調查主控台
NDR調查控制臺允許您訪問NDR傳感器上的所有數據,而不僅僅是進入我們的Data Lake的數據。您可以將此數據用於威脅搜尋。
您可以從Sophos Central設置控制檯,但在本地網絡上運行它。控制臺從NDR集成設備獲取數據,並允許您對其進行監控或查詢。
此頁面告訴您如何創建和管理調查控制檯。
建立調查主控台
我們假設您已設定NDR整合,從NDR收集資料。如果尚未安裝,請參閱 NDR (ESXi或Hyper-V)。
設定整合的主要步驟如下:
- 配置控制臺。這將創建一個將在虛擬網路上部署的映像。
- 下載並部署映像。
- 將NDR集成設備分配給控制臺。這會將NDR數據發送到控制臺。
配置控制臺
- 轉至 NDR > 調查控制檯。
-
單擊 創建控制檯。
-
按如下所示配置控制臺:
- 輸入名稱和說明。
- 選取虛擬平台。調查控制臺僅在VMware ESXi或Microsoft Hyper-V上受支援
-
指定面向網際網路的網路連接埠。這將為 VM 設定管理介面。
-
選取 DHCP 可自動指派 IP 位址。
注意
如果選取 DHCP,則必須保留 IP 位址。
-
選取手動以指定網路設定。
-
-
按一下儲存。
-
**** 此時會顯示設備憑據彈出窗口。您需要憑據才能訪問託管控制臺的設備。
使用者名稱是
zadmin
,密碼顯示在彈出訊息中。請以安全方式儲存密碼。密碼僅會顯示一次。按一下確定。
-
在“ 調查控制臺 ”頁面上,新控制臺顯示在列表中。如果將滑鼠懸停在名稱上,您將看到"正在等待部署"。
等待創建映像。此可能需要最多 5 分鐘。
-
在最右邊的欄位中,按一下三個點,然後選取打開 Appliance Manager。
部署映像
在您的環境中部署映像。
部署取決於您使用的是VMware ESXi還是Hyper-V 單擊下麵的相關選項卡以獲取說明。
限制
如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署新的 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。
在 ESXi 主機上,執行以下動作:
- 選取虛擬機。
-
按一下建立/註冊 VM。
-
在選取建立類型中,選取從 OVF 或 OVA 檔案部署虛擬機。按一下下一步。
-
在選取 OVF 和 VMDK 檔案中,執行以下動作:
- 輸入 VM 名稱。
- 單擊顯示“單擊以選擇文件...”的顯示器,然後選擇已下載的OVA文件。
- 按一下下一步。
-
在選取儲存體中,選取標準儲存體。然後選取要放置 VM 的資料存放區。 按一下下一步。
-
在部署選項中,輸入如下設定。
-
在 MGMT 中,選取設備的管理介面。
您之前在 Sophos Central 中的面向網際網路的網路連接埠設定中設定了此介面。
如果您在設定期間選取了 DHCP,請確保 VM 可以透過 DHCP 取得 IP 位址。
-
在磁碟佈建中,確保選中了精簡。
- 確保選中了自動開機。
- 按一下下一步。
-
-
跳過其他設定步驟。
-
按一下 完成。等待新虛擬機出現在虛擬機清單中。安裝程序可能會耗費數分鐘時間。
-
啟動 VM 並等待安裝完成。
VM 第一次啟動,並檢查它是否可以連接到正確的連接埠群組和網際網路。然後重新啟動。此可能需要最多 10 分鐘。
在 Sophos Central 中下載的 Zip 檔案包含部署 VM 所需的檔案:虛擬磁碟機、seed.iso
和 PowerShell 指令碼。
要部署 VM,請執行以下動作:
- 將 Zip 檔案解壓縮至硬碟上的資料夾。
- 移至資料夾,右鍵按一下
ndr-sensor.ps1
檔案,然後選取使用 PowerShell 執行。 -
如果看到安全警告訊息,請按一下打開以允許檔案執行。
系統會提示您回答一系列問題。
-
為 VM 命名。
- 指令碼會顯示將儲存 VM 檔案的資料夾。這是虛擬磁碟機預設安裝位置中的新資料夾。輸入
C
以允許指令碼建立它。 - 輸入要用於 VM 的處理器 (CPU) 數量。
- 輸入要使用的記憶體量(以 GB 為單位)。
-
指令碼顯示目前所有 vSwitch 的編號清單。
選取要將管理介面連接到的 vSwitch,然後輸入其編號。您之前在 Sophos Central 中的面向網際網路的網路連接埠設定中設定了此介面。
如果您在設定期間選取了 DHCP,請確保 VM 可以透過 DHCP 取得 IP 位址。
-
您不需要指定 vSwitch 來擷取網路流量。這些設定只有在您具有 Sophos NDR 時才相關。選取任何 vSwitch 作為預留位置,稍後在 VM 設定中斷開連接。
PowerShell 指令碼會在 Hyper-V 中設定 VM。您將看到安裝成功完成訊息。
-
按任意鍵退出。
-
打開 Hyper-V 管理員,查看新增到虛擬機清單中的 VM。如果需要,您可以編輯您的設置。然後啟動虛擬機。
VM 第一次啟動,並檢查它是否可以連接到正確的 vSwitch 和網際網路。然後重新啟動。此可能需要最多 10 分鐘。
-
在Sophos Central中,轉至 NDR > 調查控制檯。狀態圖示顯示已連線。
分配NDR設備
現在您要分配一個或多個NDR設備。
在您的控制臺向Sophos Central注冊並顯示"綠色"狀態之前,您無法分配NDR設備。
打開 NDR 調查主控台
若要開啟,請依照以下步驟操作:
- 轉至 NDR > 調查控制檯。
- 在列表中找到您的控制臺。
-
在最右邊的欄位中,按一下三個點,然後選取打開 Appliance Manager。
您會看到即將離開Sophos Central的警告。
如果您忘記了密碼,請單擊"reset it"(重置密碼)字樣以重置密碼。
-
輸入您的使用者名稱和密碼,然後按一下 [登入]。
查看調查控制檯
“ 調查控制檯 ”頁面列出了您的控制檯,其中包含配置和性能詳細信息。
- 主控台名稱
- 家電:分配給控制臺的NDR集成設備的數量。
- 類型: 控制臺所在的虛擬平台,例如VMware。
- 版本: 平台的版本。
- CPU:CPU 使用量。
- 記憶體:記憶體使用量。
- IP 位址 (IP 位址)
查看分配的設備
在" 調查控制臺 "頁面的控制臺列表中,單擊控制臺名稱旁邊的箭頭,以查看分配給它的NDR集成設備的詳細資訊。
- 設備名稱
- 整合:使用設備的集成數。
- 記憶體:記憶體使用量。
- 储存
- 類型: 託管設備的Virtual平台。
- 版本: 虛擬平台的版本。
- 管理IP:管理介面。
- Syslog IP:Syslog接口。
生成新密碼
您可以重置用於訪問調查控制檯的密碼。
- 在“ 調查控制檯 ”頁面上,選擇控制檯。
-
在最右邊的列中,單擊三個點 ,然後選擇 生成新密碼。
複製密碼並將其安全存放。它只顯示一次。稍後您將無法擷取它。
-
點選重設。
收集記錄
要收集控制檯活動日誌,請執行以下操作:
- 在“ 調查控制檯 ”頁面上,選擇控制檯。
- 在最右邊的列中,單擊三個圓點 並選擇 “Collect Logs”(收集日誌)。
遠端助手
Sophos支持可以幫助解決託管調查控制檯的Sophos設備的問題。
在某些情況下,Sophos 支援需要遠端存取設備。您可以按以下方式為他們提供長達 24 小時的存取權限。
設備必須連線。
-
轉至 調查控制臺 頁面。
-
找到設備。在最右邊的列中,單擊三個點 並選擇 遠程助手。
-
在編輯資源對話方塊中,執行以下操作:
- 選取啟用。
- 選中核取方塊以確認 Sophos Group 隱私權注意事項。
- 按一下儲存。
Sophos Central 從設備請求存取 ID。準備就緒時,存取 ID 將顯示在對話方塊中。
-
複製存取 ID 並將其傳送至 Sophos 支援。他們使用該存取 ID 來存取您的設備。
遠端協助在 24 小時後自動關閉。或者,要手動將其關閉,請返回遠端協助對話方塊並關閉啟用。