Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=NDR

Sophos NDR su ESXi o Hyper-V

Agente di raccolta log

Per utilizzare questa funzionalità, è necessario avere il pacchetto di licenza per l’integrazione “Sophos Network Detection and Response”.

Sophos Network Detection and Response (NDR) rileva i comportamenti dannosi all’interno della rete.

Sophos NDR può essere integrata con Sophos Central in modo che i suoi rilevamenti siano disponibili per le indagini nel Centro di analisi delle minacce.

L’integrazione utilizza un agente di raccolta log ospitato su una virtual machine (VM). Insieme, vengono chiamati “appliance”. L’appliance riceve dati e li inoltra al Sophos Data Lake.

Attualmente Sophos NDR supporta VMware ESXi 6.7 o versione successiva e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) o versione successiva.

I principali passaggi necessari per questa procedura sono i seguenti:

  • Verifica dei requisiti.
  • Configurazione di un’integrazione. Questa azione configura un’immagine da utilizzare su una VM.
  • Configurazione degli switch in modo che NDR possa vedere il traffico.
  • Download e distribuzione dell’immagine sulla propria VM, che diventa l’appliance.

Requisiti

Attualmente Sophos supporta solo VMware ESXi 6.7 Update 3 o versioni successive e Microsoft Hyper-V.

La VM che esegue l’appliance ha requisiti specifici per l’accesso al sistema e alla rete. Per informazioni complete, vedere Requisiti dell’appliance.

Per informazioni dettagliate sulla microarchitettura della CPU e sui flag della CPU richiesti, vedere Requisiti della CPU.

Per una guida rapida al ridimensionamento delle VM per ottenere i massimi livelli di performance, vedere Guida alla scelta dell’appliance NDR.

Configurazione di un’integrazione

Per configurare l’integrazione, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cercare Sophos Network Detection and Response (NDR) e cliccare su questa voce.

    Scheda di NDR nella pagina Marketplace.

  3. Nella pagina NDR, in Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Verranno visualizzati i Passaggi di configurazione dell’integrazione.

Configurazione della VM

  1. Nel Passaggio 1 Immettere un nome e una descrizione per l’integrazione.

    Passaggi di integrazione.

  2. Nel Passaggio 2, selezionare o creare l’appliance che raccoglierà i log di NDR.

    Ogni appliance può avere una sola integrazione NDR.

    Se occorre una nuova appliance, cliccare su Crea nuova appliance.

    Se si desidera utilizzare un’appliance già esistente, selezionarla dall’elenco a discesa e passare al Passaggio 3 per impostare le esclusioni.

    Passaggio 2 dell’integrazione.

  3. Per creare una nuova appliance, procedere come segue:

    1. Inserire un nome e una descrizione per l’appliance. Il nome specificato deve essere univoco.

    2. Selezionare la piattaforma virtuale. Attualmente supportiamo solo VMware ESXi 6.7 Update 3 o versioni successive e Microsoft Hyper-V.

    3. Specificare le porte di rete con connessione Internet.

      • Selezionare DHCP per assegnare automaticamente l’indirizzo IP.

        Nota

        Se si seleziona DHCP, occorrerà riservare l’indirizzo IP.

      • Selezionare Manuale per specificare le impostazioni di rete. Per esempio:

      • Indirizzo IP: 10.0.252.5

        • Subnet mask: 255.255.255.0
        • Indirizzo del gateway: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Passaggio 2 dell’integrazione, impostazioni della VM.

  4. Nel Passaggio 3, escludere dal controllo domini e protocolli specifici. Questa opzione potrebbe essere utile se, ad esempio, si ha un dominio che causa falsi positivi.

    Le esclusioni possono essere impostate in un secondo momento, ma il nome dell’elenco delle esclusioni deve essere specificato subito.

    1. Immettere il Nome elenco di esclusioni.
    2. Per escludere un dominio, cliccare su Esclusioni per il dominio. Immettere il nome del dominio, ad esempio sophos.com, e cliccare su Aggiungi.

    3. Per escludere un protocollo, cliccare su Esclusioni per il protocollo. Si possono immettere le informazioni in uno o entrambi i campi:

      • Nel primo campo, immettere un protocollo master. Ad esempio, TCP o UDP.
      • Nel secondo campo, immettere un sottoprotocollo (sito web). Ad esempio facebook.

      Se si immettono informazioni in entrambi i campi, le includeremo in una sola stringa, con un punto come separatore.

      Si consiglia di non escludere completamente un protocollo master. Svolgere questa operazione solo nel caso in cui un protocollo con elevati volumi di traffico che i solito non presenta rischi (ad es. un protocollo di routing) dovesse generare troppi dati.

      Lo screenshot mostra informazioni di esempio.

    4. Cliccare su Aggiungi.

    Le esclusioni possono essere esportate in un file JSON. È anche possibile caricare le esclusioni nell’elenco da un file JSON precedentemente esportato.

    Passaggio 3 dell’integrazione, esclusioni.

  5. Cliccare su Salva.

Nella pagina NDR, la nuova integrazione viene visualizzata nell’elenco delle integrazioni configurate.

Successivamente, occorrerà configurare gli switch in modo che l’appliance NDR sia in grado di monitorare il traffico di rete.

Configurazione degli switch

Prima di scaricare e distribuire la VM di Sophos NDR, è necessario configurare il mirroring delle porte, detto anche Switched Port Analyzer (SPAN). Verrà così inoltrata una copia del traffico in entrata e in uscita dalle porte o dalle VLAN di uno switch a un’altra porta dello switch a scopo di analisi.

Occorre configurare il mirroring delle porte sia per il traffico di rete virtuale interno che per quello fisico esterno.

Quando si distribuirà l’appliance virtuale NDR in un secondo momento, sarà possibile collegarla alle porte SPAN in modo che NDR possa monitorare il traffico di rete.

Le istruzioni per il mirroring delle porte saranno diverse, a seconda che si imposti NDR su ESXi o su Hyper-V. Cliccare di seguito sulla scheda corrispondente al proprio ambiente virtuale.

Se si utilizza ESXi, il mirroring delle porte prevede i seguenti passaggi:

  • Configurazione di switch virtuali.
  • Configurazione di uno switch fisico.

Configurazione di switch virtuali

Per configurare il mirroring delle porte per switch virtuali interni, procedere come segue:

  1. In ESXi, selezionare Networking (Servizi di rete). Nella scheda Virtual switches (switch virtuali), selezionare uno switch da utilizzare per il mirroring delle porte.

Se non si ha già di uno switch da utilizzare, cliccare su Add standard virtual switch (Aggiungi switch virtuale standard) per aggiungerne uno nuovo e includervi dei gruppi di porte.

Switch virtuali.

  1. Nella scheda Port groups (Gruppi di porte), cliccare su Add port group (Aggiungi gruppo di porte).

    Nuovo gruppo di porte.

  2. Nelle impostazioni per il nuovo gruppo di porte, procedere come segue:

    1. Immettere un nome.
    2. Impostare VLAN ID (ID VLAN) su 4095. Questo consente a tutti gli altri gruppi di porte già presenti sullo switch di inoltrare il traffico al nuovo gruppo di porte.
    3. Cliccare su Security (Sicurezza) e impostare Promiscuous mode (Modalità promiscua) su Accept (Accetta).
    4. Cliccare su Add (Aggiungi).

    L’inoltro per il traffico di rete virtuale interno è ora impostato. A questo punto, eseguire la stessa operazione per il traffico fisico esterno, come descritto nei passaggi che seguono.

  3. In ESXi, selezionare o creare un altro switch virtuale che gestirà il traffico fisico esterno ricevuto da uno switch fisico sulla rete.

  4. Configurare lo switch come segue:

    1. Selezionare Port groups (Gruppi di porte) e cliccare su Add port group (Aggiungi gruppo di porte).
    2. Immettere un nome.
    3. Impostare VLAN ID (ID VLAN) su 4095.
    4. Cliccare su Security (Sicurezza) e impostare Promiscuous mode (Modalità promiscua) su Accept (Accetta).

Occorre ora connettere lo switch virtuale alla rete fisica, in modo che possa ricevere traffico esterno.

  1. Nel menu a sinistra di ESXi, selezionare Networking (Servizi di rete) e successivamente lo switch che si desidera utilizzare per il traffico esterno.

    vSwitch selezionato.

  2. Nei dettagli dello switch, cercare vSwitch topology (topologia vSwitch). Verrà visualizzato il messaggio “No physical adapters” (Nessuna scheda fisica).

    Topologia vSwitch.

  3. Cliccare su Add uplink (Aggiungi uplink).

    Pulsante Add uplink.

  4. In Uplink 1, selezionare una NIC (Network Interface Card) disponibile. In questo modo lo switch virtuale verrà connesso a una porta sul server ESXi.

    Uplink 1.

  5. In *Network topology* (Topologia della rete), verificare che sia possibile vedere una scheda fisica collegata.

    Scheda fisica.

  6. Accedere allo switch fisico e utilizzare un cavo per connetterlo direttamente alla porta sul server ESXi.

Il passaggio successivo prevede la configurazione del mirroring sullo switch fisico.

Configurazione di uno switch fisico

In questa sezione viene descritta la configurazione del mirroring delle porte su un Sophos Switch. I passaggi di configurazione per altri switch sono diversi.

Per configurare il mirroring, procedere come segue:

  1. In Sophos Central, aprire Switch.

  2. Selezionare gli switch che si desidera configurare e successivamente cliccare su Esegui comandi.

    Pagina Switch in Sophos Central.

  3. Nella console Esegui comandi switch, immettere i comandi per il mirroring di tutto il traffico. In questo esempio, i comandi effettueranno il mirroring di tutto il traffico in entrata e in uscita sulle porte 1-4 e lo invieranno sulla porta 8.

configure terminal
monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
monitor session 1 source interface gigabitethernet 0/1 both
monitor session 1 source interface gigabitethernet 0/2 both
monitor session 1 source interface gigabitethernet 0/3 both
monitor session 1 source interface gigabitethernet 0/4 both
save
end
show monitor session 1

![Console a riga di comando dello switch.](../../../../images/ndr-switch-commands.png)

  1. Cliccare su Esegui. La console mostrerà i comandi su sfondo verde, mentre vengono eseguiti.

    Comandi in esecuzione nella console dello switch.

  2. Una volta eseguito l’ultimo comando, nella console verrà visualizzata la configurazione completata. Cliccare su Chiudi.

    Comandi in esecuzione nella console dello switch.

L’inoltro del traffico sulle porte SPAN è stato configurato. Il passaggio successivo prevede la configurazione di Sophos NDR per il monitoraggio di questo traffico.

Se si utilizza Hyper-V, il mirroring delle porte prevede i seguenti passaggi:

  • Configurazione di una porta di mirroring del traffico con Hyper-V.
  • Collegamento di un’interfaccia SPAN virtuale allo switch virtuale.
  • Attivazione delle estensioni di acquisizione di Microsoft NDIS.
  • Configurazione della modalità di mirroring dello switch.
  • Convalida del mirroring del traffico.

Per istruzioni, vedere Configurare il mirroring del traffico con un vSwitch Hyper-V.

A questo punto, occorre scaricare l’immagine della VM NDR.

Download dell’immagine VM

A questo punto occorre scaricare l’immagine di NDR richiesta per distribuire e avviare la nuova VM.

  1. Accanto alla nuova integrazione, cliccare su Icona con i tre puntini. nella colonna Azioni e selezionare il download per la propria piattaforma, ad esempio Scarica file OVA per ESXi.

    Verrà visualizzato l’inizio del download.

    Menu di download.

  2. Passare il cursore del mouse sull’icona a sinistra del nome dell’integrazione. Verrà visualizzato il messaggio “In attesa di distribuzione”.

    Stato di integrazione.

È ora possibile distribuire la VM.

Distribuzione della VM

Per visualizzare le istruzioni per la propria piattaforma, cliccare di seguito sulla scheda corrispondente.

Restrizione

Per ESXi, il file OVA viene verificato con Sophos Central, quindi può essere utilizzato una sola volta. Se si deve distribuire una nuova VM, occorre ricreare il file OVA in Sophos Central.

Avviso

Se si distribuisce il file OVA su un host ESXi che si esegue in un cluster EVC (Enhanced vMotion Compatibility), EVC deve essere in modalità Skylake o successiva.

  1. Accedere al proprio host ESXi.

  2. Selezionare Virtual Machines (VM) e cliccare su Create/Register VM (Crea/Registra VM).

    Scheda Crea/Registra macchina virtuale.

  3. In Seleziona tipo di creazione, selezionare Distribuisci una macchina virtuale da un file OVF o OVA. Cliccare su Next (Avanti).

    Selezionare il tipo di creazione.

  4. In Select OVF and VMDK files (Seleziona file OVF e VMDK), immettere un nome per la VM.

    Cliccare sulla pagina per selezionare i file. Selezionare il file OVA ndr-sensor.ova. Cliccare su Next (Avanti).

    Selezione del file OVA.

  5. In Select storage (Seleziona archiviazione), cliccare su Standard. Selezionare quindi l’archivio dati in cui si desidera collocare la VM. Cliccare su Next (Avanti).

    Selezionare l’archiviazione.

  6. In Deployment Options (Opzioni di distribuzione), inserire le impostazioni indicate di seguito.

    1. In SPAN1, selezionare il gruppo di porte che riceverà il traffico SPAN per l’applicazione NDR. È stato configurato in precedenza. Vedere Configurazione degli switch.

    2. In SPAN2, selezionare (se presente) un secondo gruppo di porte che riceverà il traffico SPAN e che deve quindi essere monitorato. Ad esempio, potrebbero esserci uno switch fisico e un vSwitch che non invia traffico allo switch fisico.

      Se si utilizza SPAN2, occorre aumentare il numero di CPU per la VM, in modo che siano almeno 8. Vedere Guida alla scelta dell’appliance NDR.

    3. SYSLOG non è richiesto per Sophos NDR. Selezionare un gruppo di porte qualsiasi come segnaposto; dovrà poi essere disconnesso in un secondo momento nelle impostazioni della VM.

    4. In MGMT, selezionare l’interfaccia di gestione. Questa interfaccia permette all’appliance di inviare i dati a Sophos Central.

      Questa interfaccia è stata configurata in precedenza in Sophos Central, sotto Impostazioni della porta di rete con connessione Internet.

      Se durante la configurazione dell’appliance è stato selezionato DHCP, assicurarsi che la VM sia in grado di ottenere un indirizzo IP tramite DHCP.

    5. In Disk Provisioning (Provisioning del disco), verificare che sia selezionata l’opzione Thin.

    6. Assicurarsi che sia selezionata l’opzione Power on automatically (Attivazione automatica).
    7. Cliccare su Next (Avanti).

    Opzioni di distribuzione.

  7. Saltare il passaggio delle Impostazioni aggiuntive.

  8. Cliccare su Fine. Attendere che la nuova VM venga visualizzata nell’elenco delle VM. Ciò potrebbe richiedere alcuni minuti.

    Ready to complete (Pronta per il completamento).

  9. Accendere la VM e attendere il completamento del processo di installazione.

    La VM si avvierà per la prima volta e verificherà di essere in grado di connettersi ai vSwitch corretti e a Internet. Successivamente, effettuerà il riavvio. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.

    Avviso

    Questo processo non deve essere interrotto.

  10. In Sophos Central, aprire la pagina delle Integrazioni NDR e aggiornarla. Lo stato della VM è ora Connesso.

    Stato di integrazione.

Se lo stato della VM è Connesso ma la VM non sembra funzionare, verificare lo stato del servizio Dragonfly nella console della virtual appliance (VA) Sophos per NDR. Vedere Console della VA Sophos.

Se nella console lo stato del servizio Dragonfly risulta In sospeso e la VM si trova in un cluster EVC (Enhanced vMotion Compatibility), verificare che la modalità EVC sia Skylake o successiva.

La VA Sophos NDR non supporta l’esecuzione in cluster EVC in modalità Sandy Bridge.

Il file ZIP scaricato in Sophos Central contiene i file necessari per distribuire la VM: unità virtuali, il file seed.iso e uno script PowerShell.

Per implementare la VM, procedere come segue:

  1. Estrarre il file ZIP in una cartella sul disco rigido.
  2. Aprire la cartella, cliccare con il pulsante destro del mouse sul file ndr-sensor.ps1 e selezionare Esegui con PowerShell.

  3. Se viene visualizzato un messaggio intitolato Avviso di sicurezza, cliccare su Apri per consentire l’esecuzione del file.

    Bisognerà rispondere a una serie di domande.

  4. Assegnare un nome alla VM.

  5. Lo script mostrerà la cartella in cui verranno memorizzati i file della VM. Si tratta di una nuova cartella nel percorso di installazione predefinito per le unità virtuali. Immettere C per permettere allo script di crearla.
  6. Immettere il numero di processori (CPU) da utilizzare per la VM.
  7. Immettere la quantità di memoria da utilizzare, in GB.

  8. Lo script mostrerà un elenco numerato di tutti i vSwitch attuali.

    Selezionare il vSwitch al quale si desidera collegare l’interfaccia di gestione e immetterne il numero. Questa interfaccia permette all’appliance di inviare i dati al Sophos Data Lake.

    Questa interfaccia è stata configurata in precedenza in Sophos Central, sotto Impostazioni della porta di rete con connessione Internet.

    Se durante l’installazione è stato selezionato DHCP, assicurarsi che la VM sia in grado di ottenere un indirizzo IP tramite DHCP.

    Script di distribuzione della VM Hyper-V.

  9. Non occorre immettere un vSwitch per l’interfaccia syslog. Questa operazione riguarda solo le integrazioni di prodotti di terze parti.

    Selezionare un vSwitch qualsiasi come segnaposto, che dovrà poi essere disconnesso nelle impostazioni della VM.

  10. Selezionare il vSwitch che riceverà il traffico SPAN per l’applicazione NDR. È stato configurato in precedenza. Vedere Configurazione degli switch.

  11. Opzionalmente, selezionare (se presente) un secondo vSwitch per la ricezione del traffico SPAN, che dovrà quindi essere monitorato. Ad esempio, potrebbero esserci uno switch fisico e un vSwitch che non invia traffico allo switch fisico.

    Se si utilizza un secondo vSwitch, occorrerà aumentare il numero di CPU per la VM, in modo che siano almeno 8. Vedere Guida alla scelta dell’appliance NDR.

  12. Lo script PowerShell configurerà la VM in Hyper-V. Verrà visualizzato il messaggio Installazione completata.

  13. Premere un tasto qualsiasi per uscire.

  14. Aprire la Console di gestione di Hyper-V per visualizzare la VM aggiunta all’elenco delle virtual machine. Le impostazioni possono essere modificate. Procedere con l’avvio.

    La VM si avvierà per la prima volta e verificherà di essere in grado di connettersi ai vSwitch corretti e a Internet. Successivamente, effettuerà il riavvio. L'operazione potrebbe richiedere fino a un massimo di 10 minuti.

  15. In Sophos Central, caricare e aggiornare la pagina Integrazioni del prodotto che si sta integrando. Lo stato della VM è ora Connesso.

    Stato di integrazione.