1 Bật XDR new features

Bạn cần có license Sophos Network Detection and Respons để sử dụng tính năng này.

Truy cập Early access program

Tại New XDR Features, chọn Join

2 Tạo NDR Sensor Integration

Truy cập  Threat Analysis Center chọn Integrations. Sophos NDR.

Chọn Add

Điền tên cho intergration và data collector. Ở đây sử dụng mô hình đơn giản, intergrator và data collector chung trong 1 VM.

Chọn platform là VMWare. IP là Static hoặc DHCP.

Mục Exclusion list ở đây sẽ cho kiểm tra hết và không có exclusion nào nên ta tạo No exclusion và không thêm giá trị nào.

Sau khi điền xong thông tin, bấm save.

Sau khi đợi một lúc thì ta có thể download image để cài đặt cho VMWare

3 Cài đặt NDR trên VMWare ESXI

Sophos NDR hỗ trợ từ phiên bản VMWare Esxi 6.7 U3 (14320388) trở lên.

Phần cứng yêu cầu 4 Core Cpu. 16Gb ram trở lên.

Sơ đồ hệ thống như sau. Mô hình có thiết bị Sophos NDR monitor toàn bộ traffic đi qua Vswitch0 thông qua Vlan 4095.

Mô hình này ta kiểm tra toàn bộ traffic đi qua Vswitch0, các máy tính gửi traffic vào Vswitch0 sẽ được gửi về Sophos NDR.

Ta tạo Port group với Vlan  ID là 4095, port group này nối với Vswitch0.

Promiscuous mode chọn Accept.

Các Vlan khác khi đi vào Vswitch0 sẽ được tạo bản copy đẩy ra portgroup này.

Sau đó, tạo 1 Virtual Machine từ file OVA .

Đặt tên máy và kéo thả file OVA vừa down từ Sophos central vào ô bên dưới.

Chọn ổ cứng chứa máy ảo.

Mục network. Ta có 2 card mạng SPAN1 và SPAN2 dùng để bắt traffic cho hệ thống ảo và hệ thống thật bên ngoài. Ở đây ta chỉ giả lập hệ thống ảo nên sử dụng 1 card là SPAN1 và disconnect SPAN2 ngay sau khi tạo máy ảo xong

Tương tự Card mạng Syslog dùng để đẩy log ra thiết bị nhận log của bên thứ 3. Có thể disconnect ngay sau khi tạo xong.

Card MGMT dùng để nhận IP và đẩy log lên Sophos central, chọn lớp mạng có kết nối ra internet.

Sau khi hoàn thành, ấn finish và đợi file OVA upload lên Esxi.

Máy ảo tạo xong, ta disconnect với Network Adapter 1 và 2, tương đương với disconnect SPAN2 và Syslog ethernet card.

Tiến hành mở máy ảo và kiểm tra.

Quá trình cài đặt hoàn tất, truy cập địa chỉ như trong bảng thông báo để đăng nhập. Trước khi đăng nhập, ta cần tạo mật khẩu và tài khoản để truy cập NDR.

Truy cập sophos central > Threat Analysis Center > Intergrations

Tại tab Configured intergration. NDR đã hiện trạng thái xanh là đã được tạo

Tại tab Data collectors ta chọn Open Appliance Manager tại Data Collector đã tạo

Chọn Reset account. Sau đó ta nhận được username và password của account đăng nhập trang web portal NDR tại local. Địa chỉ truy cập cũng hiển thị tại đây, ví dụ như bài test này là https://172.16.31.164:8443

Tại local truy cập địa chỉ trên và đăng nhập bằng account vừa tạo.

Vậy là đăng nhập thành công

4 Truy cập Log NDR tại local

4.1 Appliance Manager

Tab Status hiển thị trạng thái của thiết bị: CPU, ram, HDD boot, HDD storage, CPU Processor bình thường luôn full 100% core 4

Tab NDR chỉ ra 100% Log đã upload lên Central. Trong đó 99% là Unicast.

Tab Advanced chỉ ra các thành phần đang running dung để troubleshoot.

Mục NDR-Datacollector hiển thị các thông tin về thiết bị. Tại Action có thể restart device. Chọn Setting để tùy chỉnh lại thiết bị.

Tại mục setting có thể setting IP và Web proxy cho NDR.

4.2 Query

Tại mục Query có thể query log tại local thiết bị trong 24h gần nhất.

Chọn Example queries, copy một số query có sẵn.

Pass vào ô trên và chọn Run query.

Kết quả hiện trực tiếp như hình..

5 Truy cập Log NDR trên Sophos central

Tại mục Threat Analysis Center, ta tìm kiếm NDR qua filter. Kết quả sẽ hiện ra các log đã ghi nhận.

Để sử dụng các query NDR có sẵn, truy cập mục Live Discovery > NDR để query

Chọn 1 Query và run, điền các biến đầu vào và chọn Time Period bên dưới, có thể chọn % để query all. Kết quả 1 query được ở bên dưới.

Kết quả hiện ra như sau.