Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=NDR-aws

Sophos NDR sur AWS

Vous devez avoir un pack de licence d’intégration « Sophos Network Detection and Response » pour utiliser cette fonction.

Sophos Network Detection and Response (NDR) détecte un comportement malveillant sur votre réseau.

Vous pouvez intégrer Sophos NDR à Sophos Central afin que ses détections soient disponibles pour investigation dans le Centre d’ analyse des menaces.

L’intégration utilise une appliance qui reçoit des données et les transfère au Sophos Data Lake.

Les étapes principales sont les suivantes :

  • Vérifier les conditions requises.
  • Créez une appliance Sophos. Ce processus est basé sur un modèle CloudFormation.
  • Abonnez-vous à Sophos NDR dans AWS.
  • Créez une pile. C’est ici que vous spécifierez le VPC et les sous-réseaux pour NDR.
  • Créez une session de mise en miroir du trafic. Cette action redirige le trafic vers NDR pour analyse.
  • Modifiez les groupes de sécurité pour autoriser le trafic « syslog » et accorder l’accès au Gestionnaire d’appliances Sophos.
  • Définissez un mot de passe pour le Gestionnaire d’appliances Sophos.

Le Gestionnaire d’appliances Sophos vous permet de surveiller et de gérer l’appliance Sophos NDR.

Conditions requises

Pour configurer Sophos NDR sur AWS, vous aurez besoin de l’infrastructure et des comptes suivants :

  • Un compte AWS.
  • Un compte Sophos Central.
  • Des instances EC2.
  • Un VPC, des sous-réseaux et des zones de disponibilité. Vous pouvez utiliser ceux que vous avez déjà à disposition.
  • Assurez-vous qu’au moins une adresse IP élastique puisse être utilisée par l’interface de gestion NDR.

Nous prenons en charge les types d'instance EC2 suivants :

  • c5n.2xlarge
  • c6i.4xlarge
  • c7i.16xlarge (virtualisation nitro)

Vous devez créer et enregistrer votre clé privée SSH pour le compte AWS.

Vous devez avoir créé un VPC dans l’une des régions de votre choix. Voici un exemple de carte de ressources VPC :

Exemple de carte de ressources VPC.

Créer une appliance

Pour créer et configurer une appliance Sophos, créez et téléchargez tout d’abord un modèle CloudFormation.

Créer le modèle CloudFormation

Pour créer un modèle CloudFormation, procédez comme suit :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Recherchez et cliquez sur Sophos Network Detection and Response (NDR).

  3. Sur la page NDR, dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Les Étapes de configuration de l’intégration s’affichent.

  4. À l’Étape 1, saisissez le nom et la description de l’intégration.

    Étapes d’intégration.

  5. À l’Étape 2, créez un modèle CloudFormation (CFT). Dans Plate-forme virtuelle, sélectionnez AWS.

    Sélectionnez la plate-forme virtuelle.

  6. Cliquez sur Enregistrer.

Un fichier json CloudFormation (CF) aws_ndr_cf_latest.json est créé.

Télécharger le modèle CloudFormation

Pour télécharger le modèle CloudFormation, procédez comme suit :

  1. Dans Sophos Central, allez dans Intégrations > Configuré.
  2. Sélectionnez l’onglet Appliances d’intégration et recherchez l’appliance Sophos NDR.

  3. Dans la colonne la plus à droite, cliquez sur le menu à trois points (ellipse) et sélectionnez Télécharger l’image.

    La liste des intégrations configurées affiche les options de téléchargement.

Le fichier aws_ndr_cf_latest.json est téléchargé sur votre ordinateur.

S’abonner à Sophos NDR

Vous devez vous abonner à NDR dans la console AWS Marketplace. Procédez comme suit :

  1. Accédez à la page AWS Marketplace et recherchez Sophos NDR.

  2. Sur la page Présentation du produit, cliquez sur Continuer pour vous abonner.

    Page « Présentation du produit » NDR.

  3. Sur la page S’abonner à ce logiciel, acceptez les conditions générales et cliquez sur Continuer vers la configuration.

    Page « S’abonner à ce logiciel ».

  4. Sur la page Configurer ce logiciel, vérifiez la version et la région, puis cliquez sur Continuer vers le lancement.

    Page « Configurer ce logiciel ».

  5. Sur la page Lancer ce logiciel, cliquez sur Instructions d’utilisation pour savoir comment accéder au Gestionnaire d’appliances Sophos.

    Page « Lancer ce logiciel ».

  6. Cliquez sur Lancer.

AWS ouvre la page Créer une pile.

Créer une pile

Utilisez maintenant le modèle CloudFormation téléchargé pour créer un Capteur NDR pour votre compte AWS. Pour ce faire, créez une pile.

  1. Sur la page Création de pile, procédez comme suit :

    1. Gardez l’option Le modèle est prêt sélectionnée.
    2. Dans Spécifier un modèle, sélectionnez Télécharger un fichier modèle.
    3. Cliquez sur Choisir un fichier et sélectionnez aws_ndr_cf_latest.json.
    4. Cliquez sur Suivant.

    Page « Créer une pile » affichant le choix du fichier modèle.

  2. Sur la page Spécifier les détails de la pile, saisissez un nom et les détails de Configuration réseau suivants :

    1. Un VPC existant que vous souhaitez utiliser pour NDR.
    2. Un sous-réseau pour l’interface de gestion NDR. Il s’agit d’un sous-réseau public.
    3. Un sous-réseau pour l’interface syslog NDR. Cela permet à NDR de joindre une interface qui peut être utilisée ultérieurement si vous ajoutez un autre collecteur de journaux tiers.
    4. Un sous-réseau pour l’interface SPAN de NDR. L’interface SPAN prend une copie miroir de trafic réseau et l’envoie à NDR pour analyse.
    5. Le groupe de sécurité qui donne aux administrateurs un accès SSH à l’instance NDR.

    Une fois terminée, la configuration réseau ressemble à l’exemple suivant :

    Page « Spécifier les détails de la pile ».

  3. Sous Configuration de l’instance EC2, saisissez la clé SSH nécessaire pour accéder à l’instance EC2 NDR, puis cliquez sur Suivant.

    Remarque

    Vous avez créé et enregistré cette paire de clés SSH auparavant.

    Champ « Configuration de l’instance EC2 ».

  4. Sur la page Configurer les options de pile, acceptez les paramètres AWS par défaut ou apportez des modifications si vous le souhaitez. Cliquez sur Envoyer.

Le modèle CloudFormation choisit automatiquement les bonnes régions et AMI en fonction de la région AWS du compte que vous avez utilisé pour télécharger le modèle.

Attendez que le capteur NDR soit créé. Cela peut prendre cinq ou six minutes.

Créer une session de mise en miroir du trafic

Créez des sessions de mise en miroir ciblées pour mettre en miroir le trafic réseau et le transférer à NDR. Procédez comme suit :

  1. Dans AWS, allez dans VPC > Sessions de mise en miroir du trafic > Créer une session de mise en miroir du trafic.

  2. Dans Paramètres de la session, procédez comme suit :

    1. Saisissez une Étiquette de nom et une Description.
    2. Dans Source du miroir, saisissez l’interface réseau à partir de laquelle vous souhaitez mettre en miroir le trafic réseau.
    3. Dans Miroir cible, saisissez l’interface SPAN sur laquelle mettre en miroir le trafic réseau. Sélectionnez la Cible SPAN NDR que le modèle CloudFormation a créé.

    Paramètres de la session de mise en miroir du trafic.

  3. Dans Paramètres supplémentaires, procédez comme suit :

    1. Saisissez un numéro de port. Le nombre détermine l’ordre dans lequel évaluer les sessions à partir de la même source.
    2. Définissez la valeur VNI (Virtual Network interface) comme 1.
    3. Dans Filtre, sélectionnez le Filtre miroir trafic NDR que le modèle CloudFormation a déjà créé.
    4. Cliquez sur Créer.

    Paramètres supplémentaires de mise en miroir du trafic.

Modifier les groupes de sécurité

Vous devez modifier les groupes de sécurité AWS. Ceci vous permettra d’effectuer les modifications suivantes :

  • Autorisez le trafic syslog à accéder à l’appliance.
  • Accordez l’accès au Gestionnaire d’appliances.

Pour modifier un groupe, procédez comme suit :

  1. Dans AWS, accédez aux détails de sécurité de l’appliance Sophos NDR.

    Pour ce faire, saisissez le nom de l’appliance dans la barre de recherche de la console AWS. Lorsque vous l’avez trouvée, sélectionnez l’onglet EC2, puis cliquez sur l’instance Sophos Appliance.

  2. Sur la page Résumé de l’instance, faites défiler jusqu’aux pages à onglets et sélectionnez l’onglet Sécurité.

  3. Recherchez le groupe InternalSyslogSG et saisissez la source à partir de laquelle vous souhaitez autoriser le trafic pour la collecte des journaux.

  4. Recherchez le groupe de sécurité InternalMgmtSG. Le modèle CloudFormation l’a créé pour vous. Ajoutez vos administrateurs au groupe et donnez-leur accès au port 8443 dans Règle de trafic entrant.

    Règles de trafic entrant des groupes de sécurité.

Avant de pouvoir utiliser le Gestionnaire d’appliances, veuillez également définir un mot de passe.

Définir un mot de passe pour le Gestionnaire d’appliances

Le nom d’utilisateur pour le Gestionnaire d’appliances est zadmin. Pour réinitialiser le mot de passe, procédez comme suit :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Configuré.

  2. Allez dans l’onglet Appliances d’intégration.

  3. Trouvez votre appareil. Dans la colonne la plus à droite, cliquez sur le menu à trois points (ellipse) et sélectionnez Ouvrir le Gestionnaire d’appliances.

    Menu Actions de l’appliance.

  4. Dans la boîte de dialogue de confirmation, cliquez sur Réinitialiser.

    Boîte de dialogue de confirmation.

Tous les autres administrateurs qui souhaitent utiliser le Gestionnaire d’appliances doivent également définir un mot de passe.