Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 1452 views
  • Users 0 members are here
Options
Suggested

[ANSWERED] Running Copernicus VA parallel to production 9.3

bairdat
Can you run copernicus as "drop-in" parallel on same network as a production 9.3.  

I would like to see the reporting features in action.

Thanks,
-Alex-
Parents
  • 0
    This is an exciting question as the basic answer is yes.  You can implement it in Bridge Mode, using the same concept a you would if using the UTM.

    However, the most exciting part of this answers is the newer TAP Mode (Span Port Mode), Passive Mode, whatever you wish to call it.

    At a core switch or gateway switch, if you can set one of those ports to SPAN/Mirror you can then connect SFOS to this port and simply watch what happens.  It then allows you to build a SAR (Security Audit Report).

    Implementing SFOS in this mode has a couple of steps.  Set up SFOS as you normally do, then, with a SPARE Port on SFOS you need to declare this as your TAP port.  You need to do this from the SFOS console.

    Open the Console and select Option 4.

    Enter the following:

    system discover-mode tap add [TAB]

    The [TAB] bit on the end will enumerate the available spare PORTS on SFOS that you can use in your TAP config.

    ENTER to commit the change.

    Back in the Web Admin, if you refresh you Network > Interfaces list you will see the port you've just added as a TAP.  Traffic should now be visible.

    Last thing to do is to build a SAR report.

    IN SFOS Web Admin navigate to: Reports > Settings > Report Scheduling.
    Click ADD, and select the Security Audit Report.
    Set all the settings as required and understand the requirement that this report needs (the Checkbox at the bottom).
    Click Save and wait...

    ==

    When in doubt, Script it out.

  • 0 in reply to AzRoN
    This is an exciting question as the basic answer is yes.  You can implement it in Bridge Mode, using the same concept a you would if using the UTM.

    However, the most exciting part of this answers is the newer TAP Mode (Span Port Mode), Passive Mode, whatever you wish to call it.

    At a core switch or gateway switch, if you can set one of those ports to SPAN/Mirror you can then connect SFOS to this port and simply watch what happens.  It then allows you to build a SAR (Security Audit Report).

    Implementing SFOS in this mode has a couple of steps.  Set up SFOS as you normally do, then, with a SPARE Port on SFOS you need to declare this as your TAP port.  You need to do this from the SFOS console.

    Open the Console and select Option 4.

    Enter the following:

    system discover-mode tap add [TAB]

    The [TAB] bit on the end will enumerate the available spare PORTS on SFOS that you can use in your TAP config.

    ENTER to commit the change.

    Back in the Web Admin, if you refresh you Network > Interfaces list you will see the port you've just added as a TAP.  Traffic should now be visible.

    Last thing to do is to build a SAR report.

    IN SFOS Web Admin navigate to: Reports > Settings > Report Scheduling.
    Click ADD, and select the Security Audit Report.
    Set all the settings as required and understand the requirement that this report needs (the Checkbox at the bottom).
    Click Save and wait...


    Can this work without a swtich that uses port spanning/mirror?  I have this testing on a Vsphere 4.1 setup.

    Thanks,
Reply
  • 0 in reply to AzRoN
    This is an exciting question as the basic answer is yes.  You can implement it in Bridge Mode, using the same concept a you would if using the UTM.

    However, the most exciting part of this answers is the newer TAP Mode (Span Port Mode), Passive Mode, whatever you wish to call it.

    At a core switch or gateway switch, if you can set one of those ports to SPAN/Mirror you can then connect SFOS to this port and simply watch what happens.  It then allows you to build a SAR (Security Audit Report).

    Implementing SFOS in this mode has a couple of steps.  Set up SFOS as you normally do, then, with a SPARE Port on SFOS you need to declare this as your TAP port.  You need to do this from the SFOS console.

    Open the Console and select Option 4.

    Enter the following:

    system discover-mode tap add [TAB]

    The [TAB] bit on the end will enumerate the available spare PORTS on SFOS that you can use in your TAP config.

    ENTER to commit the change.

    Back in the Web Admin, if you refresh you Network > Interfaces list you will see the port you've just added as a TAP.  Traffic should now be visible.

    Last thing to do is to build a SAR report.

    IN SFOS Web Admin navigate to: Reports > Settings > Report Scheduling.
    Click ADD, and select the Security Audit Report.
    Set all the settings as required and understand the requirement that this report needs (the Checkbox at the bottom).
    Click Save and wait...


    Can this work without a swtich that uses port spanning/mirror?  I have this testing on a Vsphere 4.1 setup.

    Thanks,
Children
No Data
Unfiltered HTML