Cortex XDR [LAB 03.1] Deploy Cortex XDR Broker VM Trên VMWARE ESXI

Tài liệu này hướng dẫn deploy Cortex XDR Broker VM trên VMware
Cortex XDR Broker VM là một máy ảo bảo mật được tích hợp với Cortex XDR, làm cầu nối giữa mạng nội bộ và Cortex XDR. Bằng cách thiết lập broker, ta có thể làm proxy agent đối với các endpoint dùng để update poicy, upgrade agent, collect logs,... trong môi trường không có internet hoặc làm giảm traffic WAN đi tới Cortex XDR.
1. Mô hình và yêu cầu của bài lab

• Deploy Cortex XDR Broker VM trên VMware dùng OVA image
• Cấu hình các thông tin cơ bản Cortex XDR Broker VM
• Cấu hình kết nối Cortex XDR Broker VM và Cortex XDR Gateway

2. Thực hiện cấu hình
Ta có thể deploy Cortex XDR Broker VM bằng các source sau:
Trong tài liệu này chúng ta sẽ tập trung chính vào việc deploy trên VMware, trước tiên ta cần download ova image cho Broker VM trên Cortex XDR Gateway portal, chọn vào biểu tượng bánh răng cưa->Configurations->Broker VMs để truy cập vào phần cấu hình Broker VM.

Tại đây ta chọn Download và tiến hành chọn source phù hợp trong bài lab này sẽ deploy trên VMware nên chọn OVA. (file hơi nặng tầm 15G)

Để deploy được Cortex XDR Broker VM thì ta cần cung cấp tài nguyên như bảng dưới đây:
Sau khi đã download ta truy cập vào vcenter để deploy Broker VM, vào phần Deploy OVF Template để deploy bằng file ova.

Tiếp theo ta chọn file ova đã download lúc nãy và nhấn NEXT.

Ta đặt tên cho VM và chọn folder chứa VM rồi nhấn NEXT.

Chọn ESXI host để deploy VM và nhấn NEXT.

Ta sẽ xem lại thông tin Storage về kích thước cũng như kiểu storage.

Tiếp theo ta chọn Storage để chứa lưu trữ thông tin VM cũng như chọn Thin Provision để giảm size disk cho VM.

Chọn Network vDS port group để quản lý cũng như cấu hình cho Cortex XDR Broker VM.

Ta view lại các thông tin đã cấu hình trước khi nhấn FINISH để tiến hành deploy.

Sau khi VM hoàn thành việc boot ta sẽ thấy kết quả như hình.

Ta nhấn Enter để cấu hình thông tin cho Broker VM:

• Info: xem lại các thông tin của Broker VM
• Netconfig: cấu hình ip cho Broker VM
• Web UI: bật tính năng GUI cho Broker VM
• SFTP access: bật SFTP trên Broker VM
• Password: cấu hình pass để truy cập Broker VM console
• Support: tạo session để hộ trợ khi có lỗi
• NTP: cấu hình NTP cho Broker VM (NTP server)
• Logs: cấu hình thu thập logs của Broker VM thành 1 file
• Boot options: thực hiện shutdown, reboot, hoặc restart Broker VM

Đầu tiên ta sẽ cấu hình ip cho Broker VM bằng các chọn phần Netconfig sau đó chọn card mạng cần cấu hình ip.

Ta sẽ cấu hình ip tĩnh cho card mạng đã chọn

Ta điền các thông tin ip, subner mask, gateway và dns server thích hợp.
Lưu ý: Mỗi khi điền ta phải chọn Edit và sau khi cấu hình xong cũng phải chọn Edit

Tiếp theo đó ta sẽ cấu hình lại password cho Broker VM bằng cách chọn mục Password rồi điền password mới.

Sau khi đã cấu hình các thông tin trong console ta sẽ truy cập GUI của Broker VM bằng ULR: https://<ip đã cấu hình>. Tại đây ta sẽ nhập password GUI default !nitialPassw0rd trước khi đổi password mới.

Cấu hình password mới cho GUI Broker VM.

Sau khi điền password mới ta sẽ được kết quả như sau:

Để cấu hình kết nối Cortex XDR Gateway và Cortex XDR Broker trước tiên ta cần mở port TCP/443 từ Broker VM về Gateway sau đó ta cần Generate Token trên Gateway, bằng cách vào Configurations->Broker VMs->Generate Token.

Sau đó ta quay lại Broker VM GUI và nhấn chọn Register và điề token được tạo trên Gateway và nhấn Register. (thời gian Register dưới 1 phút)

Sau khi kết nối tới Gateway ta sẽ được kết quả như hình: