資料收集器要求
如果您的整合使用資料收集器,則其執行所在的 VM 必須滿足這些要求。
這些要求適用於 Sophos NDR 和協力廠商記錄收集器整合。其中包括以下內容:
- 最低要求
- CPU 需求
- VM 大小調整
- 連接埠和網域排除項
最低要求
所有平台上的最低系統要求相同。
在 Vmware 上,我們預設定了 OVA 映像,以滿足 Sophos NDR 和記錄收集器整合的最低要求。
要求如下:
- 4 CPU
- 16 GB RAM
- 160GB 儲存空間
資料收集器還需要特定的 CPU 微架構。請參閱 CPU 需求。
如果資料收集器處理大量資料或執行多個整合,則可能需要調整 VM 的大小。請參閱VM 大小調整。
CPU 需求
執行 VM 的系統必須使用下列其中一個 CPU 微架構。
如果您有 Sophos NDR,還必須確保設定了以下 CPU 標誌:
pdpe1gb:封包擷取技術需要此設定。avx2:Sophos 機器學習功能需要此設定。
這兩個標誌在此處顯示的 Intel 和 AMD CPU 中均可用。
Intel CPU
| 名稱 | 世代 | 代號 | 日期 |
|---|---|---|---|
| Skylake | 6 | Skylake | Q3 2015 |
| Skylake | 7 | Kaby Lake | Q3 2016 |
| Skylake | 8 | Coffee Lake | Q3 2017 |
| Skylake | 9 | Coffee Lake Refresh | Q4 2018 |
| Skylake | 9 | Cascade Lake | Q2 2019 |
| Skylake | 10 | Comet Lake | Q3 2019 |
| Palm Cove | 10 | Cannon Lake | Q2 2018 |
| Sunny Cove | 10 | Ice Lake | Q3 2019 |
| Cypress Cove | 11 | Rocket Lake | Q1 2021 |
| Golden Cove | 12 | Alder Lake | Q4 2021 |
| Raptor Cove | 13 | Raptor Lake | Q4 2022 |
為了協助您識別 CPU,Intel 的 CPU 命名慣例如下所示。
VMware EVC 模式
如果您的設備位於在增強型 Vmotion 相容性 (EVC) 叢集中執行的 VMware ESXi 主機上,則必須確保已選取:
- Skylake 世代或更新的 CPU
- VMware 硬體版本 11 或更新版本
AMD CPU
| 名稱 | 世代 | 代號 | 日期 |
|---|---|---|---|
| Zen | 1 | Naples | Q2 2017 |
| Zen | 1 | Great Horned Owl | Q1 2018 |
| Zen 2 | 2 | Rome | Q3 2019 |
| Zen 3 | 3 | Milan | Q2 2021 |
| Zen 4 | 4 | Genoa | Q4 2022 |
為了協助您識別 CPU,AMD 的 CPU 命名慣例如下所示。
VM 大小調整
VM 大小調整準則取決於 VM 上是有 Sophos NDR、記錄收集器整合還是兩者都有。
僅限 Sophos NDR
您可能需要設定 VM,以確保 Sophos NDR 虛擬設備提供最佳效能並且對網路的影響最小。
以下是我們根據您的網路流量提出的建議。
-
中等流量
- 最高 500Mbps
- 每秒最多 70,000 個封包
- 每秒最多 1200 流量
您可以使用預設值安裝虛擬機。無需變更 VM 設定。
-
高流量
- 最高 1Gbps
- 每秒最多 300,000 個封包
- 每秒最多 4500 流量
您應將 VM 的大小調整為 8 vCPU。
如果網路統計資料高於高流量設定中的統計資料,請在整個網路中部署多個 VM。
上述建議僅適用於執行 Sophos NDR 的 VM。如果它還在高負載下執行記錄收集器整合,則可能需要新增更多虛擬 CPU。請參閱Sophos NDR 與記錄收集器整合。
僅限記錄收集器整合
如果您正在執行單一記錄收集器整合,通常不需要調整 VM 的大小。預設設定已經足夠了。
不過,如果您有多個整合或大量事件傳送至記錄收集器,則可能需要變更設定或新增更多 VM。
記憶體
每個整合需要高達 400MB 的記憶體。
每個記錄收集器最多可以執行四個整合。記錄收集器容器的預設最大記憶體為 2GB。
如果要執行更多整合,請增加最大記憶體。為此,請在資料收集器主控台中編輯 SYSLOG 連接埠設定。請參見 Syslog 網路連接埠。
事件量
VM 每秒最多可接受 8,000 個事件。無論 VM 上有多少整合,均是如此。
如果您有多個整合,而且認為您會超出此限制,請部署多個 VM。
如果單個記錄收集器整合超過限制,請使用源裝置上的 syslog 設定以嘗試減少事件的數量。
Sophos NDR 與記錄收集器整合
如果同一 VM 上有 Sophos NDR 和記錄收集器整合,則沒有單一的大小調整解決方案。我們建議您從 NDR 大小調整開始,然後考慮記錄收集器整合需要什麼。
以下是一些可能影響您進行大小調整的因素:
- NDR 會佔用 CPU 並為使用該 CPU 的其他整合設定優先級。如果您有 4 個 CPU,則 NDR 會佔用 2 個 CPU。如果您有 8 個 CPU,則 NDR 會佔用 3 個 CPU。
- 即使 NDR 佔用了某個 CPU,其他整合仍可以使用它並影響 NDR 可以處理的流量大小。
- 如果您有 16GB 的記憶體,我們不允許記錄收集器整合使用超過 2GB 的記憶體。這可確保 NDR 有足夠的記憶體。
- 當記錄收集器整合處理最大事件數時,它會在中等負載下使用與 Sophos NDR 相同的處理能力。這假定 VM 具有預設的 4 個 CPU。
連接埠和網域排除項
確保您的防火牆允許使用以下連接埠和網域。這樣,Sophos 虛擬設備就可以啟動並下載更新。
| 主機名/IP | 連接埠 | 通訊協定 |
|---|---|---|
| 104.18.124.25 | 443 | TLS |
| 18.192.249.164 | 443 | TLS |
| 185.125.190.36 | 80 | HTTP |
| 185.125.190.39 | 80 | HTTP |
| 185.125.190.57 | 123 | NTP |
| 3.124.86.55 | 443 | TLS |
| 3.125.70.229 | 443 | TLS |
| 44.194.184.98 | 443 | TLS |
| 52.216.101.243 | 443 | TLS |
| 52.216.224.128 | 443 | TLS |
| 54.231.236.249 | 443 | TLS |
| 54.93.58.97 | 443 | TLS |
| 91.189.91.157 | 123 | NTP |
| 91.189.91.39 | 80 | HTTP |
| api.snapcraft.io | 443 | TLS |
| archive.ubuntu.com | 80 | HTTP |
| auth.docker.io | 443 | TLS |
| baltocdn.com | 443 | TLS |
| central.sophos.com | 443 | TLS |
| changelogs.ubuntu.com | 443 | TLS |
| entropy.ubuntu.com | 443 | TLS |
| jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com | 443 | TLS |
| nta-proxy.cloudstation.eu-central-1.prod.hydra.sophos.com | 443 | TLS |
| nta-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com | 443 | TLS |
| nta-proxy.cloudstation.us-east-2.prod.hydra.sophos.com | 443 | TLS |
| nta-proxy.cloudstation.us-west-2.prod.hydra.sophos.com | 443 | TLS |
| nta-push-ws.cloudstation.eu-central-1.prod.hydra.sophos.com | 443 | TLS |
| nta-push-ws.cloudstation-eu-central-1.prod.hydra.sophos.com | 443 | TLS |
| nta-push-ws.cloudstation-eu-west-1.prod.hydra.sophos.com | 443 | TLS |
| nta-push-ws.cloudstation-us-east-2.prod.hydra.sophos.com | 443 | TLS |
| nta-push-ws.cloudstation-us-west-2.prod.hydra.sophos.com | 443 | TLS |
| production.cloudflare.docker.com | 443 | TLS |
| raw.githubusercontent.com | 443 | TLS |
| registry-1.docker.io | 443 | TLS |
| sdu-feedback.sophos.com | 443 | TLS |
| security.ubuntu.com | 80 | HTTP |
| sophossecops.jfrog.io | 443 | TLS |
| tf-nta-sva-images-cloudstation-ap-northeast-1-prod-bucket.s3.ap-northeast-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-ap-south-1-prod-bucket.s3.ap-south-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-ap-southeast-2-prod-bucket.s3.ap-southeast-2.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-ca-central-1-prod-bucket.s3.ca-central-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-eu-central-1-prod-bucket.s3.eu-central-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-eu-west-1-prod-bucket.s3.eu-west-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-sa-east-1-prod-bucket.s3.sa-east-1.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-us-east-2-prod-bucket.s3.us-east-2.amazonaws.com | 443 | TLS |
| tf-nta-sva-images-cloudstation-us-west-2-prod-bucket.s3.us-west-2.amazonaws.com | 443 | TLS |