跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

Nutanix 上的 Sophos NDR

要使用此功能,您必須擁有 "Sophos Network Detection and Response" 整合授權套件。

您可以在Nutanix上設定Sophos NDR,以便NDR可以檢測網路上的惡意行為。

主要步驟如下:

  • 創建NDR設備映像
  • 下載虛擬機映像
  • 上傳映像文件
  • 上載安裝腳本
  • 執行安裝指令檔:
  • 啟動虛擬機

創建NDR設備映像

  1. 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Marketplace
  2. 尋找並按一下 Sophos Network Detection and Response (NDR)
  3. NDR 頁面的資料擷取(安全警示)中,按一下新增設定

    螢幕上將顯示整合設定步驟

  4. 步驟 1 中,輸入整合的名稱和說明。

    整合步驟。

  5. 步驟2中,單擊 創建最新設備

  6. 如需建立新設備,請執行以下操作:

    1. 輸入設備名稱和說明。您必須輸入一個唯一的名稱。
    2. “Virtual平台”(虛擬磁盤)中,選擇 Nutanix
    3. 指定面向網際網路的網路連接埠。

      • 選取 DHCP 可自動指派 IP 位址。

        注意

        如果選取 DHCP,則必須保留 IP 位址。

      • 選取手動以指定網路設定。例如:

        • IP 位址:10.0.252.5
        • 子網路遮罩: 255.255.255.0
        • 閘道位址: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4
  7. 步驟 3,從檢查中排除特定網域和通訊協定。例如,如果您的網域造成誤判,您可以這麼做。

    您可以稍後設定排除項,但現在必須輸入排除項清單名稱。

    1. 排除列表名稱中輸入名稱
    2. 要排除網域,請按一下網域排除項。輸入網域名稱,例如 sophos.com,然後按一下新增
    3. 要排除通訊協定,請按一下通訊協定排除項。您可以在以下任一或兩個欄位中輸入資訊:

      • 在第一個字段中,輸入頂級協議。例如,TCPUDP
      • 在第二個欄位中,輸入子通訊協定(網站)。例如 Facebook

      如果您在兩個欄位中輸入資訊,我們會將它們組合為一個帶有單點分隔符的字串。

      我們不建議完全排除頂級協議。只有當通常不具有風險的高流量通訊協定(如路由通訊協定)產生的資料太多時,才執行此操作。

      螢幕擷取畫面會顯示範例資訊。

    4. 按一下 新增

    您可以將排除項匯出為 JSON 檔案。您也可以從先前匯出的 JSON 檔案上傳排除項至清單。

    整合步驟 3 排除項。

  8. 按一下 儲存

NDR 頁面中,您會在已設定整合的清單中看到新的整合。

下載虛擬機映像

現在您下載了部署和啟動新虛擬機所需的 NDR 映像。

  1. 在新整合旁的動作欄中,按一下 三點圖示。,然後選取下載 OVA 檔案

  2. 將游標暫留在整合名稱左側的圖示上。現在,您會看到「正在等待部署」。

    整合狀態。

Nutanix部署文件是一個zip文件,其中包含磁碟映像文件,包含授權密鑰的種子ISO和安裝腳本。您必須解壓縮文件,以便使用其內容。

上傳圖像文件

要將磁盤映像文件和種子ISO上載到Nutanix系統,請執行以下操作:

  1. 從Web瀏攬器,通過埠9440登入Nutanix Web控制臺。
  2. 轉至 主頁 > 設定

    Nutanix Web控制臺。

  3. 選擇 映像配置

    Nutanix配置。

上載根映像文件

  1. 單擊 上傳圖像
  2. 輸入名稱。建議您在名稱中包含"root"一詞。
  3. (可選)添加 注釋
  4. 選擇 上載文件,單擊 瀏攬,然後選擇您的文件。

    當您選擇文件時, 圖像類型 將自動選定。

    上傳檔案。

  5. 按一下 儲存

    文件上傳開始。等待上傳完成後再繼續設定。

上傳種子ISO映像文件

  1. 單擊 上載映像
  2. 輸入名稱。我們建議您在名稱中包含"iso"一詞。
  3. (可選)添加 注釋
  4. 選擇 上載文件,單擊 瀏攬,然後選擇您的文件。

    當您選擇文件時, 圖像類型 將自動選定。

  5. 按一下 儲存

    文件上傳開始。等待上傳完成後再繼續設定。

三個上傳的文件將顯示在“ Image Configuration ”(映像配置)頁中。

已上傳圖像。

上載安裝腳本

ndr-sensor.sh zip文件中還包括名為的腳本。要上載到Nutanix AHV VM控制器,請使用安全文件傳輸協議(SCP),如下所示:

  1. 對於Windows,打開命令提示符,或者在macOS或Linux上打開終端。
  2. 轉至解壓文件所在的目錄。
  3. 執行以下指令:scp ndr-sensor.sh admin@<ip-address>:~/

    命令提示符。

  4. 輸入管理員密碼。

執行安裝指令檔:

  1. 打開Nutanix AHV VM。
  2. 使用以下命令登入並通過SSH連接:ssh admin@<ip-address>
  3. 要運行安裝腳本,請運行以下命令:bash ndr-sensor.sh
  4. 輸入設備虛擬機的名稱。預設名稱為 ndr-sensor

    輸入設備名稱。

    注意

    對於列出預設值的項目,可以按Enter鍵接受預設值。

  5. 輸入要分配給虛擬機的CPU內核數。預設值爲 4

  6. 輸入要分配給虛擬機的記憶體量。預設值爲 16(GB)

您將看到以下消息:Created vm <name> UUID <UUID>

選擇虛擬機磁碟映像文件

注意

對於所有磁碟選擇步驟,您可以輸入'L'以列出系統中存儲的圖像。

要選擇VM磁碟映像文件,請執行以下操作:

  1. 輸入您上傳的種子ISO的映像名稱。

    輸入種子ISO名稱。

  2. 輸入您上載的根磁碟映像文件的映像名稱。

  3. 輸入您上傳的數據磁碟映像文件的映像名稱。

網路設定

該腳本將爲虛擬機創建以下網絡接口:

  • 管理網路
  • Syslog網路
  • 用於隧道捕獲數據的ERSPAN
  • 鏡像網路的跨接,以接收來自此VM伺服器上其他VM的捕獲數據

該腳本將列出管理,syslog和隧道遠程交換埠分析器(RSPAN)捕獲數據可使用的可用虛擬子網。

單個子網可用於所有三個網路。

要將子網分配給網路,請執行以下操作:

  1. 輸入與用於管理網路的子網對應的編號。

    輸入網路號碼。

  2. 輸入要用於syslog接收網路的虛擬子網對應的編號。

  3. 使用配置參數自動創建SPAN網路的配置。它被設定為 type=kSpanDestinationNic
  4. 輸入與虛擬子網相對應的編號,以用於隧道RSPAN捕獲網路。

腳本完成後,它提供了一些 acli 啓用Nutanix SPAN會話的示例命令。示例命令中列出的MAC地址是腳本創建的SPAN接口的MAC地址。

示例命令可用於以下類型的SPAN會話:

  • 跨接VM主機上所有VM的數據。
  • 跨接VM主機上單個VM的數據。

對於更多資訊,請參見 在AHV主機上的通信鏡像

啟動虛擬機

完成腳本後,返回Nutanix Web控制臺並轉到VM頁面,然後打開VM。

VM顯示在Nutanix Web控制臺中。

注意

當您啟動虛擬機時,它會經過其第一個引導過程,這可能需要長達十分鐘的時間。

在 Sophos Central 中,轉到要整合的產品的整合頁面,然後重新整理該頁面。現在,虛擬機的狀態為已連線