Sophos NDR no Nutanix

Você pode configurar o Sophos NDR no Nutanix, para que o NDR possa detectar comportamentos maliciosos em sua rede.

As etapas principais são as seguintes:

• Criar uma imagem do dispositivo NDR
• Baixar a imagem da VM
• Carregar os arquivos de imagem
• Carregar o script de instalação
• Executar o script de instalação
• Iniciar a VM

Crie uma imagem do dispositivo NDR

1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
2. Localize e clique em Sophos Network Detection and Response (NDR).

3. Na página NDR, em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

   Etapas de configuração de integração aparece.

4. Na Etapa 1, insira um nome e uma descrição para a integração.

   

5. Na Etapa 2, clique em Criar novo dispositivo.

6. Para criar o novo dispositivo, faça o seguinte:

   1. Insira um nome de dispositivo e uma descrição. O nome deve ser exclusivo.
   2. Na Plataforma virtual, selecione Nutanix.

   3. Especifique as portas de rede voltadas à Internet.

      • Selecione DHCP para atribuir o endereço IP automaticamente.

        Nota

        Se você selecionar DHCP, deverá reservar o endereço IP.

      • Selecione Manual para especificar as configurações de rede. Por exemplo:

        • Endereço de IP: 10.0.252.5
        • Máscara de Sub-rede: 255.255.255.0
        • Endereço de Gateway: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

7. Na Etapa 3, exclua domínios e protocolos específicos da verificação. Por exemplo, você pode fazer isso se tiver um domínio que cause falsos positivos.

   Você pode configurar as suas exclusões mais tarde, mas deve inserir um nome de lista de exclusão agora.

   1. Insira um nome em Nome da lista de exclusão.
   2. Para excluir um domínio, clique em Exclusões de domínio. Digite o nome de domínio, por exemplo, sophos.com, e clique em Adicionar.

   3. Para excluir um protocolo, clique em Exclusões de protocolo. Você pode inserir informações em um campo ou nos dois:

      • No primeiro campo, insira um protocolo de nível superior. Por exemplo TCP ou UDP.
      • No segundo campo, insira um subprotocolo (site). Por exemplo, Facebook.

      Se você inserir informações nos dois campos, nós montamos uma única string com elas com um único ponto separador.

      Não recomendamos excluir completamente um protocolo de nível superior. Só faça isso se um protocolo de alto tráfego que geralmente não é arriscado, como um protocolo de roteamento, gerar muitos dados.

      A captura de tela mostra informações de exemplo.

   4. Clique em Adicionar.

   Você pode exportar suas exclusões como um arquivo JSON. Você também pode carregar exclusões para a lista a partir de um arquivo JSON exportado anteriormente.

   

8. Clique em Salvar.

Na página NDR, você vê a nova integração na lista de integrações configuradas.

Baixar a imagem da VM

Agora você baixa a imagem do NDR necessário para implantar e ligar a nova VM.

1. Ao lado da nova integração, clique em na coluna Ações e selecione Download da imagem.

2. Passe o mouse sobre o ícone à esquerda do nome da integração. Agora você vê "Aguardando implantação".

   

O arquivo de implantação do Nutanix é um arquivo zip que contém arquivos de imagem de disco, um ISO de semeadura contendo a chave de autorização e um script de instalação. Você deve descompactar o arquivo para que o conteúdo possa ser usado.

Carregar os arquivos de imagem

Para carregar os arquivos de imagem de disco e o ISO de semeadura para o sistema Nutanix, faça o seguinte:

1. A partir de um navegador da Web, inicie uma sessão no console da Web do Nutanix na porta 9440.

2. Vá para Home > Settings.

   

3. Selecione Image Configuration.

   

Carregar arquivo de imagem root

1. Clique em Upload Image
2. Insira um nome. Recomendamos que você inclua a palavra "root" no nome.
3. (Opcional) Adicione uma anotação.

4. Clique em Upload a file, clique em Browse e selecione o seu arquivo.

   Quando você seleciona o arquivo, o Tipo de imagem é selecionado automaticamente.

   

5. Clique em Salvar.

   O carregamento do arquivo é iniciado. Aguarde até que o carregamento termine antes de continuar a configuração.

Carregar arquivo de imagem ISO de semeadura

1. Clique em Upload Image.
2. Insira um nome. Recomendamos que você inclua a palavra "ISO" no nome.
3. (Opcional) Adicione uma anotação.

4. Clique em Upload a file, clique em Browse e selecione o seu arquivo.

   Quando você seleciona o arquivo, o Tipo de imagem é selecionado automaticamente.

5. Clique em Salvar.

   O carregamento do arquivo é iniciado. Aguarde até que o carregamento termine antes de continuar a configuração.

Os três arquivos carregados aparecerão na página Image Configuration.

Carregar o script de instalação

Um script chamado ndr-sensor.sh também é incluído no arquivo zip. Para fazer o upload para o controlador da VM do Nutanix AHV, use o protocolo de transferência de arquivos seguro (SCP) da seguinte forma:

1. Para Windows, abra um prompt de comando, e no macOS ou Linux, abra um terminal.
2. Mude para o diretório onde os arquivos descompactados estão localizados.

3. Execute o seguinte comando: scp ndr-sensor.sh admin@<ip-address>:~/.

   

4. Insira a senha do administrador.

Executar o script de instalação

1. Abra a VM do Nutanix AHV.
2. Use o seguinte comando para entrar e se conectar via SSH: ssh admin@<ip-address>.
3. Para executar o script de instalação, execute o seguinte comando: bash ndr-sensor.sh.

4. Insira um nome para a VM do dispositivo. O nome padrão é ndr-sensor.

   

   Nota

   Para itens que listam um valor padrão, você pode pressionar Enter para aceitar o valor padrão.

5. Digite o número de núcleos de CPU a serem atribuídos à VM. O padrão é 4.

6. Insira a quantidade de memória para atribuir à VM. O padrão é 16(GB).

Você verá a seguinte mensagem: Created vm <name> UUID <UUID>.

Selecione os arquivos de imagem de disco da VM

Para selecionar os arquivos de imagem de disco da VM, faça o seguinte:

1. Digite o nome da imagem do ISO de semeadura que você carregou.

   

2. Insira o nome da imagem do arquivo de imagem do disco raiz que você carregou.

3. Insira o nome da imagem do arquivo de imagem do disco de dados que você carregou.

Configuração de Rede

O script cria as seguintes interfaces de rede para a VM:

• Rede de gerenciamento
• Rede de syslog
• ERSPAN para dados de captura de túnel
• SPAN para rede espelhada para receber dados de captura de outra VM neste servidor de VM

O script listará as sub-redes virtuais disponíveis que podem ser usadas pelos dados de captura de túnel de RSPAN (Remote Switched Port Analyzer), gerenciamento e syslog.

Uma única sub-rede pode ser usada para todas as três redes.

Para atribuir sub-redes às redes, faça o seguinte:

1. Insira o número correspondente à sub-rede para usar na rede de gerenciamento.

   

2. Insira o número correspondente à sub-rede virtual para usar na rede de recepção de syslog, ou servidor syslog.

3. A configuração da rede SPAN é criada automaticamente usando os parâmetros de configuração. Ela é definida como type=kSpanDestinationNic.
4. Insira o número correspondente à sub-rede virtual para usar na rede de captura RSPAN de túnel.

Quando o script for concluído, ele fornece alguns comandos acli de exemplo para ativar uma sessão Nutanix SPAN. O endereço MAC listado nos comandos de exemplo é o endereço MAC da interface SPAN criada pelo script.

Os comandos de exemplo podem ser usados para os seguintes tipos de sessão SPAN:

• Dados de SPAN de todas as VMs no host da VM.
• Dados de SPAN de uma única VM no host da VM.

Para obter mais informações, consulte Traffic Mirroring on AHV Hosts.

Iniciar a VM

Depois de concluir o script, retorne ao console da Web do Nutanix, vá para a página da VM e ligue sua VM.

No Sophos Central, vá para a página Integrações do produto que você está integrando e atualize-a. O status da VM agora é Conectado.