Hướng Dẫn Triển Khai Sophos NDR Trên ESXi Hoặc Hyper-V

Sophos NDR là giải pháp giúp giám sát, phát hiện và phản ứng với các mối đe dọa trên mạng. Với khả năng phân tích lưu lượng mạng và nhận diện hành vi bất thường, Sophos NDR hỗ trợ doanh nghiệp ứng phó nhanh chóng trước các cuộc tấn công mạng. Bài viết dưới đây sẽ cung cấp các bước triển khai cơ bản cho Sophos NDR.

1/ Giới Thiệu Chung

• Mục tiêu:
  Cung cấp khả năng phát hiện xâm nhập, giám sát lưu lượng mạng và phản ứng kịp thời trước các mối đe dọa an ninh.
• Ứng dụng:
  Sử dụng Sophos NDR giúp các tổ chức tăng cường khả năng bảo vệ hạ tầng CNTT thông qua việc tích hợp với các giải pháp bảo mật khác (như Sophos Endpoint, Firewall và SIEM).

2/ Triển Khai Sophos NDR Trên ESXi Hoặc Hyper-V

Yêu cầu hệ thống

• Yêu cầu tối thiểu cho Sophos NDR:
  • 4 CPUs
  • 16GB RAM
  • 160GB storage
• Hỗ trợ VMware ESXi 6.7 Update 3 trở lên và Microsoft Hyper-V
• Hỗ trợ CPU Intel và AMD, danh sách chi tiết tham khảo tại: CPU requirements
• Yêu cầu chi tiết tham khảo tại: Appliance requirements

Cấu hình NDR trên Sophos Central

Trong Sophos Central, đi đến Threat Analysis Center > Integrations > Marketplace

Bấm chọn vào Sophos Network Detection and Response (NDR)

Trong phần Data Ingest (Security Alerts), bấm Add Configuration.

Cấu hình cho VM

1. Điền Name và phần mô tả.

2. Tạo data collector, bấm vào Create new appliance.

3. Điền Name và phần mô tả.

4. Phần Virtual platform chọn VMware hoặc Hyper-V

5. Phần Internet-facing network chọn DHCP hoặc Manual tùy theo mô hình doanh nghiệp

Ví dụ:

6. Trong Step 3, điền thông tin loại trừ các giao thức và domain không nguy hiểm hoặc có thể gây quả tải log nhưng không hiệu quả về thông tin an toàn thông tin ví dụ như các giao thức routing.

Có thể export/upload danh sách loại trừ theo định dạng JSON

7. Bấm Save

Sau khi hoàn tất, trên trang NDR, bạn sẽ thấy tích hợp mới trong danh sách Configured NDR Integrations.

Tiếp theo bạn cần phải cấu hình switch để switch có thể forward traffic về NDR để monitor.

Cấu hình switch

Trước khi triển khai Sophos NDR VM, bạn phải thiết lập cổng mirroring, hay còn được gọi là Switched Port Analyzer (SPAN). Tính năng này sẽ chuyển bản sao traffic đến và đi từ các cổng hoặc VLAN của switch đến một cổng khác để phân tích.

Hướng dẫn cấu hình switch trên ESXi và Hyper-V:

• Đối với ESXi:

1. Trong ESXi, vào Networking. Trên tab Virtual switches, click vào Add standard virtual switch để thêm một switch mới và thêm port groups vào đó.
2. Trên tab Port groups, click Add port group.
3. Trong phần Settings của new port group. Set VLAN ID là 4095. Trong phần Virtual switch chọn vSwitch bạn vừa tạo. Trong phần Security, mục Promiscuous mode chọn Accept.
4. Trong Switch detail, hãy tìm mục vSwitch topology. Bạn có thể thấy hiện là “No physical adapters”.
5. Bấm Add uplink.
6. Trong Uplink 1, chọn NIC khả dụng, giúp kết nối switch ảo với một cổng mạng vật lý trên máy chủ ESXi.
7. Trong Network topology, kiểm tra thấy card mạng đã được kết nối.
8. Tiếp theo bạn cần thiết lập tính năng mirroring cho switch vật lý để có thể truyền traffic về cho NDR appliance được dùng để phân tích.
9. Cách thiết lập port mirroring khác nhau với từng sản phẩm, xem hướng dẫn từ nhà cung cấp để cấu hình chính xác.

• Đối với Hyper-V:

Nếu bạn đang sử dụng Hyper-V, thiết lập cổng mirroring bao gồm các bước sau:

1. Cấu hình port phản chiếu lưu lượng với Hyper-V.
2. Thiết lập SPAN Virtual Interface vào bộ chuyển mạch ảo.
3. Bật tiện ích mở rộng Microsoft NDIS capture .
4. Cấu hình port mirroring của switch vật lý.

Chi tiết về cấu hình SPAN port cho Hyper-V tham khảo tại: Configure traffic mirroring with a Hyper-V vSwitch

Download the VM image

1. Bấm vào biểu tượng 3 chấm ở cột Action. Chọn download theo nền tản bạn muốn triển khai, ví dụ như Download OVA file cho ESXi.
2. Di chuột qua biểu tượng ở bên trái tên tích hợp. Trạng thái lúc này là “Waiting for deployment”.

Deploy the VM

• Đối với ESXi:

1. Chọn Virtual Machines và chọn Create/Register VM.
2. Trong Select creation type, chọn Deploy a virtual machine from an OVF or OVA file. Bấm Next.
3. Tiếp theo, điền Name, chọn OVA file tên ndr-sensor.ova vừa download, bấm Next
4. Trong Select storage, chọn Standard storage. Sau đó chọn datastore nơi bạn muốn đặt VM. Bấm Next.
5. Trong Deployment options, nhập cài đặt như sau:
6. Trong SPAN1, chọn port group sẽ nhận lưu lượng SPAN cho NDR.
7. Trong SPAN2, chọn port group thứ hai sẽ nhận lưu lượng SPAN và cần giám sát (nếu có).
8. SYSLOG không cần thiết cho Sophos NDR. Chọn bất kỳ port group nào để làm giữ chỗ và ngắt kết nối. Nếu bạn dùng các tích hợp bên thứ 3 khác sẽ có thể dùng port này.
9. Trong MGMT, chọn port group có kết nối Internet. Interface này cho phép thiết bị gửi dữ liệu đến Sophos Central.
10. Disk Provisioning, chọn Thin.
11. Tick chọn Power on automatically.
12. Bỏ qua Additional settings, bấm Finish. Power on NDR và chờ khoảng 10 phút thiết bị sẽ kết nối tới Central.
13. Kiểm tra Sophos Central, đi đến trang NDR Integrations và ​​làm mới trang. Trạng thái của VM hiện “Connected“. là thiết lập NDR thành công.

• Đối với Hyper-V:

Tệp Zip tải xuống từ Sophos Central chứa các tệp cần để triển khai VM: ổ đĩa ảo, seed.iso và tập lệnh Powershell.

Để triển khai VM, hãy thực hiện như sau:

• 1. Giải nén tệp Zip vào một thư mục.
  2. Vào thư mục, nhấp chuột phải vào tệp ndr-sensor.ps1 và chọn Run with PowerShell.
  3. Nếu bạn thấy thông báo Security Warning, hãy nhấp vào Open để cho phép tệp chạy.
  4. Đặt tên cho VM.
  5. Tập ​​lệnh hiển thị thư mục nơi các tệp VM sẽ được lưu trữ. Đây là thư mục mới trong vị trí cài đặt mặc định. Nhập C để cho phép tập lệnh tạo thư mục đó.
  6. Nhập số bộ xử lý (CPU) để sử dụng cho VM.
  7. Nhập dung lượng bộ nhớ sẽ sử dụng tính bằng GB.
  8. Tập lệnh hiển thị danh sách được đánh số của tất cả các vSwitch hiện tại.
  9. Chọn vSwitch mà bạn muốn gán với interface quản lý và nhập số của vSwitch đó. Interface này cho phép thiết bị gửi dữ liệu đến Sophos Data Lake.
  10. Không cần nhập vSwitch cho giao diện syslog. Chọn bất kỳ vSwitch nào làm giữ chỗ và ngắt kết nối.
  11. Chọn vSwitch sẽ nhận lưu lượng SPAN cho NDR mà bạn đã định cấu hình trước đó.
  12. Chọn vSwitch thứ hai sẽ nhận lưu lượng SPAN và cần giám sát (nếu bạn có).
  13. Bạn sẽ thấy thông báo Installation Completed Successfully.
  14. Mở trình quản lý Hyper-V để xem VM đã được thêm vào danh sách máy ảo, Power on thiết bị .
  15. Trong lần khởi động lần đầu tiên VM kiểm tra xem nó có thể kết nối với vSwitch và internet chính xác hay không. Sau đó, nó khởi động lại. Quá trình này có thể mất tới 10 phút.
  16. Kiểm tra Sophos Central, đi đến trang NDR Integrations và ​​làm mới trang. Trạng thái của VM hiện “Connected”  là thiết lập NDR thành công.

3/ Lời Kết:

Việc triển khai và cấu hình Sophos NDR giúp doanh nghiệp tăng cường khả năng bảo vệ hệ thống bằng cách phát hiện và phản ứng nhanh trước các mối đe dọa. Qua bài hướng dẫn trên, bạn đã nắm được các bước chuẩn bị và cài đặt thiết bị Sophos NDR trên môi trường ảo hóa ESXi Hoặc Hyper-V.

Nếu có thắc mắc hay cần hỗ trợ thêm, bạn có thể tham khảo tài liệu chính thức từ Sophos hoặc liên hệ đội ngũ hỗ trợ kỹ thuật DASS để được trợ giúp kịp thời.

4/ Tham khảo:

NDR là gì: NDR là gì – DASS

Hướng dẫn chi tiết từ Sophos: Sophos NDR on ESXi or Hyper-V – Sophos Central Admin

CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS

♦ HCM: 55/10 Trần Đình Xu, Phường Cầu Kho, Quận 1, TP. HCM

♦ 028 2055 2868

♦ Hà Nội: Số 29, Lê Đại Hành, Quận Hai Bà Trưng, Hà Nội

♦ 024 3555 3030

♦ Email: info@dass.vn

♦ Fanpage: DASS – Sophos Việt Nam