調查主控台
NDR 調查主控台讓您訪問所有 NDR 感測器上的數據,而不僅僅是進入我們數據湖的數據。您可以使用這些數據進行威脅狩獵。
您可以從 Sophos Central 設置主控台,但在本地網絡上運行它。主控台從 NDR 整合設備獲取數據,並讓您監控或查詢它。
本頁告訴您如何創建和管理調查主控台。
建立調查主控台
我們假設您已經設置了一個從 NDR 收集數據的 NDR 整合。如果您還沒有,請參閱 Sophos 整合功能。
整合的主要步驟如下:
- 配置主控台。這將建立一個您可以在虛擬網路上部署的映像。
- 下載映像並部署它。
- 將 NDR 整合設備分配給主控台。這會將 NDR 數據發送到主控台。
配置主控台
- 轉到 My Products > NDR > Investigation Console。
-
點擊 Create console。
-
按如下所示配置設備:
- 輸入 名稱 和 說明。
- 選取 虛擬平台。調查主控台僅支持 VMware ESXi 或 Microsoft Hyper-V。
-
指定 面向網際網路的網路埠設定。這將為設備設置管理介面。
-
選取 DHCP 可自動指派 IP 位址。
注意
若您選擇 DHCP,請務必保留該 IP 位址。
-
若選擇 手動,則可自行指定網路設定。
-
-
按一下儲存。
-
顯示 Appliance Credentials 快顯視窗。您需要憑證來訪問主控台所在的設備。
用戶名是
zadmin,密碼顯示在消息中。請以安全方式儲存密碼。密碼僅會顯示一次。按一下確定。
-
在 調查控制台 頁面上,新控制台顯示在列表中。如果將滑鼠懸停在名稱上,您將看到「正在等待部署」。
等待建立映像可能需要最多 5 分鐘。
-
在最右邊的欄位中,按一下三個點,然後選取下載影像。
部署圖像
在您的環境中部署圖像。
部署取決於您使用的是 VMware ESXi 還是 Hyper-V。請單擊下面的相關選項卡以獲取說明。
限制條件
如果您使用的是 ESXi,OVA 檔案會與 Sophos Central 進行驗證,因此只能使用一次。如果您需要重新部署新的虛擬機,則必須在 Sophos Central 中重新產生 OVA 檔案。
在您的 ESXi 主機上,請依下列步驟操作:
- 選取 虛擬機器。
-
按一下 建立/註冊虛擬機器。
-
在 選取建立類型 中,請選擇 從 OVF 或 OVA 檔案部署虛擬機器。按一下 下一步。
-
在 選取 OVF 與 VMDK 檔案 中,請依下列步驟操作:
- 輸入 VM 名稱。
- 單擊顯示 "單擊以選擇文件..." 的屏幕,然後選擇您下載的 OVA 文件。
- 按一下 下一步。
-
在 選取儲存裝置 中,選擇 標準儲存空間,然後選取您要放置虛擬機器的資料存放區。按一下 下一步。
-
在 部署選項 中,請輸入以下設定:
-
在 MGMT 中,選取設備的管理介面。
您之前在 Sophos Central 中的面向網際網路的網路連接埠設定中設定了此介面。
若您在設定時選擇了 DHCP,請確認虛擬機器能透過 DHCP 取得 IP 位址。
-
在 磁碟配置 中,請確保選取 精簡配置。
- 請確保選取 自動開機。
- 按一下 下一步。
-
-
略過 其他設定 步驟。
-
按一下 完成。等候新的虛擬機器出現在虛擬機器清單中,這可能需要幾分鐘。
-
開啟虛擬機器電源並等候安裝完成。
虛擬機器第一次開機時,會檢查是否能連接至正確的連接埠群組與網際網路,接著會重新啟動,此過程可能需要長達 10 分鐘。
在 Sophos Central 中下載的 Zip 檔案包含部署 VM 所需的檔案:虛擬磁碟機、seed.iso 和 PowerShell 指令碼。
若要部署虛擬機器,請依下列步驟操作:
- 將 Zip 檔案解壓縮至硬碟上的資料夾。
- 前往該資料夾,右鍵按一下
ndr-sensor.ps1檔案,選取 使用 PowerShell 執行。 -
若出現 安全性警告 訊息,請按一下 開啟 以允許執行該檔案。
系統會提示您回答一系列問題。
-
為 VM 命名。
- 指令碼會顯示將儲存 VM 檔案的資料夾。這是虛擬磁碟機預設安裝位置中的新資料夾。輸入
C以允許指令碼建立它。 - 輸入要用於 VM 的處理器 (CPU) 數量。
- 輸入要配置的記憶體大小 (以 GB 為單位)。
-
指令碼會顯示目前所有 vSwitch 的編號清單。
請選擇您要用於連接管理介面的 vSwitch,並輸入其編號。您之前在 Sophos Central 中的面向網際網路的網路連接埠設定中設定了此介面。
若您在設定時選擇了 DHCP,請確認虛擬機器能透過 DHCP 取得 IP 位址。
-
您不需要指定 vSwitch 來擷取網路流量。這些設定僅適用於使用 Sophos NDR 的情況。您可以選擇任意 vSwitch 作為預留位置,並於虛擬機器設定中將其斷線。
PowerShell 指令碼會在 Hyper-V 中設定虛擬機器。完成後會顯示 安裝成功完成 訊息。
-
按任意鍵離開。
-
打開 Hyper-V 管理員,查看新增到虛擬機清單中的 VM。如果需要,您可以編輯您的設置。然後啟動虛擬機。
VM 第一次啟動,並檢查它是否可以連接到正確的 vSwitch 和網際網路。然後重新啟動。此過程可能需要長達 10 分鐘。
-
在 Sophos Central 中,轉到 NDR > 調查控制台。狀態圖示顯示已連線。
分配 NDR 設備
現在您可以分配一個或多個 NDR 設備。
在您的控制台與 Sophos Central 註冊並顯示 "綠色" 狀態之前,您無法分配 NDR 設備。
-
在 調查控制台 頁面上,從列表中選擇新控制台。在最右邊的欄位中,按一下三個點,然後選取下載影像。
-
選擇您要分配的設備,然後單擊 保存。
打開 NDR 調查主控台
若要開啟,請依照以下步驟操作:
- 轉到 My Products > NDR > Investigation Console。
- 在列表中找到您的控制台。
-
在最右邊的欄位中,按一下三個點
,然後選取打開 NDR 主控台。您會看到一個警告,告訴您正在離開 Sophos Central。
如果您忘記了密碼,請單擊 "重置它" 這幾個字以重置密碼。
-
輸入您的使用者名稱和密碼,然後按一下 [開啟主控台]。
查看調查主控台
調查主控台 頁面列出您的主控台及其配置和性能詳細信息。
- 主控台名稱
- 家電:分配給主控台的 NDR 集成設備數量。
- 類型:主控台所在的虛擬平台,例如 VMWare。
- 版本:平台的版本。
- CPU:CPU 使用量。
- 記憶體:記憶體使用量。
- IP 位址 (IP 位址)
查看分配的設備
在 調查主控台 頁面上,在主控台列表中,單擊主控台名稱旁邊的箭頭以查看分配給它的 NDR 集成設備的詳細信息。
- 設備名稱
- 整合:使用該設備的集成數量。
- 記憶體:記憶體使用量。
- 儲存
- 類型:承載該設備的虛擬平台。
- 版本:虛擬平台的版本。
- 管理 IP管理介面。
- Syslog IP:Syslog 接口。
生成新密碼
您可以重置用於訪問調查主控台的密碼。
- 在 調查主控台 頁面上,選擇主控台。
-
在最右邊的欄位中按一下三個點
,然後選取 產生新密碼。複製密碼並安全存儲。僅顯示一次。稍後您將無法擷取它。
-
點選重設。
收集記錄
要收集主控台活動的日誌,請按以下步驟操作:
- 在 調查主控台 頁面上,選擇主控台。
- 在最右邊的欄位中按一下三個點,然後選取 收集記錄。
遠端助手
Sophos 支持可以幫助排除承載調查主控台的 Sophos 設備的故障。
在某些情況下,Sophos 支援需要遠端存取設備。您可以按以下方式為他們提供長達 24 小時的存取權限。
設備必須連線。
-
轉到 調查主控台 頁面。
-
找到設備。在最右邊的欄位中,按一下三個點
,然後選擇遠端助理。 -
在遠端協助對話方塊中,執行以下操作:
- 選取 啟用。
- 選中核取方塊以確認 Sophos Group 隱私權注意事項。
- 按一下儲存。
Sophos Central 從設備請求存取 ID。準備就緒時,存取 ID 將顯示在對話方塊中。
-
複製存取 ID 並將其傳送至 Sophos 支援。他們使用該存取 ID 來存取您的設備。
遠端協助在 24 小時後自動關閉。或者,要手動將其關閉,請返回遠端協助對話方塊並關閉啟用。