da VM agora é Conectado.