Sophos NDR na AWS

O Sophos Network Detection and Response (NDR) detecta comportamentos mal-intencionados na sua rede.

Você pode integrar o Sophos NDR ao Sophos Central para que suas detecções fiquem disponíveis para investigação no Centro de Análise de Ameaças.

A integração usa um dispositivo que recebe dados e os encaminha ao Sophos Data Lake.

As etapas principais são as seguintes:

• Verifique os requisitos.
• Crie e baixe um modelo CloudFormation para o dispositivo Sophos.
• Registre-se no Sophos Integration Appliance na AWS.
• Crie uma pilha. Você especifica a VPC e sub-redes para NDR aqui.
• Crie uma sessão de espelho de tráfego. Esta opção envia o tráfego para a Sophos para análise.
• Edite grupos de segurança para permitir o tráfego de syslog e dar acesso ao Sophos Appliance Manager.
• Defina uma senha para o Sophos Appliance Manager.

O Appliance Manager permite-lhe monitorizar e gerenciar o dispositivo Sophos NDR.

Requisitos

Para configurar o Sophos NDR na AWS, você precisa das seguintes contas e infraestrutura:

• Uma conta da AWS.
• Um conta do Sophos Central.
• Instâncias EC2.
• VPCs, sub-redes e zonas de disponibilidade. Você pode usar aquelas que você já tem.
• Pelo menos um endereço IP elástico alocado para ser usado pela interface de gerenciamento NDR.

Nós oferecemos suporte a esses tipos de instância do EC2:

• c5n.2xlarge
• c6i.4xlarge
• c7i.16xlarge (virtualização nitro)

Você deve criar e salvar sua chave privada SSH para a conta da AWS.

Você deve ter uma VPC criada em qualquer uma das regiões de sua escolha. Aqui está um exemplo de um mapa de recursos da VPC:

Criar um modelo do CloudFormation

Para criar um modelo do CloudFormation para o dispositivo, faça o seguinte:

1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
2. Localize e clique em Sophos Network Detection and Response (NDR).

3. Na página NDR, em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

   Etapas de configuração de integração aparece.

4. Na Etapa 1, insira um nome e uma descrição para a integração.

   

5. Na Etapa 2, crie um modelo de CloudFormation (CFT). Na Plataforma virtual, selecione AWS.

   

6. Clique em Salvar.

Um arquivo json de CloudFormation (CF) aws_ndr_cf_latest.json é criado.

Baixar o modelo de CloudFormation

Para baixar o modelo de CloudFormation, faça o seguinte:

1. No Sophos Central, vá para Integrações > Configuradas.
2. Selecione a guia Dispositivos de integração e localize o dispositivo Sophos NDR.

3. Na coluna mais à direita, clique nos três pontos e selecione Download da imagem.

   

O arquivo aws_ndr_cf_latest.json é baixado para a pasta Downloads.

Inscrever-se no Sophos Integration Appliance

Você deve se inscrever no Sophos Integration Appliance no console do AWS Marketplace. Para isso, siga este procedimento:

1. Vá para a página AWS Marketplace e localize Sophos Integration Appliance.

2. Na página Product Overview, clique em Continue to Subscribe.

   

3. Na página Subscribe to this software, aceite os termos e condições e clique em Continue to Configuration.

   

4. Na página Configure this software, verifique a versão e a região e clique em Continue to Launch.

   

5. Na página Launch this software, clique em Usage instructions para ver como acessar o Sophos Appliance Manager.

   

6. Clique em Launch.

A AWS abre a página Create stack.

Criar pilha

Agora você usa o modelo de CloudFormation baixado para criar um NDR Sensor para sua conta da AWS. Para fazer isso, você cria uma pilha.

1. Na página Create stack, faça o seguinte:

   1. Deixe Template is ready selecionado.
   2. Em Specify template, selecione Upload a template file.
   3. Clique em Choose File e selecione aws_ndr_cf_latest.json.
   4. Clique em Avançar.

   

2. Na página Specify stack details, insira um nome e os seguintes detalhes de Network Configuration:

   1. Uma VPC existente que você deseja usar para NDR.
   2. Uma sub-rede para a interface de gerenciamento de NDR. Esta é uma sub-rede pública.
   3. Uma sub-rede para a interface syslog NDR. Isso permite que o NDR anexe uma interface que pode ser usada mais tarde se você adicionar outro coletor de log de terceiros.
   4. Uma sub-rede para a interface NDR SPAN. A interface SPAN pega uma cópia espelhada do tráfego de rede e envia-a para NDR para análise.
   5. O grupo de segurança que dá aos administradores acesso SSH à instância NDR.

   Os detalhes de configuração de rede concluídos são semelhantes a este exemplo:

   

3. Em EC2 Instance Configuration, digite a chave SSH necessária para acessar a instância do NDR EC2 e clique em Next.

   Nota

   Você criou e salvou esse par de chaves SSH anteriormente.

   

4. Na página Configure Stack options, aceite as configurações padrão da AWS ou faça alterações se desejar. Clique em Enviar.

O modelo de CloudFormation escolhe automaticamente as regiões e AMIS certas com base na região da AWS da conta que você usou para carregar o modelo.

Aguarde até que o NDR Sensor seja criado. Isso pode levar cinco ou seis minutos.

Criar uma sessão de espelho de tráfego

Crie sessões espelhadas de destino para espelhar o tráfego de rede e encaminhá-lo para NDR. Para isso, siga este procedimento:

1. Na AWS, vá para VPC > Traffic mirror sessions > Create traffic mirror session.

2. Em Session settings, faça o seguinte:

   1. Insira um valor em Name Tag e Description.
   2. Em Mirror Source, insira a interface de rede da qual deseja espelhar o tráfego de rede.
   3. Em Mirror Target, insira a interface SPAN para a qual espelhar o tráfego de rede. Selecione o NDR SPAN Target que o modelo de CloudFormation criou para você.

   

3. Em Additional settings, faça o seguinte:

   1. Insira um número de sessão. O número decide a ordem em que avaliar as sessões a partir da mesma fonte.
   2. Defina VNI (Virtual Network Interface) como 1.
   3. Em Filter, selecione o NDR Traffic Mirror Filter que o modelo de CloudFormation já criou.
   4. Clique em Criar.

   

Edite os grupos de segurança

Você precisa editar os grupos de segurança da AWS. Isso permite que você faça essas alterações:

• Permita que o tráfego de syslog vá para o dispositivo.
• Dê acesso ao Appliance Manager.

Para editar grupos de segurança, faça o seguinte:

1. Na AWS, acesse os detalhes de segurança do dispositivo da Sophos NDR.

   Para fazer isso, digite o nome do dispositivo na barra de pesquisa do console da AWS. Quando você encontrá-lo, selecione a guia EC2 e clique na instância Sophos Appliance.

2. Na página Instance Summary, role para baixo até as páginas com guias e selecione a guia Security.

3. Localize o grupo InternalSyslogSG e insira a origem a partir da qual você deseja permitir o tráfego para a coleta de log.

4. Encontre o grupo de segurança InternalMgmtSG. O modelo de CloudFormation o criou para você. Adicione seus administradores ao grupo e dê a eles acesso à porta 8443 em Inbound rule.

   

Antes de poder usar o Appliance Manager, você também precisa definir uma senha.

Definir a senha do Appliance Manager

O nome de usuário do Appliance Manager é zadmin. Para definir a senha, faça o seguinte:

1. No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.

2. Vá para a guia Dispositivos de integração.

3. Localize o seu dispositivo. Na coluna mais à direita, clique nos três pontos e selecione Abrir Appliance Manager.

   

4. Na caixa de diálogo de confirmação, clique em redefini-la.

   

Qualquer outro admin que queira usar o Appliance Manager também deve definir uma senha.