Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=NDR

Sophos NDR en ESXi o Hyper-V

Recopilador de registros

Debe tener el paquete de licencia de integración "Sophos Network Detection and Response" para utilizar esta función.

Sophos Network Detection and Response (NDR) detecta comportamientos maliciosos en su red.

Puede integrar Sophos NDR con Sophos Central para que sus detecciones estén disponibles para su investigación en el Centro de análisis de amenazas.

La integración utiliza un recopilador de registros alojado en una máquina virtual (VM). Juntos se denominan dispositivo. El dispositivo recibe datos y los reenvía a Sophos Data Lake.

Actualmente Sophos NDR es compatible con VMware ESXi 6.7 o posterior y Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o posterior.

Estos son los pasos clave:

  • Comprobar los requisitos.
  • Configurar una integración. Esto configura una imagen para usarla en una VM.
  • Configurar los switches para que NDR pueda ver el tráfico.
  • Descargar y desplegar la imagen en su VM. Esto se convierte en el dispositivo.

Requisitos

Actualmente Sophos admite VMware ESXi 6.7 Update 3 o versiones posteriores y Microsoft Hyper-V.

La VM que ejecuta el dispositivo tiene requisitos de acceso de sistema y red. Para obtener más información, consulte Requisitos del dispositivo.

Para obtener más información sobre la microarquitectura de CPU y los indicadores de CPU necesarios, consulte Requisitos de CPU.

Para acceder a una guía rápida para redimensionar la VM a fin de obtener el mejor rendimiento, consulte Guía de dimensionamiento del dispositivo Sophos NDR.

Configurar una integración

Para configurar la integración, haga lo siguiente:

  1. En Sophos Central, vaya al Centro de análisis de amenazas > Integraciones > Marketplace.

  2. Busque y haga clic en Sophos Network Detection and Response (NDR).

    Tarjeta de NDR en la página Marketplace.

  3. En la página NDR, en Ingesta de datos (alertas de seguridad), haga clic en Añadir configuración.

    Aparece Pasos de configuración de la integración.

Configurar la VM

  1. En el paso 1, introduzca un nombre y una descripción para la integración.

    Pasos de integración.

  2. En el paso 2, seleccione o cree el dispositivo que recopilará los registros de NDR.

    Solo puede tener una integración de NDR por dispositivo.

    Si necesita un nuevo dispositivo, haga clic en Crear un nuevo dispositivo.

    Si desea utilizar un dispositivo existente, selecciónelo en la lista desplegable y vaya al paso 3 para establecer exclusiones.

    Paso de integración 2.

  3. Para crear un nuevo dispositivo, haga lo siguiente:

    1. Introduzca el nombre y la descripción del dispositivo. Debe introducir un nombre único.

    2. Seleccione la plataforma virtual. Actualmente solo admitimos VMware ESXi 6.7 Update 3 o versiones posteriores y Microsoft Hyper-V.

    3. Especifique los puertos de red conectados a Internet.

      • Seleccione DHCP para asignar la dirección IP automáticamente.

        Nota

        Si selecciona DHCP, debe reservar la dirección IP.

      • Seleccione Manual para especificar la configuración de la red. Por ejemplo:

      • Dirección IP: 10.0.252.5

        • Máscara de subred: 255.255.255.0
        • Dirección de puerta de enlace: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Paso de integración 2 Configuración de VM.

  4. En el Paso 3, excluya dominios y protocolos específicos de la comprobación. Por ejemplo, podría hacer esto si tiene un dominio que causa falsos positivos.

    Puede configurar las exclusiones más adelante, pero debe introducir el nombre de la lista de exclusiones ahora.

    1. Introduzca el Nombre de lista de exclusiones.
    2. Para excluir un dominio, haga clic en Exclusiones de dominio. Introduzca el nombre de dominio, por ejemplo sophos.com, y haga clic en Añadir.

    3. Para excluir un protocolo, haga clic en Exclusiones de protocolo. Puede introducir información en uno o en ambos campos:

      • En el primer campo, introduzca un protocolo maestro. Por ejemplo, TCP o UDP.
      • En el segundo campo, introduzca un subprotocolo (sitio web). Por ejemplo, facebook.

      Si introduce información en ambos campos, los juntamos en una sola cadena con un único separador de puntos.

      No recomendamos excluir un protocolo maestro por completo. Hágalo solamente si un protocolo de tráfico elevado que no suele suponer riesgos, como un protocolo de enrutamiento, genera demasiados datos.

      La captura de pantalla muestra información de ejemplo.

    4. Haga clic en Añadir.

    Puede exportar sus exclusiones como un archivo JSON. También puede cargar exclusiones a la lista desde un archivo JSON que haya exportado previamente.

    Paso de integración 3 Exclusiones.

  5. Haga clic en Guardar.

En la página NDR, verá la nueva integración en la lista de integraciones configuradas.

A continuación, configure los switches para que el dispositivo NDR pueda supervisar el tráfico de la red.

Configurar su switches

Antes de descargar y desplegar la VM de Sophos NDR, debe configurar el reflejo de puertos, también conocido como Switched Port Analyzer (SPAN). Esto reenvía una copia del tráfico entrante y saliente de los puertos o las VLAN de un switch a otro puerto del switch para analizarlo.

Debe configurar el reflejo de puertos tanto para el tráfico de la red interna virtual como para el de la red externa física.

Cuando despliegue la VM de NDR más adelante, podrá conectarlo a sus puertos SPAN para que NDR pueda supervisar el tráfico de la red.

Las instrucciones para el reflejo de puertos dependen de si configura NDR en ESXi o Hyper-V. Haga clic en la pestaña correspondiente a su entorno virtual a continuación.

Si utiliza ESXi, el reflejo de puertos implica los siguientes pasos:

  • Configurar switches virtuales.
  • Configurar un switch físico.

Configurar switches virtuales

Para configurar el reflejo de puertos para los switches internos virtuales, haga lo siguiente:

  1. En ESXi, vaya a Redes. En la ficha Switches virtuales, seleccione el switch que desea utilizar para el reflejo de puertos.

Si aún no tiene un switch para utilizar, haga clic en Añadir switch virtual estándar para añadir uno nuevo y agregarle grupos de puertos.

Switches virtuales.

  1. En la ficha Grupos de puertos, haga clic en Añadir grupo de puertos.

    Nuevo grupo de puertos.

  2. En la configuración del nuevo grupo de puertos, haga lo siguiente:

    1. Escriba un nombre.
    2. Establezca el ID de VLAN en 4095. Esto permite que todos los demás grupos de puertos que ya se encuentran en el switch reenvíen el tráfico al nuevo grupo de puertos.
    3. Haga clic en Seguridad y establezca Modo promiscuo en Aceptar.
    4. Haga clic en Añadir.

    Ha configurado el reenvío para el tráfico de la red interna virtual. A continuación, haga lo mismo para el tráfico externo físico, como se describe en los pasos siguientes.

  3. En ESXi, seleccione o cree otro switch virtual que se encargue del tráfico físico externo enviado a él por un switch físico de su red.

  4. Configure el switch de la siguiente manera:

    1. Vaya a Grupos de puertos y haga clic en Añadir grupo de puertos.
    2. Escriba un nombre.
    3. Establezca el ID de VLAN en 4095.
    4. Haga clic en Seguridad y establezca Modo promiscuo en Aceptar.

A continuación, conecte el switch virtual a la red física para que pueda recibir tráfico externo.

  1. En el menú de la izquierda de ESXi, vaya a Redes y seleccione el switch que desea utilizar para el tráfico externo.

    Switch virtual seleccionado.

  2. En los detalles del switch, busque Topología de vSwitch. Puede ver “Sin adaptadores físicos”.

    Topología de vSwitch.

  3. Haga clic en Añadir enlace ascendente.

    Botón Añadir enlace ascendente.

  4. En Enlace ascendente 1, seleccione una NIC (tarjeta de interfaz de red) que esté disponible. Esta conecta el switch virtual a un puerto del servidor ESXi.

    Enlace ascendente 1.

  5. En Topología de red, compruebe que puede ver un adaptador físico conectado.

    Adaptador físico.

  6. Vaya al switch físico y utilice un cable para conectarse directamente al puerto del servidor ESXi.

A continuación, debe configurar el reflejo de puertos en el switch físico.

Configurar un switch físico

En esta sección se describe cómo configurar el reflejo de puertos en un switch de Sophos. Los pasos de configuración para otros switches son diferentes.

Para configurar el reflejo de puertos, haga lo siguiente:

  1. En Sophos Central, vaya a Switches.

  2. Seleccione el switch que desea configurar y haga clic en Ejecutar comandos.

    Página Switches en Sophos Central.

  3. En la consola Ejecutar comandos de switch, introduzca los comandos para reflejar todo el tráfico. En este ejemplo, los comandos reflejarán todo el tráfico entrante y saliente en los puertos 1-4, y lo enviarán al puerto 8.

configure terminal
monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
monitor session 1 source interface gigabitethernet 0/1 both
monitor session 1 source interface gigabitethernet 0/2 both
monitor session 1 source interface gigabitethernet 0/3 both
monitor session 1 source interface gigabitethernet 0/4 both
save
end
show monitor session 1

![Consola de línea de comandos del switch.](../../../../images/ndr-switch-command.png)

  1. Haga clic en Ejecutar. La consola muestra los comandos a medida que se ejecutan sobre un fondo verde.

    Comandos que se ejecutan en la consola del switch.

  2. Cuando se ejecuta el último comando, la consola muestra la configuración completada. Haga clic en Cerrar.

    Comandos que se ejecutan en la consola del switch.

Ha terminado de configurar el reenvío de tráfico a los puertos SPAN. Más tarde, configurará Sophos NDR para supervisar ese tráfico.

Si usa Hyper-V, el reflejo de puertos implica los siguientes pasos:

  • Configurar un puerto de reflejo de tráfico con Hyper-V.
  • Conectar una interfaz virtual SPAN al switch virtual.
  • Activar las extensiones de captura de Microsoft NDIS.
  • Configurar el modo de reflejo del switch.
  • Validar la creación de reflejo de tráfico.

Para obtener instrucciones, consulte Configuración de la creación de reflejo de tráfico con un conmutador virtual de Hyper-V.

A continuación, debe descargar la imagen de VM de NDR.

Descargar la imagen de VM

Ahora descargue la imagen de NDR necesaria para desplegar e iniciar la nueva VM.

  1. Junto a la nueva integración, haga clic en Icono de tres puntos. en la columna Acciones y seleccione la descarga para su plataforma, por ejemplo Descargar archivo OVA para ESXi.

    Verá que la descarga comienza.

    Menú de descarga.

  2. Pase el ratón sobre el icono situado a la izquierda del nombre de la integración. Ahora verá el mensaje "Esperando despliegue".

    Estado de integración.

Ya está preparado para implementar la VM.

Implementar la VM

Haga clic en la ficha de su plataforma a continuación para ver las instrucciones.

Restricción

Si utiliza ESXi, el archivo OVA se verifica con Sophos Central, por lo que solo se puede utilizar una vez. Si tiene que desplegar una VM nueva, debe volver a crear el archivo OVA en Sophos Central.

Aviso

Si va a desplegar el OVA en un host ESXi que se ejecuta en un clúster EVC (Enhanced vMotion Compatibility), el modo EVC debe ser Skylake o posterior.

  1. Vaya a su host ESXi.

  2. Seleccione Máquinas virtuales y haga clic en Crear/Registrar VM.

    Pestaña Crear/Registrar VM.

  3. En Seleccionar tipo de creación, seleccione Implementar una máquina virtual desde un archivo OVF u OVA. Haga clic en Siguiente.

    Seleccionar tipo de creación.

  4. En Seleccionar archivos OVF y VMDK, escriba un nombre de VM.

    Haga clic en la página para seleccionar los archivos. Seleccione el archivo OVA ndr-sensor.ova. Haga clic en Siguiente.

    Seleccionar archivo OVA.

  5. En Seleccionar almacenamiento, seleccione Estándar. A continuación, seleccione el almacén de datos donde desea colocar la VM. Haga clic en Siguiente.

    Seleccionar almacenamiento.

  6. En Opciones de despliegue, establezca la configuración de la siguiente manera:

    1. En SPAN1, seleccione el grupo de puertos que recibirá el tráfico SPAN para la aplicación NDR. Configuró esto anteriormente. Consulte Configurar su switches.

    2. En SPAN2, seleccione un segundo grupo de puertos que recibirá tráfico SPAN y que necesite supervisión (si tiene uno). Por ejemplo, es posible que tenga un switch físico y un vSwitch que no envíe tráfico al switch físico.

      Si utiliza SPAN2, debe aumentar el número de CPU de la VM a 8 como mínimo. Consulte Guía de dimensionamiento del dispositivo Sophos NDR.

    3. SYSLOG no es necesario para Sophos NDR. Seleccione cualquier grupo de puertos como marcador de posición y desconéctelo en la configuración de la VM más adelante.

    4. En MGMT, seleccione la interfaz de gestión. Esta interfaz permite al dispositivo enviar datos a Sophos Central.

      Configuró esta interfaz previamente en Sophos Central en Configuración del puerto de red conectado a Internet.

      Si seleccionó DHCP durante la configuración del dispositivo, asegúrese de que la VM puede obtener una dirección IP a través de DHCP.

    5. En Aprovisionamiento de disco, asegúrese de que Ligero está seleccionado.

    6. Asegúrese de que la opción Encender automáticamente esté seleccionada.
    7. Haga clic en Siguiente.

    Opciones de despliegue.

  7. Omita el paso Configuración adicional.

  8. Haga clic en Finalizar. Espere a que la nueva VM aparezca en la lista de VM. Este proceso puede durar varios minutos.

    Listo para completar.

  9. Encienda la VM y espere a que finalice el proceso de instalación.

    La VM se inicia por primera vez y comprueba que se puede conectar a los vSwitches correctos y a Internet. A continuación, se reinicia. El proceso puede tardar hasta 10 minutos.

    Aviso

    No interrumpa este proceso.

  10. En Sophos Central, vaya a la página Integraciones de NDR y actualícela. El estado de la VM ahora es Conectado.

    Estado de integración.

Si el estado de la VM es Conectado pero no parece funcionar, compruebe el estado del servicio Dragonfly en la consola del dispositivo virtual de Sophos para NDR. Consulte Consola del dispositivo virtual de Sophos.

Si en la consola se muestra que el servicio Dragonfly está en estado Pendiente y su VM está en un clúster EVC (Enhanced vMotion Compatibility), compruebe que el modo EVC sea Skylake o posterior.

El dispositivo virtual Sophos NDR no admite la ejecución en clústeres EVC en modo Sandy Bridge.

El archivo zip que descargó en Sophos Central contiene los archivos necesarios para desplegar su VM: unidades virtuales, seed.iso y un script de Powershell.

Para desplegar la VM, haga lo siguiente:

  1. Extraiga el archivo zip en una carpeta del disco duro.
  2. Vaya a la carpeta, haga clic con el botón derecho en el archivo ndr-sensor.ps1 y seleccione Ejecutar con PowerShell.

  3. Si ve un mensaje de Advertencia de seguridad, haga clic en Abrir para permitir la ejecución del archivo.

    Se le pedirá que responda a una serie de preguntas.

  4. Asigne un nombre a la VM.

  5. El script muestra la carpeta en la que se almacenarán los archivos de VM. Esta es una nueva carpeta en la ubicación de instalación predeterminada para unidades virtuales. Introduzca C para permitir que el script la cree.
  6. Introduzca el número de procesadores (CPU) que se van a utilizar para la VM.
  7. Introduzca la cantidad de memoria que se va a utilizar en GB.

  8. El script muestra una lista numerada de todos sus vSwitches actuales.

    Seleccione el vSwitch al que desea conectar la interfaz de gestión e introduzca su número. Esta interfaz permite al dispositivo enviar datos a Sophos Data Lake.

    Configuró esta interfaz previamente en Sophos Central en Configuración del puerto de red conectado a Internet.

    Si seleccionó DHCP durante la configuración, asegúrese de que la VM puede obtener una dirección IP a través de DHCP.

    Script de despliegue de VM de Hyper-V.

  9. No es necesario introducir un vSwitch para la interfaz de Syslog. Esto solo es relevante para las integraciones de productos de terceros.

    Seleccione cualquier vSwitch como marcador de posición y desconéctelo en la configuración de la VM más adelante.

  10. Seleccione el vSwitch que recibirá el tráfico SPAN para la aplicación NDR. Configuró esto anteriormente. Consulte Configurar su switches.

  11. Otra opción es seleccionar un segundo vSwitch que recibirá tráfico SPAN y que necesite supervisión (si tiene uno). Por ejemplo, es posible que tenga un switch físico y un vSwitch que no envíe tráfico al switch físico.

    Si utiliza un segundo vSwitch, debe aumentar el número de CPU de la VM a 8 como mínimo. Consulte Guía de dimensionamiento del dispositivo Sophos NDR.

  12. El script de PowerShell configura la VM en Hyper-V. Aparecerá el mensaje Instalación completada correctamente.

  13. Utilice cualquier tecla para salir.

  14. Abra el Administrador de Hyper-V para ver la VM añadida a la lista de máquinas virtuales. Si necesita cambiar algún parámetro, puede hacerlo. A continuación, iníciela.

    La VM se inicia por primera vez y comprueba que se puede conectar a los vSwitches correctos y a Internet. A continuación, se reinicia. El proceso puede tardar hasta 10 minutos.

  15. En Sophos Central, vaya a la página Integraciones del producto que está integrando y actualícela. El estado de la VM ahora es Conectado.

    Estado de integración.