跳至內容
部分或全部頁面已經過機器翻譯。
查找我們如何支持MDR

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=NDR-aws

AWS上的Sophos NDR

記錄收集器 Sophos Network Detection and Response

要使用此功能,您必須擁有 "Sophos Network Detection and Response" 整合授權套件。

Sophos Network Detection and Response (NDR) 偵測到您的網路上存在惡意行爲。

您可以將 Sophos NDR 與 Sophos Central 整合,以便能夠在威脅分析中心中對其偵測進行調查。

集成使用接收數據並將其轉發到Sophos Data Lake的設備。

主要步驟如下:

  • 檢查需求
  • 創建Sophos設備。這基於CloudFormation模板。
  • 訂閱AWS中的Sophos NDR。
  • 創建堆棧。在此處指定NDR的VPC和子網。
  • 創建通信鏡像會話。這會將流量發送到NDR進行分析。
  • 編輯安全組以允許syslog流量並授予對Sophos Appliance Manager的訪問權限。
  • 為Sophos Appliance Manager設定密碼。

設備管理器允許您監控和管理Sophos NDR設備。

要求

要在AWS上設定Sophos NDR,您需要以下帳戶和基礎結構:

  • AWS帳戶。
  • Sophos Central 賬戶。
  • EC2 執行個體。
  • VPC,子網和可用性區域。您可以使用已有的。
  • 至少有一個分配的Elastic IP地址供NDR管理接口使用。

我們支援以下EC2種實例類型:

  • c5n.2xlarge
  • c6i.4xlarge
  • c7i.16x大(nitro虛擬化)

您必須為AWS帳戶創建並保存SSH私鑰。

您必須在選擇的任何區域創建VPC。以下是VPC資源圖的示例:

VPC資源映射示例。

創建設備

要創建和配置Sophos設備,請創建並下載CloudFormation模板。

創建CloudFormation模板

要建立防火墻範本,請執行以下操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場
  2. 尋找並按一下 Sophos Network Detection and Response (NDR)

  3. 在 NDR 頁面的資料擷取(安全警示)中,按一下新增設定

    螢幕上將顯示整合設定步驟

  4. 步驟 1 中,輸入整合的名稱和說明。

    整合步驟。

  5. 步驟2中,創建CloudFormation模板(CFT)。在 虛擬平臺中,選擇 AWS

    選取虛擬平台。

  6. 按一下儲存

CloudFormation (cf) json文件 aws_ndr_cf_latest.json 已創建。

下載CloudFormation模板

若要部署 CloudFormation 範本,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至 整合 > 已設定
  2. 選擇 集成設備 選項卡並找到Sophos NDR設備。

  3. 在最右邊的列中,單擊三個點,然後選擇 下載圖像

    顯示下載選項的已配置集成列表。

aws_ndr_cf_latest.json 文件將下載到您的下載文件夾。

訂閱Sophos NDR

您必須在AWS Marketplace主控台訂閱NDR。若要執行此操作,請依照以下步驟操作。

  1. 前往 AWS Marketplace 頁面並找到Sophos NDR。

  2. 在“ 產品概述 ”頁面上,單擊 “繼續訂閱”。

    NDR "Product Overview"頁面。

  3. Subscribe to this software (訂閱此軟件 ****)頁面上,接受條款和條件,然後單擊Continue to Configuration (繼續配置)。

    "訂閱此軟體"頁面。

  4. Configure this software (配置此軟件)頁面上,檢查版本和區域,然後單擊 Continue to Launch(繼續啓動)

    “配置此軟件”頁面。

  5. 啟動此軟體 頁面上,單擊 使用說明 以查看如何訪問Sophos Appliance Manager。

    "啟動此軟體"頁面。

  6. 單擊 啟動

AWS會開啟「 建立堆疊 」頁面。

創建堆棧

現在,您可以使用下載的CloudFormation模板為您的AWS帳戶創建NDR傳感器。要執行此操作,您需要創建一個堆棧。

  1. 在" 創建堆棧 "頁面上,執行以下操作:

    1. **** 選擇了離開模板已就緒。
    2. 指定模板中,選擇 上載模板文件
    3. 按一下選擇檔案,然後選取 aws_ndr_cf_latest.json
    4. 按一下下一步

    顯示模板文件選項的"創建堆棧"頁面。

  2. Specify stack details (指定堆棧詳細資訊)頁面上,輸入名稱和以下 Network Configuration (網路配置)詳細資訊:

    1. 要用於NDR的現有VPC。
    2. NDR管理接口的子網。這是一個公用子網。
    3. NDR syslog接口的子網。這使NDR可以連接一個接口,以後如果添加另一個第三方日誌收集器,則可以使用該接口。
    4. NDR SPAN接口的子網。SPAN接口獲取網路流量的鏡像副本並將其發送到NDR進行分析。
    5. 授予管理員對NDR實例的SSH訪問權限的安全組。

    完成的網路配置詳細資訊如下所示:

    "指定堆棧詳細資訊"頁面。

  3. “EC2 Instance Configuration”(IPv6實例配置)下,輸入訪問NDR EC2實例所需的SSH密鑰,然後單擊 “Next”(下一步)。

    注意

    您先前創建並保存了此SSH密鑰對。

    “EC2實例配置”字段。

  4. 配置堆棧選項 頁面上,接受預設AWS設定,或根據需要進行更改。按一下 送出

CloudFormation模板根據您用於上傳模板的帳戶的AWS區域自動選擇正確的區域和AMIS。

等待創建NDR傳感器。這可能需要五到六分鐘。

創建通信鏡像會話

創建目標鏡像會話以鏡像網路通信並將其轉發到NDR。若要執行此操作,請依照以下步驟操作。

  1. 在AWS中,轉至 VPC > 交通路況鏡像會話 > 創建交通路況鏡像會話

  2. 會話設定中,執行以下操作:

    1. 輸入 名稱標籤說明
    2. Mirror Source (鏡像源)中,輸入要從中鏡像網絡通信的網絡接口。
    3. Mirror Target(鏡像目標)中,輸入要將網路通信鏡像到的SPAN接口。選擇 **** CloudFormation模板為您創建的NDR SPAN目標。

    交通鏡會話設定。

  3. “Additional settings”(其它設定)中,執行

    1. 輸入會話編號。該數字決定了評估來自同一來源的會話的順序。
    2. VNI (虛擬網路接口)設定為1。
    3. 篩選器中,選擇 **** CloudFormation模板已創建的NDR交通鏡像篩選器。
    4. 點選建立

    交通後視鏡附加設定。

編輯安全組

您需要編輯AWS安全組。這樣您就可以進行以下更改:

  • 允許syslog流量進入設備。
  • 授予對Appliance Manager的訪問權限。

要編輯群組,請執行以下操作:

  1. 在AWS中,轉至Sophos NDR設備的安全詳細資訊。

    要執行此操作,請在AWS控制臺搜尋欄中輸入設備名稱。找到 * *Sophos Appliance 實例後,選擇EC2選項卡,然後單擊Sophos Appliance實例。

  2. 在“ 實例摘要 ”頁面上,向下滾動到選項卡頁面,然後選擇 “安全” 選項卡。

  3. 找到 InternalSyslogSG 組並輸入要允許日誌收集通信的來源。

  4. 查找 InternalMgmtSG 安全組。CloudFormation模板為您創建了此模板。將您的管理員添加到組中,並授予他們對 入站規則中端口8443的訪問權限

    安全組入站規則。

在使用Appliance Manager之前,您還需要設定密碼。

設定Appliance Manager的密碼

Appliance Manager的用戶名是 zadmin。要重設管理員密碼,請執行以下操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定

  2. 移至整合設備索引標籤。

  3. 尋找您的設備。在最右邊的欄位中,按一下三個點,然後選取打開 Appliance Manager

    設備動作功能表。

  4. 在確認對話方塊中,按一下重設

    確認對話方塊。

任何其他想要使用Appliance Manager的管理員也必須設定密碼。