AWS 上的 Sophos NDR
要使用此功能,您必須擁有 "Sophos Network Detection and Response" 整合授權套件。
Sophos Network Detection and Response (NDR) 偵測到您的網路上存在惡意行爲。
您可以將 Sophos NDR 與 Sophos Central 整合,以便能夠在威脅分析中心中對其偵測進行調查。
此整合使用接收資料並將資料轉發到 Sophos Data Lake 的設備。
主要步驟如下:
- 檢查需求
- 為 Sophos 設備建立並下載 CloudFormation 範本。
- 在 AWS 中訂閱 Sophos Integration Appliance。
- 建立堆疊。您可以在此指定 NDR 的 VPC 和子網路。
- 建立流量鏡像工作階段。這會傳送流量至 NDR 以進行分析。
- 編輯安全群組以允許 Syslog 流量並授與對 Sophos Appliance Manager 的存取權限。
- 為 Sophos Appliance Manager 設定密碼。
Appliance Manager 可讓您監控並管理 Sophos NDR 設備。
需求
要在 AWS 上設定 Sophos NDR,您需要以下帳戶和基礎結構:
- AWS 帳戶。
- Sophos Central 帳戶。
- EC2 執行個體。
- VPC、子網路和可用區域。您可以使用目前已有的帳戶和基礎結構。
- 至少有一個指派的 Elastic IP 位址供 NDR 管理介面使用。
我們支援以下 EC2 執行個體類型:
- c5n.2xlarge
- c6i.4xlarge
- c7i.16xlarge (Nitro 虛擬化)
您必須為 AWS 帳戶建立並儲存 SSH 私鑰。
您必須在選擇的任何區域建立 VPC。以下是 VPC 資源圖的範例:
建立 CloudFormation 範本
若要為設備建立 CloudFormation 範本,請執行下列操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
- 尋找並按一下 Sophos Network Detection and Response (NDR)。
-
在 NDR 頁面的資料擷取(安全警示)中,按一下新增設定。
螢幕上將顯示整合設定步驟。
-
在步驟 1 中,輸入整合的名稱和說明。
-
在步驟 2 中,建立 CloudFormation 範本 (CFT)。在虛擬平台中,選取 AWS。
-
按一下儲存。
CloudFormation (CF) json 檔案 aws_ndr_cf_latest.json
已建立。
下載 CloudFormation 範本
若要下載 CloudFormation 範本,請執行下列操作:
aws_ndr_cf_latest.json
檔案將下載到您的 Downloads 資料夾。
訂閱 Sophos Integration Appliance。
您必須在 AWS Marketplace 主控台中訂閱 Sophos Integration Appliance。若要執行此操作,請依照以下步驟操作。
- 移至 AWS Marketplace 頁面並查找 Sophos Integration Appliance。
-
在產品概覽頁面上,按一下繼續訂閱。
-
在訂閱此軟體頁面上,接受條款與條件,然後按一下繼續設定。
-
在設定此軟體頁面上,檢查版本和區域,然後按一下繼續啟動。
-
在啟動此軟體頁面上,按一下使用說明以查看如何存取 Sophos Appliance Manager。
-
按一下啟動。
AWS 會打開建立堆疊頁面。
建立堆疊
現在,您可以使用下載的 CloudFormation 範本,為您的 AWS 帳戶建立 NDR Sensor。要執行此操作,您需要建立一個堆疊。
-
在建立堆疊頁面上,執行以下操作:
- 保持選取範本已就緒。
- 在指定範本中,選取上傳範本檔案。
- 按一下選擇檔案,然後選取
aws_ndr_cf_latest.json
。 - 按一下下一步。
-
在指定堆疊詳細資料頁面上,輸入名稱和以下網路設定詳細資料:
- 要用於 NDR 的現有 VPC。
- NDR 管理介面的子網路。這是一個公用子網路。
- NDR Syslog 介面的子網路。這使 NDR 可以連接一個介面,如果您新增另一個第三方記錄收集器,則可以在以後使用該介面。
- NDR SPAN 介面的子網路。SPAN 介面獲取網路流量的鏡像副本,並將其傳送到 NDR 進行分析。
- 授與管理員 NDR 執行個體的 SSH 存取權限的安全群組。
完成的網路設定詳細資料如以下範例所示:
-
在 EC2 執行個體設定下,輸入存取 NDR EC2 執行個體所需的 SSH 金鑰,然後按一下下一步。
注意
您先前建立並儲存了此 SSH 金鑰對。
-
在設定堆疊選項頁面上,接受預設 AWS 設定,或根據需要進行變更。按一下 送出。
CloudFormation 範本根據您用於上傳範本的帳戶所處的 AWS 區域,自動選擇正確的區域和 AMI。
等待建立 NDR Sensor。此過程可能需要 5-6 分鐘。
建立流量鏡像工作階段
建立目標鏡像工作階段以鏡像網路流量,並將其轉發到 NDR。若要執行此操作,請依照以下步驟操作。
-
在 AWS 中,移至 VPC > 流量鏡像工作階段 > 建立流量鏡像工作階段。
-
在工作階段設定中,執行以下操作:
- 輸入名稱標籤和說明。
- 在鏡像來源中,輸入要從中鏡像網路流量的網路介面。
- 在鏡像目標中,輸入要向其鏡像網路流量的 SPAN 介面。選取 CloudFormation 範本為您建立的 NDR SPAN 目標。
-
在其他設定中,執行以下操作:
- 輸入工作階段編號。該編號決定了評估同一來源的工作階段的順序。
- 將 VNI (虛擬網路介面) 設定為 1。
- 在篩選器中,選取 CloudFormation 範本已建立的 NDR 流量鏡像篩選器。
- 點選建立。
編輯安全群組
您需要編輯 AWS 安全群組。這樣您就可以進行以下變更:
- 允許 Syslog 流量進入設備。
- 授與對 Appliance Manager 的存取權限。
要編輯安全群組,請執行以下操作:
-
在 AWS 中,移至 Sophos NDR 設備的安全詳細資料。
要執行此操作,請在 AWS 主控台搜尋欄中輸入設備名稱。找到後,選取 EC2 索引標簽,然後按一下 Sophos Appliance 執行個體。
-
在執行個體摘要頁面上,向下捲動到索引標簽頁面,然後選取安全索引標簽。
-
找到
InternalSyslogSG
群組並輸入您想要允許流量的來源,以進行記錄收集。 -
查找
InternalMgmtSG
安全群組。CloudFormation 範本為您建立了此群組。將您的管理員新增至群組中,並授與他們存取內送規則中連接埠 8443 的權限。
若想使用 Appliance Manager,您還需要先設定密碼。
設定 Appliance Manager 的密碼
Appliance Manager 的使用者名稱是 zadmin
。若要設定密碼,請依照以下方式操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定。
-
移至整合設備索引標籤。
-
尋找您的設備。在最右邊的欄位中,按一下三個點,然後選取打開 Appliance Manager。
-
在確認對話方塊中,按一下重設。
任何其他想要使用 Appliance Manager 的管理員也必須設定密碼。