Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Sophos NDR

Coletor de log

Você deve ter o pacote de licença de integração "Sophos Network Detection and Response" para usar esse recurso.

O Sophos Network Detection and Response (NDR) detecta comportamentos mal-intencionados na sua rede.

Você pode integrar o Sophos NDR ao Sophos Central para que suas detecções fiquem disponíveis para investigação no Centro de Análise de Ameaças.

Para integrar o NDR, você configura um dispositivo virtual NDR que se conecta ao Sophos Central e envia dados a ele. As etapas principais são as seguintes:

  • Verifique os requisitos.
  • Adicionar uma integração.
  • Configure seus switches para que o NDR possa ver o tráfego.
  • Baixe a imagem da máquina virtual (VM) NDR.
  • Implantar a nova VM.

Restrição

O arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Depois de implantado, ele não pode ser usado novamente.

Se precisar implantar uma nova VM, você deve executar todas essas etapas novamente para vincular a integração ao Sophos Central.

Este vídeo o leva pela configuração do Sophos NDR no VMware ESXi.

Requisitos

Você precisa de um servidor VMware ESXi executando a versão 6.7 ou posterior.

Ao instalar a VM, talvez seja necessário configurá-la para que o dispositivo virtual NDR ofereça o melhor desempenho e o menor impacto na rede. Consulte Guia de tamanho da VM do Sophos NDR.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Faça login no Sophos Central.
  2. Vá para o Centro de Análise de Ameaças > Integrações.
  3. Clique em Sophos Network Detection and Response (NDR).

  4. Em Integrações, clique em Adicionar uma integração.

    Integrações NDR

  5. Em Etapas de integração, digite o Nome do alias e a Descrição do alias na Etapa 1.

    Etapas de integração

  6. Na Etapa 2, selecione a VM que executará o dispositivo NDR.

    Se precisar de uma nova VM, clique em Criar nova VM.

    Se quiser usar uma VM existente, selecione-a na lista suspensa e vá para a etapa 8.

    Etapa de integração 2

  7. Para criar uma nova VM, faça o seguinte:

    1. Digite o Nome da VM.

    2. Digite a Descrição da VM.

    3. Selecione a plataforma virtual. (Atualmente, só oferecemos suporte a VMware.)

    4. Especifique as portas de rede voltadas à Internet.

      • Selecione DHCP para atribuir o endereço IP automaticamente.

      • Selecione Manual para especificar as configurações de rede. Por exemplo:

      • Endereço de IP: 10.0.252.5

        • Máscara de Sub-rede: 255.255.255.0
        • Endereço de Gateway: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Etapa de integração 2 Configurações da VM

  8. Na Etapa 3, exclua domínios e protocolos específicos da verificação.

    1. Digite o Nome da lista de exclusão.

    2. Para excluir um domínio, clique em Exclusões de domínio. Digite o nome de domínio, por exemplo, sophos.com, e clique em Adicionar.

    3. Para excluir um protocolo, clique em Exclusões de protocolo. Você pode inserir informações em um campo ou nos dois:

      • No primeiro campo, insira um protocolo mestre. Por exemplo TCP ou UDP.
      • No segundo campo, insira um subprotocolo (site). Por exemplo, facebook.

      Se você inserir informações nos dois campos, nós montamos uma única string com elas com um único ponto separador.

      A captura de tela mostra informações de exemplo.

    4. Clique em Adicionar.

    Você pode exportar suas exclusões como um arquivo JSON. Você também pode carregar exclusões para a lista a partir de um arquivo JSON exportado anteriormente.

    Etapa de integração 3 Exclusões

  9. Clique em Salvar.

Na página Integrações, agora você verá a nova integração.

Em seguida, configure seus switches para que o dispositivo NDR possa monitorar o tráfego da sua rede.

Configurar seus switches

Antes de baixar e implantar a VM do Sophos NDR, você deve configurar o espelhamento da porta, também conhecido como Switched Port Analyzer (SPAN). Isso encaminha uma cópia do tráfego de entrada e saída das portas ou VLANs de um switch para outra porta de switch para análise.

Você deve configurar o espelhamento de porta para o tráfego de rede virtual interno e físico externo.

Quando você implantar seu dispositivo VM do NDR posteriormente, poderá conectá-lo às portas SPAN para que o NDR possa monitorar o tráfego da rede.

Configurar switches virtuais

Para configurar o espelhamento de porta para switches virtuais internos, faça o seguinte:

  1. No ESXi, vá para Networking. Na guia Virtual switches, selecione um switch para usar para o espelhamento da porta.

    Se você ainda não tiver um switch para usar, clique em Add standard virtual switch para adicionar um novo switch e adicionar grupos de portas a ele.

    Switches virtuais

  2. Na guia Port groups, clique em Add port group.

    Novo grupo de portas

  3. Nas configurações do novo grupo de portas, faça o seguinte:

    1. Insira um nome.
    2. Defina VLAN ID como 4095. Isso permite que todos os outros grupos de portas que já estão no switch encaminhem o tráfego para o novo grupo de portas.
    3. Clique em Security e defina Promiscuous mode como Accept.
    4. Clique em Adicionar.

    Você configurou o encaminhamento para o tráfego da sua rede virtual interna. Em seguida, faça o mesmo para o tráfego externo físico, conforme descrito nas etapas a seguir.

  4. No ESXi, selecione ou crie outro switch virtual que tratará o tráfego externo físico enviado a ele por um switch físico em sua rede.

  5. Configure o switch da seguinte maneira:

    1. Vá para Port groups e clique em Add port group.
    2. Insira um nome.
    3. Defina VLAN ID como 4095.
    4. Clique em Security e defina Promiscuous mode como Accept.

    Em seguida, você conecta o seu switch virtual à sua rede física para que possa receber o tráfego externo.

  6. No menu esquerdo do ESXi, vá para Networking e selecione o switch que deseja usar para o tráfego externo.

    vSwitch selecionado

  7. Nos detalhes do switch, procure vSwitch topology. Você verá “No physical adapters”.

    Topologia do vSwitch

  8. Clique em Add uplink.

    Botão Add uplink

  9. Em Uplink 1, selecione uma NIC (placa de interface de rede) que esteja disponível. Isso conecta o switch virtual a uma porta em seu servidor ESXi.

    Uplink 1

  10. Em Network topology, verifique se é possível ver um adaptador físico conectado.

    Adaptador físico

  11. Vá para o switch físico e use um cabo para conectar-se diretamente à porta no seu servidor ESXi.

Em seguida, você precisa configurar o espelhamento no seu switch físico.

Configurar um switch físico

Esta seção descreve a configuração do espelhamento de porta em um Sophos Switch. As etapas de configuração para outros switches são diferentes.

Para configurar o espelhamento, siga este procedimento:

  1. No Sophos Central, vá para Switches.

  2. Selecione o switch que deseja configurar e clique em Executar comandos.

    Página Switches no Sophos Central

  3. No console Executar comandos do switch, digite os comandos para espelhar todo o tráfego. Neste exemplo, os comandos espelharão todo o tráfego de entrada e saída nas portas 1-4 e o enviará para a porta 8.

    configure terminal
    monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
    monitor session 1 source interface gigabitethernet 0/1 both
    monitor session 1 source interface gigabitethernet 0/2 both
    monitor session 1 source interface gigabitethernet 0/3 both
    monitor session 1 source interface gigabitethernet 0/4 both
    end
    show monitor session 1
    

    Console de linha de comando do switch

  4. Clique em Executar. O console mostra os comandos conforme são executados contra um fundo verde.

    Comandos em execução no console do switch

  5. Quando o último comando é executado, o console mostra a configuração concluída. Clique em Fechar.

    Comandos em execução no console do switch

Você terminou de configurar o encaminhamento do tráfego para portas SPAN. Mais tarde, você configurará o Sophos NDR para monitorar o tráfego.

Em seguida, você baixa a imagem da VM NDR.

Baixar a imagem da VM

Agora você baixa a imagem do NDR (o arquivo OVA) necessário para implantar e inicializar a nova VM.

  1. Ao lado da nova integração, clique em Ícone de três pontos na coluna Ações e selecione Baixar arquivo OVA.

    Você verá o download iniciar.

    Menu de download

  2. Passe o mouse sobre o ícone à esquerda do nome da integração. Agora você vê "Aguardando implantação".

    Status da integração

Você está pronto para implantar a VM.

Implantar a VM

  1. Vá para o seu host ESXi.

Alerta

Se você estiver implementando o OVA em um host ESXi em execução em um cluster EVC (Enhanced vMotion Compatibility), o EVC deve estar no modo Skylake (ou posterior). O Sophos NDR VA não será executado em uma VM no modo EVC Skylake (ou anterior).

  1. Selecione Virtual Machines e clique em Create/Register VM.

    Guia Create/Register VM

  2. Em Select creation type, selecione Deploy a virtual machine from an OVF or OVA file. Clique em Avançar.

    Selecionar tipo de criação

  3. Em Select OVF and VMDK files, digite um nome para a VM.

    Clique na página para selecionar arquivos. Selecione o arquivo OVA ndr-sensor.ova. Clique em Avançar.

    Selecionar arquivo OVA

  4. Em Select storage, selecione Standard. Clique em Avançar.

    Selecionar armazenamento

  5. Em Deployment options, selecione Network mappings. Em nosso exemplo, todas são definidas como SPAN (as portas para as quais você está encaminhando o tráfego), exceto MGMT, que é definida como VM Network. Clique em Avançar.

    Opções de implantação

  6. Ignore a etapa Additional settings.

  7. Clique em Concluir. Aguarde até que a nova VM apareça na lista de VMs. Isso pode levar alguns minutos.

    Pronto para concluir

  8. Ligue a VM e aguarde a conclusão do processo de instalação. Pode levar até 10 minutos.

    Alerta

    Não interrompa esse processo.

  9. No Sophos Central, vá para a página Integrações de NDR e atualize-a. O status da VM agora é Conectado.

    Status da integração

Se o status da VM for Conectado, mas não parecer estar funcionando, verifique o status do serviço Dragonfly no console Sophos VA para NDR. Consulte Sophos VA Console.

Se você vir no console que o serviço Dragonfly está no estado Pendente, e a sua VM estiver em um cluster EVC (Enhanced vMotion Compatibility), verifique se o modo EVC é Skylake ou posterior.

O Sophos NDR VA não suporta a execução em clusters EVC no modo Sandy Bridge.