Sophos NDR
Você deve ter o pacote de licença de integração "Sophos Network Detection and Response" para usar esse recurso.
O Sophos Network Detection and Response (NDR) detecta comportamentos mal-intencionados na sua rede.
Você pode integrar o Sophos NDR ao Sophos Central para que suas detecções fiquem disponíveis para investigação no Centro de Análise de Ameaças.
Para integrar o NDR, você configura um dispositivo virtual NDR que se conecta ao Sophos Central e envia dados a ele. As etapas principais são as seguintes:
- Verifique os requisitos.
- Adicionar uma integração.
- Configure seus switches para que o NDR possa ver o tráfego.
- Baixe a imagem da máquina virtual (VM) NDR.
- Implantar a nova VM.
Restrição
O arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Depois de implantado, ele não pode ser usado novamente.
Se precisar implantar uma nova VM, você deve executar todas essas etapas novamente para vincular a integração ao Sophos Central.
Este vídeo o leva pela configuração do Sophos NDR no VMware ESXi.
Requisitos
Você precisa de um servidor VMware ESXi executando a versão 6.7 ou posterior.
Ao instalar a VM, talvez seja necessário configurá-la para que o dispositivo virtual NDR ofereça o melhor desempenho e o menor impacto na rede. Consulte Guia de tamanho da VM do Sophos NDR.
Adicionar uma integração
Para adicionar a integração, siga este procedimento:
- Faça login no Sophos Central.
- Vá para o Centro de Análise de Ameaças > Integrações.
-
Clique em Sophos Network Detection and Response (NDR).
-
Em Integrações, clique em Adicionar uma integração.
-
Em Etapas de integração, digite o Nome do alias e a Descrição do alias na Etapa 1.
-
Na Etapa 2, selecione a VM que executará o dispositivo NDR.
Se precisar de uma nova VM, clique em Criar nova VM.
Se quiser usar uma VM existente, selecione-a na lista suspensa e vá para a etapa 8.
-
Para criar uma nova VM, faça o seguinte:
-
Digite o Nome da VM.
-
Digite a Descrição da VM.
-
Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)
-
Especifique as portas de rede voltadas à Internet.
-
Selecione DHCP para atribuir o endereço IP automaticamente.
-
Selecione Manual para especificar as configurações de rede. Por exemplo:
-
Endereço de IP: 10.0.252.5
- Máscara de Sub-rede: 255.255.255.0
- Endereço de Gateway: 10.0.252.1
- DNS 1: 8.8.8.8
- DNS 2: 8.8.4.4
-
-
-
Na Etapa 3, exclua domínios e protocolos específicos da verificação.
-
Digite o Nome da lista de exclusão.
-
Para excluir um domínio, clique em Exclusões de domínio. Digite o nome de domínio, por exemplo,
sophos.com
, e clique em Adicionar. -
Para excluir um protocolo, clique em Exclusões de protocolo. Você pode inserir informações em um campo ou nos dois:
- No primeiro campo, insira um protocolo mestre. Por exemplo
TCP
ouUDP
. - No segundo campo, insira um subprotocolo (site). Por exemplo,
facebook
.
Se você inserir informações nos dois campos, nós montamos uma única string com elas com um único ponto separador.
A captura de tela mostra informações de exemplo.
- No primeiro campo, insira um protocolo mestre. Por exemplo
-
Clique em Adicionar.
Você pode exportar suas exclusões como um arquivo JSON. Você também pode carregar exclusões para a lista a partir de um arquivo JSON exportado anteriormente.
-
-
Clique em Salvar.
Na página Integrações, agora você verá a nova integração.
Em seguida, configure seus switches para que o dispositivo NDR possa monitorar o tráfego da sua rede.
Configurar seus switches
Antes de baixar e implantar a VM do Sophos NDR, você deve configurar o espelhamento da porta, também conhecido como Switched Port Analyzer (SPAN). Isso encaminha uma cópia do tráfego de entrada e saída das portas ou VLANs de um switch para outra porta de switch para análise.
Você deve configurar o espelhamento de porta para o tráfego de rede virtual interno e físico externo.
Quando você implantar seu dispositivo VM do NDR posteriormente, poderá conectá-lo às portas SPAN para que o NDR possa monitorar o tráfego da rede.
Configurar switches virtuais
Para configurar o espelhamento de porta para switches virtuais internos, faça o seguinte:
-
No ESXi, vá para Networking. Na guia Virtual switches, selecione um switch para usar para o espelhamento da porta.
Se você ainda não tiver um switch para usar, clique em Add standard virtual switch para adicionar um novo switch e adicionar grupos de portas a ele.
-
Na guia Port groups, clique em Add port group.
-
Nas configurações do novo grupo de portas, faça o seguinte:
- Insira um nome.
- Defina VLAN ID como 4095. Isso permite que todos os outros grupos de portas que já estão no switch encaminhem o tráfego para o novo grupo de portas.
- Clique em Security e defina Promiscuous mode como Accept.
- Clique em Adicionar.
Você configurou o encaminhamento para o tráfego da sua rede virtual interna. Em seguida, faça o mesmo para o tráfego externo físico, conforme descrito nas etapas a seguir.
-
No ESXi, selecione ou crie outro switch virtual que tratará o tráfego externo físico enviado a ele por um switch físico em sua rede.
-
Configure o switch da seguinte maneira:
- Vá para Port groups e clique em Add port group.
- Insira um nome.
- Defina VLAN ID como 4095.
- Clique em Security e defina Promiscuous mode como Accept.
Em seguida, você conecta o seu switch virtual à sua rede física para que possa receber o tráfego externo.
-
No menu esquerdo do ESXi, vá para Networking e selecione o switch que deseja usar para o tráfego externo.
-
Nos detalhes do switch, procure vSwitch topology. Você verá “No physical adapters”.
-
Clique em Add uplink.
-
Em Uplink 1, selecione uma NIC (placa de interface de rede) que esteja disponível. Isso conecta o switch virtual a uma porta em seu servidor ESXi.
-
Em Network topology, verifique se é possível ver um adaptador físico conectado.
-
Vá para o switch físico e use um cabo para conectar-se diretamente à porta no seu servidor ESXi.
Em seguida, você precisa configurar o espelhamento no seu switch físico.
Configurar um switch físico
Esta seção descreve a configuração do espelhamento de porta em um Sophos Switch. As etapas de configuração para outros switches são diferentes.
Para configurar o espelhamento, siga este procedimento:
-
No Sophos Central, vá para Switches.
-
Selecione o switch que deseja configurar e clique em Executar comandos.
-
No console Executar comandos do switch, digite os comandos para espelhar todo o tráfego. Neste exemplo, os comandos espelharão todo o tráfego de entrada e saída nas portas 1-4 e o enviará para a porta 8.
configure terminal monitor session 1 destination interface gigabitethernet 0/8 allow-ingress monitor session 1 source interface gigabitethernet 0/1 both monitor session 1 source interface gigabitethernet 0/2 both monitor session 1 source interface gigabitethernet 0/3 both monitor session 1 source interface gigabitethernet 0/4 both end show monitor session 1
-
Clique em Executar. O console mostra os comandos conforme são executados contra um fundo verde.
-
Quando o último comando é executado, o console mostra a configuração concluída. Clique em Fechar.
Você terminou de configurar o encaminhamento do tráfego para portas SPAN. Mais tarde, você configurará o Sophos NDR para monitorar o tráfego.
Em seguida, você baixa a imagem da VM NDR.
Baixar a imagem da VM
Agora você baixa a imagem do NDR (o arquivo OVA) necessário para implantar e inicializar a nova VM.
-
Ao lado da nova integração, clique em
na coluna Ações e selecione Baixar arquivo OVA.
Você verá o download iniciar.
-
Passe o mouse sobre o ícone à esquerda do nome da integração. Agora você vê "Aguardando implantação".
Você está pronto para implantar a VM.
Implantar a VM
- Vá para o seu host ESXi.
Alerta
Se você estiver implementando o OVA em um host ESXi em execução em um cluster EVC (Enhanced vMotion Compatibility), o EVC deve estar no modo Skylake (ou posterior). O Sophos NDR VA não será executado em uma VM no modo EVC Skylake (ou anterior).
-
Selecione Virtual Machines e clique em Create/Register VM.
-
Em Select creation type, selecione Deploy a virtual machine from an OVF or OVA file. Clique em Avançar.
-
Em Select OVF and VMDK files, digite um nome para a VM.
Clique na página para selecionar arquivos. Selecione o arquivo OVA ndr-sensor.ova. Clique em Avançar.
-
Em Select storage, selecione Standard. Clique em Avançar.
-
Em Deployment options, selecione Network mappings. Em nosso exemplo, todas são definidas como SPAN (as portas para as quais você está encaminhando o tráfego), exceto MGMT, que é definida como VM Network. Clique em Avançar.
-
Ignore a etapa Additional settings.
-
Clique em Concluir. Aguarde até que a nova VM apareça na lista de VMs. Isso pode levar alguns minutos.
-
Ligue a VM e aguarde a conclusão do processo de instalação. Pode levar até 10 minutos.
Alerta
Não interrompa esse processo.
-
No Sophos Central, vá para a página Integrações de NDR e atualize-a. O status da VM agora é Conectado.
Se o status da VM for Conectado, mas não parecer estar funcionando, verifique o status do serviço Dragonfly no console Sophos VA para NDR. Consulte Sophos VA Console.
Se você vir no console que o serviço Dragonfly está no estado Pendente, e a sua VM estiver em um cluster EVC (Enhanced vMotion Compatibility), verifique se o modo EVC é Skylake ou posterior.
O Sophos NDR VA não suporta a execução em clusters EVC no modo Sandy Bridge.