Jak skonfigurować sensor XDR Network
19 października 2023
W tym artykule opiszemy jak skonfigurować sensor sieci XDR Network.
Sensor Sieci zbiera i wstępnie przetwarza zdarzenia związane z siecią w celu wzbogacenia kontekstu incydentów.
Jest on skonfigurowany w trybie TAP i pobiera kopię ruchu sieciowego za pośrednictwem portu SPAN. Może wykryć każdy typ urządzenia, które komunikuje się za pośrednictwem protokołów sieciowych IPv4 lub IPv6, niezależnie od tego, czy urządzenie jest zarządzane przez Bitdefender, czy nie. Jeśli w sieci znajdują się urządzenia IoT, które komunikują się za pomocą tych samych protokołów, sensor sieciowy zbada również ten ruch.
Aby uzyskać optymalne wyniki, zaleca się wdrożenie jednego urządzenia sensora sieci na każdą podsieć.
Uwaga: Sensor Sieci nie obsługuje SCADA ani żadnych konkretnych protokołów OT.
Po skonfigurowaniu, sensor sieci stale nasłuchuje ruchu sieciowego, zbiera zdarzenia ze wszystkich punktów końcowych w środowisku, wstępnie je przetwarza i filtruje, a następnie wysyła zarówno metadane, jak i wykrycia do silnika GravityZone Security Analytics.
Wyświetl wykrycia w sekcji Incydenty > Szukaj, używając następującego zapytania: alert.type:ghoster. Te wykrycia są używane do wzbogacenia kontekstu Rozszerzonych Incydentów generowanych przez GravityZone.
Aby dodać sensor sieci, musisz:
1. Wdrożyć Sensor Sieci w vSphere lub Hyper-v.
2. Skonfigurować maszynę wirtualną z wdrożonym sensorem.
Instalacja Sensora Sieci w vSphere Client
Wymagania sprzętowe:
Pamięć | CPU | Przetwarzany ruch |
|---|---|---|
2 GB | 2 x 2 GHz | 5 Gb |
2 GB | 2 x 1 GHz | 2.5 Gb |
2 GB | 2 x 0.5 GHz | 1 Gb |
1. Otwórz vSphere client, kliknij File > Add OVF template, aby utworzyć szablon OVF dla Network Sensor Virtual Appliance (NSVA), który zostanie użyty do konfiguracji i aktywacji Sensora Sieci w Twoim środowisku.
Szablon możesz wybrać z:
- Zdalnego adresu: https://download.bitdefender.com/business/NetworkSensor/Bitdefender_SVE-SVA-NSVA.ova
- Pliku pobranego na dysk
Kliknij Next.
2. Nazwij maszynę wirtualną i wybierz gdzie ma zostać wdrożona.
Naciśnij Next.
3. Wybierz punkty końcowe na których ma zostać wdrożona sonda Sensora Sieci i kliknij Next.
4. Zweryfikuj dane NSVA i kliknij Next.
5. W Select Storage określ jak i gdzie mają być przechowywane pliki szablonu.
a) Wybierz jeden z trzech formatów dysku maszyny wirtualnej:
Thick Provision Lazy Zeroed
Thick Provision Eager Zeroed
Thin Provision
b) Wybierz storage policy.
c) Wybierz datastore w którym ma być przechowywany szablon NSVA.
6. Na stronie Select Networks:
a) Wybierz interfejs sieciowy, który ustanawia komunikację pomiędzy maszyną z Sensorem Sieci a GravityZone.
b) Wybierz sieć SPAN, która będzie monitorowana przez sondy Sensora Sieci.
Kliknij Next.
7. Opcjonalnie możesz dostosować ustawienia wdrożenia NSVA i kliknąć Next.
8. Na stronie Ready to complete zweryfikuj wszystkie dane i kliknij Finish.
9. Po utworzeniu maszyny przejdź do procesu konfiguracji opisanym w dalszej części artykułu.
Instalacja Sensora Sieci w Hyper-V
Wymagania sprzętowe:
Pamięć | CPU | Przetwarzany ruch |
|---|---|---|
2 GB | 2 x 2 GHz | 5 Gb |
2 GB | 2 x 1 GHz | 2.5 Gb |
2 GB | 2 x 0.5 GHz | 1 Gb |
1. Pobierz obraz maszyny wirtualnej.
.vhd– https://download.bitdefender.com/business/NetworkSensor/Bitdefender_SVE-SVA-NSVA.vhd..vhdx– https://download.bitdefender.com/business/NetworkSensor/Bitdefender_SVE-SVA-NSVA.vhdx
2. Otwórz Hyper-V, kliknij Action > New > Virtual Machine i dodaj nową maszynę wirtualną.
3. W oknie Before You Begin kliknij Next, aby utworzyć maszynę wirtualną z własną konfiguracją.
4. W oknie Specify Name and Location podaj nazwę maszyny wirtualnej oraz lokalizację do której zapisałeś plik.
5. W oknie Select Generation musisz wybrać generację w zależności od tego jaki plik pobrałeś:
- Generacja 1 dla .vhd
- Generacja 2 dla .vhdx
6. W oknie Assign Memory ustaw Startup Memory na 2048 MB.
7. W oknie Configure Networking wybierz odpowiedni interfejs dla Connection.
8. W oknie Connect Virtual Hard Disk wybierz Use an existing virtual hard disk i odszukaj pobrany obraz maszyny wirtualnej sensora sieci.
9. W oknie Summary przejrzyj ustawienia i kliknij Finish.
10. W Hyper-V Manager kliknij prawym przyciskiem myszy na nowo utworzoną maszynę wirtualną i przejdź do Settings.
a) Jeżeli wybrałeś 2 generację przejdź do Security i wybierz Microsoft UEFI Certificate Authority w Templates.
b) Przejdź do Add Hardware i wybierz Network Adapter, aby dodać sieć SPAN która będzie monitorowana przez sondy Sensora Sieci.
c) Wybierz pożądaną sieć SPAN i kliknij Apply.
d) Otwórz Advanced Features adaptera SPAN i ustaw Port Mirroring na Destination. Kliknij Apply.
11. Uruchom maszynę wirtualną z sensorem i rozpocznij niżej opisany proces konfiguracji.
Konfiguracja maszyny wirtualnej z Sensorem Sieci
1. Uruchom maszynę wirtualną w vSphere lub Hyper-V.
2. Zaloguj się przez SSH używając poświadczeń root / sve jako nazwa użytkownika i hasło.
3. Zmień hasło.
Domyślne hasło nie spełnia wymogów dotyczących bezpieczeństwa i należy je zaraz zmienić, Upewnij się, że hasło składa się z co najmniej 8 znaków, zawiera małe i wielkie litery, cyfry i znaki specjalne.
4. Wykonaj poniższą komendę:
/opt/bitdefender/bin/sva_setup.sh5. Rozpocznij proces konfiguracji
a) Network Configuration pozwala na następujące ustawienia:
eth0: jest to główny interfejs używany w trybie DHCP (Dynamic Host Configuration Protocol), aby umożliwić komunikację z GravityZone.eth1: jest to interfejs w promiscuous mode używany do analizy ruchu sieciowego.
Podsieć monitorowanej sieci na promiscous interface musi być skonfigurowana:
- Wybierz Network Configuration.
- Wybierz promiscuous interface (domyślne eth1).
- Skonfiguruj adres monitorowanej podsieci używając zapisu CIDR.
- Wybierz konfigurację dla głównego interfejsu.
- Jeżeli nie potrzeba żadnych zmian, wybierz DHCP
- Jeżeli interfejs ma mieć statyczny adres wybierz Static i dokończ konfigurację.
b) Internet proxy configuration pozwala ustawić konfigurację proxy do komunikacji z GravityZone.
c) Communication server configuration – w tym miejscu musisz wybrać odpowiednią instancję w zależności od adresu swojej konsoli:
Dla
cloudgz.gravityzone.bitdefender.com: GZ Cloud Instance 1Dla
cloud.gravityzone.bitdefender.com: GZ Cloud Instance 2
d) Configure the company hash – podaj hash swojej firmy widoczny w konsoli GravityZone w zakładce Moja Firma > Licencjonowanie.
6. Jeżeli uda się nawiązać połączenie, sensor wyświetli się w zakładce Sieć > Komputery i Grupy.
7. Główny plik z logami znajduje się w następującej lokalizacji:
/opt/bitdefender/var/log/bdxdrd.log
Incydenty możesz znaleźć w zakładce Incydenty > Szukaj przy użyciu zapytania: alert.type:ghoster.
Źródło: https://www.bitdefender.com/business/support/en/77209-452342-the-network-sensor.html
Podobne artykuły:
Autor
Obecnie
Najnowsze wpisy
