ESXi或Hyper-V上的Sophos NDR
要使用此功能,您必須擁有 "Sophos Network Detection and Response" 整合授權套件。
Sophos Network Detection and Response (NDR) 偵測到您的網路上存在惡意行爲。
您可以將 Sophos NDR 與 Sophos Central 整合,以便能夠在威脅分析中心中對其偵測進行調查。
此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為設備。設備接收資料,並將資料轉寄到 Sophos Data Lake。
目前 Sophos NDR 支援 VMware ESXi 6.7 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。
主要步驟如下:
- 檢查需求
- 設定整合。這將設定要在 VM 上使用的映像。
- 設定交換器,以便 NDR 可以看到流量。
- 在 VM 上下載並部署映像。這將成為設備。
需求
目前,Sophos 支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V。
執行設備的 VM 具有系統和網路存取要求。有關完整詳細資料,請參見 設備要求。
有關所需 CPU 微架構和 CPU 標誌的詳細資料,請參閱 CPU 需求。
有關調整 VM 大小以獲得最佳效能的快速指南,請參見 Sophos NDR VM 大小指南。
設定整合
要設定整合,請執行以下動作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
-
尋找並按一下 Sophos Network Detection and Response (NDR)。
-
在 NDR 頁面的資料擷取(安全警示)中,按一下新增設定。
螢幕上將顯示整合設定步驟。
設定 VM
-
在步驟 1 中,輸入整合的名稱和說明。
-
在步驟 2 中,選取或建立將收集 NDR 記錄的設備。
每個設備只能有一個 NDR 整合。
如果需要新的設備,請按一下建立新設備。
如果要使用現有設備,請從下拉式清單中選取該設備,然後跳至步驟 3 以設定排除項。
-
如需建立新設備,請執行以下操作:
-
輸入設備名稱和說明。您必須輸入一個唯一的名稱。
-
選取虛擬平台。目前,我們僅支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V。
-
指定面向網際網路的網路連接埠。
-
選取 DHCP 可自動指派 IP 位址。
注意
如果選取 DHCP,則必須保留 IP 位址。
-
選取手動以指定網路設定。例如:
-
IP 位址:10.0.252.5
- 子網路遮罩:255.255.255.0
- 閘道位址:10.0.252.1
- DNS 1:8.8.8.8
- DNS 2:8.8.4.4
-
-
-
在步驟 3,從檢查中排除特定網域和通訊協定。例如,如果您的網域造成誤判,您可以這麼做。
您可以稍後設定排除項,但現在必須輸入排除項清單名稱。
- 輸入排除項清單名稱。
- 要排除網域,請按一下網域排除項。輸入網域名稱,例如
sophos.com,然後按一下新增。 -
要排除通訊協定,請按一下通訊協定排除項。您可以在以下任一或兩個欄位中輸入資訊:
- 在第一個欄位中,輸入主通訊協定。例如,
TCP或UDP。 - 在第二個欄位中,輸入子通訊協定(網站)。例如
facebook。
如果您在兩個欄位中輸入資訊,我們會將它們組合為一個帶有單點分隔符的字串。
我們不建議完全排除主通訊協定。只有當通常不具有風險的高流量通訊協定(如路由通訊協定)產生的資料太多時,才執行此操作。
螢幕擷取畫面會顯示範例資訊。
- 在第一個欄位中,輸入主通訊協定。例如,
-
按一下 新增。
您可以將排除項匯出為 JSON 檔案。您也可以從先前匯出的 JSON 檔案上傳排除項至清單。
-
按一下儲存。
在 NDR 頁面中,您會在已設定整合的清單中看到新的整合。
接下來,設定交換器,以便 NDR 設備能夠監控您的網路流量。
設定您的交換器
下載和部署 Sophos NDR VM 之前,必須設定連接埠鏡像,也稱為交換連接埠分析器 (SPAN)。這會將傳入和傳出流量的副本從交換器的連接埠或 VLAN 轉送到另一個交換器連接埠進行分析。
您必須為虛擬內部和實體外部網路流量設定連接埠鏡像。
稍後部署 NDR VM 設備時,您將能夠將其連接到 SPAN 連接埠,以便 NDR 能夠監控網路流量。
埠鏡像的說明取決於您是在ESXi還是Hyper-V上設定NDR 單擊下面的虛擬環境選項卡。
如果您使用的是ESXi,埠鏡像涉及以下步驟:
- 設定虛擬交換器。
- 設定實體交換器。
設定虛擬交換器
要為虛擬內部交換器設定連接埠鏡像,請執行以下動作:
- 在 ESXi 中,移至網路。在虛擬交換器標籤上,選取用於連接埠鏡像的交換器。
如果尚未使用交換器,請按一下新增標準虛擬交換器以新增新交換器並向其新增連接埠群組。
-
在連接埠群組標籤上,按一下新增連接埠群組。
-
在新連接埠群組的設定中,執行以下動作:
- 輸入名稱。
- 將 VLAN ID 設定為 4095。這允許交換器上已有的所有其他連接埠群組將流量轉送到新連接埠群組。
- 按一下安全性並將混合模式設定為接受。
- 按一下 新增。
您已設定虛擬內部網路流量的轉送。接下來,對實體外部流量執行相同的動作,如下步驟所述。
-
在 ESXi 中,選取或建立另一個虛擬交換器,以處理網路上實體交換器傳送給它的實體外部流量。
-
依照以下步驟設定交換器:
- 移至連接埠群組並按一下新增連接埠群組。
- 輸入名稱。
- 將 VLAN ID 設定為 4095。
- 按一下安全性並將混合模式設定為接受。
接下來,將虛擬交換器連接到實體網路,以便它能夠接收外部流量。
-
在 ESXi 左側功能表中,移至網路並選取要用於外部流量的交換器。
-
在交換器詳細資料中,查找 vSwitch 拓撲。您可以看到「無實體介面卡」。
-
按一下新增上行鏈路。
-
在上行鏈路 1 中,選取可用的 NIC(網路介面卡)。這會將虛擬交換器連接到 ESXi 伺服器上的連接埠。
-
在網路拓撲中,檢查是否可以看到實體介面卡已連接。
-
移至您的實體交換器並使用纜線直接連接到 ESXi 伺服器上的連接埠。
接下來,您需要在實體交換器上設定鏡像。
設定實體交換器
本節介紹如何在 Sophos Switch 上設定連接埠鏡像。其它交換器的設定步驟有所不同。
如欲設定鏡像,請依照以下動作執行:
- 在 Sophos Central 中,移至交換器。
-
選取要設定的交換器,然後按一下執行命令。
-
在執行交換器命令主控台中,輸入命令以鏡像所有流量。在此範例中,命令將鏡像連接埠 1-4 上的所有輸入和輸出流量,並將其傳送到連接埠 8。
configure terminal
monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
monitor session 1 source interface gigabitethernet 0/1 both
monitor session 1 source interface gigabitethernet 0/2 both
monitor session 1 source interface gigabitethernet 0/3 both
monitor session 1 source interface gigabitethernet 0/4 both
save
end
show monitor session 1
-
按一下執行。主控台顯示在綠色背景下執行的命令。
-
執行最後一個命令時,主控台將顯示已完成的設定。按一下關閉。
您已完成將流量轉送到 SPAN 連接埠的設定。稍後,您將設定 Sophos NDR 以監控該流量。
如果您使用的是Hyper-V,埠鏡像涉及以下步驟:
- 使用Hyper-V配置流量鏡像埠
- 將SPAN虛擬接口連接到虛擬交換機。
- 打開Microsoft NDIS捕獲擴展。
- 配置交換機的鏡像模式。
- 驗證流量鏡像。
如果您使用 Hyper-V,請參閱使用 Hyper-V vSwitch 設定流量鏡像。
下面,下載 NDR VM 映像。
下載虛擬機映像
現在您下載了部署和啟動新虛擬機所需的 NDR 映像。
-
在新整合旁,按一下動作 欄中的
,然後選取適合您的平台的下載,例如,若是 ESXi,則選取下載 OVA 檔案。您會看到下載開始。
-
將游標暫留在整合名稱左側的圖示上。現在,您會看到「正在等待部署」。
您已準備好部署虛擬機。
部署虛擬機
按一下下面平台的索引標籤以查看說明。
限制
如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署新的 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。
警告
如果要在以 Enhanced vMotion Compatibility (EVC) 叢集執行之 ESXi 主機上部署 OVA,EVC 必須處於 Skylake 或更新版本模式。
- 進入 ESXi 主機。
-
選取虛擬機,然後按一下建立/註冊虛擬機。
-
在選取建立類型中,選取從 OVF 或 OVA 檔案部署虛擬機。按一下下一步。
-
在選取 OVF 和 VMDK 檔案中,輸入虛擬機名稱。
按一下頁面以選取檔案。選取 OVA 檔案 ndr-sensor.ova。按一下下一步。
-
在選取儲存體中,選取標準儲存體。然後選取要放置 VM 的資料存放區。 按一下下一步。
-
在部署選項中,輸入如下設定。
- 在 SPAN1 中,選取將接收 NDR 應用程式的 SPAN 流量的連接埠群組。您先前已設定此項。請參閱設定您的交換器。
-
在 SPAN2中,選取將接收 SPAN 流量且需要監視的第二個連接埠群組(如果有)。例如,您可能有一個實體交換器和一個虛擬交換器,虛擬交換器不會向實體交換器傳送流量。
如果使用 SPAN2,則必須將 VM 的 CPU 數量至少增加到 8 個。請參閱Sophos NDR VM 大小指南。
-
Sophos NDR 不需要 SYSLOG。選取任何連接埠群組作為預留位置,稍後在 VM 設定中斷開連接。
-
在 MGMT 中,選取管理介面。設備透過此介面向 Sophos Central 傳送資料。
您之前在 Sophos Central 中的面向網際網路的網路連接埠設定中設定了此介面。
如果您在設備設定期間選取了 DHCP,請確保 VM 可以透過 DHCP 取得 IP 位址。
-
在磁碟佈建中,確保選中了精簡。
- 確保選中了自動開機。
- 按一下下一步。
-
跳過其他設定步驟。
-
按一下 完成。等待新虛擬機出現在虛擬機清單中。安裝程序可能會耗費數分鐘時間。
-
啟動虛擬機並等待安裝程序完成。
VM 第一次啟動,並檢查它是否可以連接到正確的 vSwitch 和網際網路。然後重新啟動。此可能需要最多 10 分鐘。
警告
請勿中斷此程序。
-
在 Sophos Central 中,移至 NDR 整合頁面並重新整理。現在,虛擬機的狀態為已連線。
如果 VM 的狀態為已連接,但似乎沒有工作,請在 Sophos VA 主控台中檢查 NDR 的 Dragonfly 服務的狀態。請參見 Sophos VA 主控台。
如果您在主控台中看到 Dragonfly 服務處於待決狀態,並且您的 VM 處於 Enhanced vMotion Compatibility (EVC) 叢集中,請檢查 EVC 模式是否為 Skylake 或更新版本。
Sophos NDR VA 不支援在 Sandy Bridge 模式下的 EVC 叢集中執行。
在 Sophos Central 中下載的 Zip 檔案包含部署 VM 所需的檔案:虛擬磁碟機、seed.iso 和 PowerShell 指令碼。
要部署 VM,請執行以下動作:
- 將 Zip 檔案解壓縮至硬碟上的資料夾。
- 移至資料夾,右鍵按一下
ndr-sensor.ps1檔案,然後選取使用 PowerShell 執行。 -
如果看到安全警告訊息,請按一下打開以允許檔案執行。
系統會提示您回答一系列問題。
-
為 VM 命名。
- 指令碼會顯示將儲存 VM 檔案的資料夾。這是虛擬磁碟機預設安裝位置中的新資料夾。輸入
C以允許指令碼建立它。 - 輸入要用於 VM 的處理器 (CPU) 數量。
- 輸入要使用的記憶體量(以 GB 為單位)。
-
指令碼顯示目前所有 vSwitch 的編號清單。
選取要將管理介面連接到的 vSwitch,然後輸入其編號。設備透過此介面向 Sophos Data Lake 傳送資料。
您之前在 Sophos Central 中的面向網際網路的網路連接埠設定中設定了此介面。
如果您在設定期間選取了 DHCP,請確保 VM 可以透過 DHCP 取得 IP 位址。
-
無需為 syslog 介面輸入 vSwitch。這僅與協力廠商產品整合有關。
選取任何 vSwitch 作為預留位置,稍後在 VM 設定中斷開連接。
-
選取將接收 NDR 應用程式的 SPAN 流量的 vSwitch。您先前已設定此項。請參閱設定您的交換器。
-
或者,選取將接收 SPAN 流量且需要監視的第二個 vSwitch(如果有)。例如,您可能有一個實體交換器和一個虛擬交換器,虛擬交換器不會向實體交換器傳送流量。
如果使用第二個 vSwitch,則必須將 VM 的 CPU 數量至少增加到 8 個。請參閱Sophos NDR VM 大小指南。
-
PowerShell 指令碼會在 Hyper-V 中設定 VM。您將看到安裝成功完成訊息。
- 按任意鍵退出。
-
打開 Hyper-V 管理員,查看新增到虛擬機清單中的 VM。您可以視需要變更任何設定。然後開啟電源。
VM 第一次啟動,並檢查它是否可以連接到正確的 vSwitch 和網際網路。然後重新啟動。此可能需要最多 10 分鐘。
-
在 Sophos Central 中,轉到要整合的產品的整合頁面,然後重新整理該頁面。現在,虛擬機的狀態為已連線。