Nutanix 上的 Sophos NDR

您可以在 Nutanix 上設定 Sophos NDR，使 NDR 能偵測網路中的惡意行為。

設定影片

觀看設定影片，引導您完成設定流程：

在 Nutanix AHV 中設定 NDR 感測器

需求

執行設備的 VM 具有系統和網路存取要求。有關詳細資料，請參見 設備要求。

有關所需 CPU 微架構與 CPU 標誌的詳細資訊，請參閱 CPU 需求。

有關調整虛擬機器大小以獲得最佳效能的資訊，請參閱 Sophos NDR 設備大小指南。

建立 NDR 設備映像檔

1. 在 Sophos Central 中，前往 威脅分析中心 > 整合 > Marketplace。
2. 尋找並按一下 Sophos Network Detection and Response (NDR)。

3. 在 NDR 頁面的資料擷取（安全警示）中，按一下新增設定。

   此時螢幕上將顯示 整合設定步驟。

4. 在步驟 1 中，輸入整合的名稱和說明。

   

5. 在步驟 2 中，點擊「建立新設備」。

6. 如需建立新設備，請執行以下操作：

   1. 輸入設備名稱和說明。
   2. 在虛擬平台中，選取 Nutanix。

   3. 指定面向網際網路的網路連接埠。

      • 若選擇 DHCP，系統會自動指派 IP 位址。

        注意

        若您選擇 DHCP，請務必保留該 IP 位址。

      • 若選擇 手動，則可自行指定網路設定。例如：

        • IP 位址：10.0.252.5
        • 子網路遮罩：255.255.255.0
        • 閘道位址：10.0.252.1
        • DNS 1:8.8.8.8
        • DNS 2:8.8.4.4

7. 在步驟 3，從檢查中排除特定網域和通訊協定。例如，如果您的網域造成誤判，您可以這麼做。

   您可以稍後設定排除項，但現在必須輸入排除項清單名稱。

   1. 在「排除清單名稱」欄位中輸入名稱。
   2. 要排除網域，請按一下網域排除項。輸入網域名稱，例如Sophos.com，然後點擊「新增」。

   3. 要排除通訊協定，請按一下通訊協定排除項。

      您可選擇在其中一個或兩個欄位中輸入資訊，如下所示：

      • 在第一個欄位中，輸入頂級協議。例如，TCP或UDP。
      • 在第二個欄位中，輸入子通訊協定（網站）。例如，Facebook。

      如果您在兩個欄位中輸入資訊，我們會將它們組合為一個帶有單點分隔符的字串。

      我們不建議完全排除頂級協議。只有當通常不具有風險的高流量通訊協定（如路由通訊協定）產生的資料太多時，才執行此操作。

      螢幕擷取畫面會顯示範例資訊。

   4. 按一下 新增。

   您可以將排除項匯出為 JSON 檔案。您也可以從先前匯出的 JSON 檔案上傳排除項至清單。

   

8. 前往頁面頂部，並按一下 儲存。

   您會看到您的設備憑證。複製它們，並將其安全地儲存起來。

   注意

   它們只會顯示一次。

9. 按一下 確定。

   您的 Nutanix 安裝程式已生成。這可能需要幾分鐘。

在NDR頁面中，於「已設定的 NDR 整合」區段下，您將看到新的整合項目。若未顯示，請點擊「重新整理」圖示。

下載虛擬機映像

現在，請下載您需要部署的 NDR 映像檔，並啟動新的虛擬機器。

1. 在新整合旁的動作欄中，按一下 ，然後選取下載 OVA 檔案。

   Nutanix 部署檔案是一個 ZIP 壓縮檔，內含磁碟映像檔、包含授權金鑰的種子 ISO 檔案，以及安裝程式。

2. 解壓縮檔案以便使用其內容。

3. （可選）您可將游標懸停於整合名稱左側的圖示上。現在，您會看到「正在等待部署」。

   

上傳圖像檔案

要將磁碟映像檔和種子ISO上傳至Nutanix系統，請依下列步驟操作：

1. 請透過網頁瀏覽器登入 Nutanix 網頁控制台，連接埠為 9440。

2. 前往首頁>設定。

   

3. 選擇影像設定。

   

上傳根映像檔

1. 點擊上傳圖片。
2. 輸入名稱。我們建議您在名稱中包含「根」這個詞。
3. （可選）您可以添加註解。
4. 針對影像類型，請選擇磁碟。
5. 選擇「上傳檔案」，點擊「瀏覽」，然後選取並開啟ndr-root.qcow2檔案。

6. 按一下儲存。

   。

   檔案上傳開始。這可能需要幾分鐘。請等待上傳完成後，再繼續進行設定。

上傳數據圖像檔案

1. 點擊上傳圖片。
2. 輸入名稱。我們建議您在名稱中加入「數據」一詞。
3. （可選）您可以添加註解。
4. 針對影像類型，請選擇磁碟。
5. 選擇「上傳檔案」，點擊「瀏覽」，然後選取並開啟ndr-data.qcow2檔案。

6. 按一下儲存。

   檔案上傳開始。這可能需要幾分鐘。請等待上傳完成後，再繼續進行設定。

上傳種子ISO映像檔

1. 點擊上傳圖片。
2. 輸入名稱。我們建議您在名稱中加入「ISO」一詞。
3. （可選）您可以添加註解。
4. 針對影像類型，請選擇ISO。
5. 選擇「上傳檔案」，點擊「瀏覽」，然後選取並開啟seed.iso檔案。

6. 按一下儲存。

   檔案上傳開始。這可能需要幾分鐘。請等待上傳完成後，再繼續進行設定。

三個上傳的檔案出現在「影像設定」頁面。

上傳安裝程式

壓縮檔中亦包含名為ndr-sensor.sh的腳本。要將腳本上傳至 Nutanix 控制器虛擬機器 (CVM)，請使用安全複製協定 (SCP)，操作步驟如下：

1. 在 Windows 中，開啟命令提示字元。對於 macOS 或 Linux，請開啟終端機。
2. 切換至存放已解壓縮檔案的目錄。

3. 執行以下指令：scp ndr-sensor.sh admin@<ip-address>:~/

   

   注意

   若您使用的是較早版本的 Nutanix，可能需要在指令中加入 -O 參數，如下所示：scp -O ndr-sensor.sh admin@<ip-address>:~/

4. 輸入管理員密碼。

   該腳本已安全地複製至 Nutanix CVM 上管理員使用者的主目錄。

執行安裝程式

1. 請使用以下指令登入並透過 SSH 連線至 Nutanix CVM：ssh admin@<ip-address>。
2. 輸入管理員密碼。
3. 要執行安裝程式，請執行以下指令：bash ndr-sensor.sh。

4. 為設備虛擬機器輸入名稱。預設名稱為ndr-sensor。

   

5. 輸入要使用的 CPU 核心數與記憶體容量。

   對於列出預設值的項目，您可以按下 Enter 鍵接受預設值。

   1. 輸入要分配給虛擬機器的 CPU 核心數。預設值為 4。
   2. 輸入要分配給虛擬機器的記憶體容量。預設值為16(GB)。

您將看到以下訊息：已建立虛擬機器 <名稱> UUID <UUID>。

選擇虛擬機器磁碟映像檔

要選取虛擬機器磁碟映像檔，請依下列步驟操作：

1. 請輸入您上傳的種子ISO映像檔名稱。

   

2. 請輸入您上傳的根磁碟映像檔的名稱。

3. 請輸入您上傳的資料磁碟映像檔的名稱。

網路設定

該腳本為虛擬機器建立以下網路介面：

• 管理網路
• Syslog 網路
• ERSPAN 用於通道化擷取數據
• SPAN 功能用於鏡像網路，以便接收來自此虛擬機器伺服器上其他虛擬機器的擷取資料

此腳本將列出可用於管理、系統日誌及通道式遠端交換埠分析器（RSPAN）擷取資料的虛擬子網路。

單一子網路可同時用於這三個網路。

要將子網路分配給網路，請依下列步驟操作：

1. 請輸入對應於管理網路所使用子網路的數字。

   

2. 輸入對應於虛擬子網路的數字，該子網路將用作接收系統日誌的網路。

3. SPAN 網路的設定會根據設定參數自動建立。類型設定為type=kSpanDestinationNic。

4. 輸入對應於虛擬子網路的數字，該子網路將用於通道化的ERSPAN擷取網路。

   腳本執行完畢後，將提供若干範例acli指令，用以啟用 Nutanix SPAN 會話。範例指令中列出的 MAC 位址，是腳本所建立之 SPAN 介面的 MAC 位址。

   所示的流量鏡像範例適用於以下情境：

   • 為位於主機上的所有虛擬機器啟用流量鏡像功能
   • 為特定虛擬機器上的單一網路介面卡啟用流量鏡像功能

   

5. 複製範例指令。您稍後會需要這些資訊。

如需更多資訊，請參閱#AHV 主機上的鏡像功能。

編輯範例指令

1. 使用以下指令列出您的主機 UUID：acli host.list。
2. 複製您的主機 UUID。

3. 請將「為位於主機上的所有虛擬機器啟用流量鏡像」指令中的主機 UUID 占位符替換為您的主機 UUID。

   識別碼即為將被監控的網路介面。在範例指令中，br0-up 代表兩個實體介面透過橋接器相連，例如採用主動-主動或主動-被動配置模式。

4. （可選）如有需要，請將識別碼替換為其他網路介面，例如eth0。

啟用 CPU 直通

1. 檢查CPU 直通功能是否已啟用，方法如下：

   1. 使用acli vm.list指令列出您的虛擬機器。
   2. 複製您所建立虛擬機器的 UUID。
   3. 輸入acli vm.get <UUID>以檢視虛擬機器的相關資訊。
   4. 向上捲動，檢查cpu-passthrough是否顯示為True或False。

2. 若cpu-passthrough為False，請執行以下操作：

   1. 執行以下指令：acli vm.update <UUID> cpu-passthrough=true。
   2. 輸入acli vm.get <UUID>以檢視虛擬機器的相關資訊。
   3. 向上捲動，檢查cpu-passthrough是否已顯示為True。

啟動虛擬機器

1. 在 Nutanix 網頁控制台，點擊「設定」，然後點擊「虛擬機器」。

2. 在虛擬機器名稱上按右鍵，然後點擊「啟動」。

   

3. 在虛擬機器名稱上按右鍵，然後點擊「啟動控制台」。

   您可以監控首次開機進程的執行狀況。

   注意

   此過程可能長達十分鐘。

4. 在 Sophos Central 中，點擊「威脅 分析 中心」，然後在「整合」區段下，前往「已設定」>「整合設備」。

   現在，虛擬機的狀態為已連線。

為位於主機上的所有虛擬機器啟用流量鏡像

1. 返回正在執行 Nutanix 主機命令列 介面的命令提示字元，貼上並執行您先前編輯過的命令。

   SPAN會話已建立。

測試流量

1. 在 SSH 客戶端（例如 PuTTY）中開啟 SSH 連線。
2. 連接到 Sophos NDR 設備的 IP 位址，並使用您先前從 Sophos Central 儲存的密碼，以zadmin使用者身分登入。請參見 建立 NDR 設備映像檔。
3. 執行以下指令：sudo kubectl logs -f deploy/dragonfly。

4. 輸入zadmin密碼。

   檢查 SPAN 介面是否正在被監控，方法是檢查該介面的封包。

5. 輸入exit。

設定 ERSPAN

要監控來自 Nutanix 環境外部其餘網路的流量，必須使用 ERSPAN。

要設定 ERSPAN，請參閱設備 管理員 for MDR 和 NDR 中的「封裝式遠端 SPAN 流量」章節：SPAN。

當變更套用後，虛擬機器將重新啟動，您將從設備管理員中登出。您可從控制台監控進度。

測試流量

1. 在 SSH 客戶端（例如 PuTTY）中開啟 SSH 連線。
2. 連接到 Sophos NDR 設備的 IP 位址，並使用您先前從 Sophos Central 儲存的密碼，以zadmin使用者身分登入。請參見 建立 NDR 設備映像檔。
3. 執行以下指令：sudo kubectl logs -f deploy/dragonfly。
4. 檢查是否正在監控 SPAN 介面，方法是檢查傳送至 SPAN 介面的封包。

檢視家電詳細資訊

1. 在 Sophos Central 中，返回「整合設備」頁面，然後展開您設備名稱左側的箭頭。在下面的範例中，該設備已連接且狀態良好。

   

2. 點擊裝置資訊右側然後點擊「開啟設備管理員」。

3. 按一下 開啟。
4. 在警告頁面中，接受自簽證書的警告。

5. 請使用zadmin使用者名稱和密碼登入。

   在下面的範例中，您可以看到每個介面都接收到了流量。