AWS 上的 Sophos NDR

Sophos Network Detection and Response (NDR) 偵測到您的網路上存在惡意行爲。

您可以將 Sophos NDR 與 Sophos Central 整合，以便能夠在威脅分析中心中對其偵測進行調查。

此整合使用接收資料並將資料轉發到 Sophos Data Lake 的設備。

主要步驟如下：

• 檢查需求
• 為 Sophos 設備建立並下載 CloudFormation 範本。
• 在 AWS 中訂閱 Sophos Integration Appliance。
• 建立堆疊。您可以在此指定 NDR 的 VPC 和子網路。
• 建立流量鏡像工作階段。這會傳送流量至 NDR 以進行分析。
• 編輯安全群組以允許 Syslog 流量並授與對 Sophos Appliance Manager 的存取權限。
• 為 Sophos Appliance Manager 設定密碼。

Appliance Manager 可讓您監控並管理 Sophos NDR 設備。

需求

要在 AWS 上設定 Sophos NDR，您需要以下帳戶和基礎結構：

• AWS 帳戶。
• Sophos Central 帳戶。
• EC2 執行個體。
• VPC、子網路和可用區域。您可以使用目前已有的帳戶和基礎結構。
• 至少有一個指派的 Elastic IP 位址供 NDR 管理介面使用。

我們支援以下 EC2 執行個體類型：

• c5n.2xlarge
• c6i.4xlarge
• c7i.16xlarge (Nitro 虛擬化)

您必須為 AWS 帳戶建立並儲存 SSH 私鑰。

您必須在選擇的任何區域建立 VPC。以下是 VPC 資源圖的範例：

建立 CloudFormation 範本

若要為設備建立 CloudFormation 範本，請執行下列操作：

1. 在 Sophos Central 中，移至威脅分析中心 > 整合 > 市場。
2. 尋找並按一下 Sophos Network Detection and Response (NDR)。

3. 在 NDR 頁面的資料擷取（安全警示）中，按一下新增設定。

   螢幕上將顯示整合設定步驟。

4. 在步驟 1 中，輸入整合的名稱和說明。

   

5. 在步驟 2 中，建立 CloudFormation 範本 (CFT)。在虛擬平台中，選取 AWS。

   

6. 按一下儲存。

CloudFormation (CF) json 檔案 aws_ndr_cf_latest.json 已建立。

下載 CloudFormation 範本

若要下載 CloudFormation 範本，請執行下列操作：

1. 在 Sophos Central 中，移至 整合 > 已設定。
2. 選取整合設備索引標籤，然後找到 Sophos NDR 設備。

3. 在最右邊的欄位中，按一下三個點，然後選取下載影像。

   

aws_ndr_cf_latest.json 檔案將下載到您的 Downloads 資料夾。

訂閱 Sophos Integration Appliance。

您必須在 AWS Marketplace 主控台中訂閱 Sophos Integration Appliance。若要執行此操作，請依照以下步驟操作。

1. 移至 AWS Marketplace 頁面並查找 Sophos Integration Appliance。

2. 在產品概覽頁面上，按一下繼續訂閱。

   

3. 在訂閱此軟體頁面上，接受條款與條件，然後按一下繼續設定。

   

4. 在設定此軟體頁面上，檢查版本和區域，然後按一下繼續啟動。

   

5. 在啟動此軟體頁面上，按一下使用說明以查看如何存取 Sophos Appliance Manager。

   

6. 按一下啟動。

AWS 會打開建立堆疊頁面。

建立堆疊

現在，您可以使用下載的 CloudFormation 範本，為您的 AWS 帳戶建立 NDR Sensor。要執行此操作，您需要建立一個堆疊。

1. 在建立堆疊頁面上，執行以下操作：

   1. 保持選取範本已就緒。
   2. 在指定範本中，選取上傳範本檔案。
   3. 按一下選擇檔案，然後選取 aws_ndr_cf_latest.json。
   4. 按一下下一步。

   

2. 在指定堆疊詳細資料頁面上，輸入名稱和以下網路設定詳細資料：

   1. 要用於 NDR 的現有 VPC。
   2. NDR 管理介面的子網路。這是一個公用子網路。
   3. NDR Syslog 介面的子網路。這使 NDR 可以連接一個介面，如果您新增另一個第三方記錄收集器，則可以在以後使用該介面。
   4. NDR SPAN 介面的子網路。SPAN 介面獲取網路流量的鏡像副本，並將其傳送到 NDR 進行分析。
   5. 授與管理員 NDR 執行個體的 SSH 存取權限的安全群組。

   完成的網路設定詳細資料如以下範例所示：

   

3. 在 EC2 執行個體設定下，輸入存取 NDR EC2 執行個體所需的 SSH 金鑰，然後按一下下一步。

   注意

   您先前建立並儲存了此 SSH 金鑰對。

   

4. 在設定堆疊選項頁面上，接受預設 AWS 設定，或根據需要進行變更。按一下 送出。

CloudFormation 範本根據您用於上傳範本的帳戶所處的 AWS 區域，自動選擇正確的區域和 AMI。

等待建立 NDR Sensor。此過程可能需要 5-6 分鐘。

建立流量鏡像工作階段

建立目標鏡像工作階段以鏡像網路流量，並將其轉發到 NDR。若要執行此操作，請依照以下步驟操作。

1. 在 AWS 中，移至 VPC > 流量鏡像工作階段 > 建立流量鏡像工作階段。

2. 在工作階段設定中，執行以下操作：

   1. 輸入名稱標籤和說明。
   2. 在鏡像來源中，輸入要從中鏡像網路流量的網路介面。
   3. 在鏡像目標中，輸入要向其鏡像網路流量的 SPAN 介面。選取 CloudFormation 範本為您建立的 NDR SPAN 目標。

   

3. 在其他設定中，執行以下操作：

   1. 輸入工作階段編號。該編號決定了評估同一來源的工作階段的順序。
   2. 將 VNI (虛擬網路介面) 設定為 1。
   3. 在篩選器中，選取 CloudFormation 範本已建立的 NDR 流量鏡像篩選器。
   4. 點選建立。

   

編輯安全群組

您需要編輯 AWS 安全群組。這樣您就可以進行以下變更：

• 允許 Syslog 流量進入設備。
• 授與對 Appliance Manager 的存取權限。

要編輯安全群組，請執行以下操作：

1. 在 AWS 中，移至 Sophos NDR 設備的安全詳細資料。

   要執行此操作，請在 AWS 主控台搜尋欄中輸入設備名稱。找到後，選取 EC2 索引標簽，然後按一下 Sophos Appliance 執行個體。

2. 在執行個體摘要頁面上，向下捲動到索引標簽頁面，然後選取安全索引標簽。

3. 找到 InternalSyslogSG 群組並輸入您想要允許流量的來源，以進行記錄收集。

4. 查找 InternalMgmtSG 安全群組。CloudFormation 範本為您建立了此群組。將您的管理員新增至群組中，並授與他們存取內送規則中連接埠 8443 的權限。

   

若想使用 Appliance Manager，您還需要先設定密碼。

設定 Appliance Manager 的密碼

Appliance Manager 的使用者名稱是 zadmin。若要設定密碼，請依照以下方式操作：

1. 在 Sophos Central 中，移至威脅分析中心 > 整合 > 已設定。

2. 移至整合設備索引標籤。

3. 尋找您的設備。在最右邊的欄位中，按一下三個點，然後選取打開 Appliance Manager。

   

4. 在確認對話方塊中，按一下重設。

   

任何其他想要使用 Appliance Manager 的管理員也必須設定密碼。