Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=NDR

Sophos NDR sur ESXi ou Hyper-V

Collecteur de journaux

Vous devez avoir un pack de licence d’intégration « Sophos Network Detection and Response » pour utiliser cette fonction.

Sophos Network Detection and Response (NDR) détecte un comportement malveillant sur votre réseau.

Vous pouvez intégrer Sophos NDR à Sophos Central afin que ses détections soient disponibles pour investigation dans le Centre d’ analyse des menaces.

L’intégration utilise un collecteur de journaux hébergé sur une machine virtuelle (VM). Ensemble, ils s’appellent une appliance. L’appliance reçoit des données et les transfère à Sophos Data Lake.

Actuellement, Sophos NDR prend en charge VMware ESXi 6.7 ou version ultérieure et Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou version ultérieure.

Les étapes principales sont les suivantes :

  • Vérifier les conditions requises.
  • Configurer une intégration. Cette option permet de configurer une image à utiliser sur une machine virtuelle.
  • Configurez vos switchs pour que NDR puisse voir le trafic.
  • Télécharger et déployer l’image sur votre machine virtuelle. Cela devient l’appliance.

Conditions requises

Sophos prend actuellement en charge VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V.

La machine virtuelle qui exécute l’appliance a des exigences d’accès au système et au réseau. Retrouvez plus de renseignements sur Exigences relatives à l’appliance.

Retrouvez plus de renseignements sur la microarchitecture du processeur et les indicateurs de CPU requis sur Configuration requise pour le processeur.

Pour obtenir un guide rapide sur le redimensionnement de la machine virtuelle afin d’obtenir des performances optimales, consultez Guide de dimensionnement des appliances Sophos NDR.

Configurer une intégration

Pour configurer l’intégration, procédez comme suit :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.

  2. Recherchez et cliquez sur Sophos Network Detection and Response (NDR).

    Carte NDR sur la page Marketplace.

  3. Sur la page NDR, dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Les Étapes de configuration de l’intégration s’affichent.

Configurer la machine virtuelle

  1. À l’Étape 1, saisissez le nom et la description de l’intégration.

    Étapes d’intégration.

  2. À l’Étape 2, sélectionnez ou créez l’appliance qui collectera les journaux NDR.

    Vous ne pouvez avoir qu’une intégration NDR par appliance.

    Si vous avez besoin d’une nouvelle appliance, cliquez sur Créer une appliance.

    Si vous souhaitez utiliser une appliance existante, sélectionnez-la dans la liste déroulante et passez à l’Étape 3.

    Étape 2 de l’intégration.

  3. Pour créer une nouvelle appliance, procédez comme suit :

    1. Saisissez le nom de l’appliance et sa description. Saisissez un nom unique.

    2. Sélectionnez la plate-forme virtuelle. Actuellement, nous ne prenons en charge que VMware ESXi 6.7 Update 3 ou version ultérieure et Microsoft Hyper-V.

    3. Indiquez le ports du réseau connecté à Internet.

      • Sélectionnez DHCP pour assigner automatiquement l’adresse IP.

        Remarque

        Si vous sélectionnez DHCP, vous devez lui réserver l’adresse IP.

      • Sélectionnez Manuel pour spécifier les paramètres réseau. Par exemple :

      • Adresse IP : 10.0.252.5

        • Masque de sous-réseau : 255.255.255.0
        • Adresse de la passerelle : 10.0.252.1
        • DNS 1 : 8.8.8.8
        • DNS 2 : 8.8.4.4

    Paramètres de la machine virtuelle de l’étape 2 de l’intégration.

  4. À l’Étape 3, excluez les domaines et protocoles spécifiques de la vérification. Par exemple, vous pouvez le faire si vous avez un domaine qui cause de faux positifs.

    Vous pouvez configurer vos exclusions ultérieurement, mais vous devez saisir un nom de liste d’exclusion dès maintenant.

    1. Saisissez le Nom de la liste d’exclusion.
    2. Pour exclure un domaine, cliquez sur Exclusions de domaine. Saisissez le nom de domaine, par exemple sophos.com, et cliquez sur Ajouter.

    3. Pour exclure un protocole, cliquez sur Exclusions de protocole. Vous pouvez saisir des informations dans l’un des champs ou dans les deux :

      • Dans le premier champ, saisissez un protocole maître. Par exemple, TCP ou UDP.
      • Dans le deuxième champ, saisissez un sous-protocole (site Web). Par exemple facebook.

      Si vous saisissez des informations dans les deux champs, nous les assemblons en une seule chaîne avec un seul séparateur de points.

      Nous ne recommandons pas d’exclure complètement un protocole maître. Ne faites cela que si un protocole à trafic élevé qui n’est généralement pas risqué, comme un protocole de routage, génère trop de données.

      La capture d’écran présente des exemples d’informations.

    4. Cliquez sur Ajouter.

    Vous pouvez exporter vos exclusions dans un fichier JSON. Vous pouvez également télécharger des exclusions dans la liste à partir d’un fichier JSON que vous avez exporté précédemment.

    Exclusions de l’étape 3 de l’intégration.

  5. Cliquez sur Enregistrer.

La page NDR affiche la nouvelle intégration dans la liste des intégrations configurées.

Configurez ensuite vos switchs de manière à ce que l’appliance NDR puisse surveiller le trafic de votre réseau.

Configurer les switchs

Avant de télécharger et de déployer la machine virtuelle Sophos NDR, configurez la mise en miroir des ports, également appelée Switched Port Analyzer (SPAN). Une copie du trafic entrant et sortant des ports ou des VLAN est transférée d’un switch vers un autre port de switch pour analyse.

Vous devez configurer la mise en miroir de ports pour le trafic réseau virtuel interne et le trafic réseau physique externe.

Lorsque vous déploierez votre appliance NDR VM ultérieurement, vous pourrez la connecter à vos ports SPAN afin de permettre à NDR de surveiller le trafic réseau.

Les instructions pour la mise en miroir des ports varient selon que vous configurez NDR sur ESXi ou Hyper-V. Cliquez sur l’onglet correspondant à votre environnement virtuel ci-dessous.

Si vous utilisez ESXi, la mise en miroir des ports implique les étapes suivantes :

  • Configurer les switchs virtuels.
  • Configurer un switch physique.

Configurer les switchs virtuels

Pour configurer la mise en miroir des ports pour les switchs internes virtuels, procédez comme suit :

  1. Dans ESXi, allez dans Mise en réseau. Dans l’onglet Switchs virtuels, sélectionnez un switch à utiliser pour la mise en miroir des ports.

Si vous n’avez pas encore identifié de switch à utiliser, cliquez sur Ajouter un switch virtuel standard pour en ajouter un nouveau et y ajouter des groupes de ports.

Switchs virtuels.

  1. Dans l’onglet Port groups, cliquez sur Add port group.

    Nouveau groupe de ports.

  2. Dans les paramètres du nouveau groupe de ports, procédez de la manière suivante :

    1. Saisir un nom.
    2. Définissez l’ID VLAN sur 4095. Cela permet à tous les autres groupes de ports déjà sur le switch de transférer le trafic vers le nouveau groupe de ports.
    3. Cliquez sur Sécurité et définissez le Mode non sécurisé comme Accepter.
    4. Cliquez sur Ajouter.

    Vous avez configuré le transfert du trafic de votre réseau interne virtuel. Procédez ensuite de la même manière pour le trafic externe physique, comme décrit dans les étapes suivantes.

  3. Dans ESXi, sélectionnez ou créez un autre switch virtuel qui gère le trafic externe physique envoyé par un switch physique sur votre réseau.

  4. Configurez le switch de la manière suivante :

    1. Dans l’onglet Groupes de ports, cliquez sur Ajouter un groupe de ports.
    2. Saisir un nom.
    3. Définissez l’ID VLAN sur 4095.
    4. Cliquez sur Sécurité et définissez le Mode non sécurisé comme Accepter.

Connectez ensuite votre switch virtuel à votre réseau physique pour qu’il puisse recevoir du trafic externe.

  1. Dans le menu de gauche de ESXi, allez dans Mise en réseau et sélectionnez le switch que vous souhaitez utiliser pour le trafic externe.

    vSwitch sélectionné.

  2. Dans les détails du switch, recherchez Topologie vSwitch. Vous verrez s’afficher « Pas de cartes physiques ».

    Topologie vSwitch.

  3. Cliquez sur Ajouter une liaison montante.

    Ajouter un bouton pour les liaisons montantes.

  4. Dans Liaison montante 1, sélectionnez une carte réseau (NIC ou Network Interface Card) disponible. Ceci vous permettra de connecter le switch virtuel à un port de votre serveur ESXi.

    Liaison montante 1.

  5. Dans Topologie réseau, vérifiez qu’une carte physique est connectée.

    Carte physique.

  6. Accédez à votre switch physique et utilisez un câble pour vous connecter directement au port de votre serveur ESXi.

Vous devez ensuite configurer la mise en miroir sur le switch physique.

Configurer un switch physique

Cette section décrit la configuration de la mise en miroir des ports sur un switch Sophos. Les étapes de configuration des autres switchs diffèrent.

Pour configurer la mise en miroir de ports, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Switchs.

  2. Sélectionnez le switch à configurer et cliquez sur Exécuter les commandes.

    Page Switchs dans Sophos Central.

  3. Dans la console Exécuter les commandes du switch, saisissez les commandes pour mettre en miroir tout le trafic. Dans cet exemple, les commandes vont mettre en miroir tout le trafic entrant et sortant sur les ports 1-4, et l’envoyer sur le port 8.

configure terminal
monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
monitor session 1 source interface gigabitethernet 0/1 both
monitor session 1 source interface gigabitethernet 0/2 both
monitor session 1 source interface gigabitethernet 0/3 both
monitor session 1 source interface gigabitethernet 0/4 both
save
end
show monitor session 1

![Console Switch par ligne de commande.](../../../../images/ndr-switch-commands.png)

  1. Cliquez sur Exécuter. La console affiche les commandes lorsqu’elles s’exécutent sur un arrière-plan vert.

    Console du switch exécutant les commandes.

  2. Lorsque la dernière commande est exécutée, la console affiche la configuration terminée. Cliquez sur Fermer.

    Console du switch exécutant les commandes.

Vous avez terminé la configuration du transfert du trafic vers les ports SPAN. Vous configurerez ensuite Sophos NDR pour surveiller ce trafic.

Si vous utilisez Hyper-V, la mise en miroir des ports implique les étapes suivantes :

  • Configurer un port de mise en miroir du trafic avec Hyper-V.
  • Connecter une interface virtuelle SPAN au switch virtuel.
  • Activer les extensions de capture Microsoft NDIS.
  • Configurer le mode de mise en miroir du switch.
  • Valider la mise en miroir du trafic.

Retrouvez plus d’instructions sur Configurer la mise en miroir du trafic avec un commutateur virtuel Hyper-V.

Téléchargez ensuite l’image de la machine virtuelle NDR.

Télécharger l’image de la machine virtuelle

Vous téléchargez maintenant l’image NDR dont vous avez besoin pour déployer et démarrer la nouvelle machine virtuelle.

  1. À côté de la nouvelle intégration, cliquez sur Icône trois points. dans la colonne Actions et sélectionnez le téléchargement correspondant à votre plate-forme, par exemple Télécharger le fichier OVA pour ESXi.

    Vous voyez le téléchargement commencer.

    Menu de téléchargement.

  2. Placez le pointeur de la souris sur l’icône à gauche du nom de l’intégration. Le message « Déploiement en attente » s’affiche.

    État de l’intégration.

Vous êtes prêt à déployer la machine virtuelle.

Déployer la machine virtuelle

Cliquez sur l’onglet de votre plate-forme ci-dessous pour afficher les instructions.

Restriction

Si vous utilisez ESXi, le fichier OVA est vérifié avec Sophos Central afin de ne pouvoir être utilisé qu’une seule fois. Si vous devez déployer une nouvelle machine virtuelle, veuillez créer de nouveau le fichier OVA dans Sophos Central.

Avertissement

Si vous déployez l’OVA sur un hôte ESXi s’exécutant dans un cluster EVC (Enhanced vMotion Compatibility), l’EVC doit être en mode Skylake ou ultérieur.

  1. Allez dans votre hôte ESXi.

  2. Sélectionnez Machines virtuelles et cliquez sur Créer/Enregistrer une machine virtuelle.

    Onglet Créer/Enregistrer une machine virtuelle.

  3. Dans Sélectionner le type de création, sélectionnez Déployer une machine virtuelle à partir d’un fichier OVF ou OVA. Cliquez sur Suivant.

    Sélectionner le type de création.

  4. Dans Sélectionner les fichiers OVF et VMDK, saisissez un nom de machine virtuelle.

    Cliquez sur la page pour sélectionner des fichiers. Sélectionnez le fichier OVA ndr-sensor.ova. Cliquez sur Suivant.

    Sélectionner le fichier OVA.

  5. Dans Sélectionner le stockage, sélectionnez le stockage Standard. Sélectionnez ensuite le « datastore » dans lequel vous souhaitez placer votre machine virtuelle. Cliquez sur Suivant.

    Sélectionner le stockage.

  6. Dans Options de déploiement, saisissez les paramètres comme suit.

    1. Dans SPAN1, sélectionnez le groupe de ports qui recevra le trafic SPAN pour l’application NDR. Vous l’avez configuré précédemment. Voir Configurer les switchs.

    2. Dans SPAN2, sélectionnez un deuxième groupe de ports qui recevra le trafic SPAN et qui doit être surveillé (si vous en avez un). Par exemple, vous pouvez avoir un switch physique et un switch virtuel qui n’envoient pas de trafic au switch physique.

      Si vous utilisez SPAN2, vous devez augmenter le nombre de processeurs pour la machine virtuelle à au moins 8. Voir Guide de dimensionnement des appliances Sophos NDR.

    3. SYSLOG n’est pas nécessaire pour Sophos NDR. Sélectionnez un groupe de ports comme paramètre fictif et déconnectez-le ultérieurement dans les paramètres de la machine virtuelle.

    4. Dans MGMT, sélectionnez l’interface de gestion. Cette interface permet à l’appliance d’envoyer des données à Sophos Central.

      Vous avez configuré cette interface plus tôt dans Sophos Central dans Paramètres du port réseau connecté à Internet.

      Si vous avez sélectionné DHCP lors de la configuration de l’appliance, assurez-vous que la machine virtuelle peut obtenir une adresse IP via DHCP.

    5. Dans Provisionnement de disques, assurez-vous que Thin est sélectionné.

    6. Assurez-vous que l’option Mise sous tension automatique est sélectionnée.
    7. Cliquez sur Suivant.

    Options de déploiement.

  7. Ignorez l’étape Paramètres supplémentaires.

  8. Cliquez sur Terminer. Attendez que la nouvelle machine virtuelle apparaisse dans la liste des machines virtuelles. L’opération peut prendre quelques minutes.

    Prêt à terminer.

  9. Mettez la machine virtuelle sous tension et attendez la fin du processus d’installation.

    La machine virtuelle démarre pour la première fois et vérifie que ses connexions aux vSwitch voulus et à Internet fonctionnent. Puis elle redémarre. L’opération peut durer jusqu’à 10 minutes.

    Avertissement

    N’interrompez pas ce processus.

  10. Dans Sophos Central, accédez à la page Intégrations NDR et actualisez-la. L’état de la machine virtuelle est maintenant Connecté.

    État de l’intégration.

Si l’état de la machine virtuelle est Connecté mais qu’elle ne semble pas fonctionner, vérifiez l’état du service Dragonfly dans la console de l’appliance virtuelle Sophos pour NDR. Voir la Console de l’appliance virtuelle Sophos

Si vous voyez dans la console que le service Dragonfly est à l’état En attente et que votre machine virtuelle est dans un cluster EVC (Enhanced vMotion Compatibility), vérifiez que le mode EVC est Skylake ou ultérieur.

L’appliance virtuelle Sophos NDR ne prend pas en charge l’exécution dans les clusters EVC en mode Sandy Bridge.

Le fichier Zip que vous avez téléchargé dans Sophos Central contient les fichiers dont vous avez besoin pour déployer votre machine virtuelle : disques virtuels, fichiers seed.iso et script PowerShell.

Pour déployer la machine virtuelle, procédez de la manière suivante :

  1. Extrayez le fichier Zip dans un dossier de votre disque dur.
  2. Accédez au dossier, cliquez sur le fichier ndr-sensor.ps1 avec le bouton droit de la souris et sélectionnez Exécuter avec PowerShell.

  3. Si un message Avertissement de sécurité s’affiche, cliquez sur Ouvrir pour autoriser l’exécution du fichier.

    Vous serez invité à répondre à une série de questions.

  4. Nommez la machine virtuelle.

  5. Le script affiche le dossier dans lequel les fichiers VM seront stockés. Il s’agit d’un nouveau dossier dans votre emplacement d’installation par défaut pour les lecteurs virtuels. Saisissez C pour permettre au script de le créer.
  6. Saisissez le nombre de processeurs (CPU) qui seront utilisés par la machine virtuelle.
  7. Saisissez la quantité de mémoire en Go à utiliser.

  8. Le script affiche une liste numérotée de tous vos vSwitchs existants.

    Sélectionnez le vSwitch auquel vous souhaitez associer l’interface de gestion et saisissez son numéro. Cette interface permet à l’appliance d’envoyer des données à Sophos Data Lake.

    Vous avez configuré cette interface plus tôt dans Sophos Central dans Paramètres du port réseau connecté à Internet.

    Si vous avez sélectionné DHCP lors de la configuration, assurez-vous que la machine virtuelle peut obtenir une adresse IP via DHCP.

    Script de déploiement de la machine virtuelle Hyper-V.

  9. Il est inutile de saisir un vSwitch pour l’interface syslog. Cette action ne s’applique que pour l’intégration de produits tiers.

    Sélectionnez un vSwitch comme paramètre fictif et déconnectez-le ultérieurement dans les paramètres de la machine virtuelle.

  10. Sélectionnez le vSwitch qui recevra le trafic SPAN pour l’application NDR. Vous l’avez configuré précédemment. Voir Configurer les switchs.

  11. Vous pouvez aussi choisir de sélectionner un second vSwitch qui recevra le trafic SPAN et qui devra être surveillé (si vous en avez un). Par exemple, vous pouvez avoir un switch physique et un switch virtuel qui n’envoient pas de trafic au switch physique.

    Si vous utilisez un second vSwitch, veuillez augmenter le nombre de processeurs pour la machine virtuelle jusqu’à au moins 8. Voir Guide de dimensionnement des appliances Sophos NDR.

  12. Le script PowerShell configure la machine virtuelle dans Hyper-V. Vous verrez s’afficher le message Installation réussie.

  13. Appuyez sur une touche pour quitter.

  14. Ouvrez Hyper-V Manager pour voir la machine virtuelle ajoutée à la liste des machines virtuelles. Vous pouvez modifier les paramètres si nécessaire. Puis démarrez-la.

    La machine virtuelle démarre pour la première fois et vérifie que ses connexions aux vSwitch et à Internet fonctionnent. Puis elle redémarre. L’opération peut durer jusqu’à 10 minutes.

  15. Dans Sophos Central, accédez à la page Intégrations du produit que vous intégrez et actualisez-le. L’état de la machine virtuelle est maintenant Connecté.

    État de l’intégration.