AWS上的Sophos NDR
要使用此功能,您必須擁有 "Sophos Network Detection and Response" 整合授權套件。
Sophos Network Detection and Response (NDR) 偵測到您的網路上存在惡意行爲。
您可以將 Sophos NDR 與 Sophos Central 整合,以便能夠在威脅分析中心中對其偵測進行調查。
設備接收資料,並將資料轉寄到 Sophos Data Lake。
主要步驟如下:
- 檢查需求
- 創建Sophos設備。這是基於CloudFormation模板。
- 在AWS中訂閱Sophos NDR。
- 創建堆棧。您可以在此處爲NDR指定VPC和子網。
- 創建通信鏡像會話。這會傳送檔案至 Sophos 以進行分析。
- 編輯安全組以允許syslog通信並授予Sophos Appliance Manager的訪問權限。
- 爲Sophos Appliance Manager設定密碼。
設備管理器可讓您監控和管理Sophos NDR設備。
要求
要在AWS上設定Sophos NDR,您需要以下帳戶和基礎結構:
- AWS帳戶。
- Sophos Central 賬戶
- EC2 執行個體。
- VPC,子網和可用性區域。您可以使用已有的。
- NDR管理接口至少要使用一個分配的彈性IP地址。
我們支援以下EC2實例類型:
- c5n.2xlarge
- c6i.4xlarge
- c7i.16xlarg(硝基虛擬化)
您必須爲AWS帳戶創建和保存SSH私鑰。
您必須在您選擇的任何區域創建VPC。以下是VPC資源映射的示例:
創建設備
要創建和配置Sophos設備,請創建和下載CloudFormation模板。
部署 CloudFormation 範本
要建立防火墻範本,請執行以下操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
- 尋找並按一下 Sophos Network Detection and Response (NDR)。
-
在 NDR 頁面的資料擷取(安全警示)中,按一下新增設定。
螢幕上將顯示整合設定步驟。
-
在步驟 1 中,輸入整合的名稱和說明。
-
在 步驟2中,創建CloudFormation模板(CFT)。在 虛擬平臺中,選擇 AWS。
-
按一下儲存。
aws_ndr_cf_latest.json
將創建CloudFormation (CF) json文件。
部署 CloudFormation 範本
若要部署 CloudFormation 範本,請依照以下步驟操作:
- 在 Sophos Central 中,移至 整合 > 已設定。
- 選擇 集成設備 選項卡並查找Sophos NDR設備。
-
在最右側的列中,單擊三個點,然後選擇 Download image(下載圖像)。
該 aws_ndr_cf_latest.json
文件將下載到您的下載文件夾。
訂閱Sophos NDR
您必須在AWS Marketplace控制檯中訂閱NDR。若要執行此操作,請依照以下步驟操作。
- 轉至 AWS Marketplace 頁面並查找Sophos NDR。
-
在" 產品概述 "頁面上,單擊 "繼續"以訂閱。
-
在“ 訂閱此軟體 ”頁面上,接受條款和條件,然後單擊 “繼續配置”。
-
在 Configure this software (配置此軟體)頁面上,檢查版本和區域,然後單擊 Continue(繼續)以啓動。
-
在" 啓動此軟體 "頁面上,單擊 "使用說明 "以查看如何訪問Sophos Appliance Manager。
-
單擊 啓動。
AWS將打開" 創建堆棧 "頁面。
創建堆棧
現在,您可以使用下載的CloudFormation模板爲AWS帳戶創建NDR傳感器。要執行此操作,請創建堆棧。
-
在快速建立堆疊頁面上,請執行以下操作:
- **** 已選擇"保留模板已就緒"。
- 在 指定模板中,選擇 上載模板文件。
- 按一下選擇檔案,然後選取
aws_ndr_cf_latest.json
。 - 按一下下一步。
-
在 Specify stack details (指定堆棧詳細資訊)頁面上,輸入名稱和以下 Network Configuration (網路配置)詳細資訊:
- 您要用於NDR的現有VPC。
- NDR管理接口的子網。這是公用子網。
- NDR syslog接口的子網。這樣,NDR就可以連接一個接口,如果您添加了另一個第三方日誌收集器,以後可以使用該接口。
- NDR SPAN接口的子網。SPAN接口獲取網路流量的鏡像副本並將其發送給NDR進行分析。
- 爲管理員提供對NDR實例的SSH訪問權限的安全組。
完整的網路配置詳細資訊如下所示:
-
在 EC2 Instance Configuration(EC2實例配置)下,輸入訪問NDR EC2實例所需的SSH密鑰,然後單 擊Next(下一步)。
注意
您之前創建並保存了此SSH密鑰對。
-
在" 配置堆棧選項 "頁面上,接受預設AWS設定或根據需要進行更改。按一下 送出。
CloudFormation模板根據您用於上傳模板的帳戶的AWS區域自動選擇正確的區域和AMIS。
等待創建NDR傳感器。這可能需要5或6分鐘。
創建通信鏡像會話
創建目標鏡像會話以鏡像網路流量並將其轉發到NDR。若要執行此操作,請依照以下步驟操作。
-
在AWS中,轉到 VPC > 流量鏡像會話 > 創建流量鏡像會話。
-
在建立案例中,執行以下操作:
- 輸入名稱和說明。
- 在 Mirror Source(鏡像源)中,輸入要從中鏡像網路通信的網路接口。
- 在 Mirror Target(鏡像目標)中,輸入要將網路流量鏡像到的SPAN接口。選擇 **** CloudFormation模板爲您創建的NDR SPAN目標。
-
在建立案例中,執行以下操作:
- 輸入連接埠號碼該數字決定從同一來源評估會話的順序。
- 將 VNI (虛擬網路接口)設定爲1。
- 在 過濾器中,選擇 **** CloudFormation模板已創建的NDR流量鏡像過濾器。
- 點選建立。
編輯安全組
您需要編輯AWS安全組。這可讓您進行以下更改:
- 允許syslog通信流轉至設備。
- 授予對Appliance Manager的訪問權限。
要編輯群組,請執行以下操作:
-
在AWS中,轉到Sophos NDR設備的安全詳細資訊。
要執行此操作,請在AWS控制檯搜尋欄中輸入設備名稱。找到它後,選擇 EC2 選項卡,然後單擊 Sophos Appliance 實例。
-
在 Instance Summary (實例摘要)頁面上,向下滾動到選項卡頁面,然後選擇 Security (安全)選項卡。
-
查找
InternalSyslogSG
組並輸入要允許用於日誌收集的通信的源。 -
查找
InternalMgmtSG
安全組。CloudFormation模板爲您創建了此模板。將您的管理員添加到組中,並授予他們對 入站規則中埠8443的訪問權限。
在使用Appliance Manager之前,您還需要設定密碼。
設定Appliance Manager的密碼
Appliance Manager的用戶名爲 zadmin
。要重設管理員密碼,請執行以下操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定。
-
按一下整合設備索引標籤。
-
找到您的產品。在最右側的列中,單擊三個圓點,然後選擇 Open Appliance Manager(打開設備管理器)。
-
在確認對話方塊中,按一下重設密碼。
要使用Appliance Manager的任何其他管理員也必須設定密碼。