Nutanix 上的 Sophos NDR
要使用此功能,您必須擁有 "Sophos Network Detection and Response" 整合授權套件。
您可以在Nutanix上設定Sophos NDR,以便NDR可以檢測網路上的惡意行為。
主要步驟如下:
- 創建NDR設備映像
- 下載虛擬機映像
- 上傳映像文件
- 上載安裝腳本
- 執行安裝指令檔:
- 啟動虛擬機
創建NDR設備映像
- 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Marketplace。
- 尋找並按一下 Sophos Network Detection and Response (NDR)。
-
在 NDR 頁面的資料擷取(安全警示)中,按一下新增設定。
螢幕上將顯示整合設定步驟。
-
在步驟 1 中,輸入整合的名稱和說明。
-
在 步驟2中,單擊 創建最新設備。
-
如需建立新設備,請執行以下操作:
- 輸入設備名稱和說明。您必須輸入一個唯一的名稱。
- 在 “Virtual平台”(虛擬磁盤)中,選擇 Nutanix。
-
指定面向網際網路的網路連接埠。
-
選取 DHCP 可自動指派 IP 位址。
注意
如果選取 DHCP,則必須保留 IP 位址。
-
選取手動以指定網路設定。例如:
- IP 位址:
10.0.252.5
- 子網路遮罩:
255.255.255.0
- 閘道位址:
10.0.252.1
- DNS 1:
8.8.8.8
- DNS 2:
8.8.4.4
- IP 位址:
-
-
在步驟 3,從檢查中排除特定網域和通訊協定。例如,如果您的網域造成誤判,您可以這麼做。
您可以稍後設定排除項,但現在必須輸入排除項清單名稱。
- 在 排除列表名稱中輸入名稱。
- 要排除網域,請按一下網域排除項。輸入網域名稱,例如
sophos.com
,然後按一下新增。 -
要排除通訊協定,請按一下通訊協定排除項。您可以在以下任一或兩個欄位中輸入資訊:
- 在第一個字段中,輸入頂級協議。例如,
TCP
或UDP
。 - 在第二個欄位中,輸入子通訊協定(網站)。例如
Facebook
。
如果您在兩個欄位中輸入資訊,我們會將它們組合為一個帶有單點分隔符的字串。
我們不建議完全排除頂級協議。只有當通常不具有風險的高流量通訊協定(如路由通訊協定)產生的資料太多時,才執行此操作。
螢幕擷取畫面會顯示範例資訊。
- 在第一個字段中,輸入頂級協議。例如,
-
按一下 新增。
您可以將排除項匯出為 JSON 檔案。您也可以從先前匯出的 JSON 檔案上傳排除項至清單。
-
按一下 儲存。
在 NDR 頁面中,您會在已設定整合的清單中看到新的整合。
下載虛擬機映像
現在您下載了部署和啟動新虛擬機所需的 NDR 映像。
Nutanix部署文件是一個zip文件,其中包含磁碟映像文件,包含授權密鑰的種子ISO和安裝腳本。您必須解壓縮文件,以便使用其內容。
上傳圖像文件
要將磁盤映像文件和種子ISO上載到Nutanix系統,請執行以下操作:
上載根映像文件
- 單擊 上傳圖像
- 輸入名稱。建議您在名稱中包含"root"一詞。
- (可選)添加 注釋。
-
選擇 上載文件,單擊 瀏攬,然後選擇您的文件。
當您選擇文件時, 圖像類型 將自動選定。
-
按一下 儲存。
文件上傳開始。等待上傳完成後再繼續設定。
上傳種子ISO映像文件
- 單擊 上載映像。
- 輸入名稱。我們建議您在名稱中包含"iso"一詞。
- (可選)添加 注釋。
-
選擇 上載文件,單擊 瀏攬,然後選擇您的文件。
當您選擇文件時, 圖像類型 將自動選定。
-
按一下 儲存。
文件上傳開始。等待上傳完成後再繼續設定。
三個上傳的文件將顯示在“ Image Configuration ”(映像配置)頁中。
上載安裝腳本
ndr-sensor.sh
zip文件中還包括名為的腳本。要上載到Nutanix AHV VM控制器,請使用安全文件傳輸協議(SCP),如下所示:
- 對於Windows,打開命令提示符,或者在macOS或Linux上打開終端。
- 轉至解壓文件所在的目錄。
-
執行以下指令:
scp ndr-sensor.sh admin@<ip-address>:~/
。 -
輸入管理員密碼。
執行安裝指令檔:
- 打開Nutanix AHV VM。
- 使用以下命令登入並通過SSH連接:
ssh admin@<ip-address>
。 - 要運行安裝腳本,請運行以下命令:
bash ndr-sensor.sh
。 -
輸入設備虛擬機的名稱。預設名稱為
ndr-sensor
。注意
對於列出預設值的項目,可以按Enter鍵接受預設值。
-
輸入要分配給虛擬機的CPU內核數。預設值爲
4
。 - 輸入要分配給虛擬機的記憶體量。預設值爲
16(GB)
。
您將看到以下消息:Created vm <name> UUID <UUID>
。
選擇虛擬機磁碟映像文件
注意
對於所有磁碟選擇步驟,您可以輸入'L'以列出系統中存儲的圖像。
要選擇VM磁碟映像文件,請執行以下操作:
網路設定
該腳本將爲虛擬機創建以下網絡接口:
- 管理網路
- Syslog網路
- 用於隧道捕獲數據的ERSPAN
- 鏡像網路的跨接,以接收來自此VM伺服器上其他VM的捕獲數據
該腳本將列出管理,syslog和隧道遠程交換埠分析器(RSPAN)捕獲數據可使用的可用虛擬子網。
單個子網可用於所有三個網路。
要將子網分配給網路,請執行以下操作:
-
輸入與用於管理網路的子網對應的編號。
-
輸入要用於syslog接收網路的虛擬子網對應的編號。
- 使用配置參數自動創建SPAN網路的配置。它被設定為
type=kSpanDestinationNic
。 - 輸入與虛擬子網相對應的編號,以用於隧道RSPAN捕獲網路。
腳本完成後,它提供了一些 acli
啓用Nutanix SPAN會話的示例命令。示例命令中列出的MAC地址是腳本創建的SPAN接口的MAC地址。
示例命令可用於以下類型的SPAN會話:
- 跨接VM主機上所有VM的數據。
- 跨接VM主機上單個VM的數據。
對於更多資訊,請參見 在AHV主機上的通信鏡像。
啟動虛擬機
完成腳本後,返回Nutanix Web控制臺並轉到VM頁面,然後打開VM。
注意
當您啟動虛擬機時,它會經過其第一個引導過程,這可能需要長達十分鐘的時間。
在 Sophos Central 中,轉到要整合的產品的整合頁面,然後重新整理該頁面。現在,虛擬機的狀態為已連線。