Змест схаваць
1 Датчык бяспечнай воблачнай аналітыкі CISCO
2 Уводзіны
3 Меркаванні па разгортванні датчыкаў
4 Патрабаванні да датчыкаў
5 Дадатковыя патрабаванні да фізічнай прылады
6 Усталёўка і канфігурацыя сэнсарных носьбітаў
7 Ўстаноўка датчыка
8 Што рабіць далей
9 Падключэнне датчыкаў да Web Партал
10 Налада датчыкаў для збору дадзеных аб патоку
11 Ліквідацыю непаладак
12 Дадатковыя рэсурсы
13 Гісторыя змяненняў
14 FAQ
15 Дакументы / Рэсурсы
15.1 Спасылкі

CISCO-лагатып

Датчык бяспечнай воблачнай аналітыкі CISCO

Прадукт CISCO Secure Cloud Analytics Senso

Уводзіны

Cisco Secure Cloud Analytics (цяпер частка Cisco XDR) — гэта служба бяспекі на аснове SaaS, якая выяўляе пагрозы і рэагуе на іх у ІТ-асяроддзях, як лакальна, так і ў воблаку. У гэтым кіраўніцтве тлумачыцца, як разгарнуць датчыкі Secure Cloud Analytics у рамках службы маніторынгу прыватнай сеткі для выкарыстання ў карпаратыўных сетках, прыватных цэнтрах апрацоўкі дадзеных, філіялах і іншых лакальных асяроддзях.

  • Калі вы плануеце выкарыстоўваць Secure Cloud Analytics толькі ў агульнадаступных воблачных асяроддзях, такіх як Amazon Web Службы, Microsoft Azure або Google Cloud Platform, вам не трэба ўсталёўваць датчык. Больш падрабязную інфармацыю глядзіце ў кіраўніцтвах па маніторынгу публічнага воблака.
  • У гэтым кіраўніцтве прыведзены інструкцыі па ўсталёўцы датчыка ў Ubuntu Linux. Інструкцыі па ўсталёўцы ў іншых аперацыйных сістэмах глядзіце ў Кіраўніцтве па пашыранай канфігурацыі датчыка Secure Cloud Analytics.

Меркаванні па разгортванні датчыкаў

  • Вы можаце разгарнуць датчыкі для збору дадзеных аб патоку, напрыклад, NetFlow, або для атрымання сеткавага трафіку, які адлюстроўваецца з маршрутызатара або камутатара ў вашай сетцы. Вы таксама можаце наладзіць датчык як для збору дадзеных аб патоку, так і для атрымання адлюстроўванага сеткавага трафіку. Колькасць разгорнутых датчыкаў не абмежаваная.
  • Калі вы хочаце наладзіць датчык для збору дадзеных аб патоку, глядзіце раздзел "Налада датчыка для збору дадзеных аб патоку" для атрымання дадатковай інфармацыі.
  • Калі вы хочаце наладзіць датчык для атрымання трафіку з люстэрка або порта SPAN, глядзіце раздзел «Канфігурацыя сеткавай прылады» для атрымання дадатковай інфармацыі аб канфігурацыі сеткавых прылад для люстранога адлюстравання трафіку.
  • Датчыкі версіі 4.0 або вышэй могуць збіраць пашыраную тэлеметрыю NetFlow. Гэта дазваляе Secure Cloud Analytics генераваць новыя тыпы назіранняў і абвестак. Для атрымання дадатковай інфармацыі глядзіце Кіраўніцтва па канфігурацыі Secure Cloud Analytics для Enhanced NetFlow.
  • Датчык не падтрымлівае IPv6.

Патрабаванні да датчыкаў

Вы можаце ўсталяваць датчык на фізічнай прыладзе або віртуальнай машыне з наступнымі патрабаваннямі:

Кампанент Мінімальныя патрабаванні
Сеткавы інтэрфейс як мінімум адзін сеткавы інтэрфейс, прызначаны як інтэрфейс кіравання, для перадачы інфармацыі ў службу Secure Cloud Analytics. Пры неабходнасці, калі вы хочаце наладзіць датчык для атрымання сеткавага трафіку з сеткавай прылады, якая рэплікуе яго праз люстраны порт, вам патрэбен адзін або некалькі сеткавых інтэрфейсаў, прызначаных як люстраныя інтэрфейсы.
АЗП 4 ГБ
працэсар прынамсі два ядра
Месца для захоўвання 60 ГБ дыскавай прасторы выкарыстоўваецца для кэшавання вытворчых дадзеных NetFlow перад адпраўкай запісаў у Secure Cloud Analytics.
Доступ у Інтэрнэт патрабуецца для загрузкі пакетаў для працэсу ўстаноўкі

Звярніце ўвагу на наступнае адносна прызначаных інтэрфейсаў люстранога тыпу:

  • Інтэрфейсы люстранога адлюстравання атрымліваюць копіі ўсяго ўваходнага і выходнага трафіку крыніцы да пункта прызначэння. Пераканайцеся, што пікавы трафік меншы за прапускную здольнасць злучэння інтэрфейса люстранога адлюстравання датчыка.
  • Многія камутатары скідаюць пакеты з зыходных інтэрфейсаў, калі порт прызначэння люстранога адлюстравання настроены на занадта вялікі трафік.

Дадатковыя патрабаванні да фізічнай прылады

Кампанент Мінімальныя патрабаванні
Ўстаноўка File Загрузіць Адзін з наступных спосабаў загрузкі файла ўстаноўкі .iso file:
  • 1 порт USB, а таксама флэш-назапашвальнік USB
  • 1 прывад аптычных дыскаў, а таксама адзін запісвальны аптычны дыск (напрыклад, дыск CD-R)

Віртуальныя машыны могуць загружацца непасрэдна з файла .iso file без дадатковых патрабаванняў.

Дадатковыя патрабаванні да віртуальнай машыны
Калі ваш датчык разгорнуты як віртуальная машына, пераканайцеся, што віртуальны хост і сетка настроены на рэжым неразборлівага доступу на другім сеткавым інтэрфейсе, калі вы плануеце атрымліваць трафік з люстэрка або порта SPAN.

  • Пры разгортванні датчыка ў асяроддзі VMWare 8 ён не загрузіцца пры выкарыстанні налад загрузкі UEFI па змаўчанні. Каб выправіць гэтую праблему, на этапе «Наладзіць абсталяванне» абярыце «Параметры віртуальнай машыны» > «Параметры загрузкі», а затым выберыце «BIOS» з выпадальнага спісу «Прашыўка».

Гіпервізар VMware
Калі вы запускаеце віртуальную машыну на гіпервізары VMware, наладзьце віртуальны камутатар для неразборлівага рэжыму:

  1. Выберыце гаспадара ў інвентары.
  2. Выберыце ўкладку «Канфігурацыя».
  3. Націсніце «Сеткі».
  4. Націсніце «Уласцівасці» для вашага віртуальнага камутатара.
  5. Выберыце віртуальны камутатар і націсніце «Рэдагаваць».
  6. Абярыце ўкладку Бяспека.
  7. Выберыце «Прыняць» у выпадальным спісе «Рэжым неразборлівасці».

Глядзіце базу ведаў VMware для атрымання дадатковай інфармацыі аб рэжыме неразборлівага падключэння. Вам можа спатрэбіцца ўсталяваць ідэнтыфікатар VLAN на 4095.

VirtualBox
Калі вы запускаеце віртуальную машыну ў VirtualBox, наладзьце адаптар для неразборлівага рэжыму:

  1.  Выберыце адаптар для інтэрфейсу Mirror у наладах сеткі.
  2.  Усталюйце рэжым неразборлівага доступу на Дазволіць у дадатковых параметрах.

Глядзіце дакументацыю VirtualBox па віртуальных сетках для атрымання дадатковай інфармацыі.

Прапановы па размяшчэнні датчыкаў
Паколькі тапалогіі сетак могуць моцна адрознівацца, пры разгортванні датчыкаў майце на ўвазе наступныя агульныя рэкамендацыі:

  1.  Вызначце, ці хочаце вы разгарнуць датчыкі для:
    • збіраць дадзеныя патоку
    • прымаць люстраны сеткавы трафік
    • некаторыя збіраюць дадзеныя патоку, а іншыя прымаюць люстраны сеткавы трафік
    • збіраюць дадзеныя патоку і прымаюць люстраны сеткавы трафік
  2.  Калі вы збіраеце дадзеныя аб патоку, вызначце, якія фарматы могуць экспартаваць вашы сеткавыя прылады, такія як NetFlow v5, NetFlow v9, IPFIX або sFlow.
    Шмат якія брандмаўэры падтрымліваюць NetFlow, у тым ліку брандмаўэры Cisco ASA і прылады Cisco Meraki MX. Звярніцеся да дакументацыі вытворцы, каб даведацца, ці падтрымлівае ваш брандмаўэр NetFlow.
  3. Пераканайцеся, што сеткавы порт на датчыку можа падтрымліваць прапускную здольнасць партоў люстэрка.
    Калі вам патрэбна дапамога ў разгортванні некалькіх датчыкаў у вашай сетцы, звярніцеся ў службу падтрымкі Cisco.

Праверка версіі датчыка
Каб пераканацца, што ў вашай сетцы ўсталяваны самы апошні датчык (версія 5.1.3), вы можаце праверыць версію існуючага датчыка з каманднага радка. Калі вам трэба абнавіць, пераўсталюйце датчык.

  1.  SSH-падключэнне да разгорнутага датчыка.
  2. У камандным радку ўвядзіце cat /opt/obsrvbl-ona/version і націсніце Enter. Калі ў кансолі не адлюстроўваецца версія 5.1.3, ваш датчык састарэў. Запампуйце найноўшы ISO-файл датчыка з web інтэрфейс партала.

Патрабаванні да доступу да датчыкаў
Фізічная прылада або віртуальная машына павінны мець доступ да пэўных сэрвісаў праз Інтэрнэт. Наладзьце брандмаўэр, каб дазволіць наступны трафік паміж датчыкам і знешнім Інтэрнэтам:

Тып руху абавязковы IP-адрас, дамен і порт, або канфігурацыя
Выходны HTTPS-трафік з так
  • порт 443, а IP-адрас
Інтэрфейс кіравання датчыкам для службы Secure Cloud Analytics, размешчанай на Amazon Web Паслугі IP-адрас вашага партала
  • IP-адрасы AWS S3 для вашага рэгіёна Secure Cloud Analytics. Паколькі IP-адрасы AWS могуць змяняцца, звярніцеся да AWS.
  • Даведка па дыяпазонах IP-адрасоў і пошук службы S3 і вашага рэгіёна AWS у прадстаўленым JSON fileКаб знайсці свой рэгіён AWS, перайдзіце на панэль кіравання Secure Cloud Analytics і пракруціце старонку ўніз. У полі ў ніжняй частцы старонкі адлюстроўваецца назва рэгіёна для вашага партала, які адпавядае наступным рэгіёнам AWS:
    • Паўночная Амерыка (Паўночная Вірджынія): us-east-1
    • Еўропа (Франкфурт): eu- central-1
    • Аўстралія (Сіднэй): ap- паўднёва-ўсход-2
1. Увайдзіце ў датчык праз SSH ад імя адміністратара.
2. У камандным радку ўвядзіце наступную каманду:
Прымусова наладзьце сувязь датчыка толькі з вядомымі адрасамі Cisco няма sudo nano opt/obsrvbl-ona/config.local і націсніце Увайдзіце рэдагаваць канфігурацыю file 3. Абнавіце параметр OBSRVBL_SENSOR_EXT_ONLY наступным чынам: OBSRVBL_SENSOR_EXT_ONLY=true.
4. Націсніце Ctrl + 0, каб захаваць змены.

5. Націсніце Ctrl + x для выхаду. 6. У камандным радку ўвядзіце sudo service obsrvbl-ona restart, каб перазапусціць датчык.
Выходны трафік з інтэрфейсу кіравання датчыка на сервер Ubuntu Linux для загрузкі аперацыйнай сістэмы Linux і звязаных з ёй абнаўленняў. так
Выходны трафік з інтэрфейсу кіравання датчыка на DNS-сервер для пераўтварэння імя хаста так
  •  [лакальны DNS-сервер]: 53/UDP
Уваходны трафік ад прылады для выдалення непаладак да вашага датчыка няма
  • 54.83.42.41:22/TCP

Калі вы выкарыстоўваеце проксі-сэрвіс, стварыце выключэнне проксі-сервера для IP-адрасоў інтэрфейса кіравання датчыкамі.

Канфігурацыя сеткавай прылады
Вы можаце наладзіць сеткавы камутатар або маршрутызатар так, каб ён адлюстроўваў копію трафіку, а затым перадаваў яго датчыку.

  • Паколькі датчык знаходзіцца па-за звычайным патокам руху, ён не можа непасрэдна ўплываць на ваш трафік. Змены канфігурацыі, якія вы ўносіце ў web Інтэрфейс партала ўплывае на генерацыю папярэджанняў, а не на тое, як паступае трафік. Калі вы хочаце дазволіць або заблакаваць трафік на аснове папярэджанняў, абнавіце налады брандмаўэра.
  • Глядзіце наступную інфармацыю аб вытворцах сеткавых камутатараў і рэсурсах для налады люстранога трафіку:
Вытворца Назва прылады Дакументацыя
NetOptics сеткавы адвод Глядзіце старонку рэсурсаў Ixia для атрымання дакументацыі і іншай інфармацыі
Гігамон сеткавы адвод Глядзіце старонкі рэсурсаў і ведаў Gigamon для атрымання дакументацыі і іншай інфармацыі

Аналізатар (SPAN)
Ядловец люстэрка порта Глядзіце дакументацыю TechLibrary ад Juniper для прыкладуampраздзел Наладжванне люстранога адлюстравання партоў для лакальнага маніторынгу выкарыстання рэсурсаў супрацоўнікаў на камутатарах серыі EX
NETGEAR люстэрка порта Глядзіце дакументацыю базы ведаў Netgear для атрымання прыкладуampлюстраванне партоў і як яно працуе з кіраваным камутатарам
ZyXEL люстэрка порта Глядзіце дакументацыю базы ведаў ZyXEL для атрымання інфармацыі аб выкарыстанні люстранога адлюстравання на камутатарах ZyXEL.
іншае порт манітора, порт аналізатара, порт адводу Глядзіце вікі-дакументацыю Wireshark для атрымання спасылкі на перамыкачы для некалькіх вытворцаў

Вы таксама можаце разгарнуць прыладу кропкі доступу (tap) для тэставання сеткі, каб перадаваць копію трафіку на датчык. Глядзіце ніжэй інфармацыю аб вытворцах сеткавых адгалінаванняў і рэсурсах для іх налады.

Вытворца Назва прылады Дакументацыя
NetOptics сеткавы адвод Глядзіце старонку рэсурсаў Ixia для атрымання дакументацыі і іншай інфармацыі
Гігамон сеткавы адвод Глядзіце старонкі рэсурсаў і ведаў Gigamon для атрымання дакументацыі і іншай інфармацыі

Канфігурацыя патоку
Вы павінны наладзіць сеткавую прыладу для перадачы дадзеных NetFlow. Глядзіце https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco Больш падрабязную інфармацыю аб наладжванні NetFlow на сеткавых прыладах Cisco глядзіце ў файле NetFlow_Configuration.pdf.

Усталёўка і канфігурацыя сэнсарных носьбітаў

Перш чым пачаць ўстаноўку, паўторнаview інструкцыі, каб зразумець працэс, а таксама падрыхтоўку, час і рэсурсы, якія спатрэбяцца для ўстаноўкі і канфігурацыі.
Для гэтай устаноўкі ёсць два варыянты:

  • Усталёўка датчыка на віртуальную машыну: Калі вы ўсталёўваеце датчык на віртуальную машыну, вы можаце загрузіцца з файла .iso. file непасрэдна.
  •  Усталёўка датчыка на фізічную прыладу: Калі вы ўсталёўваеце датчык на фізічную прыладу, вы ствараеце загрузачны носьбіт з дапамогай файла .iso. file, затым перазапусціце прыладу і загрузіцеся з гэтага носьбіта.

Працэс усталёўкі сцірае дыск, на які будзе ўсталяваны датчык, перад яго ўсталёўкай. Перад пачаткам усталёўкі пераканайцеся, што фізічная прылада або віртуальная машына, дзе вы плануеце ўсталяваць датчык, не ўтрымлівае ніякіх дадзеных, якія вы хочаце захаваць.

Стварэнне загрузачнага носьбіта

  • Калі вы разгортваеце датчык на фізічнай прыладзе, вы разгортваеце файл .iso file які ўсталёўвае датчык на базе Ubuntu Linux.
  • Калі вы пішаце .iso file на аптычны дыск, напрыклад, CD або DVD, вы можаце перазагрузіць фізічную прыладу з аптычным дыскам у прывадзе аптычных дыскаў і выбраць загрузку з аптычнага дыска.
  • Калі вы ствараеце флэшку USB з файлам .iso file і ўтыліта Rufus, вы можаце перазагрузіць фізічную прыладу, уставіць флэш-назапашвальнік USB у порт USB і выбраць загрузку з флэш-назапашвальніка USB.
  • Калі вы разгортваеце датчык без выкарыстання ISO-файла, вам можа спатрэбіцца абнавіць налады брандмаўэра лакальнай прылады, каб дазволіць трафік. Мы настойліва рэкамендуем разгарнуць датчык з выкарыстаннем прадастаўленага ISO-файла.
  • Стварэнне загрузачнай флэшкі выдаляе ўсю інфармацыю на флэшцы. Пераканайцеся, што на флэшцы няма ніякай іншай інфармацыі.

Спампаваць ISO-файл датчыка file
Спампуйце апошнюю версію ISO-файла датчыка з web партал. Выкарыстоўвайце гэта альбо для ўсталёўкі (для новага датчыка), альбо для пераўсталёўкі (для абнаўлення існуючага датчыка).

  1.  Увайдзіце ў Secure Cloud Analytics як адміністратар.
  2.  Выберыце Даведка (?) > Усталёўка лакальнага датчыка.
  3.  Націсніце кнопку .iso, каб загрузіць апошнюю версію ISO.
  4. Перайдзіце да раздзела «Стварыць загрузачны аптычны дыск» або «Стварыць загрузачную USB-флэшку».

Стварыце загрузачны аптычны дыск
Выконвайце інструкцыі вытворцы, каб скапіяваць файл .iso file на аптычны дыск.

Стварыце загрузачную USB-флэшку

  1. Устаўце пустую флэшку USB у порт USB на прыладзе, якую вы хочаце выкарыстоўваць для стварэння загрузачнай флэшкі.
  2.  Увайдзіце на працоўную станцыю.
  3. У вашым web браўзер, перайдзіце да ўтыліты Rufus webсайт.
  4.  Спампуйце апошнюю версію ўтыліты Rufus.
  5. Адкрыйце ўтыліту Rufus.
  6.  Выберыце USB-флэшку ў выпадальным спісе «Прылада».
  7. Выберыце дыск або ISO-вобраз з выпадальнага спісу загрузкі.
  8. Націсніце ВЫБРАЦЬ і абярыце ISO датчыка file.
  9. Націсніце СТАРТ.

Стварэнне загрузачнай флэшкі выдаляе ўсю інфармацыю на флэшцы. Пераканайцеся, што на флэшцы няма ніякай іншай інфармацыі.

Ўстаноўка датчыка

  1.  Выберыце спосаб загрузкі для .iso наступным чынам:
    • Віртуальная машына: Калі вы ўсталёўваеце на віртуальную машыну, загрузіцеся з файла .iso. file.
    • Фізічная прылада: Калі вы ўсталёўваеце на фізічную прыладу, устаўце загрузачны носьбіт, перазапусціце прыладу і загрузіцеся з загрузачнага носьбіта.
  2. У першым запыце абярыце «Усталяваць ONA (статычны IP)», а затым націсніце Enter.
  3. CISCO-Secure-Cloud-Analytics-Senso- (2)Выберыце мову са спісу моў з дапамогай клавіш са стрэлкамі, а затым націсніце Enter. CISCO-Secure-Cloud-Analytics-Senso- (3)
  4. Што тычыцца канфігурацыі клавіятуры, у вас ёсць наступныя параметры:
    • Выберыце раскладку і варыянт для налады клавіятуры, а затым націсніце Enter.
    • Выберыце «Вызначыць клавіятуру», а затым націсніце Enter. CISCO-Secure-Cloud-Analytics-Senso- (4)
  5. Для налады сеткі абярыце «Уручную» і націсніце Enter. CISCO-Secure-Cloud-Analytics-Senso- (5)Усе астатнія сеткавыя інтэрфейсы аўтаматычна наладжваюцца як інтэрфейсы люстранога тыпу.
  6.  Увядзіце падсетку для прылады, выберыце «Працягнуць» з дапамогай клавіш са стрэлкамі і націсніце Enter.
  7.  Увядзіце IP-адрас прылады, абярыце «Працягнуць» з дапамогай клавіш са стрэлкамі і націсніце Enter.
  8. Увядзіце IP-адрас маршрутызатара шлюза, абярыце «Працягнуць» з дапамогай клавіш са стрэлкамі і націсніце Enter.
  9.  (Неабавязкова) У полі «Пошук даменаў» увядзіце дамен(ы), які(я) будзе(будуць) аўтаматычна дадавацца да імя хоста пры спробе пошуку IP-адраса, абярыце «Працягнуць» з дапамогай клавіш са стрэлкамі і націсніце Enter.
    Па змаўчанні ўсталёўка будзе аўтаматычна выкарыстоўваць DHCP і працягвацца. Каб змяніць IP-адрас DHCP, вам трэба будзе ўручную адрэдагаваць інтэрфейс пасля завяршэння ўсталёўкі.
    Мы рэкамендуем вам увесці адрас лакальнага аўтарытэтнага сервера імёнаў, калі ён разгорнуты ў вашай сетцы. CISCO-Secure-Cloud-Analytics-Senso- (6)
  10. Увядзіце поўнае імя новага карыстальніка, якое звязана з не-root-уліковым запісам для адміністрацыйных правоў, затым выберыце «Працягнуць» з дапамогай клавіш са стрэлкамі і націсніце Enter.
  11.  Увядзіце назву вашага сервера — назву, якую датчык будзе выкарыстоўваць пры сувязі з іншымі камп'ютарамі і якая будзе бачная на партале Secure Cloud Analytics, а затым выберыце «Працягнуць» з дапамогай клавіш са стрэлкамі і націсніце Enter.
  12.  Увядзіце імя карыстальніка для вашага ўліковага запісу (гэта ўліковы запіс без правоў root з правамі адміністратара), затым выберыце «Працягнуць» з дапамогай клавіш са стрэлкамі і націсніце Enter.
  13.  Выберыце пароль для новага карыстальніка, затым выберыце «Працягнуць» з дапамогай клавіш са стрэлкамі і націсніце Enter.
  14. Паўтарыце пароль для праверкі, затым выберыце «Працягнуць» з дапамогай клавіш са стрэлкамі і націсніце Enter. Калі вы не ўвялі адзін і той жа пароль двойчы, паспрабуйце яшчэ раз.
    Уліковы запіс, створаны падчас усталёўкі, — гэта адзіны ўліковы запіс, які можна выкарыстоўваць для доступу да віртуальнай машыны. Пры гэтай усталёўцы асобны ўліковы запіс партала Secure Cloud Analytics не ствараецца. CISCO-Secure-Cloud-Analytics-Senso- (7)
  15. Каб пацвердзіць працэс усталёўкі, абярыце «Працягнуць», а затым націсніце Enter.
    Гэта дзеянне выдаліць усе дадзеныя на дыску. Перад тым, як працягнуць, пераканайцеся, што ён пусты.CISCO-Secure-Cloud-Analytics-Senso- (8)Пачакайце некалькі хвілін, пакуль праграма ўстаноўкі ўсталюе неабходныя files.
  16. Калі праграма ўстаноўкі адлюструе паведамленне «Устаноўка завершана», выберыце «Перазагрузіць зараз» з дапамогай клавіш са стрэлкамі, а затым націсніце Enter, каб перазагрузіць прыладу.CISCO-Secure-Cloud-Analytics-Senso- (9)
  17. Пасля перазагрузкі прылады ўвайдзіце ў сістэму з дапамогай створанага ўліковага запісу, каб пераканацца ў правільнасці вашых уліковых дадзеных.

Што рабіць далей

  • Калі вы абмяжоўваеце доступ да вашых прыватных асяроддзяў, пераканайцеся, што дазволена сувязь з адпаведнымі IP-адрасамі. Глядзіце Патрабаванні да доступу да датчыкаў для атрымання дадатковай інфармацыі.
  • Калі вы выкарыстоўваеце датчык для збору трафіку сеткавага патоку, напрыклад, NetFlow, глядзіце раздзел «Налада датчыка для збору дадзеных патоку» для атрымання дадатковай інфармацыі аб наладжванні датчыка.
  •  Калі вы выкарыстоўваеце датчык і падключаеце яго да SPAN або люстраных партоў для збору люстранога трафіку, глядзіце раздзел Падключэнне датчыкаў да Web Партал для атрымання дадатковай інфармацыі аб даданні датчыкаў у Secure Cloud Analytics web партал.
  •  Калі вы наладжваеце датчык для перадачы тэлеметрыі Enhanced NetFlow, глядзіце кіраўніцтва па канфігурацыі Cisco Secure Cloud Analytics для Enhanced NetFlow для атрымання дадатковай інфармацыі.

Падключэнне датчыкаў да Web Партал

  • Пасля ўстаноўкі датчыка яго трэба будзе падключыць да вашага партала. Гэта робіцца шляхам вызначэння публічнага IP-адраса датчыка і ўводу яго ў web партал. Калі вы не можаце вызначыць публічны IP-адрас датчыка, вы можаце ўручную падключыць датчык да партала, выкарыстоўваючы яго ўнікальны службовы ключ.

Датчык можа падключацца да наступных парталаў:

Калі падключана некалькі датчыкаўtagразмешчаны ў цэнтральным месцы, напрыклад, у пастаўшчыка паслуг MSSP, і прызначаны для розных кліентаў, публічны IP-адрас варта выдаляць пасля наладжвання кожнага новага кліента. Калі публічны IP-адрас сервера...tagКалі асяроддзе выкарыстоўваецца для некалькіх датчыкаў, датчык можа быць няправільна падключаны да няправільнага партала.
Калі вы выкарыстоўваеце проксі-сервер, выканайце дзеянні, апісаныя ў раздзеле «Налада проксі-сервера», каб уключыць сувязь паміж датчыкам і Secure Cloud Analytics. web партал.

Пошук і даданне публічнага IP-адраса датчыка на партал

  1. SSH-падключэнне да датчыка ад імя адміністратара.
  2. У камандным радку ўвядзіце curl https://sensor.ext.obsrvbl.comandpressEnterЗначэнне памылкі «невядомая асоба» азначае, што датчык не звязаны з парталам. Глядзіце прыклад на наступным малюнку.ampле.CISCO-Secure-Cloud-Analytics-Senso- (10)Ваш хост службы URL можа адрознівацца ў залежнасці ад вашага месцазнаходжання. На партале Secure Cloud Analytics перайдзіце ў раздзел «Налады» > «Датчыкі» і пракруціце старонку ўніз, каб знайсці хост вашага сэрвісу. url.
  3.  Скапіруйце IP-адрас ідэнтыфікатара.
  4.  Выйсці з датчыка.
  5.  Увайдзіце ў Secure Cloud Analytics як адміністратар сайта.
  6.  Выберыце Налады > Датчыкі > Публічны IP-адрас.
  7. Націсніце «Дадаць новы IP-адрас».
  8. Увядзіце IP-адрас ідэнтыфікатара ў поле «Новы адрас». 9. Націсніце «Стварыць». Пасля абмену ключамі паміж парталам і датчыкам яны ўсталююць будучыню.
  9. CISCO-Secure-Cloud-Analytics-Senso- (11) Націсніце «Стварыць». Пасля абмену ключамі паміж парталам і датчыкам яны ўсталёўваюць будучыя злучэнні, выкарыстоўваючы гэтыя ключы, а не публічны IP-адрас.
    Можа прайсці да 20 хвілін, перш чым новы датчык адлюструецца на партале.

Дадайце службовы ключ партала да датчыка ўручную
Калі вы не можаце дадаць публічны IP-адрас датчыка ў web партал, ці вы
MSSP кіруе некалькімі web парталы, рэдагаваць канфігурацыю датчыка config.local file каб уручную дадаць службовы ключ партала для звязвання датчыка з парталам.
Гэты абмен ключамі ажыццяўляецца аўтаматычна пры выкарыстанні публічнага IP-адраса, апісанага ў папярэднім раздзеле.

  1. Увайдзіце ў Secure Cloud Analytics як адміністратар.
  2.  Выберыце Налады > Датчыкі.
  3.  Перайдзіце ў канец спісу датчыкаў і скапіруйце службовы ключ. Глядзіце прыклад на наступным малюнку.ampле.
    Ключ службы: (паказаць) Хост службы:CISCO-Secure-Cloud-Analytics-Senso- (12)
  4. SSH-падключэнне да датчыка ад імя адміністратара.
  5. У камандным радку ўвядзіце наступную каманду: sudo nano /opt/obsrvbl-ona/config.local і націсніце Enter, каб адрэдагаваць канфігурацыю. file.
  6. Дадайце наступныя радкі, замяніўшы з ключом службы партала іurl>з вашым рэгіянальным хостам службы url: # Ключ службы
    OBSRVBL_SERVICE_KEY="КЛЮЧ_СЕРВІСУ" «OBSRVBL_HOST="url>”
    На партале Secure Cloud Analytics перайдзіце ў раздзел «Налады» > «Датчыкі» і пракруціце старонку ўніз, каб знайсці хост вашай службы. url.
    Глядзіце наступны малюнак для прыкладуampль:
  7. CISCO-Secure-Cloud-Analytics-Senso- (13)Націсніце Ctrl + 0, каб захаваць змены.
  8.  Націсніце Ctrl + x для выхаду.
  9.  У камандным радку ўвядзіце sudo service obsrvbl-ona restart, каб перазапусціць службу Secure Cloud Analytics.

Можа прайсці да 20 хвілін, перш чым новы датчык адлюструецца на партале.

Наладжванне проксі-сервера
Калі вы выкарыстоўваеце проксі-сервер, выканайце наступныя дзеянні, каб уключыць сувязь паміж датчыкам і web партал.

  1.  SSH-падключэнне да датчыка ад імя адміністратара.
  2.  У камандным радку ўвядзіце наступную каманду: sudo nano /opt/obsrvbl-ona/config.local і націсніце Enter, каб адрэдагаваць канфігурацыю. file.
  3.  Дадайце наступны радок, замяніўшы proxy.name.com імем хаста або IP-адрасам вашага проксі-сервера, а Port — нумарам порта вашага проксі-сервера: HTTPS_PROXY="proxy.name.com:Порт.”
  4. Націсніце Ctrl + 0, каб захаваць змены.
  5.  Націсніце Ctrl + x для выхаду.
  6. У камандным радку ўвядзіце sudo service obsrvbl-ona restart, каб перазапусціць службу Secure Cloud Analytics.

Можа прайсці да 20 хвілін, перш чым новы датчык адлюструецца на партале.

Пацверджанне падключэння да партала датчыка
Пасля дадання датчыка на партал пацвердзіце падключэнне ў Secure Cloud Analytics.

Калі вы ўручную падключылі датчык да web партал шляхам абнаўлення config.local
канфігурацыя file з дапамогай службовага ключа, з дапамогай curlкаманда для пацверджання злучэння ад датчыка можа не вярнуць web назва партала.

  1. Увайдзіце ў бяспечную воблачную аналітыку.
  2. Выберыце «Налады» > «Датчыкі». Датчык з'явіцца ў спісе.

CISCO-Secure-Cloud-Analytics-Senso- (14)

Калі вы не бачыце датчык на старонцы «Датчыкі», увайдзіце ў сістэму датчыка, каб пацвердзіць падключэнне.

  1. SSH-падключэнне да датчыка ад імя адміністратара.
  2. У камандным радку ўвядзіце curl https://sensor.ext.obsrvbl.comandpressEnter. Датчык вяртае назву партала. Глядзіце прыклад на наступным малюнку.ampле.CISCO-Secure-Cloud-Analytics-Senso- (1)Ваш хост службы url можа адрознівацца ў залежнасці ад вашага месцазнаходжання. На партале Secure Cloud Analytics перайдзіце ў раздзел «Налады» > «Датчыкі» і пракруціце старонку ўніз, каб знайсці хост вашага сэрвісу. url.
  3. Выйсці з датчыка.

Налада датчыка для збору дадзеных аб патоку

  • Датчык па змаўчанні стварае запісы патоку з трафіку на сваіх інтэрфейсах Ethernet. Гэтая канфігурацыя па змаўчанні мяркуе, што датчык падключаны да SPAN або люстранога порта Ethernet. Калі іншыя прылады ў вашай сетцы могуць генераваць запісы патоку, вы можаце наладзіць датчык у web інтэрфейс партала для збору запісаў патокаў з гэтых крыніц і адпраўкі іх у воблака.
  • Калі сеткавыя прылады генеруюць розныя тыпы патокаў, рэкамендуецца наладзіць датчык для збору кожнага тыпу праз розны UDP-порт. Гэта таксама спрашчае пошук і ліквідацыю непаладак.
    прасцей. Па змаўчанні лакальны брандмаўэр датчыкаў (iptables) мае адкрытыя парты 2055/UDP, 4739/UDP і 9995/UDP. Калі вы хочаце выкарыстоўваць дадатковыя парты UDP, вы павінны наладзіць іх у
    у web партал.

Вы можаце наладзіць збор наступных тыпаў патокаў у web інтэрфейс партала:

  • NetFlow v5 – Порт 2055/UDP (адкрыты па змаўчанні)
  • NetFlow v9 – Порт 9995/UDP (адкрыты па змаўчанні)
  • IPFIX – Порт 4739/UDP (адкрыты па змаўчанні)
  •  sFlow – Порт 6343/UDP

Мы падалі парты па змаўчанні, але іх можна наладзіць на патрэбныя вам парты ў web інтэрфейс партала.

Пэўныя сеткавыя прылады павінны быць выбраны ў web інтэрфейс партала, перш чым яны будуць працаваць належным чынам:

  • Cisco Meraki - порт 9998/UDP
  • Cisco ASA – порт 9997/UDP
  • SonicWALL – Порт 9999/UDP

Версія прашыўкі Meraki 14.50 адпавядае фармату экспарту журналаў Meraki фармату NetFlow. Калі ваша прылада Meraki працуе з прашыўкай версіі 14.50 або больш позняй, наладзьце датчык з тыпам зонда NetFlow v9 і крыніцай Standard. Калі ваша прылада Meraki працуе з прашыўкай версіі старэйшай за 14.50, наладзьце датчык з тыпам зонда NetFlow v9 і крыніцай Meraki MX (версіі ніжэй за 14.50).

Налада датчыкаў для збору дадзеных аб патоку

  1. Увайдзіце ў Secure Cloud Analytics як адміністратар.
  2. Выберыце Налады > Датчыкі.
  3. Націсніце выпадальнае меню «Налады» для дададзенага вамі датчыка.
  4. Выберыце наладу NetFlow/IPFIX.
    Для гэтага параметра патрабуецца абноўленая версія датчыка. Калі вы не бачыце гэтага параметра, абярыце «Даведка (?)» > «Усталёўка датчыка на месцы», каб загрузіць бягучую версію ISO-файла датчыка.
  5. Націсніце «Дадаць новы зонд».
  6.  Выберыце тып патоку з выпадальнага меню «Тып зонда».
  7.  Увядзіце нумар порта.
    Калі вы хочаце перадаць Enhanced NetFlow на ваш датчык, пераканайцеся, што UDP-порт, які вы наладжваеце, не з'яўляецца тым, які таксама настроены для Flexible NetFlow або IPFIX у канфігурацыі вашага датчыка. НапрыкладampДля пашыранага NetFlow наладзьце порт 2055/UDP і порт 9995/UDP — для гнуткага NetFlow. Больш падрабязную інфармацыю глядзіце ў кіраўніцтве па канфігурацыі для пашыранага NetFlow.
  8. Выберыце пратакол з выпадальнага меню.
  9.  Выберыце крыніцу з выпадальнага меню.
  10.  Націсніце Захаваць.

Абнаўленні канфігурацыі датчыкаў могуць адлюстравацца на партале да 30 хвілін.

Ліквідацыю непаладак

Захоп пакетаў з датчыка
Часам службе падтрымкі Cisco можа спатрэбіцца праверыць дадзеныя патоку, якія атрымлівае датчык. Мы рэкамендуем зрабіць гэта, стварыўшы захоп пакетаў патокаў. Вы таксама можаце адкрыць захоп пакетаў у Wireshark, каб перагледзець...view дадзеныя.

  1.  SSH-падключэнне да датчыка ад імя адміністратара.
  2.  У камандным радку ўвядзіце sudo tcpdump -D і націсніце Enter, каб view спіс інтэрфейсаў. Запішыце назву інтэрфейсу кіравання вашага датчыка.
  3. У камандным радку ўвядзіце sudo tcpdump -i -n -c 100 “порт «-ў» , замяніць з назвай вашага інтэрфейсу кіравання, з нумарам порта, які адпавядае вашым настроеным дадзеным патоку, і з назвай для згенераванага pcap file, затым націсніце Enter. Сістэма генеруе pcap file з указаным імем для трафіку гэтага інтэрфейса праз указаны порт.
  4. Выйдзіце з датчыка.
  5. Выкарыстоўваючы праграму SFTP, такую ​​як PuTTY SFTP (PSFTP) або WinSCP, увайдзіце ў датчык.
  6. У камандным радку ўвядзіце get , замяніць з вашым згенераваным pcap file імя і націсніце Enter, каб перанесці file да вашай лакальнай працоўнай станцыі.

Аналіз захопу пакетаў у Wireshark

  1. Спампуйце і ўсталюйце Wireshark, а затым адкрыйце Wireshark.
  2. Выберыце File > Адкрыйце, а затым выберыце свой камп'ютарны капітал file.
  3. Выберыце «Аналізаваць» > «Дэкадаваць як».
  4. Націсніце +, каб дадаць новае правіла.
  5. Выберыце CFLOW з выпадальнага спісу «Бягучы», а затым націсніце «ОК». Інтэрфейс абнаўляецца, каб адлюстроўваць толькі пакеты, звязаныя з NetFlow, IPFIX або sFlow. Калі вынікаў няма, значыць, pcap не ўтрымлівае пакеты, звязаныя з NetFlow, і збор дадзеных патоку настроены няправільна на датчыку.

Дадатковыя рэсурсы

Каб атрымаць дадатковую інфармацыю пра бяспечную воблачную аналітыку, звярніцеся да наступных крыніц:

Зварот у службу падтрымкі
Калі вам патрэбна тэхнічная падтрымка, зрабіце адно з наступнага:

Гісторыя змяненняў

Версія дакумента Дата публікацыі Апісанне
1_0 красавік 27,2022 г Пачатковая версія
1_1 Жнівень 1,2022
  • Абнаўленне інфармацыі аб падтрымцы Cisco.
  •  Дададзена заўвага для публічных IP-адрасоў.
1_2 17 лютага 2023 г
  •  Дададзены раздзел канфігурацыі проксі-сервера.
  •  Абноўленыя налады датчыка Meraki.
1_3 Чэрвень 21,2023 г
  •  Выпраўлена памылка друку.
  • Абноўлена нумарацыя працэдур.
1_4 8 красавіка 2024 г
  •  Абноўлена ўступ у Сэнсарныя носьбіты Ўстаноўка і Канфігурацыя раздзел. Невялікія змены фарматавання.
1_5 30 кастрычніка 2024 г Абноўлены Патрабаванні да доступу да датчыкаў раздзел.
2_0 4 снежня 2024 г Абноўленая версія датчыка, усталяваны датчык раздзел, Пошук і даданне публічнага IP-адраса датчыка на партал раздзел, і Патрабаванні да датчыкаў раздзел.
2_1 21 красавіка 2025 г
  •  Дададзена заўвага пра варыянт загрузкі VMware Дадатковыя патрабаванні да віртуальнай машыны раздзел.
  • Абноўлены Уручную дадайце службовы ключ партала да Датчык раздзел, каб уключыць інфармацыю пра канфігурацыю OBSRVBL_HOST.
2_2 17 кастрычніка 2025 г Выдалена абмежаванне толькі на Паўночную Амерыку, якое прымушала датчык звязвацца толькі з вядомымі адрасамі Cisco.

Інфармацыя аб аўтарскім праве

  • Cisco і лагатып Cisco з'яўляюцца гандлёвымі маркамі або зарэгістраванымі гандлёвымі маркамі кампаніі Cisco і/або яе філіялаў у ЗША і іншых краінах. каб view спіс таварных знакаў Cisco, перайдзіце да гэтага URL: https://www.cisco.com/go/trademarks. Згаданыя гандлёвыя маркі трэціх асоб з'яўляюцца ўласнасцю іх адпаведных уладальнікаў. Выкарыстанне слова партнёр не азначае партнёрскія адносіны паміж Cisco і любой іншай кампаніяй. (1721R)
  • © 2025 Cisco Systems, Inc. і/або яе філіялы. Усе правы ахоўваюцца.

FAQ

Ці можа датчык збіраць трафік IPv6?

Не, датчык не падтрымлівае трафік IPv6.

Дакументы / Рэсурсы

Датчык бяспечнай воблачнай аналітыкі CISCO [pdfКіраўніцтва карыстальніка
Бяспечны датчык воблачнай аналітыкі, датчык воблачнай аналітыкі, аналітычны датчык, датчык

Спасылкі

Пакінуць каментар

Ваш электронны адрас не будзе апублікаваны. Абавязковыя для запаўнення палі пазначаны *