跳至內容
部分或全部頁面已經過機器翻譯。
查找我們如何支持MDR

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=NDR-aws

AWS上的Sophos NDR

要使用此功能,您必須擁有 "Sophos Network Detection and Response" 整合授權套件。

Sophos Network Detection and Response (NDR) 偵測到您的網路上存在惡意行爲。

您可以將 Sophos NDR 與 Sophos Central 整合,以便能夠在威脅分析中心中對其偵測進行調查。

設備接收資料,並將資料轉寄到 Sophos Data Lake。

主要步驟如下:

  • 檢查需求
  • 創建Sophos設備。這是基於CloudFormation模板。
  • 在AWS中訂閱Sophos NDR。
  • 創建堆棧。您可以在此處爲NDR指定VPC和子網。
  • 創建通信鏡像會話。這會傳送檔案至 Sophos 以進行分析。
  • 編輯安全組以允許syslog通信並授予Sophos Appliance Manager的訪問權限。
  • 爲Sophos Appliance Manager設定密碼。

設備管理器可讓您監控和管理Sophos NDR設備。

要求

要在AWS上設定Sophos NDR,您需要以下帳戶和基礎結構:

  • AWS帳戶。
  • Sophos Central 賬戶
  • EC2 執行個體。
  • VPC,子網和可用性區域。您可以使用已有的。
  • NDR管理接口至少要使用一個分配的彈性IP地址。

我們支援以下EC2實例類型:

  • c5n.2xlarge
  • c6i.4xlarge
  • c7i.16xlarg(硝基虛擬化)

您必須爲AWS帳戶創建和保存SSH私鑰。

您必須在您選擇的任何區域創建VPC。以下是VPC資源映射的示例:

VPC資源映射示例。

創建設備

要創建和配置Sophos設備,請創建和下載CloudFormation模板。

部署 CloudFormation 範本

要建立防火墻範本,請執行以下操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場
  2. 尋找並按一下 Sophos Network Detection and Response (NDR)

  3. 在 NDR 頁面的資料擷取(安全警示)中,按一下新增設定

    螢幕上將顯示整合設定步驟

  4. 步驟 1 中,輸入整合的名稱和說明。

    整合步驟。

  5. 步驟2中,創建CloudFormation模板(CFT)。在 虛擬平臺中,選擇 AWS

    選取虛擬平台。

  6. 按一下儲存

aws_ndr_cf_latest.json 將創建CloudFormation (CF) json文件。

部署 CloudFormation 範本

若要部署 CloudFormation 範本,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至 整合 > 已設定
  2. 選擇 集成設備 選項卡並查找Sophos NDR設備。

  3. 在最右側的列中,單擊三個點,然後選擇 Download image(下載圖像)。

    顯示下載選項的已配置集成列表。

aws_ndr_cf_latest.json 文件將下載到您的下載文件夾。

訂閱Sophos NDR

您必須在AWS Marketplace控制檯中訂閱NDR。若要執行此操作,請依照以下步驟操作。

  1. 轉至 AWS Marketplace 頁面並查找Sophos NDR。

  2. 在" 產品概述 "頁面上,單擊 "繼續"以訂閱。

    NDR "產品概述"頁面。

  3. 在“ 訂閱此軟體 ”頁面上,接受條款和條件,然後單擊 “繼續配置”。

    "訂閱此軟體"頁面。

  4. Configure this software (配置此軟體)頁面上,檢查版本和區域,然後單擊 Continue(繼續)以啓動。

    "配置此軟體"頁面。

  5. 在" 啓動此軟體 "頁面上,單擊 "使用說明 "以查看如何訪問Sophos Appliance Manager。

    "啓動此軟體"頁面。

  6. 單擊 啓動

AWS將打開" 創建堆棧 "頁面。

創建堆棧

現在,您可以使用下載的CloudFormation模板爲AWS帳戶創建NDR傳感器。要執行此操作,請創建堆棧。

  1. 快速建立堆疊頁面上,請執行以下操作:

    1. **** 已選擇"保留模板已就緒"。
    2. 指定模板中,選擇 上載模板文件
    3. 按一下選擇檔案,然後選取 aws_ndr_cf_latest.json
    4. 按一下下一步

    顯示模板文件選擇的"創建堆棧"頁面。

  2. Specify stack details (指定堆棧詳細資訊)頁面上,輸入名稱和以下 Network Configuration (網路配置)詳細資訊:

    1. 您要用於NDR的現有VPC。
    2. NDR管理接口的子網。這是公用子網。
    3. NDR syslog接口的子網。這樣,NDR就可以連接一個接口,如果您添加了另一個第三方日誌收集器,以後可以使用該接口。
    4. NDR SPAN接口的子網。SPAN接口獲取網路流量的鏡像副本並將其發送給NDR進行分析。
    5. 爲管理員提供對NDR實例的SSH訪問權限的安全組。

    完整的網路配置詳細資訊如下所示:

    "指定堆棧詳細資訊"頁面。

  3. EC2 Instance Configuration(EC2實例配置)下,輸入訪問NDR EC2實例所需的SSH密鑰,然後單 擊Next(下一步)。

    注意

    您之前創建並保存了此SSH密鑰對。

    "EC2實例配置"欄位。

  4. 在" 配置堆棧選項 "頁面上,接受預設AWS設定或根據需要進行更改。按一下 送出

CloudFormation模板根據您用於上傳模板的帳戶的AWS區域自動選擇正確的區域和AMIS。

等待創建NDR傳感器。這可能需要5或6分鐘。

創建通信鏡像會話

創建目標鏡像會話以鏡像網路流量並將其轉發到NDR。若要執行此操作,請依照以下步驟操作。

  1. 在AWS中,轉到 VPC > 流量鏡像會話 > 創建流量鏡像會話

  2. 建立案例中,執行以下操作:

    1. 輸入名稱說明
    2. Mirror Source(鏡像源)中,輸入要從中鏡像網路通信的網路接口。
    3. Mirror Target(鏡像目標)中,輸入要將網路流量鏡像到的SPAN接口。選擇 **** CloudFormation模板爲您創建的NDR SPAN目標。

    交通路況鏡像工作階段設定。

  3. 建立案例中,執行以下操作:

    1. 輸入連接埠號碼該數字決定從同一來源評估會話的順序。
    2. VNI (虛擬網路接口)設定爲1。
    3. 過濾器中,選擇 **** CloudFormation模板已創建的NDR流量鏡像過濾器。
    4. 點選建立

    交通路況鏡像其他設定。

編輯安全組

您需要編輯AWS安全組。這可讓您進行以下更改:

  • 允許syslog通信流轉至設備。
  • 授予對Appliance Manager的訪問權限。

要編輯群組,請執行以下操作:

  1. 在AWS中,轉到Sophos NDR設備的安全詳細資訊。

    要執行此操作,請在AWS控制檯搜尋欄中輸入設備名稱。找到它後,選擇 EC2 選項卡,然後單擊 Sophos Appliance 實例。

  2. Instance Summary (實例摘要)頁面上,向下滾動到選項卡頁面,然後選擇 Security (安全)選項卡。

  3. 查找 InternalSyslogSG 組並輸入要允許用於日誌收集的通信的源。

  4. 查找 InternalMgmtSG 安全組。CloudFormation模板爲您創建了此模板。將您的管理員添加到組中,並授予他們對 入站規則中埠8443的訪問權限

    安全組入站規則。

在使用Appliance Manager之前,您還需要設定密碼。

設定Appliance Manager的密碼

Appliance Manager的用戶名爲 zadmin。要重設管理員密碼,請執行以下操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定

  2. 按一下整合設備索引標籤。

  3. 找到您的產品。在最右側的列中,單擊三個圓點,然後選擇 Open Appliance Manager(打開設備管理器)。

    設備動作功能表。

  4. 在確認對話方塊中,按一下重設密碼

    確認對話方塊。

要使用Appliance Manager的任何其他管理員也必須設定密碼。