NDR Sophos
You must have the "Sophos Network Detection and Response" integration license pack to use this feature.
O Sophos Network Detection and Response (NDR) detecta comportamentos mal-intencionados na sua rede.
Você pode integrar o Sophos NDR ao Sophos Central para que suas detecções fiquem disponíveis para investigação no Centro de Análise de Ameaças.
A integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de coletor de dados. O coletor de dados recebe dados e os encaminha ao Sophos Data Lake.
Atualmente, o Sophos NDR aceita VMware ESXi 6.7 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.
As etapas principais são as seguintes:
- Verifique os requisitos.
- Adicionar uma integração. Isso configura uma imagem para ser usada em uma VM.
- Configure seus switches para que o NDR possa ver o tráfego.
- Baixe e implante a imagem na sua VM. Ela se torna o coletor de dados.
Requisitos
Atualmente, a Sophos oferece suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V.
A VM que executa o coletor de dados tem requisitos de acesso ao sistema e à rede. Para obter detalhes completos, consulte Requisitos do coletor de dados.
Para obter detalhes sobre a microarquitetura da CPU e os sinalizadores da CPU necessários, consulte Requisitos da CPU.
Para ver um guia rápido sobre como redimensionar a VM para obter o melhor desempenho, consulte Guia de tamanho da VM do Sophos NDR.
Adicionar uma integração
Para adicionar a integração, siga este procedimento:
- Faça login no Sophos Central.
- Vá para o Centro de Análise de Ameaças > Integrações.
-
Localize e clique em Sophos Network Detection and Response (NDR).
-
Na página NDR, clique em Adicionar.
Etapas de configuração de integração aparece.
Configurar a VM
-
Na Etapa 1, insira um nome e uma descrição para a integração.
-
Na Etapa 2, selecione ou crie o coletor de dados que coletará os logs de NDR.
Você só pode ter uma integração NDR por coletor de dados.
Se precisar de um novo coletor de dados, clique em Criar um novo coletor de dados.
Se quiser usar um coletor de dados existente, selecione-o na lista suspensa e vá para a Etapa 3 para definir as exclusões.
-
Para criar um novo coletor de dados, faça o seguinte:
-
Insira o nome do coletor de dados e uma descrição. O nome deve ser exclusivo.
-
Selecione a plataforma virtual. Atualmente, só oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V.
-
Especifique as portas de rede voltadas à Internet.
-
Selecione DHCP para atribuir o endereço IP automaticamente.
Nota
Se você selecionar DHCP, deverá reservar o endereço IP.
-
Selecione Manual para especificar as configurações de rede. Por exemplo:
-
Endereço de IP: 10.0.252.5
- Máscara de Sub-rede: 255.255.255.0
- Endereço de Gateway: 10.0.252.1
- DNS 1: 8.8.8.8
- DNS 2: 8.8.4.4
-
-
-
Na Etapa 3, exclua domínios e protocolos específicos da verificação. Por exemplo, você pode fazer isso se tiver um domínio que cause falsos positivos.
Você pode configurar as suas exclusões mais tarde, mas deve inserir um nome de lista de exclusão agora.
- Digite o Nome da lista de exclusão.
- Para excluir um domínio, clique em Exclusões de domínio. Digite o nome de domínio, por exemplo,
sophos.com
, e clique em Adicionar. -
Para excluir um protocolo, clique em Exclusões de protocolo. Você pode inserir informações em um campo ou nos dois:
- No primeiro campo, insira um protocolo mestre. Por exemplo
TCP
ouUDP
. - No segundo campo, insira um subprotocolo (site). Por exemplo,
facebook
.
Se você inserir informações nos dois campos, nós montamos uma única string com elas com um único ponto separador.
Não recomendamos excluir completamente um protocolo mestre. Só faça isso se um protocolo de alto tráfego que geralmente não é arriscado, como um protocolo de roteamento, gerar muitos dados.
A captura de tela mostra informações de exemplo.
- No primeiro campo, insira um protocolo mestre. Por exemplo
-
Clique em Adicionar.
Você pode exportar suas exclusões como um arquivo JSON. Você também pode carregar exclusões para a lista a partir de um arquivo JSON exportado anteriormente.
-
Clique em Salvar.
Na página Integrações, agora você verá a nova integração.
Em seguida, configure seus switches para que o dispositivo NDR possa monitorar o tráfego da sua rede.
Configurar seus switches
Antes de baixar e implantar a VM do Sophos NDR, você deve configurar o espelhamento da porta, também conhecido como Switched Port Analyzer (SPAN). Isso encaminha uma cópia do tráfego de entrada e saída das portas ou VLANs de um switch para outra porta de switch para análise.
Você deve configurar o espelhamento de porta para o tráfego de rede virtual interno e físico externo.
Quando você implantar seu dispositivo VM do NDR posteriormente, poderá conectá-lo às portas SPAN para que o NDR possa monitorar o tráfego da rede.
Estas instruções descrevem o espelhamento de porta no ESXi. Se você usar o Hyper-V, consulte Configurar espelhamento de tráfego com um Hyper-V vSwitch.
Configurar switches virtuais
Para configurar o espelhamento de porta para switches virtuais internos, faça o seguinte:
-
No ESXi, vá para Networking. Na guia Virtual switches, selecione um switch para usar para o espelhamento da porta.
Se você ainda não tiver um switch para usar, clique em Add standard virtual switch para adicionar um novo switch e adicionar grupos de portas a ele.
-
Na guia Port groups, clique em Add port group.
-
Nas configurações do novo grupo de portas, faça o seguinte:
- Insira um nome.
- Defina VLAN ID como 4095. Isso permite que todos os outros grupos de portas que já estão no switch encaminhem o tráfego para o novo grupo de portas.
- Clique em Security e defina Promiscuous mode como Accept.
- Clique em Adicionar.
Você configurou o encaminhamento para o tráfego da sua rede virtual interna. Em seguida, faça o mesmo para o tráfego externo físico, conforme descrito nas etapas a seguir.
-
No ESXi, selecione ou crie outro switch virtual que tratará o tráfego externo físico enviado a ele por um switch físico em sua rede.
-
Configure o switch da seguinte maneira:
- Vá para Port groups e clique em Add port group.
- Insira um nome.
- Defina VLAN ID como 4095.
- Clique em Security e defina Promiscuous mode como Accept.
Em seguida, você conecta o seu switch virtual à sua rede física para que possa receber o tráfego externo.
-
No menu esquerdo do ESXi, vá para Networking e selecione o switch que deseja usar para o tráfego externo.
-
Nos detalhes do switch, procure vSwitch topology. Você verá “No physical adapters”.
-
Clique em Add uplink.
-
Em Uplink 1, selecione uma NIC (placa de interface de rede) que esteja disponível. Isso conecta o switch virtual a uma porta em seu servidor ESXi.
-
Em Network topology, verifique se é possível ver um adaptador físico conectado.
-
Vá para o switch físico e use um cabo para conectar-se diretamente à porta no seu servidor ESXi.
Em seguida, você precisa configurar o espelhamento no seu switch físico.
Configurar um switch físico
Esta seção descreve a configuração do espelhamento de porta em um Sophos Switch. As etapas de configuração para outros switches são diferentes.
Para configurar o espelhamento, siga este procedimento:
- No Sophos Central, vá para Switches.
-
Selecione o switch que deseja configurar e clique em Executar comandos.
-
No console Executar comandos do switch, digite os comandos para espelhar todo o tráfego. Neste exemplo, os comandos espelharão todo o tráfego de entrada e saída nas portas 1-4 e o enviará para a porta 8.
configure terminal monitor session 1 destination interface gigabitethernet 0/8 allow-ingress monitor session 1 source interface gigabitethernet 0/1 both monitor session 1 source interface gigabitethernet 0/2 both monitor session 1 source interface gigabitethernet 0/3 both monitor session 1 source interface gigabitethernet 0/4 both end show monitor session 1
-
Clique em Executar. O console mostra os comandos conforme são executados contra um fundo verde.
-
Quando o último comando é executado, o console mostra a configuração concluída. Clique em Fechar.
Você terminou de configurar o encaminhamento do tráfego para portas SPAN. Mais tarde, você configurará o Sophos NDR para monitorar o tráfego.
Em seguida, você baixa a imagem da VM NDR.
Baixar a imagem da VM
Agora você baixa a imagem do NDR necessário para implantar e inicializar a nova VM.
-
Ao lado da nova integração, clique em
na coluna Ações e selecione o download para a sua plataforma, por exemplo, Baixar arquivo OVA para ESXi.
Você verá o download iniciar.
-
Passe o mouse sobre o ícone à esquerda do nome da integração. Agora você vê "Aguardando implantação".
Você está pronto para implantar a VM.
Implantar a VM
Clique na guia da sua plataforma abaixo para ver as instruções.
Restrição
Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se for necessário implementar uma nova VM, você deve criar o arquivo OVA novamente no Sophos Central.
Alerta
Se você estiver implementando o OVA em um host ESXi em execução em um cluster EVC (Enhanced vMotion Compatibility), o EVC deve estar no modo Skylake ou posterior.
- Vá para o seu host ESXi.
-
Selecione Virtual Machines e clique em Create/Register VM.
-
Em Select creation type, selecione Deploy a virtual machine from an OVF or OVA file. Clique em Avançar.
-
Em Select OVF and VMDK files, digite um nome para a VM.
Clique na página para selecionar arquivos. Selecione o arquivo OVA ndr-sensor.ova. Clique em Avançar.
-
Em Select storage, selecione o armazenamento Standard. Em seguida, selecione o repositório de dados em que deseja colocar sua VM. Clique em Avançar.
-
Em Deployment options, insira as configurações da seguinte forma.
- Em SPAN1, selecione o grupo de portas que receberá o tráfego de SPAN do aplicativo NDR. Você configurou isso anteriormente. Consulte Configurar seus switches.
-
Em SPAN2, selecione um segundo grupo de portas que receberá o tráfego de SPAN e que precisa ser monitorado (se você tiver um). Por exemplo, você pode ter um switch físico e um vSwitch que não envia tráfego para o switch físico.
Se você usar SPAN2, deverá aumentar o número de CPUs da VM para pelo menos 8. Consulte Guia de tamanho da VM do Sophos NDR.
-
O SYSLOG não é necessário para o Sophos NDR. Selecione qualquer grupo de portas como um espaço reservado e, posteriormente, desconecte-o nas configurações da VM.
-
Em MGMT, selecione a interface de gerenciamento. Essa interface permite que o coletor de dados envie dados para o Sophos Central.
Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.
Se você selecionou DHCP durante a configuração do coletor de dados, certifique-se de que a VM possa obter um endereço IP via DHCP.
-
Em Disk Provisioning, certifique-se de que Thin esteja selecionado.
- Certifique-se de que Power on automatically esteja selecionado.
- Clique em Avançar.
-
Ignore a etapa Additional settings.
-
Clique em Concluir. Aguarde até que a nova VM apareça na lista de VMs. Isso pode levar alguns minutos.
-
Ligue a VM e aguarde a conclusão do processo de instalação.
A VM é inicializada pela primeira vez e verifica se pode se conectar aos vSwitches corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.
Alerta
Não interrompa esse processo.
-
No Sophos Central, vá para a página Integrações de NDR e atualize-a. O status da VM agora é Conectado.
Se o status da VM for Conectado, mas não parecer estar funcionando, verifique o status do serviço Dragonfly no console Sophos VA para NDR. Consulte Sophos VA Console.
Se você vir no console que o serviço Dragonfly está no estado Pendente, e a sua VM estiver em um cluster EVC (Enhanced vMotion Compatibility), verifique se o modo EVC é Skylake ou posterior.
O Sophos NDR VA não suporta a execução em clusters EVC no modo Sandy Bridge.
O arquivo Zip que você baixou no Sophos Central contém os arquivos necessários para implantar a sua VM: unidades virtuais, seed.iso e um script do PowerShell.
Para implantar a VM, faça o seguinte:
- Extraia o arquivo Zip para uma pasta no seu disco rígido.
- Vá para a pasta, clique com o botão direito do mouse no arquivo
ndr-sensor.ps1
e selecione Executar com o PowerShell. -
Se você vir uma mensagem de Aviso de segurança, clique em Abrir para permitir que o arquivo seja executado.
Você será solicitado a responder a uma série de perguntas.
-
Dê um nome à VM.
- O script mostra a pasta em que os arquivos da VM serão armazenados. Essa é uma nova pasta no local de instalação padrão das unidades virtuais. Digite
C
para permitir que o script a crie. - Digite o número de processadores (CPUs) a serem usados para a VM.
- Insira a quantidade de memória a ser usada em GB.
-
O script mostra uma lista numerada de todos os vSwitches atuais.
Selecione o vSwitch ao qual você deseja conectar a interface de gerenciamento e digite seu número. Essa interface permite que o coletor de dados envie dados para o Sophos Data Lake.
Você configurou essa interface anteriormente no Sophos Central nas Configurações da porta de rede voltada para a Internet.
Se você selecionou DHCP durante a configuração, certifique-se de que a VM possa obter um endereço IP via DHCP.
-
Você não precisa inserir um vSwitch para a interface do syslog. Isso só é relevante para integrações de produtos de terceiros.
Selecione qualquer vSwitch como um espaço reservado e, posteriormente, desconecte-o nas configurações da VM.
-
Selecione o vSwitch que receberá o tráfego de SPAN do aplicativo NDR. Você configurou isso anteriormente. Consulte Configurar seus switches.
-
Opcionalmente, selecione um segundo vSwitch que receberá o tráfego de SPAN e que precisa ser monitorado (se você tiver um). Por exemplo, você pode ter um switch físico e um vSwitch que não envia tráfego para o switch físico.
Se você usar um segundo vSwitch, deverá aumentar o número de CPUs da VM para pelo menos 8. Consulte Guia de tamanho da VM do Sophos NDR.
-
O script do PowerShell configura a VM no Hyper-V. Você verá uma mensagem de Instalação concluída com êxito.
- Use qualquer tecla para sair.
-
Abra o Hyper-V Manager para ver a VM adicionada à lista de máquinas virtuais. Se precisar, você pode alterar as configurações. Em seguida, ligue-a.
A VM é inicializada pela primeira vez e verifica se pode se conectar aos vSwitches corretos e à Internet. Em seguida, ela é reinicializada. Pode levar até 10 minutos.
-
No Sophos Central, vá para a página Integrações do produto que você está integrando e atualize-a. O status da VM agora é Conectado.