Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=NDR

Sophos NDR auf ESXi oder Hyper-V

Protokollsammler

Sie benötigen das Integrations-Lizenz-Paket „Sophos Network Detection and Response“, um diese Funktion nutzen zu können.

Sophos Network Detection and Response (NDR) erkennt bösartiges Verhalten in Ihrem Netzwerk.

Sie können Sophos NDR in Sophos Central integrieren, sodass seine Erkennungen im Bedrohungsanalyse-Center zur Untersuchung verfügbar sind.

Die Integration verwendet einen auf einer virtuellen Maschine (VM) gehosteten Protokollsammler. Zusammen werden sie als Appliance bezeichnet. Die Appliance empfängt Daten und leitet sie an den Sophos Data Lake weiter.

Derzeit unterstützt Sophos NDR VMware ESXi 6.7 und neuer sowie Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) und neuer.

Die Hauptschritte lauten wie folgt:

  • Überprüfen der Voraussetzungen.
  • Konfigurieren Sie eine Integration. Dadurch wird ein Image zur Verwendung auf einer VM konfiguriert.
  • Konfigurieren Ihrer Switches so, dass NDR den Datenverkehr sehen kann.
  • Laden Sie das Image herunter und stellen Sie es auf Ihrer VM bereit. Dies wird die Appliance.

Voraussetzungen

Derzeit unterstützt Sophos VMware ESXi 6.7 Update 3 oder höher und Microsoft Hyper-V.

Die VM, auf der die Appliance ausgeführt wird, hat System- und Netzwerkzugriffsanforderungen. Alle Details finden Sie in Appliance-Anforderungen.

Einzelheiten zur CPU-Mikroarchitektur und zu den erforderlichen CPU-Flags finden Sie unter CPU-Voraussetzungen.

Eine Kurzanleitung zum Ändern der Dimensionierung der VM für die beste Leistung finden Sie im Leitfaden zur Größenorientierung für Sophos NDR-Appliances .

Integration konfigurieren

Um die Integration zu konfigurieren, gehen Sie wie folgt vor:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.

  2. Suchen Sie die Option Sophos Network Detection & Response (NDR) und klicken Sie darauf.

    NDR-Karte auf der Marketplace-Seite.

  3. Klicken Sie auf der Seite NDR unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Integrations-Einrichtungsschritte wird angezeigt.

VM konfigurieren

  1. Geben Sie in Schritt 1 einen Namen und eine Beschreibung für die Integration ein.

    Integrationsschritte.

  2. Wählen oder erstellen Sie in Schritt 2 die Appliance, die NDR-Protokolle erfasst.

    Sie können nur eine NDR-Integration pro Appliance haben.

    Wenn Sie eine neue Appliance benötigen, klicken Sie auf Appliance erstellen.

    Wenn Sie eine vorhandene Appliance verwenden möchten, wählen Sie sie aus der Dropdown-Liste aus, und fahren Sie mit Schritt 3 fort, um Ausschlüsse einzurichten.

    Integrationsschritt 2.

  3. Um eine neue Appliance zu erstellen, gehen Sie folgendermaßen vor:

    1. Geben Sie einen Namen und eine Beschreibung für die Appliance ein. Sie müssen einen eindeutigen Namen angeben.

    2. Wählen Sie die virtuelle Plattform aus. Derzeit unterstützen wir nur VMware ESXi 6.7 Update 3 oder höher und Microsoft Hyper-V.

    3. Geben Sie die internetseitigen Netzwerk-Ports an.

      • Wählen Sie DHCP, um die IP-Adresse automatisch zuzuweisen.

        Hinweis

        Wenn Sie DHCP auswählen, müssen Sie die IP-Adresse reservieren.

      • Wählen Sie Manuell, um die Netzwerkeinstellungen festzulegen. Beispiel:

      • IP-Adresse: 10.0.252.5

        • Subnetzmaske: 255.255.255.0
        • Gateway-Adresse: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Integrationsschritt 2 VM-Einstellungen.

  4. In Schritt 3 schließen Sie bestimmte Domänen und Protokolle von der Überprüfung aus. Dies bietet sich beispielsweise an, wenn eine Ihrer Domänen False Positives verursacht.

    Sie können die Ausschlüsse später einrichten, müssen jedoch jetzt einen Namen für die Ausschlussliste eingeben.

    1. Geben Sie den Namen der Ausschlussliste ein.
    2. Um eine Domäne auszuschließen, klicken Sie auf Domänenausschlüsse. Geben Sie den Domänennamen ein, zum Beispiel sophos.com, und klicken Sie auf Hinzufügen.

    3. Um ein Protokoll auszuschließen, klicken Sie auf Protokollausschlüsse. Sie können Informationen in eines oder beide Felder eingeben:

      • Geben Sie im ersten Feld ein Master-Protokoll ein. Zum Beispiel TCP oder UDP.
      • Geben Sie im zweiten Feld ein Unterprotokoll (Website) ein. Zum Beispiel: facebook.

      Wenn Sie Informationen in beide Felder eingeben, setzen wir sie zu einer Zeichenfolge mit einem einzelnen Punkttrennzeichen zusammen.

      Wir empfehlen nicht, ein Master-Protokoll vollständig auszuschließen. Tun Sie dies nur, wenn ein Protokoll mit hohem Datenverkehr, das normalerweise nicht riskant ist, wie ein Routing-Protokoll, zu viele Daten generiert.

      Der Screenshot zeigt Beispielinformationen.

    4. Klicken Sie auf Hinzufügen.

    Sie können Ihre Ausschlüsse als JSON-Datei exportieren. Sie können auch Ausschlüsse aus einer zuvor exportierten JSON-Datei in die Liste hochladen.

    Integrationsschritt 3 Ausschlüsse.

  5. Klicken Sie auf Speichern.

Auf der Seite NDR wird die neue Integration in der Liste der konfigurierten Integrationen angezeigt.

Konfigurieren Sie anschließend die Switches, damit die NDR-Appliance den Netzwerkverkehr überwachen kann.

Switches konfigurieren

Bevor Sie die Sophos NDR-VM herunterladen und bereitstellen können, müssen Sie die Port-Spiegelung (auch Switched Port Analyzer (SPAN) genannt) einrichten. Dadurch wird eine Kopie des eingehenden und ausgehenden Datenverkehrs von den Ports oder VLANs eines Switches an einen anderen Switch-Port zur Analyse weitergeleitet.

Sie müssen die Port-Spiegelung sowohl für den virtuellen internen als auch für den physischen externen Netzwerkverkehr konfigurieren.

Wenn Sie Ihre NDR VM-Appliance später bereitstellen, können Sie sie mit Ihren SPAN-Ports verbinden, damit NDR den Netzwerkverkehr überwachen kann.

Die Anweisungen für die Portspiegelung hängen davon ab, ob Sie NDR auf ESXi oder Hyper-V einrichten. Klicken Sie unten auf den Tab für Ihre virtuelle Umgebung.

Wenn Sie ESXi verwenden, umfasst die Portspiegelung die folgenden Schritte:

  • Virtuelle Switches konfigurieren.
  • Physischen Switch konfigurieren.

Virtuelle Switches konfigurieren

Gehen Sie wie folgt vor, um die Portspiegelung für virtuelle, interne Switches einzurichten:

  1. Gehen Sie in ESXi zu Netzwerke. Wählen Sie auf der Registerkarte Virtuelle Switches einen Switch aus, der für die Port-Spiegelung verwendet werden soll.

Wenn Sie noch keinen Switch verwenden, klicken Sie auf Standard-vSwitch hinzufügen, um einen neuen Switch hinzuzufügen und ihm Port-Gruppen zuzuweisen.

Virtuelle Switches.

  1. Klicken Sie auf der Registerkarte Portgruppen auf Neue Gruppe.

    Neue Portgruppe.

  2. Gehen Sie in den Einstellungen für die neue Portgruppe wie folgt vor:

    1. Geben Sie einen Namen ein.
    2. Stellen Sie die VLAN-ID auf 4095 ein. Dadurch können alle anderen Portgruppen, die sich bereits auf dem Switch befinden, Datenverkehr an die neue Portgruppe weiterleiten.
    3. Klicken Sie auf Sicherheit und legen Sie Promiskuitiver Modus auf Akzeptieren fest.
    4. Klicken Sie auf Hinzufügen.

    Sie haben die Weiterleitung für den Datenverkehr im virtuellen internen Netzwerk eingerichtet. Gehen Sie anschließend genauso für physischen externen Datenverkehr durch, wie in den folgenden Schritten beschrieben.

  3. Wählen oder erstellen Sie in ESXi einen anderen virtuellen Switch, der physischen externen Datenverkehr verarbeitet, der von einem physischen Switch in Ihrem Netzwerk an diesen Switch gesendet wird.

  4. Konfigurieren Sie den Switch folgendermaßen:

    1. Gehen Sie zu Portgruppen und klicken Sie auf Portgruppe hinzufügen.
    2. Geben Sie einen Namen ein.
    3. Stellen Sie die VLAN-ID auf 4095 ein.
    4. Klicken Sie auf Sicherheit und legen Sie Promiskuitiver Modus auf Akzeptieren fest.

Als Nächstes verbinden Sie Ihren virtuellen Switch mit Ihrem physischen Netzwerk, damit er externen Datenverkehr empfangen kann.

  1. Gehen Sie im linken ESXi-Menü zu Netzwerke und wählen Sie den Switch aus, den Sie für externen Datenverkehr verwenden möchten.

    vSwitch ausgewählt.

  2. Suchen Sie in den Switch-Details nach vSwitch-Topologie. Jetzt sehen Sie „Keine physischen Adapter“.

    vSwitch-Topologie.

  3. Klicken Sie auf Uplink hinzufügen.

    Schaltfläche „Uplink hinzufügen“.

  4. Wählen Sie unter Uplink 1 eine verfügbare NIC (Network Interface Card) aus. Dadurch wird der virtuelle Switch mit einem Port auf Ihrem ESXi-Server verbunden.

    Uplink 1.

  5. Überprüfen Sie in der Netzwerktopologie, ob ein physischer Adapter angeschlossen ist.

    Physischer Adapter.

  6. Gehen Sie zu Ihrem physischen Switch und stellen Sie mit einem Kabel eine direkte Verbindung zum Port auf Ihrem ESXi-Server her.

Als Nächstes müssen Sie die Spiegelung auf Ihrem physischen Switch einrichten.

Physischen Switch konfigurieren

In diesem Abschnitt wird das Einrichten der Portspiegelung auf einem Sophos Switch beschrieben. Die Einrichtungsschritte für andere Switches unterscheiden sich.

Verfahren Sie wie folgt, um die Spiegelung einzurichten:

  1. Gehen Sie in Sophos Central zu Switches.

  2. Wählen Sie den Switch aus, den Sie konfigurieren möchten, und klicken Sie auf Befehle ausführen.

    Seite „Switches“ in Sophos Central.

  3. Geben Sie in der Konsole zum Ausführen der Switch-Befehle die Befehle ein, um den gesamten Datenverkehr zu spiegeln. In diesem Beispiel spiegeln die Befehle den gesamten eingehenden und ausgehenden Datenverkehr an den Ports 1-4 und senden ihn an Port 8.

configure terminal
monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
monitor session 1 source interface gigabitethernet 0/1 both
monitor session 1 source interface gigabitethernet 0/2 both
monitor session 1 source interface gigabitethernet 0/3 both
monitor session 1 source interface gigabitethernet 0/4 both
save
end
show monitor session 1

![Switch command-line console.](../../../../images/ndr-switch-commands.png)

  1. Klicken Sie auf Ausführen. Die Konsole zeigt die Befehle während der Ausführung auf einem grünen Hintergrund an.

    Switch-Konsole, in der Befehle ausgeführt werden.

  2. Wenn der letzte Befehl ausgeführt wird, zeigt die Konsole die abgeschlossene Konfiguration an. Klicken Sie auf Schließen.

    Switch-Konsole, in der Befehle ausgeführt werden.

Sie haben die Weiterleitung des Datenverkehrs an SPAN-Ports abgeschlossen. Später konfigurieren Sie Sophos NDR zur Überwachung des Datenverkehrs.

Wenn Sie Hyper-V verwenden, umfasst die Portspiegelung die folgenden Schritte:

  • Port für die Datenverkehrsspiegelung mit Hyper-V konfigurieren.
  • Virtuelle SPAN-Schnittstelle mit dem virtuellen Switch verbinden.
  • Microsoft NDIS-Erfassungserweiterungen aktivieren.
  • Spiegelungsmodus des Switches konfigurieren.
  • Datenverkehrsspiegelung überprüfen.

Anweisungen finden Sie unter Konfigurieren der Datenverkehrsspiegelung mit einem Hyper-V vSwitch.

Als Nächstes laden Sie das NDR VM-Image herunter.

VM-Image herunterladen

Jetzt laden Sie das NDR-Image herunter, das Sie zum Bereitstellen und Starten der neuen VM benötigen.

  1. Klicken Sie neben der neuen Integration auf Symbol mit drei Punkten. in der Spalte Aktionen und wählen Sie den Download für Ihre Plattform aus, zum Beispiel OVA-Datei herunterladen für ESXi.

    Der Download wird gestartet.

    Download-Menü.

  2. Bewegen Sie den Mauszeiger über das Symbol links neben dem Integrationsnamen. Jetzt wird „Warten auf Bereitstellung“ angezeigt.

    Integrationsstatus.

Sie sind bereit, die VM bereitzustellen.

VM bereitstellen

Klicken Sie unten auf die Registerkarte für Ihre Plattform, um die Anweisungen anzuzeigen.

Einschränkung

In ESXi wird die OVA-Datei von Sophos Central verifiziert und kann nur einmal verwendet werden. Wenn Sie eine neue VM bereitstellen müssen, müssen Sie die OVA-Datei in Sophos Central neu erstellen.

Warnung

Wenn Sie die OVA auf einem ESXi-Host bereitstellen, der in einem EVC-Cluster (Enhanced vMotion Compatibility) ausgeführt wird, muss sich EVC im Skylake-Modus oder höher befinden.

  1. Wechseln Sie zu Ihrem ESXi-Host.

  2. Wählen Sie Virtual Machines aus, und klicken Sie auf Create/Register VM.

    Registerkarte „Create/Register VM“.

  3. Wählen Sie unter Select creation type die Option Deploy a virtual machine from an OVF or OVA file aus. Klicken Sie auf Weiter.

    Wählen Sie „Creation type“ aus.

  4. Geben Sie unter Select OVF and VMDK files einen VM-Namen ein.

    Klicken Sie auf die Seite, um Dateien auszuwählen. Wählen Sie die OVA-Datei ndr-Sensor.ova. Klicken Sie auf Weiter.

    Wählen Sie „OVA file“ aus.

  5. Wählen Sie unter Select storage die Option Standard storage aus. Wählen Sie dann den Datenspeicher aus, in dem Sie Ihre VM ablegen möchten. Klicken Sie auf Weiter.

    Wählen Sie „Storage“ aus.

  6. Geben Sie unter Deployment options die folgenden Einstellungen ein.

    1. Wählen Sie in SPAN1 die Portgruppe aus, die SPAN-Datenverkehr für die NDR-Anwendung empfängt. Sie haben dies bereits konfiguriert. Siehe Switches konfigurieren.

    2. Wählen Sie in SPAN2 eine zweite Portgruppe aus, die SPAN-Datenverkehr empfängt und überwacht werden muss (falls vorhanden). Beispiel: Sie haben einen physischen Switch und einen vSwitch, der keinen Datenverkehr an den physischen Switch sendet.

      Wenn Sie SPAN2 verwenden, müssen Sie die Anzahl der CPUs für die VM auf mindestens 8 erhöhen. Siehe Leitfaden zur Größenorientierung für Sophos NDR-Appliances.

    3. SYSLOG wird für Sophos NDR nicht benötigt. Wählen Sie eine beliebige Portgruppe als Platzhalter aus und trennen Sie sie später in den VM-Einstellungen.

    4. Wählen Sie unter MGMT die Verwaltungsschnittstelle aus. Über diese Schnittstelle kann die Appliance an Sophos Central senden.

      Sie haben diese Schnittstelle zuvor in Sophos Central in Einstellungen für den internetseitigen Netzwerk-Port eingerichtet.

      Wenn Sie DHCP während der Appliance-Einrichtung ausgewählt haben, stellen Sie sicher, dass die VM eine IP-Adresse über DHCP erhalten kann.

    5. Stellen Sie unter Disk Provisioning sicher, dass Thin ausgewählt ist.

    6. Stellen Sie sicher, dass Power on automatically ausgewählt ist.
    7. Klicken Sie auf Weiter.

    Bereitstellungsoptionen.

  7. Überspringen Sie den Schritt Additional Settings.

  8. Klicken Sie auf Fertigstellen. Warten Sie, bis die neue VM in der Liste der VMs angezeigt wird. Dies kann einige Minuten dauern.

    Bereit zum Abschließen.

  9. Schalten Sie die VM ein, und warten Sie, bis der Installationsvorgang abgeschlossen ist.

    Die VM startet zum ersten Mal und prüft, ob sie eine Verbindung zu den richtigen vSwitches und zum Internet herstellen kann. Ein Neustart wird durchgeführt. Dies kann bis zu zehn Minuten dauern.

    Warnung

    Unterbrechen Sie diesen Vorgang nicht.

  10. Wechseln Sie in Sophos Central zur Seite NDR-Integrationen und aktualisieren Sie sie. Der Status der VM lautet nun Verbunden.

    Integrationsstatus.

Wenn der Status der VM Verbunden lautet, sie aber nicht zu funktionieren scheint, überprüfen Sie den Status des Dragonfly-Dienstes in der Sophos VA-Konsole für NDR. Siehe Sophos VA-Konsole.

Wenn Sie in der Konsole sehen, dass sich der Dragonfly-Dienst im Status Ausstehend befindet und sich Ihre VM in einem EVC-Cluster (Enhanced vMotion Compatibility) befindet, überprüfen Sie, ob der EVC-Modus Skylake oder höher ist.

Die Sophos NDR VA unterstützt die Ausführung in EVC-Clustern im Sandy Bridge-Modus nicht.

Die Zip-Datei, die Sie in Sophos Central heruntergeladen haben, enthält die Dateien, die Sie für die Bereitstellung Ihrer VM benötigen: virtuelle Laufwerke, seed.iso und ein PowerShell-Skript.

Um die VM bereitzustellen, gehen Sie wie folgt vor:

  1. Extrahieren Sie die Zip-Datei in einen Ordner auf Ihrer Festplatte.
  2. Wechseln Sie zu dem Ordner, klicken Sie mit der rechten Maustaste auf die ndr-sensor.ps1-Datei und wählen Sie Mit PowerShell ausführen aus.

  3. Wenn eine Sicherheitswarnung angezeigt wird, klicken Sie auf Öffnen, damit die Datei ausgeführt werden kann.

    Sie werden aufgefordert, eine Reihe von Fragen zu beantworten.

  4. Geben Sie der VM einen Namen.

  5. Das Skript zeigt den Ordner an, in dem die VM-Dateien gespeichert werden. Dies ist ein neuer Ordner in Ihrem Standardinstallationsverzeichnis für virtuelle Laufwerke. Geben Sie C ein, um dem Skript zu erlauben, den Ordner zu erstellen.
  6. Geben Sie die Anzahl der Prozessoren (CPUs) ein, die für die VM verwendet werden sollen.
  7. Geben Sie den zu verwendenden Speicher in GB ein.

  8. Das Skript zeigt eine nummerierte Liste aller aktuellen vSwitches an.

    Wählen Sie den vSwitch aus, dem Sie die Verwaltungsschnittstelle zuordnen möchten, und geben Sie seine Nummer ein. Über diese Schnittstelle kann die Appliance Daten an den Sophos Data Lake senden.

    Sie haben diese Schnittstelle zuvor in Sophos Central in Einstellungen für den internetseitigen Netzwerk-Port eingerichtet.

    Wenn Sie DHCP während der Einrichtung ausgewählt haben, stellen Sie sicher, dass die VM eine IP-Adresse über DHCP erhalten kann.

    Hyper-V-VM-Bereitstellungsskript.

  9. Sie müssen keinen vSwitch für die Syslog-Schnittstelle eingeben. Dies gilt nur für die Integration von Drittanbieterprodukten.

    Wählen Sie einen beliebigen vSwitch als Platzhalter aus und trennen Sie sie später in den VM-Einstellungen.

  10. Wählen Sie den vSwitch aus, der SPAN-Datenverkehr für die NDR-Anwendung empfängt. Sie haben dies bereits konfiguriert. Siehe Switches konfigurieren.

  11. Sie können auf einen zweiten vSwitch auswählen, der SPAN-Datenverkehr empfängt und überwacht werden muss (falls vorhanden). Beispiel: Sie haben einen physischen Switch und einen vSwitch, der keinen Datenverkehr an den physischen Switch sendet.

    Wenn Sie einen zweiten vSwitch verwenden, müssen Sie die Anzahl der CPUs für die VM auf mindestens 8 erhöhen. Siehe Leitfaden zur Größenorientierung für Sophos NDR-Appliances.

  12. Das PowerShell-Skript richtet die VM in Hyper-V ein. Die Meldung Installation erfolgreich abgeschlossen wird angezeigt.

  13. Verwenden Sie zum Beenden eine beliebige Taste.

  14. Öffnen Sie den Hyper-V Manager, um die VM anzuzeigen, die der Liste der virtuellen Maschinen hinzugefügt wurde. Falls erforderlich, können Sie Einstellungen ändern. Schalten Sie ihn dann ein.

    Die VM startet zum ersten Mal und prüft, ob sie eine Verbindung zu den richtigen vSwitches und zum Internet herstellen kann. Ein Neustart wird durchgeführt. Dies kann bis zu zehn Minuten dauern.

  15. Rufen Sie in Sophos Central die Seite Integrationen für das Produkt auf, das Sie integrieren und aktualisieren Sie es. Der Status der VM lautet nun Verbunden.

    Integrationsstatus.