Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=NDR-aws

Sophos NDR na AWS

Você deve ter o pacote de licença de integração "Sophos Network Detection and Response" para usar esse recurso.

O Sophos Network Detection and Response (NDR) detecta comportamentos mal-intencionados na sua rede.

Você pode integrar o Sophos NDR ao Sophos Central para que suas detecções fiquem disponíveis para investigação no Centro de Análise de Ameaças.

A integração usa um dispositivo que recebe dados e os encaminha ao Sophos Data Lake.

As etapas principais são as seguintes:

  • Verifique os requisitos.
  • Crie um dispositivo do Sophos. Isso é baseado em um modelo de CloudFormation.
  • Registre o Sophos NDR na AWS.
  • Crie uma pilha. Você especifica a VPC e sub-redes para NDR aqui.
  • Crie uma sessão de espelho de tráfego. Esta opção envia o tráfego para a Sophos para análise.
  • Edite grupos de segurança para permitir o tráfego de syslog e dar acesso ao Sophos Appliance Manager.
  • Defina uma senha para o Sophos Appliance Manager.

O Appliance Manager permite-lhe monitorizar e gerenciar o dispositivo Sophos NDR.

Requisitos

Para configurar o Sophos NDR na AWS, você precisa das seguintes contas e infraestrutura:

  • Uma conta da AWS.
  • Um conta do Sophos Central.
  • Instâncias EC2.
  • VPCs, sub-redes e zonas de disponibilidade. Você pode usar aquelas que você já tem.
  • Pelo menos um endereço IP elástico alocado para ser usado pela interface de gerenciamento NDR.

Nós oferecemos suporte a esses tipos de instância do EC2:

  • c5n.2xlarge
  • c6i.4xlarge
  • c7i.16xlarge (virtualização nitro)

Você deve criar e salvar sua chave privada SSH para a conta da AWS.

Você deve ter uma VPC criada em qualquer uma das regiões de sua escolha. Aqui está um exemplo de um mapa de recursos da VPC:

Exemplo de mapa de recursos da VPC.

Criar um dispositivo

Para criar e configurar um dispositivo da Sophos, crie e baixe um modelo de CloudFormation.

Criar o modelo de CloudFormation

Para criar um modelo de CloudFormation, faça o seguinte:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
  2. Localize e clique em Sophos Network Detection and Response (NDR).

  3. Na página NDR, em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Etapas de configuração de integração aparece.

  4. Na Etapa 1, insira um nome e uma descrição para a integração.

    Etapas de integração.

  5. Na Etapa 2, crie um modelo de CloudFormation (CFT). Na Plataforma virtual, selecione AWS.

    Selecione a plataforma virtual.

  6. Clique em Salvar.

Um arquivo json de CloudFormation (CF) aws_ndr_cf_latest.json é criado.

Baixar o modelo de CloudFormation

Para baixar o modelo de CloudFormation, faça o seguinte:

  1. No Sophos Central, vá para Integrações > Configuradas.
  2. Selecione a guia Dispositivos de integração e localize o dispositivo Sophos NDR.

  3. Na coluna mais à direita, clique nos três pontos e selecione Download da imagem.

    A lista de integrações configuradas mostrando as opções de download.

O arquivo aws_ndr_cf_latest.json é baixado para a pasta Downloads.

Inscrever-se no Sophos NDR

Você deve registrar o NDR no console do AWS Marketplace. Para isso, siga este procedimento:

  1. Vá para a página AWS Marketplace e localize Sophos NDR.

  2. Na página Product Overview, clique em Continue to Subscribe.

    Página "Product Overview" de NDR.

  3. Na página Subscribe to this software, aceite os termos e condições e clique em Continue to Configuration.

    Página "Subscribe to this software".

  4. Na página Configure this software, verifique a versão e a região e clique em Continue to Launch.

    Página "Configure this software".

  5. Na página Launch this software, clique em Usage instructions para ver como acessar o Sophos Appliance Manager.

    Página "Launch this software".

  6. Clique em Launch.

A AWS abre a página Create stack.

Criar pilha

Agora você usa o modelo de CloudFormation baixado para criar um NDR Sensor para sua conta da AWS. Para fazer isso, você cria uma pilha.

  1. Na página Create stack, faça o seguinte:

    1. Deixe Template is ready selecionado.
    2. Em Specify template, selecione Upload a template file.
    3. Clique em Choose File e selecione aws_ndr_cf_latest.json.
    4. Clique em Avançar.

    Página "Create stack" mostrando a escolha do arquivo de modelo.

  2. Na página Specify stack details, insira um nome e os seguintes detalhes de Network Configuration:

    1. Uma VPC existente que você deseja usar para NDR.
    2. Uma sub-rede para a interface de gerenciamento de NDR. Esta é uma sub-rede pública.
    3. Uma sub-rede para a interface syslog NDR. Isso permite que o NDR anexe uma interface que pode ser usada mais tarde se você adicionar outro coletor de log de terceiros.
    4. Uma sub-rede para a interface NDR SPAN. A interface SPAN pega uma cópia espelhada do tráfego de rede e envia-a para NDR para análise.
    5. O grupo de segurança que dá aos administradores acesso SSH à instância NDR.

    Os detalhes de configuração de rede concluídos são semelhantes a este exemplo:

    Página "Specify stack details".

  3. Em EC2 Instance Configuration, digite a chave SSH necessária para acessar a instância do NDR EC2 e clique em Next.

    Nota

    Você criou e salvou esse par de chaves SSH anteriormente.

    Campo "EC2 Instance Configuration".

  4. Na página Configure Stack options, aceite as configurações padrão da AWS ou faça alterações se desejar. Clique em Enviar.

O modelo de CloudFormation escolhe automaticamente as regiões e AMIS certas com base na região da AWS da conta que você usou para carregar o modelo.

Aguarde até que o NDR Sensor seja criado. Isso pode levar cinco ou seis minutos.

Criar uma sessão de espelho de tráfego

Crie sessões espelhadas de destino para espelhar o tráfego de rede e encaminhá-lo para NDR. Para isso, siga este procedimento:

  1. Na AWS, vá para VPC > Traffic mirror sessions > Create traffic mirror session.

  2. Em Session settings, faça o seguinte:

    1. Insira um valor em Name Tag e Description.
    2. Em Mirror Source, insira a interface de rede da qual deseja espelhar o tráfego de rede.
    3. Em Mirror Target, insira a interface SPAN para a qual espelhar o tráfego de rede. Selecione o NDR SPAN Target que o modelo de CloudFormation criou para você.

    Definições da sessão do espelho de tráfego.

  3. Em Additional settings, faça o seguinte:

    1. Insira um número de sessão. O número decide a ordem em que avaliar as sessões a partir da mesma fonte.
    2. Defina VNI (Virtual Network Interface) como 1.
    3. Em Filter, selecione o NDR Traffic Mirror Filter que o modelo de CloudFormation já criou.
    4. Clique em Criar.

    Configurações adicionais do espelho de trânsito.

Edite os grupos de segurança

Você precisa editar os grupos de segurança da AWS. Isso permite que você faça essas alterações:

  • Permita que o tráfego de syslog vá para o dispositivo.
  • Dê acesso ao Appliance Manager.

Para editar grupos de segurança, faça o seguinte:

  1. Na AWS, acesse os detalhes de segurança do dispositivo da Sophos NDR.

    Para fazer isso, digite o nome do dispositivo na barra de pesquisa do console da AWS. Quando você encontrá-lo, selecione a guia EC2 e clique na instância Sophos Appliance.

  2. Na página Instance Summary, role para baixo até as páginas com guias e selecione a guia Security.

  3. Localize o grupo InternalSyslogSG e insira a origem a partir da qual você deseja permitir o tráfego para a coleta de log.

  4. Encontre o grupo de segurança InternalMgmtSG. O modelo de CloudFormation o criou para você. Adicione seus administradores ao grupo e dê a eles acesso à porta 8443 em Inbound rule.

    Regras de entrada de grupos de segurança.

Antes de poder usar o Appliance Manager, você também precisa definir uma senha.

Definir a senha do Appliance Manager

O nome de usuário do Appliance Manager é zadmin. Para definir a senha, faça o seguinte:

  1. No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.

  2. Vá para a guia Dispositivos de integração.

  3. Localize o seu dispositivo. Na coluna mais à direita, clique nos três pontos e selecione Abrir Appliance Manager.

    Menu de ações do dispositivo.

  4. Na caixa de diálogo de confirmação, clique em redefini-la.

    Caixa de diálogo de confirmação.

Qualquer outro admin que queira usar o Appliance Manager também deve definir uma senha.