Déployer une machine virtuelle pour les intégrations
Suite à l’intégration de produits tiers avec Sophos Central, utilisez une machine virtuelle pour héberger l’appliance qui va collecter des données à partir de ces produits et les transmettre à Sophos.
Actuellement, Sophos prend en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.
Après avoir configuré et téléchargé une image VM pour l’intégration, déployez-la comme décrit ci-dessous. Vous pouvez ensuite configurer le produit tiers pour lui envoyer des données.
Cliquez sur l’onglet de votre plate-forme ci-dessous pour afficher les instructions.
Restriction
Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une nouvelle machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.
Sur votre hôte VMware ESXi, procédez de la manière suivante :
- Sélectionnez Machines virtuelles.
-
Cliquez sur Créer/Enregistrer une machine virtuelle.
-
Dans Sélectionner le type de création, sélectionnez Déployer une machine virtuelle à partir d’un fichier OVF ou OVA. Cliquez sur Suivant.
-
Dans Sélectionner les fichiers OVF et VMDK, procédez de la manière suivante.
- Saisissez le nom de la machine virtuelle.
- Cliquez sur la page pour sélectionner des fichiers. Sélectionnez le fichier OVA que vous avez téléchargé.
- Cliquez sur Suivant.
-
Dans Sélectionner le stockage, sélectionnez le stockage Standard. Sélectionnez ensuite le « datastore » dans lequel vous souhaitez placer votre machine virtuelle. Cliquez sur Suivant.
-
Dans Options de déploiement, saisissez les paramètres comme suit.
- SPAN1 et SPAN2. Vous n’en avez pas besoin pour les intégrations. Sélectionnez un groupe de ports comme paramètre fictif et déconnectez-le ultérieurement dans les paramètres de la machine virtuelle.
- Dans SYSLOG, sélectionnez le port qui recevra les données syslog de votre produit tiers.
-
Dans MGMT, sélectionnez l’interface de gestion de l’appliance. Cette interface permet à l’appliance d’envoyer des données à Sophos Data Lake.
Vous avez configuré cette interface plus tôt dans Sophos Central dans Paramètres du port réseau connecté à Internet.
Si vous avez sélectionné DHCP lors de la configuration, assurez-vous que la machine virtuelle peut obtenir une adresse IP via DHCP.
-
Dans Provisionnement de disques, assurez-vous que Thin est sélectionné.
- Assurez-vous que l’option Mise sous tension automatique est sélectionnée.
- Cliquez sur Suivant.
-
Ignorez l’étape Paramètres supplémentaires.
-
Cliquez sur Terminer. Attendez que la nouvelle machine virtuelle apparaisse dans la liste des machines virtuelles. L’opération peut prendre quelques minutes.
-
Démarrez la machine virtuelle et attendez la fin du processus d’installation.
La machine virtuelle démarre pour la première fois et vérifie que ses connexions aux groupes de ports voulus et à Internet fonctionnent. Puis elle redémarre. L’opération peut durer jusqu’à 10 minutes.
-
Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Configuré.
-
Sélectionnez l’onglet Appliances d’intégration et recherchez l’appliance sur la machine virtuelle que vous venez de déployer. L’icône d’état indique Connecté.
Le fichier Zip que vous avez téléchargé dans Sophos Central contient les fichiers dont vous avez besoin pour déployer votre machine virtuelle : disques virtuels, fichiers seed.iso et script PowerShell.
Pour déployer la machine virtuelle, procédez de la manière suivante :
- Extrayez le fichier Zip dans un dossier de votre disque dur.
- Accédez au dossier, cliquez sur le fichier
ndr-sensor.ps1avec le bouton droit de la souris et sélectionnez Exécuter avec PowerShell. -
Si un message Avertissement de sécurité s’affiche, cliquez sur Ouvrir pour autoriser l’exécution du fichier.
Vous serez invité à répondre à une série de questions.
-
Nommez la machine virtuelle.
- Le script affiche le dossier dans lequel les fichiers VM seront stockés. Il s’agit d’un nouveau dossier dans votre emplacement d’installation par défaut pour les lecteurs virtuels. Saisissez
Cpour permettre au script de le créer. - Saisissez le nombre de processeurs (CPU) qui seront utilisés par la machine virtuelle.
- Saisissez la quantité de mémoire en Go à utiliser.
-
Le script affiche une liste numérotée de tous vos vSwitchs existants.
Sélectionnez le vSwitch auquel vous souhaitez associer l’interface de gestion et saisissez son numéro. Cette interface permet à l’appliance d’envoyer des données à Sophos Data Lake.
Vous avez configuré cette interface plus tôt dans Sophos Central dans Paramètres du port réseau connecté à Internet.
Si vous avez sélectionné DHCP lors de la configuration, assurez-vous que la machine virtuelle peut obtenir une adresse IP via DHCP.
-
Saisissez le vSwitch que vous souhaitez associer à l’interface Syslog.
Il s’agit du vSwitch qui recevra les données syslog de votre produit tiers.
-
Il n’est pas nécessaire d’assigner des vSwitchs spécifiques à la capture du trafic réseau. Ces paramètres ne sont utiles que si vous avez Sophos NDR. Sélectionnez un vSwitch comme paramètre fictif et déconnectez-le ultérieurement dans les paramètres de la machine virtuelle.
Le script PowerShell configure la machine virtuelle dans Hyper-V. Vous verrez s’afficher le message Installation réussie.
-
Appuyez sur une touche pour quitter.
-
Ouvrez Hyper-V Manager pour voir la machine virtuelle ajoutée à la liste des machines virtuelles. Vous pouvez modifier les paramètres si nécessaire. Puis démarrez-la.
La machine virtuelle démarre pour la première fois et vérifie que ses connexions aux vSwitch et à Internet fonctionnent. Puis elle redémarre. L’opération peut durer jusqu’à 10 minutes.
-
Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Configuré.
-
Sélectionnez l’onglet Appliances d’intégration et recherchez l’appliance sur la machine virtuelle que vous venez de déployer. L’icône d’état indique Connecté.