Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Requisitos do coletor de dados

Se as suas integrações usarem um coletor de dados, a VM em que ele é executado deve atender a estes requisitos.

Os requisitos se aplicam às integrações do Sophos NDR e de coletores de log de terceiros. Eles incluem:

  • Plataformas compatíveis
  • Requisitos mínimos do sistema
  • Requisitos da CPU
  • Dimensionamento da VM
  • Exclusões de porta e domínio

Plataformas compatíveis

Você pode executar o coletor de dados no VMware ESXi ou no Microsoft Hyper-V.

Requisitos do VMware ESXi

Se você usa o VMware ESXi, os requisitos são os seguintes:

  • VMware ESXi 6.7 ou posterior
  • Hardware de VM versão 11 ou superior

São aceitos os modos VMware EVC (Enhanced vMotion Compatibility), se forem atendidos os requisitos da CPU. Consulte Requisitos da CPU.

Para verificar sua versão do VMware ESXi, consulte estes artigos para:

Requisitos do Microsoft Hyper-V

Se você usa o Microsoft Hyper-V, os requisitos são os seguintes:

  • Hyper-V versão 6.0.6001.18016 (Windows Server 2016) ou posterior

Não há suporte para o modo de compatibilidade de processador.

Para verificar sua versão do Microsoft Hyper-V, consulte Identifying your Hyper-V Version.

Requisitos mínimos do sistema

Os requisitos mínimos do sistema são os mesmos em todas as plataformas.

No VMware, nossa imagem OVA é pré-configurada para atender aos requisitos mínimos para as integrações do Sophos NDR e do coletor de log.

Os requisitos são:

  • 4 CPUs
  • 16 GB de RAM
  • 160 GB de armazenamento

O coletor de dados também requer microarquiteturas de CPU específicas. Veja os requisitos da CPU.

Talvez seja necessário redimensionar a VM se o seu coletor de dados manipular um grande volume de dados ou executar várias integrações. Consulte Dimensionamento da VM.

Requisitos da CPU

O sistema que executa a VM deve usar uma das microarquiteturas de CPU mostradas abaixo.

Se você tem o Sophos NDR, também deve garantir que os seguintes sinalizadores da CPU sejam definidos:

  • pdpe1gb: A tecnologia de captura de pacotes precisa disso.
  • avx2: Os recursos de Machine Learning da Sophos precisam disso.

Ambos os sinalizadores estão disponíveis nas CPUs Intel e AMD mostradas aqui.

CPUs Intel

Nome Geração Codinome Data
Skylake 6 Skylake Q3 2015
Skylake 7 Kaby Lake Q3 2016
Skylake 8 Coffee Lake Q3 2017
Skylake 9 Coffee Lake Refresh Q4 2018
Skylake 9 Cascade Lake Q2 2019
Skylake 10 Comet Lake Q3 2019
Palm Cove 10 Cannon Lake Q2 2018
Sunny Cove 10 Ice Lake Q3 2019
Cypress Cove 11 Rocket Lake Q1 2021
Golden Cove 12 Alder Lake Q4 2021
Raptor Cove 13 Raptor Lake Q4 2022

Para ajudá-lo a identificar CPUs, as convenções de nomenclatura da CPU da Intel são mostradas abaixo.

Nomenclatura da CPU Intel

Modo VMware EVC

Se o seu dispositivo estiver em um host VMware ESXi em execução em um cluster EVC (Enhanced vMotion Compatibility), certifique-se de que selecionou:

  • Geração Skylake ou CPU posterior
  • Hardware VMware versão 11 ou posterior

CPUs AMD

Nome Geração Codinome Data
Zen 1 Naples Q2 2017
Zen 1 Great Horned Owl Q1 2018
Zen 2 2 Rome Q3 2019
Zen 3 3 Milan Q2 2021
Zen 4 4 Genoa Q4 2022

Para ajudá-lo a identificar CPUs, as convenções de nomenclatura da CPU da AMD são mostradas abaixo.

Nomenclatura da CPU Intel

Dimensionamento da VM

As diretrizes de dimensionamento de VM dependem de você ter o Sophos NDR, integrações de coletor de log ou os dois na VM.

Somente Sophos NDR

Talvez seja necessário configurar a VM para garantir que o dispositivo virtual Sophos NDR ofereça o melhor desempenho e o menor impacto na rede.

Estas são nossas recomendações, com base no tráfego da sua rede.

  • Tráfego médio


    • até 500 Mb/s
    • até 70.000 pacotes por segundo
    • até 1.200 fluxos por segundo

    Você pode instalar a máquina virtual usando os padrões. Nenhuma alteração nas configurações da VM é necessária.

  • Tráfego alto


    • até 1 Gb/s
    • até 300.000 pacotes por segundo
    • até 4500 fluxos por segundo

    Você deve redimensionar a sua VM para 8 vCPUs.

Se as estatísticas da sua rede forem maiores do que as da configuração em Tráfego alto, implemente várias VMs em toda a sua rede.

As recomendações acima são para uma VM que esteja executando o Sophos NDR apenas. Se também estiver executando integrações de coletor de log sob uma carga alta, talvez seja necessário adicionar mais CPUs virtuais. Consulte Sophos NDR e integrações de coletor de log.

Somente integrações do coletor de log

Normalmente, você não precisa redimensionar a VM se estiver executando uma única integração de coletor de log. As configurações padrão são suficientes.

No entanto, talvez seja necessário alterar as configurações ou adicionar mais VMs se você tiver várias integrações ou se um grande volume de eventos for enviado aos seus coletores de log.

Memória

Você precisa de até 400 MB de memória para cada integração.

Você pode executar até quatro integrações por coletor de log. A memória máxima padrão para o contêiner do coletor de log é de 2 GB.

Se quiser executar mais integrações, aumente a memória máxima. Para isso, edite as configurações da porta SYSLOG no console do coletor de log. Consulte Porta de rede Syslog

Volume de eventos

A VM aceita um máximo de 8.000 eventos por segundo. Isso se aplica independentemente de quantas integrações você tenha na VM.

Se você tiver várias integrações e achar que excederá esse limite, implante várias VMs.

Se uma única integração do coletor de log exceder o limite, use as configurações de syslog no dispositivo de origem para tentar reduzir o número de eventos.

Sophos NDR e integrações de coletor de log

Se você tiver o Sophos NDR e integrações do coletor de log na mesma VM, não haverá uma solução única para o dimensionamento. Recomendamos que você comece com o dimensionamento do NDR e depois considere o que as integrações do coletor de log precisam.

Estes são alguns fatores que podem afetar seu dimensionamento:

  • O NDR pode assumir o controle das CPUs e definir a prioridade dada a outras integrações que o utilizam. Se você tiver 4 CPUs, o NDR assumirá 2. Se você tiver 8 CPUs, o NDR assumirá 3.
  • Mesmo quando o NDR assume uma CPU, as outras integrações ainda assim podem usá-lo e afetar a quantidade de tráfego que o NDR pode manipular.
  • Se você tiver 16 GB de memória, não permitimos que a integração do coletor de log use mais de 2 GB. Isso garante que o NDR tenha memória suficiente.
  • Quando uma integração de coletor de log processa o número máximo de eventos, ela usa a mesma potência de processamento que o Sophos NDR sob uma carga moderadamente pesada. Isso pressupõe que a VM tenha as 4 CPUs padrão.

Exclusões de porta e domínio

Certifique-se de que as portas e os domínios abaixo sejam permitidos no firewall. Isso permite que o dispositivo virtual Sophos inicialize e baixe atualizações.

Nome de host/IP Porta Protocolo
104.18.124.25 443 TLS
18.192.249.164 443 TLS
185.125.190.36 80 HTTP
185.125.190.39 80 HTTP
185.125.190.57 123 NTP
3.124.86.55 443 TLS
3.125.70.229 443 TLS
44.194.184.98 443 TLS
52.216.101.243 443 TLS
52.216.224.128 443 TLS
54.231.236.249 443 TLS
54.93.58.97 443 TLS
91.189.91.157 123 NTP
91.189.91.39 80 HTTP
api.snapcraft.io 443 TLS
archive.ubuntu.com 80 HTTP
auth.docker.io 443 TLS
baltocdn.com 443 TLS
central.sophos.com 443 TLS
changelogs.ubuntu.com 443 TLS
entropy.ubuntu.com 443 TLS
jfrog-prod-use1-shared-virginia-main.s3.amazonaws.com 443 TLS
nta-proxy.cloudstation.eu-central-1.prod.hydra.sophos.com 443 TLS
nta-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com 443 TLS
nta-proxy.cloudstation.us-east-2.prod.hydra.sophos.com 443 TLS
nta-proxy.cloudstation.us-west-2.prod.hydra.sophos.com 443 TLS
nta-push-ws.cloudstation.eu-central-1.prod.hydra.sophos.com 443 TLS
nta-push-ws.cloudstation-eu-central-1.prod.hydra.sophos.com 443 TLS
nta-push-ws.cloudstation-eu-west-1.prod.hydra.sophos.com 443 TLS
nta-push-ws.cloudstation-us-east-2.prod.hydra.sophos.com 443 TLS
nta-push-ws.cloudstation-us-west-2.prod.hydra.sophos.com 443 TLS
production.cloudflare.docker.com 443 TLS
raw.githubusercontent.com 443 TLS
registry-1.docker.io 443 TLS
sdu-feedback.sophos.com 443 TLS
security.ubuntu.com 80 HTTP
sophossecops.jfrog.io 443 TLS
tf-nta-sva-images-cloudstation-ap-northeast-1-prod-bucket.s3.ap-northeast-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-ap-south-1-prod-bucket.s3.ap-south-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-ap-southeast-2-prod-bucket.s3.ap-southeast-2.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-ca-central-1-prod-bucket.s3.ca-central-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-eu-central-1-prod-bucket.s3.eu-central-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-eu-west-1-prod-bucket.s3.eu-west-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-sa-east-1-prod-bucket.s3.sa-east-1.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-us-east-2-prod-bucket.s3.us-east-2.amazonaws.com 443 TLS
tf-nta-sva-images-cloudstation-us-west-2-prod-bucket.s3.us-west-2.amazonaws.com 443 TLS