AWS上的Sophos NDR
要使用此功能,您必須擁有 "Sophos Network Detection and Response" 整合授權套件。
Sophos Network Detection and Response (NDR) 偵測到您的網路上存在惡意行爲。
您可以將 Sophos NDR 與 Sophos Central 整合,以便能夠在威脅分析中心中對其偵測進行調查。
集成使用接收數據並將其轉發到Sophos Data Lake的設備。
主要步驟如下:
- 檢查需求
- 創建Sophos設備。這基於CloudFormation模板。
- 訂閱AWS中的Sophos NDR。
- 創建堆棧。在此處指定NDR的VPC和子網。
- 創建通信鏡像會話。這會將流量發送到NDR進行分析。
- 編輯安全組以允許syslog流量並授予對Sophos Appliance Manager的訪問權限。
- 為Sophos Appliance Manager設定密碼。
設備管理器允許您監控和管理Sophos NDR設備。
要求
要在AWS上設定Sophos NDR,您需要以下帳戶和基礎結構:
- AWS帳戶。
- Sophos Central 賬戶。
- EC2 執行個體。
- VPC,子網和可用性區域。您可以使用已有的。
- 至少有一個分配的Elastic IP地址供NDR管理接口使用。
我們支援以下EC2種實例類型:
- c5n.2xlarge
- c6i.4xlarge
- c7i.16x大(nitro虛擬化)
您必須為AWS帳戶創建並保存SSH私鑰。
您必須在選擇的任何區域創建VPC。以下是VPC資源圖的示例:
創建設備
要創建和配置Sophos設備,請創建並下載CloudFormation模板。
創建CloudFormation模板
要建立防火墻範本,請執行以下操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
- 尋找並按一下 Sophos Network Detection and Response (NDR)。
-
在 NDR 頁面的資料擷取(安全警示)中,按一下新增設定。
螢幕上將顯示整合設定步驟。
-
在步驟 1 中,輸入整合的名稱和說明。
-
在 步驟2中,創建CloudFormation模板(CFT)。在 虛擬平臺中,選擇 AWS。
-
按一下儲存。
CloudFormation (cf) json文件 aws_ndr_cf_latest.json
已創建。
下載CloudFormation模板
若要部署 CloudFormation 範本,請依照以下步驟操作:
aws_ndr_cf_latest.json
文件將下載到您的下載文件夾。
訂閱Sophos NDR
您必須在AWS Marketplace主控台訂閱NDR。若要執行此操作,請依照以下步驟操作。
- 前往 AWS Marketplace 頁面並找到Sophos NDR。
-
在“ 產品概述 ”頁面上,單擊 “繼續訂閱”。
-
在 Subscribe to this software (訂閱此軟件 ****)頁面上,接受條款和條件,然後單擊Continue to Configuration (繼續配置)。
-
在 Configure this software (配置此軟件)頁面上,檢查版本和區域,然後單擊 Continue to Launch(繼續啓動)
-
在 啟動此軟體 頁面上,單擊 使用說明 以查看如何訪問Sophos Appliance Manager。
-
單擊 啟動。
AWS會開啟「 建立堆疊 」頁面。
創建堆棧
現在,您可以使用下載的CloudFormation模板為您的AWS帳戶創建NDR傳感器。要執行此操作,您需要創建一個堆棧。
-
在" 創建堆棧 "頁面上,執行以下操作:
- **** 選擇了離開模板已就緒。
- 在 指定模板中,選擇 上載模板文件。
- 按一下選擇檔案,然後選取
aws_ndr_cf_latest.json
。 - 按一下下一步。
-
在 Specify stack details (指定堆棧詳細資訊)頁面上,輸入名稱和以下 Network Configuration (網路配置)詳細資訊:
- 要用於NDR的現有VPC。
- NDR管理接口的子網。這是一個公用子網。
- NDR syslog接口的子網。這使NDR可以連接一個接口,以後如果添加另一個第三方日誌收集器,則可以使用該接口。
- NDR SPAN接口的子網。SPAN接口獲取網路流量的鏡像副本並將其發送到NDR進行分析。
- 授予管理員對NDR實例的SSH訪問權限的安全組。
完成的網路配置詳細資訊如下所示:
-
在 “EC2 Instance Configuration”(IPv6實例配置)下,輸入訪問NDR EC2實例所需的SSH密鑰,然後單擊 “Next”(下一步)。
注意
您先前創建並保存了此SSH密鑰對。
-
在 配置堆棧選項 頁面上,接受預設AWS設定,或根據需要進行更改。按一下 送出。
CloudFormation模板根據您用於上傳模板的帳戶的AWS區域自動選擇正確的區域和AMIS。
等待創建NDR傳感器。這可能需要五到六分鐘。
創建通信鏡像會話
創建目標鏡像會話以鏡像網路通信並將其轉發到NDR。若要執行此操作,請依照以下步驟操作。
-
在AWS中,轉至 VPC > 交通路況鏡像會話 > 創建交通路況鏡像會話。
-
在 會話設定中,執行以下操作:
- 輸入 名稱標籤 和 說明。
- 在 Mirror Source (鏡像源)中,輸入要從中鏡像網絡通信的網絡接口。
- 在 Mirror Target(鏡像目標)中,輸入要將網路通信鏡像到的SPAN接口。選擇 **** CloudFormation模板為您創建的NDR SPAN目標。
-
在 “Additional settings”(其它設定)中,執行
- 輸入會話編號。該數字決定了評估來自同一來源的會話的順序。
- 將 VNI (虛擬網路接口)設定為1。
- 在 篩選器中,選擇 **** CloudFormation模板已創建的NDR交通鏡像篩選器。
- 點選建立。
編輯安全組
您需要編輯AWS安全組。這樣您就可以進行以下更改:
- 允許syslog流量進入設備。
- 授予對Appliance Manager的訪問權限。
要編輯群組,請執行以下操作:
-
在AWS中,轉至Sophos NDR設備的安全詳細資訊。
要執行此操作,請在AWS控制臺搜尋欄中輸入設備名稱。找到 * *Sophos Appliance 實例後,選擇EC2選項卡,然後單擊Sophos Appliance實例。
-
在“ 實例摘要 ”頁面上,向下滾動到選項卡頁面,然後選擇 “安全” 選項卡。
-
找到
InternalSyslogSG
組並輸入要允許日誌收集通信的來源。 -
查找
InternalMgmtSG
安全組。CloudFormation模板為您創建了此模板。將您的管理員添加到組中,並授予他們對 入站規則中端口8443的訪問權限。
在使用Appliance Manager之前,您還需要設定密碼。
設定Appliance Manager的密碼
Appliance Manager的用戶名是 zadmin
。要重設管理員密碼,請執行以下操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 已設定。
-
移至整合設備索引標籤。
-
尋找您的設備。在最右邊的欄位中,按一下三個點,然後選取打開 Appliance Manager。
-
在確認對話方塊中,按一下重設。
任何其他想要使用Appliance Manager的管理員也必須設定密碼。