Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=NDR

Sophos NDR em ESXi ou Hyper-V.

Coletor de log

Você deve ter o pacote de licença de integração "Sophos Network Detection and Response" para usar esse recurso.

O Sophos Network Detection and Response (NDR) detecta comportamentos mal-intencionados na sua rede.

Você pode integrar o Sophos NDR ao Sophos Central para que suas detecções fiquem disponíveis para investigação no Centro de Análise de Ameaças.

A integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo. O dispositivo recebe dados e os encaminha ao Sophos Data Lake.

Atualmente, o Sophos NDR aceita VMware ESXi 6.7 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

As etapas principais são as seguintes:

  • Verifique os requisitos.
  • Configure uma integração. Isso configura uma imagem para ser usada em uma VM.
  • Configure seus switches para que o NDR possa ver o tráfego.
  • Baixe e implante a imagem na sua VM. Isso se torna o dispositivo.

Requisitos

Atualmente, a Sophos oferece suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V.

A VM que executa o dispositivo tem requisitos de acesso ao sistema e à rede. Para obter detalhes completos, consulte Requisitos do dispositivo.

Para obter detalhes sobre a microarquitetura da CPU e os sinalizadores da CPU necessários, consulte Requisitos da CPU.

Para ver um guia rápido sobre como redimensionar a VM para obter o melhor desempenho, consulte Guia de tamanho do dispositivo do Sophos NDR.

Configurar uma integração

Para configurar uma integração, siga este procedimento:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Localize e clique em Sophos Network Detection and Response (NDR).

    Cartão NDR na página Marketplace.

  3. Na página NDR, em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Etapas de configuração de integração aparece.

Configurar a VM

  1. Na Etapa 1, insira um nome e uma descrição para a integração.

    Etapas de integração.

  2. Na Etapa 2, selecione ou crie o dispositivo que coletará os logs de NDR.

    Você só pode ter uma integração NDR por dispositivo.

    Se precisar de um novo dispositivo, clique em Criar novo dispositivo.

    Se quiser usar um dispositivo existente, selecione-o na lista suspensa e vá para a Etapa 3 para definir as exclusões.

    Etapa de integração 2.

  3. Para criar um novo dispositivo, faça o seguinte:

    1. Insira um nome de dispositivo e uma descrição. O nome deve ser exclusivo.

    2. Selecione a plataforma virtual. Atualmente, só oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V.

    3. Especifique as portas de rede voltadas à Internet.

      • Selecione DHCP para atribuir o endereço IP automaticamente.

        Nota

        Se você selecionar DHCP, deverá reservar o endereço IP.

      • Selecione Manual para especificar as configurações de rede. Por exemplo:

      • Endereço de IP: 10.0.252.5

        • Máscara de Sub-rede: 255.255.255.0
        • Endereço de Gateway: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    Etapa de integração 2 Configurações da VM.

  4. Na Etapa 3, exclua domínios e protocolos específicos da verificação. Por exemplo, você pode fazer isso se tiver um domínio que cause falsos positivos.

    Você pode configurar as suas exclusões mais tarde, mas deve inserir um nome de lista de exclusão agora.

    1. Digite o Nome da lista de exclusão.
    2. Para excluir um domínio, clique em Exclusões de domínio. Digite o nome de domínio, por exemplo, sophos.com, e clique em Adicionar.

    3. Para excluir um protocolo, clique em Exclusões de protocolo. Você pode inserir informações em um campo ou nos dois:

      • No primeiro campo, insira um protocolo mestre. Por exemplo TCP ou UDP.
      • No segundo campo, insira um subprotocolo (site). Por exemplo, facebook.

      Se você inserir informações nos dois campos, nós montamos uma única string com elas com um único ponto separador.

      Não recomendamos excluir completamente um protocolo mestre. Só faça isso se um protocolo de alto tráfego que geralmente não é arriscado, como um protocolo de roteamento, gerar muitos dados.

      A captura de tela mostra informações de exemplo.

    4. Clique em Adicionar.

    Você pode exportar suas exclusões como um arquivo JSON. Você também pode carregar exclusões para a lista a partir de um arquivo JSON exportado anteriormente.

    Etapa de integração 3 Exclusões.

  5. Clique em Salvar.

Na página NDR, você vê a nova integração na lista de integrações configuradas.

Em seguida, configure seus switches para que o dispositivo NDR possa monitorar o tráfego da sua rede.

Configurar seus switches

Antes de baixar e implantar a VM do Sophos NDR, você deve configurar o espelhamento da porta, também conhecido como Switched Port Analyzer (SPAN). Isso encaminha uma cópia do tráfego de entrada e saída das portas ou VLANs de um switch para outra porta de switch para análise.

Você deve configurar o espelhamento de porta para o tráfego de rede virtual interno e físico externo.

Quando você implantar seu dispositivo VM do NDR posteriormente, poderá conectá-lo às portas SPAN para que o NDR possa monitorar o tráfego da rede.

As instruções para espelhamento de porta dependem se você está configurando o NDR no ESXi ou Hyper-V. Clique na guia do seu ambiente virtual abaixo.

Se você estiver usando o ESXi, o espelhamento de porta envolve as seguintes etapas:

  • Configurar switches virtuais.
  • Configurar um switch físico.

Configurar switches virtuais

Para configurar o espelhamento de porta para switches virtuais internos, faça o seguinte:

  1. No ESXi, vá para Networking. Na guia Virtual switches, selecione um switch para usar para o espelhamento da porta.

Se você ainda não tiver um switch para usar, clique em Add standard virtual switch para adicionar um novo switch e adicionar grupos de portas a ele.

Switches virtuais.

  1. Na guia Port groups, clique em Add port group.

    Novo grupo de portas.

  2. Nas configurações do novo grupo de portas, faça o seguinte:

    1. Insira um nome.
    2. Defina VLAN ID como 4095. Isso permite que todos os outros grupos de portas que já estão no switch encaminhem o tráfego para o novo grupo de portas.
    3. Clique em Security e defina Promiscuous mode como Accept.
    4. Clique em Adicionar.

    Você configurou o encaminhamento para o tráfego da sua rede virtual interna. Em seguida, faça o mesmo para o tráfego externo físico, conforme descrito nas etapas a seguir.

  3. No ESXi, selecione ou crie outro switch virtual que tratará o tráfego externo físico enviado a ele por um switch físico em sua rede.

  4. Configure o switch da seguinte maneira:

    1. Vá para Port groups e clique em Add port group.
    2. Insira um nome.
    3. Defina VLAN ID como 4095.
    4. Clique em Security e defina Promiscuous mode como Accept.

Em seguida, você conecta o seu switch virtual à sua rede física para que possa receber o tráfego externo.

  1. No menu esquerdo do ESXi, vá para Networking e selecione o switch que deseja usar para o tráfego externo.

    vSwitch selecionado.

  2. Nos detalhes do switch, procure vSwitch topology. Você verá “No physical adapters”.

    Topologia do vSwitch.

  3. Clique em Add uplink.

    Botão Add uplink.

  4. Em Uplink 1, selecione uma NIC (placa de interface de rede) que esteja disponível. Isso conecta o switch virtual a uma porta em seu servidor ESXi.

    Uplink 1.

  5. Em Network topology, verifique se é possível ver um adaptador físico conectado.

    Adaptador físico.

  6. Vá para o switch físico e use um cabo para conectar-se diretamente à porta no seu servidor ESXi.

Em seguida, você precisa configurar o espelhamento no seu switch físico.

Configurar um switch físico

Esta seção descreve a configuração do espelhamento de porta em um Sophos Switch. As etapas de configuração para outros switches são diferentes.

Para configurar o espelhamento, siga este procedimento:

  1. No Sophos Central, vá para Switches.

  2. Selecione o switch que deseja configurar e clique em Executar comandos.

    Página Switches no Sophos Central.

  3. No console Executar comandos do switch, digite os comandos para espelhar todo o tráfego. Neste exemplo, os comandos espelharão todo o tráfego de entrada e saída nas portas 1-4 e o enviará para a porta 8.

configure terminal
monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
monitor session 1 source interface gigabitethernet 0/1 both
monitor session 1 source interface gigabitethernet 0/2 both
monitor session 1 source interface gigabitethernet 0/3 both
monitor session 1 source interface gigabitethernet 0/4 both
save
end
show monitor session 1

![Console de linha de comando do switch.](../../../../images/ndr-switch-commands.png)

  1. Clique em Executar. O console mostra os comandos conforme são executados contra um fundo verde.

    Comandos em execução no console do switch.

  2. Quando o último comando é executado, o console mostra a configuração concluída. Clique em Fechar.

    Comandos em execução no console do switch.

Você terminou de configurar o encaminhamento do tráfego para portas SPAN. Mais tarde, você configurará o Sophos NDR para monitorar o tráfego.

Se você estiver usando o Hyper-V, o espelhamento de porta envolve as seguintes etapas:

  • Configure uma porta de espelhamento de tráfego com Hyper-V.
  • Conecte uma interface virtual SPAN ao switch virtual.
  • Ative as extensões de captura do Microsoft NDIS.
  • Configure o modo de espelhamento do switch.
  • Valide o espelhamento do tráfego.

Para obter instruções, consulte Configurar espelhamento de tráfego com um Hyper-V vSwitch.

Em seguida, você baixa a imagem da VM NDR.

Baixar a imagem da VM

Agora você baixa a imagem do NDR necessário para implantar e inicializar a nova VM.

  1. Ao lado da nova integração, clique em Ícone de três pontos. na coluna Ações e selecione o download para a sua plataforma, por exemplo, Baixar arquivo OVA para ESXi.

    Você verá o download iniciar.

    Menu de download.

  2. Passe o mouse sobre o ícone à esquerda do nome da integração. Agora você vê "Aguardando implantação".

    Status da integração.

Você está pronto para implantar a VM.

Implantar a VM

Clique na guia da sua plataforma abaixo para ver as instruções.

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar uma nova VM, você deve criar o arquivo OVA novamente no Sophos Central.

Alerta

Se você estiver implementando o OVA em um host ESXi em execução em um cluster EVC (Enhanced vMotion Compatibility), o EVC deve estar no modo Skylake ou posterior.

  1. Vá para o seu host ESXi.

  2. Selecione Virtual Machines e clique em Create/Register VM.

    Guia Create/Register VM.

  3. Em Select creation type, selecione Deploy a virtual machine from an OVF or OVA file. Clique em Avançar.

    Selecionar tipo de criação.

  4. Em Select OVF and VMDK files, digite um nome para a VM.

    Clique na página para selecionar arquivos. Selecione o arquivo OVA ndr-sensor.ova. Clique em Avançar.

    Selecionar arquivo OVA.

  5. Em Select storage, selecione o armazenamento Standard. Em seguida, selecione o repositório de dados em que deseja colocar sua VM. Clique em Avançar.

    Selecionar armazenamento.

  6. Em Deployment options, insira as configurações da seguinte forma.

    1. Em SPAN1, selecione o grupo de portas que receberá o tráfego de SPAN do aplicativo NDR. Você configurou isso anteriormente. Consulte Configurar seus switches.

    2. Em SPAN2, selecione um segundo grupo de portas que receberá o tráfego de SPAN e que precisa ser monitorado (se você tiver um). Por exemplo, você pode ter um switch físico e um vSwitch que não envia tráfego para o switch físico.

      Se você usar SPAN2, deverá aumentar o número de CPUs da VM para pelo menos 8. Consulte Guia de tamanho do dispositivo do Sophos NDR.

    3. O SYSLOG não é necessário para o Sophos NDR. Selecione qualquer grupo de portas como um espaço reservado e, posteriormente, desconecte-o nas configurações da VM.

    4. Em MGMT, selecione a interface de gerenciamento. Essa interface permite que o dispositivo envie dados para o Sophos Central.

      Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.

      Se você selecionou DHCP durante a configuração do dispositivo, certifique-se de que a VM possa obter um endereço IP via DHCP.

    5. Em Disk Provisioning, certifique-se de que Thin esteja selecionado.

    6. Certifique-se de que Power on automatically esteja selecionado.
    7. Clique em Avançar.

    Opções de implantação.

  7. Ignore a etapa Additional settings.

  8. Clique em Concluir. Aguarde até que a nova VM apareça na lista de VMs. Isso pode levar alguns minutos.

    Pronto para concluir.

  9. Ligue a VM e aguarde a conclusão do processo de instalação.

    A VM é inicializada pela primeira vez e verifica se pode se conectar aos vSwitches corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.

    Alerta

    Não interrompa esse processo.

  10. No Sophos Central, vá para a página Integrações de NDR e atualize-a. O status da VM agora é Conectado.

    Status da integração.

Se o status da VM for Conectado, mas não parecer estar funcionando, verifique o status do serviço Dragonfly no console Sophos VA para NDR. Consulte Sophos VA Console.

Se você vir no console que o serviço Dragonfly está no estado Pendente, e a sua VM estiver em um cluster EVC (Enhanced vMotion Compatibility), verifique se o modo EVC é Skylake ou posterior.

O Sophos NDR VA não suporta a execução em clusters EVC no modo Sandy Bridge.

O arquivo Zip que você baixou no Sophos Central contém os arquivos necessários para implantar a sua VM: unidades virtuais, seed.iso e um script do PowerShell.

Para implantar a VM, faça o seguinte:

  1. Extraia o arquivo Zip para uma pasta no seu disco rígido.
  2. Vá para a pasta, clique com o botão direito do mouse no arquivo ndr-sensor.ps1 e selecione Executar com o PowerShell.

  3. Se você vir uma mensagem de Aviso de segurança, clique em Abrir para permitir que o arquivo seja executado.

    Você será solicitado a responder a uma série de perguntas.

  4. Dê um nome à VM.

  5. O script mostra a pasta em que os arquivos da VM serão armazenados. Essa é uma nova pasta no local de instalação padrão das unidades virtuais. Digite C para permitir que o script a crie.
  6. Digite o número de processadores (CPUs) a serem usados para a VM.
  7. Insira a quantidade de memória a ser usada em GB.

  8. O script mostra uma lista numerada de todos os vSwitches atuais.

    Selecione o vSwitch ao qual você deseja conectar a interface de gerenciamento e digite seu número. Essa interface permite que o dispositivo envie dados para o Sophos Data Lake.

    Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.

    Se você selecionou DHCP durante a configuração, certifique-se de que a VM possa obter um endereço IP via DHCP.

    Script de implantação da VM do Hyper-V.

  9. Você não precisa inserir um vSwitch para a interface do syslog. Isso só é relevante para integrações de produtos de terceiros.

    Selecione qualquer vSwitch como um espaço reservado e, posteriormente, desconecte-o nas configurações da VM.

  10. Selecione o vSwitch que receberá o tráfego de SPAN do aplicativo NDR. Você configurou isso anteriormente. Consulte Configurar seus switches.

  11. Opcionalmente, selecione um segundo vSwitch que receberá o tráfego de SPAN e que precisa ser monitorado (se você tiver um). Por exemplo, você pode ter um switch físico e um vSwitch que não envia tráfego para o switch físico.

    Se você usar um segundo vSwitch, deverá aumentar o número de CPUs da VM para pelo menos 8. Consulte Guia de tamanho do dispositivo do Sophos NDR.

  12. O script do PowerShell configura a VM no Hyper-V. Você verá uma mensagem de Instalação concluída com êxito.

  13. Use qualquer tecla para sair.

  14. Abra o Hyper-V Manager para ver a VM adicionada à lista de máquinas virtuais. Se precisar, você pode alterar as configurações. Em seguida, ligue-a.

    A VM é inicializada pela primeira vez e verifica se pode se conectar aos vSwitches corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.

  15. No Sophos Central, vá para a página Integrações do produto que você está integrando e atualize-a. O status da VM agora é Conectado.

    Status da integração.