Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=NDR-Nutanix

Sophos NDR no Nutanix

Você deve ter o pacote de licença de integração Sophos Network Detection and Response para usar esse recurso.

Você pode configurar o Sophos NDR no Nutanix, para que o NDR possa detectar comportamentos maliciosos em sua rede.

Nota

As instruções abaixo se aplicam à versão 6.8 do Nutanix. Se você tiver uma versão anterior ou posterior, pode haver algumas diferenças.

Vídeo de configuração

Assista ao vídeo de configuração para guiá-lo através do processo de configuração:

Configurar o NDR Sensor em Nutanix AHV

Requisitos

A VM que executa o dispositivo tem requisitos de acesso ao sistema e à rede. Fara obter detalhes, consulte Appliance requirements.

Para obter detalhes sobre a microarquitetura da CPU e os sinalizadores da CPU necessários, consulte CPU requirements.

Nota

Se você usar ambas as interfaces SPAN, sua máquina virtual deverá ter 8 núcleos de CPU.

Para obter informações sobre como redimensionar a VM para o melhor desempenho, consulte Guia de tamanho do dispositivo do Sophos NDR.

Criar uma imagem do dispositivo NDR

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
  2. Localize e clique em Sophos Network Detection and Response (NDR).

  3. Na página NDR, em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Etapas de configuração de integração aparece.

  4. Na Etapa 1, insira um nome e uma descrição para a integração.

    Etapas de integração.

  5. Na Etapa 2, clique em Criar novo dispositivo.

  6. Para criar o novo dispositivo, faça o seguinte:

    1. Insira um nome de dispositivo e uma descrição.
    2. Na Plataforma virtual, selecione Nutanix.

    3. Especifique as portas de rede voltadas à Internet.

      • Selecione DHCP para atribuir o endereço IP automaticamente.

        Nota

        Se você selecionar DHCP, deverá reservar o endereço IP.

      • Selecione Manual para especificar as configurações de rede. Por exemplo:

        • Endereço de IP: 10.0.252.5
        • Máscara de Sub-rede: 255.255.255.0
        • Endereço de Gateway: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

  7. Na Etapa 3, exclua domínios e protocolos específicos da verificação. Por exemplo, você pode fazer isso se tiver um domínio que cause falsos positivos.

    Você pode configurar as suas exclusões mais tarde, mas deve inserir um nome de lista de exclusão agora.

    1. Insira um nome em Nome da lista de exclusão.
    2. Para excluir um domínio, clique em Exclusões de domínio. Digite o nome de domínio, por exemplo, sophos.com, e clique em Adicionar.

    3. Para excluir um protocolo, clique em Exclusões de protocolo.

      Você pode inserir informações em um campo ou nos dois da seguinte forma:

      • No primeiro campo, insira um protocolo de nível superior. Por exemplo, TCP ou UDP.
      • No segundo campo, insira um subprotocolo (site). Por exemplo, Facebook.

      Se você inserir informações nos dois campos, nós montamos uma única string com elas com um único ponto separador.

      Não recomendamos excluir completamente um protocolo de nível superior. Só faça isso se um protocolo de alto tráfego que geralmente não é arriscado, como um protocolo de roteamento, gerar muitos dados.

      A captura de tela mostra informações de exemplo.

    4. Clique em Adicionar.

    Você pode exportar suas exclusões como um arquivo JSON. Você também pode carregar exclusões de um arquivo JSON exportado anteriormente para a lista.

    Etapa de integração 3 Exclusões.

  8. Volte para a parte superior da página e clique em Salvar.

    Você verá suas Credenciais do dispositivo. Copie esses valores e mantenha-os seguros.

    Nota

    Eles são exibidos apenas uma vez.

  9. Clique em OK.

    Seu instalador Nutanix é gerado. Isso pode levar alguns minutos.

Você verá a nova integração na página NDR, sob Integrações NDR configuradas. Se ela não aparecer, clique no ícone Atualizar. Ícone Atualizar.

Baixar a imagem da VM

Agora você baixa a imagem do NDR necessário para implantar e ligar a nova VM.

  1. Ao lado da nova integração, clique em Ícone de três pontos. na coluna Ações e selecione Baixar imagem.

    O arquivo de implantação do Nutanix é um arquivo zip que contém arquivos de imagem de disco, um ISO de semeadura contendo a chave de autorização e um script de instalação.

  2. Descompacte o arquivo para que o conteúdo possa ser usado.

  3. (Opcional) Passe o mouse sobre o ícone à esquerda do nome da integração. Agora você vê "Aguardando implantação".

    Status da integração.

Carregar os arquivos de imagem

Para carregar os arquivos de imagem de disco e o ISO de semeadura para o sistema Nutanix, faça o seguinte:

  1. A partir de um navegador da Web, inicie uma sessão no console da Web do Nutanix na porta 9440.

  2. Vá para Home > Settings.

    Console da Web do Nutanix.

  3. Selecione Image Configuration.

    Configuração do Nutanix.

Carregar arquivo de imagem root

  1. Clique em Upload Image.
  2. Insira um nome. Recomendamos que você inclua a palavra "root" no nome.
  3. (Opcional) Você pode adicionar uma Anotação.
  4. Em Image type, selecione DISK.
  5. Selecione Upload a file, clique em Browse e selecione e abra o arquivo ndr-root.qcow2.

  6. Clique em Salvar.

    Fazer upload de arquivo.

    O carregamento do arquivo é iniciado. Isso pode levar alguns minutos. Aguarde até que o carregamento termine antes de continuar a configuração.

Carregar arquivo de imagem de dados

  1. Clique em Upload Image.
  2. Insira um nome. Recomendamos que você inclua a palavra "dados" no nome.
  3. (Opcional) Você pode adicionar uma Anotação.
  4. Em Image type, selecione DISK.
  5. Selecione Upload a file, clique em Browse e selecione e abra o arquivo ndr-data.qcow2.

  6. Clique em Salvar.

    O carregamento do arquivo é iniciado. Isso pode levar alguns minutos. Aguarde até que o carregamento termine antes de continuar a configuração.

Carregar arquivo de imagem ISO de semeadura

  1. Clique em Upload Image.
  2. Insira um nome. Recomendamos que você inclua a palavra "ISO" no nome.
  3. (Opcional) Você pode adicionar uma Anotação.
  4. Em Image type, selecione ISO.
  5. Selecione Upload a file, clique em Browse e selecione e abra o arquivo seed.iso.

  6. Clique em Salvar.

    O carregamento do arquivo é iniciado. Isso pode levar alguns minutos. Aguarde até que o carregamento termine antes de continuar a configuração.

Os três arquivos carregados aparecem na página Image Configuration.

Imagens carregadas.

Carregar o script de instalação

Um script chamado ndr-sensor.sh também está incluído no arquivo zip. Para carregar o script para a VM do Nutanix Controller (CVM), use o protocolo SCP (Secure Copy Protocol) da seguinte forma:

  1. No Windows, abra um prompt de comando. No macOS ou Linux, abra um terminal.
  2. Mude para o diretório onde os arquivos descompactados estão localizados.

  3. Execute o seguinte comando: scp ndr-sensor.sh admin@<ip-address>:~/.

    Prompt de comando.

    Nota

    Se estiver usando uma versão anterior do Nutanix, precisará adicionar o sinalizador -O ao comando, conforme segue: scp -O ndr-sensor.sh admin@<ip-address>:~/

  4. Insira a senha do administrador.

    O script é copiado com segurança para a pasta Home do usuário administrador do CVM Nutanix.

Executar o script de instalação

  1. Use o seguinte comando para fazer login e conectar-se ao Nutanix CVM via SSH: ssh admin@<ip-address>.
  2. Insira a senha do administrador.
  3. Para executar o script de instalação, execute o seguinte comando: bash ndr-sensor.sh.

  4. Insira um nome para a VM do dispositivo. O nome padrão é ndr-sensor.

    Insira o nome do dispositivo.

  5. Insira o número de núcleos da CPU e a quantidade de memória a ser usada.

    Para itens que listam um valor padrão, você pode pressionar Enter para aceitar o valor padrão.

    1. Digite o número de núcleos de CPU a serem atribuídos à VM. O padrão é 4.
    2. Insira a quantidade de memória para atribuir à VM. O padrão é 16(GB).

Você verá a seguinte mensagem: VM criada <name> UUID <UUID>.

Selecione os arquivos de imagem de disco da VM

Nota

Para todos os passos de seleção do disco, você pode inserir "L" para listar as imagens armazenadas no sistema.

Para selecionar os arquivos de imagem de disco da VM, faça o seguinte:

  1. Digite o nome da imagem do ISO de semeadura que você carregou.

    Insira o nome ISO da semeadura.

  2. Insira o nome da imagem do arquivo de imagem do disco raiz que você carregou.

  3. Insira o nome da imagem do arquivo de imagem do disco de dados que você carregou.

Configuração de Rede

O script cria as seguintes interfaces de rede para a VM:

  • Rede de gerenciamento
  • Rede de syslog
  • ERSPAN para dados de captura de túnel
  • SPAN para a rede espelhada para receber dados de captura de outra VM neste servidor de VMs

O script listará as sub-redes virtuais disponíveis que podem ser usadas pelos dados de captura de túnel de RSPAN (Remote Switched Port Analyzer), gerenciamento e syslog.

Uma única sub-rede pode ser usada para todas as três redes.

Para atribuir sub-redes às redes, faça o seguinte:

  1. Insira o número correspondente à sub-rede para usar na rede de gerenciamento.

    Insira o número da rede.

  2. Insira o número correspondente à sub-rede virtual para usar na rede de recepção de syslog, ou servidor syslog.

  3. A configuração da rede SPAN é criada automaticamente usando os parâmetros de configuração. O tipo é definido como type=kSpanDestinationNic.

  4. Insira o número correspondente à sub-rede virtual para usar na rede de captura ERSPAN de túnel.

    Quando o script for concluído, ele fornece alguns comandos acli de exemplo para ativar uma sessão Nutanix SPAN. O endereço MAC listado nos comandos de exemplo é o endereço MAC da interface SPAN criada pelo script.

    Os exemplos de espelhamento de tráfego mostrados são para os seguintes cenários:

    • Para habilitar espelhamento de tráfego para todas as VMs localizadas em um host
    • Para habilitar espelhamento de tráfego para uma NIC em uma VM específica

    Exemplos de espelho de tráfego.

  5. Copie os comandos de exemplo. Você precisará deles mais tarde.

Para obter mais informações, consulte Traffic Mirroring on AHV Hosts.

Editar comando de exemplo

  1. Use o comando a seguir para listar os UUIDs do seu host: acli host.list.
  2. Copie o UUID do seu host.

  3. Substitua o espaço reservado de UUID do host no comando "Enable traffic mirror for all VMs located on a host" pelo UUID do seu host.

    O identifier é a interface de rede que será monitorada. No exemplo de comando, é br0-up, que são duas interfaces físicas conectadas com uma ponte, como uma configuração ativa-ativa ou ativa-passiva.

  4. (Opcional) Se necessário, substitua o identifier por uma interface de rede diferente, como eth0.

Habilitar a passagem de CPU

Estas etapas são necessárias apenas para a versão 6.8 e posterior do Nutanix.

  1. Verifique se cpu-passthrough está habilitado, da seguinte forma:

    1. Use o comando acli vm.list para listar suas VMs.
    2. Copie o UUID para a VM que você criou.
    3. Insira acli vm.get <UUID> para ver informações sobre a VM.
    4. Role a tela para cima e verifique se cpu-passthrough é exibido como True ou False.

  2. Se cpu-passthrough for False, faça o seguinte:

    1. Execute o seguinte comando: acli vm.update <UUID> cpu-passthrough=true.
    2. Insira acli vm.get <UUID> para ver informações sobre a VM.
    3. Role para cima e verifique se cpu-passthrough agora é exibido como True.

Iniciar a VM

  1. No console da web do Nutanix, clique em Settings e, em seguida, clique em VM.

  2. Clique com o botão direito no nome da VM e, em seguida, clique em Power on.

    Ligar a VM.

  3. Clique com o botão direito do mouse no nome da VM e, em seguida, clique em Launch Console.

    Você pode monitorar o progresso do primeiro processo de inicialização.

    Nota

    O processo pode levar até 10 minutos.

  4. No Sophos Central, clique em Centro de Análise de Ameaças e, em Integrações, vá para Configurado > Dispositivos de integração.

    O status da VM agora é Conectado.

Habilitar espelho de tráfego para todas as VMs localizadas em um host

  1. Volte para o prompt de comando que está executando a interface de linha de comando do host Nutanix e cole e execute o comando que você editou anteriormente.

    A sessão SPAN é criada.

Testar o fluxo de tráfego

  1. Abra uma sessão SSH em um cliente SSH, como PuTTY.
  2. Conecte-se ao endereço IP do dispositivo NDR e faça login como usuário zadmin com a senha que você salvou anteriormente no Sophos Central. Veja Criar uma imagem do dispositivo NDR.
  3. Execute o seguinte comando: sudo kubectl logs -f deploy/dragonfly.

  4. Insira a senha zadmin.

    Verifique se a interface SPAN está sendo monitorada verificando os pacotes da interface SPAN.

  5. Digite exit.

Configure o ERSPAN

Para monitorar o tráfego do restante da rede fora do ambiente Nutanix, você deve usar o ERSPAN.

Para configurar ERSPAN, consulte a "seção Tráfego de SPAN remoto encapsulado" no Sophos Appliance Manager para MDR e NDR: SPAN.

Após aplicar as alterações, a VM será reiniciada e você será desconectado do gerenciador do dispositivo. Você pode monitorar o progresso no console.

Nota

Certifique-se de que o ERSPAN esteja configurado no dispositivo de rede de onde você está enviando o tráfego e que você esteja usando as mesmas configurações que você configurou no gerenciador de dispositivo.

Testar o fluxo de tráfego

  1. Abra uma sessão SSH em um cliente SSH, como PuTTY.
  2. Conecte-se ao endereço IP do dispositivo NDR e faça login como usuário zadmin com a senha que você salvou anteriormente no Sophos Central. Veja Criar uma imagem do dispositivo NDR.
  3. Execute o seguinte comando: sudo kubectl logs -f deploy/dragonfly.
  4. Verifique se a interface SPAN está sendo monitorada verificando os pacotes das interfaces SPAN.

Exibir detalhes do dispositivo

  1. No Sophos Central, retorne para Dispositivos de integração e expanda a seta à esquerda do nome do seu dispositivo. No exemplo abaixo, o dispositivo está conectado e íntegro.

    Detalhes do dispositivo.

  2. Clique nos três pontos no ícone à direita das informações do dispositivo (ícone de três pontos). e clique em Abrir o Gerenciador de dispositivos.

  3. Clique em Abrir.
  4. Na página de avisos, aceite o aviso sobre o certificado autoassinado.

  5. Entre usando o nome de usuário zadmin e a senha.

    No exemplo abaixo, é possível ver que o tráfego é recebido em cada interface.

    Guia NDR do gerenciador de dispositivos.