跳至內容
查找我們如何支持MDR

Sophos NDR

記錄收集器

要使用此功能,您必須擁有 "Sophos Network Detection and Response" 整合授權套件。

Sophos Network Detection and Response (NDR) 偵測到您的網路上存在惡意行爲。

您可以將 Sophos NDR 與 Sophos Central 整合,以便能夠在威脅分析中心中對其偵測進行調查。

要整合 NDR,您需要設定連線到 Sophos Central 的 NDR 虛擬設備,並向其傳送資料。主要步驟如下:

  • 檢查需求
  • 新增整合。
  • 設定交換器,以便 NDR 可以看到流量。
  • 下載 NDR 虛擬機 (VM) 映像。
  • 部署新虛擬機。

限制

OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。部署之後,將無法再使用。

如果必須部署新的 VM,則必須再次執行所有步驟,將此整合連結到 Sophos Central。

本影片將為您示範在 VMware ESXi 上設定 Sophos NDR 的過程。

要求

您需要執行 6.7 版或更新版本的 VMware ESXi 伺服器。

安裝 VM 時,您可能需要對其進行設定,以便 NDR 虛擬設備能夠提供最佳效能並且對網路的影響最小。請參閱Sophos NDR VM 大小指南

新增整合

若要新增整合,請依照以下步驟操作:

  1. 登入至 Sophos Central。
  2. 移至威脅分析中心 > 整合
  3. 按一下 Sophos Network Detection & Response (NDR)

  4. 整合中,按一下新增整合

    NDR 整合

  5. 進入整合步驟後,在步驟 1 中輸入別名別名說明

    整合步驟

  6. 步驟 2 中,選取要執行 NDR 設備的虛擬機。

    如果需要新的虛擬機,請按一下建立新虛擬機

    如果要使用現有虛擬機,請從下拉式清單中選取該虛擬機,然後跳至步驟 8。

    整合步驟 2

  7. 如需建立新虛擬機,請執行以下操作:

    1. 輸入虛擬機名稱

    2. 輸入虛擬機說明

    3. 選取虛擬平台。(目前我們僅支援 VMware)。

    4. 指定面向網際網路的網路連接埠。

      • 選取 DHCP 可自動指派 IP 位址。

      • 選取手動以指定網路設定。例如:

      • IP 位址:10.0.252.5

        • 子網路遮罩:255.255.255.0
        • 閘道位址:10.0.252.1
        • DNS 1:8.8.8.8
        • DNS 2:8.8.4.4

    整合步驟 2 虛擬機設定

  8. 步驟 3,從檢查中排除特定網域和通訊協定。

    1. 輸入排除項清單名稱

    2. 要排除網域,請按一下網域排除項。輸入網域名稱,例如 sophos.com,然後按一下新增

    3. 要排除通訊協定,請按一下通訊協定排除項。您可以在以下任一或兩個欄位中輸入資訊:

      • 在第一個欄位中,輸入主通訊協定。例如,TCPUDP
      • 在第二個欄位中,輸入子通訊協定(網站)。例如 facebook

      如果您在兩個欄位中輸入資訊,我們會將它們組合為一個帶有單點分隔符的字串。

      螢幕擷取畫面會顯示範例資訊。

    4. 按一下新增

    您可以將排除項匯出為 JSON 檔案。您也可以從先前匯出的 JSON 檔案上傳排除項至清單。

    整合步驟 3 排除項

  9. 按一下儲存

整合頁面上,您可以看到新整合。

接下來,設定交換器,以便 NDR 設備能夠監控您的網路流量。

設定交換器

下載和部署 Sophos NDR VM 之前,必須設定連接埠鏡像,也稱為交換連接埠分析器 (SPAN)。這會將傳入和傳出流量的副本從交換器的連接埠或 VLAN 轉送到另一個交換器連接埠進行分析。

您必須為虛擬內部和實體外部網路流量設定連接埠鏡像。

稍後部署 NDR VM 設備時,您將能夠將其連接到 SPAN 連接埠,以便 NDR 能夠監控網路流量。

設定虛擬交換器

要為虛擬內部交換器設定連接埠鏡像,請執行以下動作:

  1. 在 ESXi 中,移至網路。在虛擬交換器標籤上,選取用於連接埠鏡像的交換器。

    如果尚未使用交換器,請按一下新增標準虛擬交換器以新增新交換器並向其新增連接埠群組。

    虛擬交換器

  2. 連接埠群組標籤上,按一下新增連接埠群組

    新連接埠群組

  3. 在新連接埠群組的設定中,執行以下動作:

    1. 輸入名稱。
    2. VLAN ID 設定為 4095。這允許交換器上已有的所有其他連接埠群組將流量轉送到新連接埠群組。
    3. 按一下安全性並將混合模式設定為接受
    4. 按一下新增

    您已設定虛擬內部網路流量的轉送。接下來,對實體外部流量執行相同的動作,如下步驟所述。

  4. 在 ESXi 中,選取或建立另一個虛擬交換器,以處理網路上實體交換器傳送給它的實體外部流量。

  5. 依照以下步驟設定交換器:

    1. 移至連接埠群組並按一下新增連接埠群組
    2. 輸入名稱。
    3. VLAN ID 設定為 4095。
    4. 按一下安全性並將混合模式設定為接受

    接下來,將虛擬交換器連接到實體網路,以便它能夠接收外部流量。

  6. 在 ESXi 左側功能表中,移至網路並選取要用於外部流量的交換器。

    已選取 vSwitch

  7. 在交換器詳細資料中,查找 vSwitch 拓撲。您可以看到「無實體介面卡」。

    vSwitch 拓撲

  8. 按一下新增上行鏈路

    新增上行鏈路按鈕

  9. 上行鏈路 1 中,選取可用的 NIC(網路介面卡)。這會將虛擬交換器連接到 ESXi 伺服器上的連接埠。

    上行鏈路 1

  10. 網路拓撲中,檢查是否可以看到實體介面卡已連接。

    實體介面卡

  11. 移至您的實體交換器並使用纜線直接連接到 ESXi 伺服器上的連接埠。

接下來,您需要在實體交換器上設定鏡像。

設定實體交換器

本節介紹如何在 Sophos Switch 上設定連接埠鏡像。其它交換器的設定步驟有所不同。

如欲設定鏡像,請依照以下動作執行:

  1. 在 Sophos Central 中,移至交換器

  2. 選取要設定的交換器,然後按一下執行命令

    Sophos Central 中的交換器頁面

  3. 執行交換器命令主控台中,輸入命令以鏡像所有流量。在此範例中,命令將鏡像連接埠 1-4 上的所有輸入和輸出流量,並將其傳送到連接埠 8。

    configure terminal
    monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
    monitor session 1 source interface gigabitethernet 0/1 both
    monitor session 1 source interface gigabitethernet 0/2 both
    monitor session 1 source interface gigabitethernet 0/3 both
    monitor session 1 source interface gigabitethernet 0/4 both
    end
    show monitor session 1
    

    交換器命令行主控台

  4. 按一下執行。主控台顯示在綠色背景下執行的命令。

    交換器主控台執行命令

  5. 執行最後一個命令時,主控台將顯示已完成的設定。按一下關閉

    交換器主控台執行命令

您已完成將流量轉送到 SPAN 連接埠的設定。稍後,您將設定 Sophos NDR 以監控該流量。

下面,下載 NDR VM 映像。

下載虛擬機映像

現在您下載了部署和啟動新虛擬機所需的 NDR 映像(OVA 檔案)。

  1. 在新整合旁的動作欄中,按一下 三點圖示,然後選取下載 OVA 檔案

    您會看到下載開始。

    下載選單

  2. 將游標暫留在整合名稱左側的圖示上。現在,您會看到「正在等待部署」。

    整合狀態

您已準備好部署虛擬機。

部署虛擬機

  1. 進入 ESXi 主機。

則警告

如果要在以 Enhanced vMotion Compatibility (EVC) 叢集執行之 ESXi 主機上部署 OVA,EVC 必須處於 Skylake(或更新版本)模式。Sophos NDR VA 不會在 Skylake(或更舊版本)EVC 模式下的 VM 上執行。

  1. 選取虛擬機,然後按一下建立/註冊虛擬機

    「建立/註冊虛擬機」索引標籤

  2. 選取建立類型中,選取從 OVF 或 OVA 檔案部署虛擬機。按一下下一步

    選取建立類型

  3. 選取 OVF 和 VMDK 檔案中,輸入虛擬機名稱。

    按一下頁面以選取檔案。選取 OVA 檔案 ndr-sensor.ova。按一下下一步

    選取 OVA 檔案

  4. 選取儲存體中,選取標準。按一下下一步

    選取儲存體

  5. 部署選項中,選取網路對應。在我們的範例中,所有連接埠都設定為 SPAN(您將流量轉送到的連接埠),但 MGMT 除外,它設定為 VM 網路。按一下下一步

    部署選項

  6. 跳過其他設定步驟。

  7. 按一下 完成。等待新虛擬機出現在虛擬機清單中。安裝程序可能會耗費數分鐘時間。

    準備完成

  8. 啟動虛擬機並等待安裝程序完成。此可能需要最多 10 分鐘。

    則警告

    請勿中斷此程序。

  9. 在 Sophos Central 中,移至 NDR 整合頁面並重新整理。現在,虛擬機的狀態為已連線

    整合狀態

如果 VM 的狀態為已連接,但似乎沒有工作,請在 Sophos NDR VA 主控台中檢查 Dragonfly 服務的狀態。請參見 Sophos VA 主控台

如果您在主控台中看到 Dragonfly 服務處於待決狀態,並且您的 VM 處於 Enhanced vMotion Compatibility (EVC) 叢集中,請檢查 EVC 模式是否為 Skylake 或更新版本。

Sophos NDR VA 不支援在 Sandy Bridge 模式下的 EVC 叢集中執行。