Requisitos del recopilador de datos
Si sus integraciones utilizan un recopilador de datos, la máquina virtual (VM) donde se ejecuta debe cumplir estos requisitos.
Los requisitos se aplican a Sophos NDR y a integraciones de recopiladores de registros de terceros. Incluyen los siguientes:
- Plataformas compatibles
- Requisitos mínimos del sistema
- Requisitos de CPU
- Tamaño de VM
- Exclusiones de puertos y dominios
Plataformas compatibles
Puede ejecutar recopilador de datos en VMware ESXi o Microsoft Hyper-V.
Requisitos de VMware ESXi
Si utiliza VMware ESXi, los requisitos son los siguientes:
- VMware ESXi 6.7 o posterior
- Hardware de VM versión 11 o posterior
Admitimos los modos EVC (Enhanced vMotion Compatibility) de VMware si cumple con los requisitos de CPU. Consulte Requisitos de CPU.
Para comprobar su versión de VMware ESXi, consulte estos artículos:
- Determinar el número de compilación de VMware ESX/ESXi y VMware vCenter Server
- Números de compilación y versiones de VMware ESXi/ESX
Requisitos de Microsoft Hyper-V
Si utiliza Microsoft Hyper-V, los requisitos son los siguientes:
- Hyper-V versión 6.0.6001.18016 (Windows Server 2016) o posterior
No admitimos el modo de compatibilidad del procesador.
Para comprobar la versión de Microsoft Hyper-V, consulte Identificar la versión de Hyper-V.
Requisitos mínimos del sistema
Los requisitos mínimos del sistema son los mismos en todas las plataformas.
En VMware, nuestra imagen OVA está preconfigurada para cumplir con los requisitos mínimos tanto para Sophos NDR como para las integraciones de recopiladores de registros.
Los requisitos son los siguientes:
- 4 procesadores
- 16 GB de RAM
- 160 GB de almacenamiento
El recopilador de datos también requiere microarquitecturas de CPU específicas. Consulte los requisitos de CPU.
Es posible que necesite redimensionar la VM si su recopilador de datos gestiona un gran volumen de datos o ejecuta varias integraciones. Consulte Tamaño de VM.
Requisitos de CPU
El sistema que ejecuta la VM debe utilizar una de las microarquitecturas de CPU que se muestran a continuación.
Si tiene Sophos NDR, también debe asegurarse de que los siguientes indicadores de CPU estén configurados:
pdpe1gb: La tecnología de captura de paquetes lo necesita.avx2: Las funciones de Machine Learning de Sophos lo necesitan.
Ambos indicadores están disponibles en las CPU de Intel y AMD que se muestran aquí.
CPU Intel
| Nombre | Generación | Nombre en clave | Fecha |
|---|---|---|---|
| Skylake | 6 | Skylake | Q3 2015 |
| Skylake | 7 | Kaby Lake | Q3 2016 |
| Skylake | 8 | Coffee Lake | Q3 2017 |
| Skylake | 9 | Coffee Lake Refresh | Q4 2018 |
| Skylake | 9 | Cascade Lake | Q2 2019 |
| Skylake | 10 | Comet Lake | Q3 2019 |
| Palm Cove | 10 | Cannon Lake | Q2 2018 |
| Sunny Cove | 10 | ICE Lake | Q3 2019 |
| Cypress Cove | 11 | Rocket Lake | Q1 2021 |
| Golden Cove | 12 | Alder Lake | Q4 2021 |
| Raptor Cove | 13 | Raptor Lake | Q4 2022 |
Para ayudarle a identificar las CPU, a continuación se muestran las convenciones de nomenclatura de CPU de Intel.
Modo EVC de Vmware
Si su dispositivo está en un host VMware ESXi que se ejecuta en un clúster EVC (Enhanced vMotion Compatibility), debe asegurarse de que ha seleccionado:
- CPU de generación Skylake o posterior
- Hardware de VMware versión 11 o posterior
CPU AMD
| Nombre | Generación | Nombre en clave | Fecha |
|---|---|---|---|
| Zen | 1 | Naples | Q2 2017 |
| Zen | 1 | Great Horned Owl | Q1 2018 |
| Zen 2 | 2 | Rome | Q3 2019 |
| Zen 3 | 3 | Milan | Q2 2021 |
| Zen 4 | 4 | Genoa | Q4 2022 |
Para ayudarle a identificar las CPU, a continuación se incluyen las convenciones de nomenclatura de CPU de AMD.
Tamaño de VM
Las directrices de tamaño de VM dependen de si tiene Sophos NDR, integraciones de recopiladores de registros o ambos en la VM.
Solo Sophos NDR
Es posible que tenga que configurar la máquina virtual para asegurarse de que el dispositivo virtual de Sophos NDR ofrece el mejor rendimiento y el menor impacto en la red.
Estas son nuestras recomendaciones, basadas en su tráfico de red.
-
Tráfico medio
- hasta 500 Mbps
- hasta 70 000 paquetes por segundo
- hasta 1200 flujos por segundo
Puede instalar la máquina virtual utilizando los valores predeterminados. No es necesario realizar cambios en la configuración de la VM.
-
Tráfico elevado
- hasta 1 Gbps
- hasta 300 000 paquetes por segundo
- hasta 4500 flujos por segundo
Se debe elegir una VM con 8 vCPU.
Si sus estadísticas de red son superiores a las de la configuración de Tráfico elevado, despliegue varias VM en toda la red.
Las recomendaciones anteriores son para una VM que solo ejecute Sophos NDR. Si también ejecuta integraciones de recopiladores de registros en condiciones de carga elevada, es posible que necesite añadir más CPU virtuales. Consulte Sophos NDR e integraciones de recopiladores de registros.
Integraciones del recopilador de registros
Por lo general, no es necesario redimensionar una VM si ejecuta una única integración de recopilador de registros. La configuración predeterminada es suficiente.
Sin embargo, es posible que necesite cambiar la configuración o añadir más VM si tiene varias integraciones o si se envía un gran volumen de eventos a sus recopiladores de registros.
Memoria
Necesita hasta 400 MB de memoria para cada integración.
Puede ejecutar hasta cuatro integraciones por recopilador de registros. La memoria máxima predeterminada para el contenedor del recopilador de registros es 2 GB.
Si desea ejecutar más integraciones, aumente la memoria máxima. Para ello, edite la configuración del puerto SYSLOG en la consola del recopilador de datos. Consulte Puerto de red Syslog.
Volumen de eventos
La VM puede aceptar un máximo de 8000 eventos por segundo. Esto se aplica sin importar cuántas integraciones tenga en la VM.
Si tiene varias integraciones y cree que va a superar este límite, despliegue varias VM.
Si una única integración de recopilador de registros supera el límite, utilice la configuración de syslog en el dispositivo de origen para intentar reducir el número de eventos.
Sophos NDR e integraciones de recopiladores de registros
Si tiene Sophos NDR e integraciones de recopiladores de registros en la misma VM, no hay una única solución de tamaño. Le recomendamos que comience con el tamaño de NDR y luego considere lo que necesitan las integraciones de recopiladores de registros.
Estos son algunos factores que pueden afectar al tamaño:
- NDR puede tomar CPU y establecer la prioridad dada a otras integraciones que lo utilizan. Si tiene 4 CPU, NDR toma 2. Si tiene 8 CPU, NDR toma 3.
- Incluso cuando NDR toma una CPU, otras integraciones pueden seguir usándola, lo que afectará a la cantidad de tráfico que NDR puede gestionar.
- Si tiene 16 GB de memoria, no permitimos que la integración de recopilador de registros use más de 2 GB. Esto garantiza que NDR tendrá suficiente memoria.
- Cuando una integración de recopilador de registros procesa el número máximo de eventos, utiliza la misma potencia de procesamiento que Sophos NDR en condiciones de carga moderadamente elevada. En este caso se presupone que la VM tiene las 4 CPU por defecto.
Exclusiones de puertos y dominios
Asegúrese de que los puertos y dominios siguientes están permitidos en su firewall. Esto permite que el dispositivo virtual de Sophos arranque y descargue actualizaciones.
Los dominios que debe permitir dependen de si su firewall admite comodines.
Haga clic en la ficha correspondiente para obtener más información.
| Dominio | Puertos | Protocolos |
|---|---|---|
| *.sophos.com | TCP/443, TCP/22 | HTTPS, SSH |
| *.amazonaws.com | TCP/443 | HTTPS |
| *.ubuntu.com | TCP/80, TCP/443, UDP/123 | HTTP, HTTPS, NTP |
| api.snapcraft.io | TCP/443 | HTTPS |
| auth.docker.io | TCP/443 | HTTPS |
| baltocdn.com | TCP/443 | HTTPS |
| production.cloudflare.docker.com | TCP/443 | HTTPS |
| raw.githubusercontent.com | TCP/443 | HTTPS |
| registry-1.docker.io | TCP/443 | HTTPS |
| sophossecops.jfrog.io | TCP/443 | HTTPS |
| Dominio | Puerto | Protocolo |
|---|---|---|
| api.snapcraft.io | TCP/443 | HTTPS |
| archive.ubuntu.com | TCP/80 | HTTP |
| auth.docker.io | TCP/443 | HTTPS |
| baltocdn.com | TCP/443 | HTTPS |
| central.sophos.com | TCP/443 | HTTPS |
| changelogs.ubuntu.com | TCP/443 | HTTPS |
| entropy.ubuntu.com | TCP/443 | HTTPS |
| jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com | TCP/443 | HTTPS |
| ndr.apu.sophos.com | TCP/22 | SSH |
| nta-proxy.cloudstation.eu-central-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-proxy.cloudstation.us-east-2.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-proxy.cloudstation.us-west-2.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-proxy.cloudstation.ca-central-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-proxy.cloudstation.ap-northeast-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-proxy.cloudstation.ap-southeast-2.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-proxy.cloudstation.ap-south-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-proxy.cloudstation.sa-east-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-push-ws.cloudstation-eu-central-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-push-ws.cloudstation-eu-west-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-push-ws.cloudstation-us-east-2.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-push-ws.cloudstation-us-west-2.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-push-ws.cloudstation.ca-central-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-push-ws.cloudstation.ap-northeast-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-push-ws.cloudstation.ap-southeast-2.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-push-ws.cloudstation.ap-south-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| nta-push-ws.cloudstation.sa-east-1.prod.hydra.sophos.com | TCP/443 | HTTPS |
| ntp.ubuntu.com | UDP/123 | NTP |
| production.cloudflare.docker.com | TCP/443 | HTTPS |
| raw.githubusercontent.com | TCP/443 | HTTPS |
| registry-1.docker.io | TCP/443 | HTTPS |
| s3-r-w.eu-west-1.amazonaws.com | TCP/443 | HTTPS |
| s3-r-w.eu-central-1.amazonaws.com | TCP/443 | HTTPS |
| s3-r-w.us-east-2.amazonaws.com | TCP/443 | HTTPS |
| s3-r-w.us-west-2.amazonaws.com | TCP/443 | HTTPS |
| s3-r-w.ca-central-1.amazonaws.com | TCP/443 | HTTPS |
| s3-r-w.ap-southeast-2.amazonaws.com | TCP/443 | HTTPS |
| s3-r-w.ap-northeast-1.amazonaws.com | TCP/443 | HTTPS |
| s3-r-w.ap-south-1.amazonaws.com | TCP/443 | HTTPS |
| s3-r-w.sa-east-1.amazonaws.com | TCP/443 | HTTPS |
| sdu-feedback.sophos.com | TCP/443 | HTTPS |
| security.ubuntu.com | TCP/80 | HTTP |
| sophossecops.jfrog.io | TCP/443 | HTTPS |
| tf-nta-sva-images-cloudstation-eu-west-1-prod-bucket.s3.eu-west-1.amazonaws.com | TCP/443 | HTTPS |
| tf-nta-sva-images-cloudstation-eu-central-1-prod-bucket.s3.eu-central-1.amazonaws.com | TCP/443 | HTTPS |
| tf-nta-sva-images-cloudstation-us-east-2-prod-bucket.s3.us-east-2.amazonaws.com | TCP/443 | HTTPS |
| tf-nta-sva-images-cloudstation-us-west-2-prod-bucket.s3.us-west-2.amazonaws.com | TCP/443 | HTTPS |
| tf-nta-sva-images-cloudstation-ca-central-1-prod-bucket.s3.ca-central-1.amazonaws.com | TCP/443 | HTTPS |
| tf-nta-sva-images-cloudstation-ap-southeast-2-prod-bucket.s3.ap-southeast-2.amazonaws.com | TCP/443 | HTTPS |
| tf-nta-sva-images-cloudstation-ap-northeast-1-prod-bucket.s3.ap-northeast-1.amazonaws.com | TCP/443 | HTTPS |
| tf-nta-sva-images-cloudstation-ap-south-1-prod-bucket.s3.ap-south-1.amazonaws.com | TCP/443 | HTTPS |
| tf-nta-sva-images-cloudstation-sa-east-1-prod-bucket.s3.sa-east-1.amazonaws.com | TCP/443 | HTTPS |