Pular para o conteúdo

Sophos NDR

Coletor de log

Você deve se registrar no EAP para usar este recurso.

O Sophos Network Detection and Response (NDR) detecta comportamentos mal-intencionados na sua rede.

Você pode integrar o Sophos NDR ao Sophos Central para que suas detecções fiquem disponíveis para investigação no Centro de Análise de Ameaças.

Para integrar o NDR, você configura um dispositivo virtual NDR que se conecta ao Sophos Central e envia dados a ele. As etapas principais são as seguintes:

  • Verifique os requisitos.
  • Adicionar uma integração.
  • Configure seus switches para que o NDR possa ver o tráfego.
  • Baixe a imagem da máquina virtual (VM) NDR.
  • Implantar a nova VM.

Requisitos

Certifique-se de que seu servidor ESXi atenda aos requisitos de NDR, com base no tamanho da sua rede.

O Sophos é compatível com ESXi 6.7 e posterior.

Tamanho Pequeno Média Grande
Largura de Banda 1 Gbps 5 Gbps 10 Gbps
CPU 4 8 16
RAM 16 GB 32 GB 64 GB
Armazenar 160 GB 320 GB 640 GB
Portas Cobre SFP+ SFP+
Usuários Até 2.000 Até 10.000 Até 30.000

O número de usuários é uma estimativa. A taxa de transferência da rede é o indicador mais preciso do dimensionamento.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Faça login no Sophos Central.
  2. Vá para o Centro de Análise de Ameaças > Integrações.
  3. Clique em Sophos Network Detection and Response (NDR).

  4. Em Integrações, clique em Adicionar uma integração.

    Integrações NDR

  5. Em Etapas de integração, digite o Nome do alias e a Descrição do alias na Etapa 1.

    Etapas de integração

  6. Na Etapa 2, selecione a VM que executará o dispositivo NDR.

    Se precisar de uma nova VM, clique em Criar nova VM.

    Se quiser usar uma VM existente, selecione-a na lista suspensa e vá para a etapa 8.

    Etapa de integração 2

  7. Para criar uma nova VM, faça o seguinte:

    1. Digite o Nome da VM.

    2. Digite a Descrição da VM.

    3. Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)

    4. Especifique as portas de rede voltadas à Internet.

      • Selecione DHCP para atribuir o endereço IP automaticamente.

      • Selecione Manual para especificar as configurações de rede. Por exemplo:

      • Endereço de IP: 10.0.252.5

        • Máscara de Sub-rede: 255.255.255.0
        • Endereço de Gateway: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Etapa de integração 2 Configurações da VM

  8. Na Etapa 3, exclua o tráfego de domínios específicos, como segue:

    1. Digite o Nome da lista de exclusão.

    2. Digite o Domínio, por exemplo, sophos.com, e clique em Adicionar.

    Etapa de integração 3 Exclusões

  9. Clique em Salvar.

Na página Integrações, agora você verá a nova integração.

Em seguida, configure seus switches para que o dispositivo NDR possa monitorar o tráfego da sua rede.

Configurar seus switches

Antes de baixar e implantar a VM do Sophos NDR, você deve configurar o espelhamento da porta, também conhecido como Switched Port Analyzer (SPAN). Isso encaminha uma cópia do tráfego de entrada e saída das portas ou VLANs de um switch para outra porta de switch para análise.

Você deve configurar o espelhamento de porta para o tráfego de rede virtual interno e físico externo.

Quando você implantar seu dispositivo VM do NDR posteriormente, poderá conectá-lo às portas SPAN para que o NDR possa monitorar o tráfego da rede.

Para configurar o espelhamento da porta, siga este procedimento:

  1. No ESXi, vá para Networking. Na guia Virtual switches, selecione um switch para usar para o espelhamento da porta.

    Se você ainda não tiver um switch para usar, clique em Add standard virtual switch para adicionar um novo switch e adicionar grupos de portas a ele.

    Switches virtuais

  2. Na guia Port groups, clique em Add port group.

    Novo grupo de portas

  3. Nas configurações do novo grupo de portas, faça o seguinte:

    1. Insira um nome.
    2. Defina VLAN ID como 4095. Isso permite que todos os outros grupos de portas que já estão no switch encaminhem o tráfego para o novo grupo de portas.
    3. Clique em Security e defina Promiscuous mode como Accept.
    4. Clique em Adicionar.

    Você configurou o encaminhamento para o tráfego da sua rede virtual interna. Em seguida, faça o mesmo para o tráfego externo físico, conforme descrito nas etapas a seguir.

  4. No ESXi, selecione ou crie outro switch virtual que tratará o tráfego externo físico enviado a ele por um switch físico em sua rede.

  5. Configure o switch da seguinte maneira:

    1. Vá para Port groups e clique em Add port group.
    2. Insira um nome.
    3. Defina VLAN ID como 4095.
    4. Clique em Security e defina Promiscuous mode como Accept.

    Em seguida, você conecta o seu switch virtual à sua rede física para que possa receber o tráfego externo.

  6. No menu esquerdo do ESXi, vá para Networking e selecione o switch que deseja usar para o tráfego externo.

    vSwitch selecionado

  7. Nos detalhes do switch, procure vSwitch topology. Você verá “No physical adapters”.

    Topologia do vSwitch

  8. Clique em Add uplink.

    Botão Add uplink

  9. Em Uplink 1, selecione uma NIC (placa de interface de rede) que esteja disponível. Isso conecta o switch virtual a uma porta em seu servidor ESXi.

    Uplink 1

  10. Em Network topology, verifique se é possível ver um adaptador físico conectado.

    Adaptador físico

  11. Vá para o switch físico e use um cabo para conectar-se diretamente à porta no seu servidor ESXi.

    A maneira como você faz isso depende do tipo do seu switch físico e da configuração.

Você configurou o encaminhamento de tráfego externo físico e interno virtual para as portas SPAN. Mais tarde, você configurará o Sophos NDR para monitorá-lo.

Em seguida, você baixa a imagem da VM NDR.

Baixar a imagem da VM

Agora você baixa a imagem do NDR (o arquivo OVA) necessário para implantar e inicializar a nova VM.

  1. Ao lado da nova integração, clique em Ícone de três pontos na coluna Ações e selecione Baixar arquivo OVA.

    Você verá o download iniciar.

    Menu de download

  2. Passe o mouse sobre o ícone à esquerda do nome da integração. Agora você vê "Aguardando implantação".

    Status da integração

Você está pronto para implantar a VM.

Implantar a VM

  1. Vá para o seu host ESXi.

  2. Selecione Virtual Machines e clique em Create/Register VM.

    Guia Create/Register VM

  3. Em Select creation type, selecione Deploy a virtual machine from an OVF or OVA file. Clique em Avançar.

    Selecionar tipo de criação

  4. Em Select OVF and VMDK files, digite um nome para a VM.

    Clique na página para selecionar arquivos. Selecione o arquivo OVA ndr-sensor.ova. Clique em Avançar.

    Selecionar arquivo OVA

  5. Em Select storage, selecione Standard. Clique em Avançar.

    Selecionar armazenamento

  6. Em Deployment options, selecione Network mappings. Em nosso exemplo, todas são definidas como SPAN (as portas para as quais você está encaminhando o tráfego), exceto MGMT, que é definida como VM Network. Clique em Avançar.

    Opções de implantação

  7. Ignore a etapa Additional settings.

  8. Clique em Concluir. Aguarde até que a nova VM apareça na lista de VMs. Isso pode levar alguns minutos.

    Pronto para concluir

  9. Ligue a VM e aguarde a conclusão do processo de instalação. Pode levar até 10 minutos.

    Alerta

    Não interrompa esse processo.

  10. No Sophos Central, vá para a página Integrações de NDR e atualize-a. O status da VM agora é Conectado.

    Status da integração