Sisällys piilottaa
1 CISCO Secure Cloud Analytics -anturi
2 Johdanto
3 Anturin käyttöönottoon liittyviä huomioitavia asioita
4 Anturin edellytykset
5 Fyysisen laitteen lisävaatimukset
6 Anturimateriaalien asennus ja konfigurointi
7 Anturin asennus
8 Mitä tehdä seuraavaksi
9 Antureiden kiinnittäminen Web Portaali
10 Antureiden konfigurointi virtausmittausta varten
11 Vianetsintä
12 Lisäresurssit
13 Muutoshistoria
14 UKK
15 Asiakirjat / Resurssit
15.1 Viitteet

CISCO-logo

CISCO Secure Cloud Analytics -anturi

CISCO-Secure-Cloud-Analytics-Senso-tuote

Johdanto

Cisco Secure Cloud Analytics (nyt osa Cisco XDR:ää) on SaaS-pohjainen tietoturvapalvelu, joka havaitsee ja reagoi IT-ympäristöjen uhkiin sekä paikallisesti että pilvessä. Tässä oppaassa kerrotaan, kuinka Secure Cloud Analytics -antureita otetaan käyttöön osana yksityisen verkon valvontapalvelua yritysverkoissa, yksityisissä datakeskuksissa, sivutoimistoissa ja muissa paikallisissa ympäristöissä.

  • Jos aiot käyttää Secure Cloud Analyticsia vain julkisissa pilviympäristöissä, kuten Amazonissa Web Palveluiden, Microsoft Azuren tai Google Cloud Platformin kanssa sinun ei tarvitse asentaa anturia. Lisätietoja on julkisten pilvipalveluiden valvontaoppaissa.
  • Tämä opas sisältää ohjeet anturin asentamiseen Ubuntu Linuxiin. Asennusohjeet muille käyttöjärjestelmille löytyvät Secure Cloud Analytics Sensorin lisäkonfiguraatio-oppaasta.

Anturin käyttöönottoon liittyviä huomioitavia asioita

  • Voit ottaa käyttöön antureita virtausdatan, kuten NetFlow'n, keräämiseen tai verkkosi reitittimestä tai kytkimestä peilatun verkkoliikenteen vastaanottamiseen. Voit myös määrittää anturin sekä keräämään virtausdataa että vastaanottamaan peilattua verkkoliikennettä. Käyttöönotettavien antureiden määrälle ei ole rajoitusta.
  • Jos haluat määrittää anturin keräämään virtaustietoja, katso lisätietoja kohdasta Anturin määrittäminen virtaustietojen keräämistä varten.
  • Jos haluat määrittää anturin vastaanottamaan liikennettä peilistä tai SPAN-portista, katso lisätietoja verkkolaitteiden määrittämisestä liikenteen peilaamiseen kohdasta Verkkolaitteen määritys.
  • Anturiversio 4.0 tai uudempi voi kerätä parannettua NetFlow-telemetriaa. Tämä mahdollistaa Secure Cloud Analyticsin luoda uudentyyppisiä havaintoja ja hälytyksiä. Lisätietoja on Secure Cloud Analyticsin parannetun NetFlow'n määritysoppaassa.
  • Anturi ei tue IPv6:tta.

Anturin edellytykset

Voit asentaa anturin fyysiseen laitteeseen tai virtuaalikoneeseen seuraavin vaatimuksin:

Komponentti Vähimmäisvaatimus
Verkkoliitäntä vähintään yksi verkkoliitäntä, joka on nimetty ohjausliitännäksi, tiedon välittämiseksi Secure Cloud Analytics -palveluun. Jos haluat halutessasi määrittää anturin vastaanottamaan verkkoliikennettä verkkolaitteesta, joka replikoi sen peiliportin kautta, tarvitset yhden tai useamman verkkoliitännän, jotka on nimetty peililiitännöiksi.
RAM 4 Gt
CPU vähintään kaksi ydintä
Säilytystilaa 60 Gt levytilaa käytetään NetFlow-tuotantodatan välimuistiin tallentamiseen ennen tietueiden lähettämistä Secure Cloud Analyticsiin.
Internet-yhteys vaaditaan asennusprosessia varten tarvittavien pakettien lataamiseen

Huomioi seuraavat asiat nimetyistä peilirajapinnoista:

  • Peilirajapinnat vastaanottavat kopion kaikesta saapuvasta ja lähtevästä lähdeliikenteestä kohteeseen. Varmista, että huippuliikenne on pienempi kuin anturin peilirajapinnan linkin kapasiteetti.
  • Monet kytkimet pudottavat paketteja lähderajapinnoista, jos peiliporttiin on määritetty liikaa liikennettä.

Fyysisen laitteen lisävaatimukset

Komponentti Vähimmäisvaatimus
Asennus File Lataa Yksi seuraavista vaihtoehdoista asennuksen .iso-tiedoston lataamiseksi file:
  • 1 USB-portti ja USB-muistitikku
  • 1 optinen levyasema ja yksi kirjoitettava optinen levy (kuten CD-R-levy)

Virtuaalikoneet voivat käynnistyä suoraan .iso-tiedostosta file ilman lisävaatimuksia.

Virtuaalikoneen lisävaatimukset
Jos anturisi otetaan käyttöön virtuaalikoneena, varmista, että virtuaalikone ja verkko on määritetty satunnaiseen tilaan toisessa verkkoliitännässä, jos aiot vastaanottaa liikennettä peilistä tai SPAN-portista.

  • Kun anturi otetaan käyttöön VMWare 8 -ympäristössä, anturi ei lataudu käytettäessä UEFI-käynnistyksen oletusasetuksia. Voit korjata tämän ongelman valitsemalla Mukauta laitteistoa -vaiheessa VM-asetukset > Käynnistysasetukset ja valitsemalla sitten BIOS Laiteohjelmisto-pudotusvalikosta.

VMware-hypervisor
Jos käytät virtuaalikonetta VMware-hypervisorissa, määritä virtuaalikytkin satunnaiseen tilaan:

  1. Valitse isäntä inventaariosta.
  2. Valitse Asetukset -välilehti.
  3. Valitse Verkkoyhteydet.
  4. Valitse virtuaalikytkimesi Ominaisuudet.
  5. Valitse virtuaalikytkin ja napsauta Muokkaa.
  6. Valitse Suojaus-välilehti.
  7. Valitse Hyväksy Siveetön tila -pudotusvalikosta.

Lisätietoja siveettömästä tilasta on VMwaren tietämyskannassa. Sinun on ehkä asetettava VLAN-tunnukseksi 4095.

VirtualBox
Jos käytät virtuaalikonetta VirtualBoxissa, määritä sovitin satunnaiseen tilaan:

  1.  Valitse peililiitännän sovitin verkkoasetuksista.
  2.  Aseta siveetön tila -asetukseksi Salli lisäasetuksissa.

Lisätietoja virtuaaliverkoista on VirtualBoxin dokumentaatiossa.

Anturin käyttöönottoehdotuksia
Koska verkkojen topologiat voivat vaihdella suuresti, pidä seuraavat yleiset ohjeet mielessä antureita käyttöönottaessasi:

  1.  Määritä, haluatko ottaa käyttöön antureita seuraaviin tarkoituksiin:
    • kerätä virtaustietoja
    • peilatun verkkoliikenteen vastaanottaminen
    • jotkut keräävät virtaustietoja ja toiset vastaanottavat peilattua verkkoliikennettä
    • sekä keräävät virtausdataa että vastaanottavat peilattua verkkoliikennettä
  2.  Jos keräät virtausdataa, selvitä, missä muodoissa verkkolaitteesi voivat viedä tietoja, kuten NetFlow v5, NetFlow v9, IPFIX tai sFlow.
    Monet palomuurit tukevat NetFlow'ta, mukaan lukien Cisco ASA -palomuurit ja Cisco Meraki MX -laitteet. Tarkista valmistajan tukidokumentaatiosta, tukeeko palomuurisi myös NetFlow'ta.
  3. Varmista, että anturin verkkoportti tukee peiliporttien kapasiteettia.
    Ota yhteyttä Ciscon tukeen, jos tarvitset apua useiden antureiden käyttöönotossa verkossasi.

Anturin version tarkistaminen
Varmistaaksesi, että verkossasi on käytössä uusin anturi (versio 5.1.3), voit tarkistaa olemassa olevan anturin version komentoriviltä. Jos sinun on päivitettävä, asenna anturi uudelleen.

  1.  SSH käyttöönotettuun anturiin.
  2. Kirjoita kehotteeseen cat /opt/obsrvbl-ona/version ja paina Enter-näppäintä. Jos konsolissa ei näy versiota 5.1.3, anturisi on vanhentunut. Lataa uusin anturin ISO-tiedosto osoitteesta web portaalin käyttöliittymä.

Anturin käyttöoikeusvaatimukset
Fyysisen laitteen tai virtuaalikoneen on oltava käytettävissä tiettyihin palveluihin internetin kautta. Määritä palomuurisi sallimaan seuraava liikenne anturin ja ulkoisen internetin välillä:

Liikennetyyppi Pakollinen IP-osoite, toimialue ja portti tai kokoonpano
Lähtevä HTTPS-liikenne osoitteesta kyllä
  • portti 443 ja IP-osoite on
Anturin ohjausliitäntä Amazonissa isännöityyn Secure Cloud Analytics -palveluun Web Palvelut portaalisi IP-osoite
  • AWS S3 IP-osoitteet Secure Cloud Analytics -alueellesi. Koska AWS IP-osoitteet voivat muuttua, katso AWS:n
  • IP-osoitealueiden ohjeaihe ja S3-palvelun ja AWS-alueesi hakeminen annetusta JSON-tiedostosta fileLöydät AWS-alueesi siirtymällä Secure Cloud Analytics -hallintapaneeliin ja vierittämällä sivun alaosaan. Alatunnisteen kentässä näkyy portaalisi alueen nimi, joka vastaa seuraavia AWS-alueita:
    • Pohjois-Amerikka (Pohjois-Virginia): us-east-1
    • Eurooppa (Frankfurt): eu-central-1
    • Australia (Sydney): ap-kaakkoset-2
1. Kirjaudu sensoriin SSH:n kautta järjestelmänvalvojana.
2. Kirjoita komentokehotteeseen seuraava komento:
Pakota anturi kommunikoimaan vain tunnettujen Cisco-osoitteiden kanssa ei sudo nano opt/obsrvbl-ona/config.local ja paina Enter muokataksesi kokoonpanoa file 3. Päivitä OBSRVBL_SENSOR_EXT_ONLY-asetus seuraavaksi: OBSRVBL_SENSOR_EXT_ONLY=true.
4. Tallenna muutokset painamalla Ctrl + 0.

5. Poistu painamalla Ctrl + x. 6. Käynnistä anturi uudelleen kirjoittamalla komentokehotteeseen sudo service obsrvbl-ona restart.
Lähtevä liikenne anturin ohjausliittymästä Ubuntu Linux -palvelimelle Linux-käyttöjärjestelmän ja siihen liittyvien päivitysten lataamista varten kyllä
Lähtevä liikenne anturin ohjausrajapinnasta DNS-palvelimelle isäntänimen selvittämistä varten kyllä
  •  [paikallinen DNS-palvelin]:53/UDP
Saapuva liikenne etävianmäärityslaitteesta anturiisi ei
  • 54.83.42.41:22/TCP

Jos käytät välityspalvelinta, luo välityspalvelinpoikkeus anturin ohjausrajapinnan IP-osoitteille.

Verkkolaitteen konfigurointi
Voit määrittää verkkokytkimen tai reitittimen peilaamaan kopion liikenteestä ja välittämään sen sitten anturille.

  • Koska anturi sijaitsee normaalin liikennevirran ulkopuolella, se ei voi vaikuttaa suoraan liikenteeseesi. Tekemäsi määritysmuutokset web Portaalin käyttöliittymä vaikuttaa hälytysten luomiseen, ei liikenteen virtaukseen. Jos haluat sallia tai estää liikenteen hälytysten perusteella, päivitä palomuurisi asetukset.
  • Katso seuraavasta tietoja verkkokytkimien valmistajista ja resursseista peilatun liikenteen määrittämiseen:
Valmistaja Laitteen nimi Dokumentaatio
NetOptics verkkonapautus Katso dokumentaatio ja muut tiedot Ixian resurssisivulta.
Gigamon verkkonapautus Katso dokumentaatiota ja muita tietoja Gigamonin resursseista ja tietosivuilta.

Analysaattori (SPAN)
Kataja sataman peili Katso esimerkki Juniperin TechLibrary-dokumentaatiostaampTyöntekijöiden resurssien käytön paikallisen valvonnan porttien peilauksen määrittäminen EX-sarjan kytkimissä
NETGEAR sataman peili Katso esimerkkiä Netgearin tietämyskannan dokumentaatiosta.ampPorttien peilauksen esimerkki ja miten se toimii hallitun kytkimen kanssa
ZyXEL sataman peili Katso ZyXELin tietämyskannan dokumentaatiosta lisätietoja peilauksen käytöstä ZyXEL-kytkimissä.
muu monitoriportti, analysaattoriportti, napautusportti Katso Wiresharkin wiki-dokumentaatiosta useiden valmistajien kytkimien viitetiedot.

Voit myös ottaa käyttöön verkkotestauslaitteen (liityntälaitteen), joka välittää kopion liikenteestä anturille. Katso seuraavasta tietoa verkkoliitäntöjen valmistajista ja resursseista verkkoliitäntöjen määrittämiseen.

Valmistaja Laitteen nimi Dokumentaatio
NetOptics verkkonapautus Katso dokumentaatio ja muut tiedot Ixian resurssisivulta.
Gigamon verkkonapautus Katso dokumentaatiota ja muita tietoja Gigamonin resursseista ja tietosivuilta.

Flow Configuration
Sinun on määritettävä verkkolaitteesi välittämään NetFlow-dataa. Katso https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco Lisätietoja NetFlow'n määrittämisestä Ciscon verkkolaitteissa on tiedostossa NetFlow_Configuration.pdf.

Anturimateriaalien asennus ja konfigurointi

Ennen kuin aloitat asennuksen, review ohjeet prosessin ymmärtämiseksi sekä asennukseen ja konfigurointiin tarvittavat valmistelut, ajan ja resurssit.
Tähän asennukseen on kaksi vaihtoehtoa:

  • Anturin asentaminen virtuaalikoneeseen: Jos asennat anturin virtuaalikoneeseen, voit käynnistää sen .iso-tiedostosta file suoraan.
  •  Anturin asentaminen fyysiseen laitteeseen: Jos asennat anturin fyysiseen laitteeseen, luot käynnistysmedian .iso-tiedostolla file, käynnistä sitten laite uudelleen ja käynnistä se kyseiseltä medialta.

Asennusprosessi tyhjentää levyn, jolle anturi asennetaan, ennen anturin asentamista. Ennen asennuksen aloittamista varmista, että fyysinen laite tai virtuaalikone, johon aiot asentaa anturin, ei sisällä tietoja, jotka haluat tallentaa.

Käynnistysmedian luominen

  • Jos otat anturin käyttöön fyysisessä laitteessa, otat käyttöön .iso-tiedoston. file joka asentaa anturin Ubuntu Linux -pohjalta.
  • Jos kirjoitat .iso-tiedoston file optiselle levylle, kuten CD- tai DVD-levylle, voit käynnistää fyysisen laitteen uudelleen optisen levyn ollessa optisessa levyasemassa ja valita käynnistyksen optiselta levyltä.
  • Jos luot USB-muistitikun .iso-tiedostolla file ja Rufus-apuohjelman avulla voit käynnistää fyysisen laitteen uudelleen, asettaa USB-muistitikun USB-porttiin ja valita käynnistyksen USB-muistitikulta.
  • Jos otat anturin käyttöön ilman ISO-tiedostoa, sinun on ehkä päivitettävä paikallisen laitteen palomuuriasetukset liikenteen sallimiseksi. Suosittelemme, että otat anturin käyttöön toimitetun ISO-tiedoston avulla.
  • Käynnistettävän USB-muistitikun luominen poistaa kaikki muistitikulla olevat tiedot. Varmista, että muistitikulla ei ole muita tietoja.

Lataa anturin ISO-tiedosto file
Lataa anturin ISO-tiedoston uusin versio osoitteesta web portaali. Käytä tätä joko asennukseen (uuden anturin asentaminen) tai uudelleenasennukseen (olemassa olevan anturin päivittäminen).

  1.  Kirjaudu sisään Secure Cloud Analyticsiin järjestelmänvalvojana.
  2.  Valitse Ohje (?) > Paikallisen anturin asennus.
  3.  Lataa uusin ISO-versio napsauttamalla .iso-painiketta.
  4. Siirry kohtaan Käynnistettävän optisen levyn luominen tai Käynnistettävän USB-muistitikun luominen.

Luo käynnistettävä optinen levy
Kopioi .iso-tiedosto valmistajan ohjeiden mukaisesti. file optiselle levylle.

Luo käynnistettävä USB-muistitikku

  1. Aseta tyhjä USB-muistitikku sen laitteen USB-porttiin, jota haluat käyttää käynnistettävän USB-muistitikun luomiseen.
  2.  Kirjaudu sisään työasemalle.
  3. Sinun web selaimessa, siirry Rufus-apuohjelmaan websivusto.
  4.  Lataa Rufus-apuohjelman uusin versio.
  5. Avaa Rufus-apuohjelma.
  6.  Valitse USB-muistitikku Laite-pudotusvalikosta.
  7. Valitse Käynnistys-valikon avattavasta valikosta Levy tai ISO-kuva.
  8. Napsauta VALITSE ja valitse anturin ISO-arvo file.
  9. Napsauta ALOITA.

Käynnistettävän USB-muistitikun luominen poistaa kaikki muistitikulla olevat tiedot. Varmista, että muistitikulla ei ole muita tietoja.

Anturin asennus

  1.  Valitse .iso-tiedoston käynnistystapa seuraavasti:
    • Virtuaalikone: Jos asennat virtuaalikoneeseen, käynnistä .iso-tiedostosta file.
    • Fyysinen laite: Jos asennat fyysiseen laitteeseen, aseta käynnistysmedia asemaan, käynnistä laite uudelleen ja käynnistä käynnistysmedialta.
  2. Valitse ensimmäisessä kehotteessa Asenna ONA (staattinen IP) ja paina sitten Enter-näppäintä.
  3. CISCO-Secure-Cloud-Analytics-Senso- (2)Valitse kieli kieliluettelosta nuolinäppäimillä ja paina sitten Enter-näppäintä. CISCO-Secure-Cloud-Analytics-Senso- (3)
  4. Näppäimistöasetuksissa on seuraavat vaihtoehdot:
    • Valitse asettelu ja muunnos näppäimistön määrittämiseksi ja paina sitten Enter-näppäintä.
    • Valitse Tunnista näppäimistö ja paina sitten Enter-näppäintä. CISCO-Secure-Cloud-Analytics-Senso- (4)
  5. Valitse verkon kokoonpanoa varten Manuaalinen ja paina Enter-näppäintä. CISCO-Secure-Cloud-Analytics-Senso- (5)Kaikki muut verkkoliitännät konfiguroidaan automaattisesti peililiitäntöinä.
  6.  Anna laitteen aliverkko, valitse nuolinäppäimillä Jatka ja paina Enter-näppäintä.
  7.  Anna laitteen IP-osoite, valitse nuolinäppäimillä Jatka ja paina Enter-näppäintä.
  8. Anna yhdyskäytävän reitittimen IP-osoite, valitse nuolinäppäimillä Jatka ja paina Enter-näppäintä.
  9.  (Valinnainen) Kirjoita Hae verkkotunnuksia -kohtaan verkkotunnus(et), joka(t) liitetään automaattisesti isäntänimeen, kun IP-osoitetta yritetään selvittää, valitse Jatka nuolinäppäimillä ja paina Enter-näppäintä.
    Oletusarvoisesti asennus käyttää automaattisesti DHCP:tä ja jatkuu. Jos haluat ohittaa DHCP:n IP-osoitteen, sinun on muokattava käyttöliittymää manuaalisesti asennuksen valmistuttua.
    Suosittelemme, että annat paikallisen auktoritatiivisen nimipalvelimen osoitteen, jos verkossasi on sellainen käytössä. CISCO-Secure-Cloud-Analytics-Senso- (6)
  10. . Anna uuden käyttäjän koko nimi, joka on liitetty ei-root-tiliin järjestelmänvalvojan oikeuksilla, valitse sitten Jatka nuolinäppäimillä ja paina Enter-näppäintä.
  11.  Anna palvelimesi nimi, jota anturi käyttää kommunikoidessaan muiden tietokoneiden kanssa ja joka näkyy Secure Cloud Analytics -portaalissa. Valitse sitten Jatka nuolinäppäimillä ja paina Enter-näppäintä.
  12.  Anna tilisi käyttäjätunnus, joka on ei-root-tili, jolla on järjestelmänvalvojan oikeudet, ja valitse sitten Jatka nuolinäppäimillä ja paina Enter-näppäintä.
  13.  Valitse uudelle käyttäjälle salasana, valitse sitten Jatka nuolinäppäimillä ja paina Enter-näppäintä.
  14. Vahvista salasana uudelleen kirjoittamalla se, valitse sitten Jatka nuolinäppäimillä ja paina Enter-näppäintä. Jos et kirjoittanut samaa salasanaa kahdesti, yritä uudelleen.
    Asennuksen aikana luomasi tili on ainoa tili, jota voit käyttää virtuaalikoneeseen. Tämä asennus ei luo erillistä Secure Cloud Analytics -portaalitiliä. CISCO-Secure-Cloud-Analytics-Senso- (7)
  15. Vahvista asennusprosessi valitsemalla Jatka ja painamalla sitten Enter-näppäintä.
    Tämä toiminto poistaa kaikki tiedot asemalta. Varmista, että se on tyhjä ennen jatkamista.CISCO-Secure-Cloud-Analytics-Senso- (8)Odota muutama minuutti, että asennusohjelma asentaa tarvittavat files.
  16. Kun asennusohjelma näyttää Asennus valmis, valitse nuolinäppäimillä Käynnistä uudelleen nyt ja käynnistä laite uudelleen painamalla Enter-näppäintä.CISCO-Secure-Cloud-Analytics-Senso- (9)
  17. Kun laite on käynnistynyt uudelleen, kirjaudu sisään luodulla tilillä varmistaaksesi, että tunnistetietosi ovat oikein.

Mitä tehdä seuraavaksi

  • Jos rajoitat pääsyä yksityisiin ympäristöihisi, varmista, että tiedonsiirto asiaankuuluvien IP-osoitteiden kanssa on sallittu. Lisätietoja on kohdassa Anturin käyttöoikeusvaatimukset.
  • Jos käytät anturia verkkoliikenteen keräämiseen, kuten NetFlow'ta, katso lisätietoja anturin määrittämisestä kohdasta Anturin määrittäminen virtaustietojen keräämistä varten.
  •  Jos käytät anturia ja liität sen SPAN- tai peiliportteihin peilatun liikenteen keräämiseksi, katso kohta Antureiden liittäminen Web Portaali, josta saat lisätietoja antureiden lisäämisestä Secure Cloud Analyticsiin web portaali.
  •  Jos määrität anturin välittämään Enhanced NetFlow -telemetriaa, katso lisätietoja Cisco Secure Cloud Analyticsin Enhanced NetFlow -määritysoppaasta.

Antureiden kiinnittäminen Web Portaali

  • Kun anturi on asennettu, se on linkitettävä portaaliisi. Tämä tehdään tunnistamalla anturin julkinen IP-osoite ja syöttämällä se portaaliin. web portaali. Jos et pysty määrittämään anturin julkista IP-osoitetta, voit linkittää anturin manuaalisesti portaaliisi käyttämällä sen yksilöllistä palveluavainta.

Anturi voi muodostaa yhteyden seuraaviin portaaleihin:

Jos useita antureita on asennettutagkeskeisessä paikassa, kuten MSSP:ssä, ja ne on tarkoitettu eri asiakkaille, julkinen IP-osoite tulisi poistaa jokaisen uuden asiakkaan määrittämisen jälkeen. Jos laitteen julkinen IP-osoitetagJos useissa antureissa on käytössä sama ympäristö, anturi voi olla kiinnitetty väärin väärään portaaliin.
Jos käytät välityspalvelinta, ota käyttöön anturin ja Secure Cloud Analyticsin välinen tiedonsiirto noudattamalla Välityspalvelimen määrittäminen -osion ohjeita. web portaali.

Anturin julkisen IP-osoitteen etsiminen ja lisääminen portaaliin

  1. SSH-yhteys anturiin järjestelmänvalvojana.
  2. Kirjoita komentokehotteeseen curl https://sensor.ext.obsrvbl.comandpressEnterTuntemattoman identiteetin virhearvo tarkoittaa, että anturi ei ole yhteydessä portaaliin. Katso esimerkki seuraavasta kuvasta.ample.CISCO-Secure-Cloud-Analytics-Senso- (10)Palveluntarjoajasi URL voi vaihdella sijainnistasi riippuen. Siirry Secure Cloud Analytics -portaalissa kohtaan Asetukset > Anturit ja vieritä sivun alaosaan löytääksesi palveluntarjoajasi. url.
  3.  Kopioi identiteetin IP-osoite.
  4.  Kirjaudu ulos anturista.
  5.  Kirjaudu sisään Secure Cloud Analyticsiin sivuston järjestelmänvalvojana.
  6.  Valitse Asetukset > Anturit > Julkinen IP-osoite.
  7. Valitse Lisää uusi IP-osoite.
  8. Syötä identiteetin IP-osoite Uusi osoite -kenttään. 9. Napsauta Luo. Kun portaali ja anturi ovat vaihtaneet avaimet, ne muodostavat tulevaisuuden
  9. CISCO-Secure-Cloud-Analytics-Senso- (11) Napsauta Luo. Kun portaali ja anturi ovat vaihtaneet avaimet, ne muodostavat tulevat yhteydet käyttämällä avaimia, eivät julkista IP-osoitetta.
    Uuden anturin näkyminen portaalissa voi kestää jopa 20 minuuttia.

Portaalin palveluavaimen lisääminen manuaalisesti anturiin
Jos et voi lisätä anturin julkista IP-osoitetta web portaali tai olet
Useita hallinnoivia MSSP-palveluita web portaalit, muokkaa anturin config.local-kokoonpanoa file lisätäksesi portaalin palveluavaimen manuaalisesti anturin liittämiseksi portaaliin.
Tämä avaimenvaihto tapahtuu automaattisesti, kun käytetään edellisessä osiossa mainittua julkista IP-osoitetta.

  1. Kirjaudu sisään Secure Cloud Analyticsiin järjestelmänvalvojana.
  2.  Valitse Asetukset > Anturit.
  3.  Siirry anturiluettelon loppuun ja kopioi huoltoavain. Katso esimerkki seuraavasta kuvasta.ample.
    Palvelun avain: (näytä) Palvelun isäntä:CISCO-Secure-Cloud-Analytics-Senso- (12)
  4. SSH-yhteys anturiin järjestelmänvalvojana.
  5. Kirjoita komentokehotteeseen seuraava komento: sudo nano /opt/obsrvbl-ona/config.local ja paina Enter-näppäintä muokataksesi asetuksia. file.
  6. Lisää seuraavat rivit ja korvaa ne portaalin palveluavaimella jaurl>alueellisen palvelusi isäntäyrityksen kanssa url: # Palveluavain
    OBSRVBL_SERVICE_KEY=” ”OBSRVBL_HOST=”url>”
    Siirry Secure Cloud Analytics -portaalissa kohtaan Asetukset > Anturit ja vieritä sivun alaosaan löytääksesi palveluntarjoajasi. url.
    Katso esimerkki seuraavasta kuvastaampseuraavat:
  7. CISCO-Secure-Cloud-Analytics-Senso- (13)Tallenna muutokset painamalla Ctrl + 0.
  8.  Poistu painamalla Ctrl + x.
  9.  Käynnistä Secure Cloud Analytics -palvelu uudelleen kirjoittamalla komentokehotteeseen sudo service obsrvbl-ona restart.

Uuden anturin näkyminen portaalissa voi kestää jopa 20 minuuttia.

Välityspalvelimen määrittäminen
Jos käytät välityspalvelinta, ota käyttöön seuraavat vaiheet anturin ja laitteen välisen tiedonsiirron mahdollistamiseksi. web portaali.

  1.  SSH-yhteys anturiin järjestelmänvalvojana.
  2.  Kirjoita komentokehotteeseen seuraava komento: sudo nano /opt/obsrvbl-ona/config.local ja paina Enter-näppäintä muokataksesi asetuksia. file.
  3.  Lisää seuraava rivi korvaamalla proxy.name.com välityspalvelimesi isäntänimellä tai IP-osoitteella ja Port-kohdan välityspalvelimesi porttinumerolla: HTTPS_PROXY="välityspalvelimen.nimi.com:Portti.”
  4. Tallenna muutokset painamalla Ctrl + 0.
  5.  Poistu painamalla Ctrl + x.
  6. Käynnistä Secure Cloud Analytics -palvelu uudelleen kirjoittamalla komentokehotteeseen sudo service obsrvbl-ona restart.

Uuden anturin näkyminen portaalissa voi kestää jopa 20 minuuttia.

Anturin portaaliyhteyden vahvistaminen
Kun anturi on lisätty portaaliin, vahvista yhteys Secure Cloud Analyticsissa.

Jos linkitit anturin manuaalisesti web portaali päivittämällä config.local-tiedoston
kokoonpano file käyttämällä palveluavainta, käyttämällä c:täurlanturilta tuleva yhteyden vahvistuskomento ei välttämättä palauta web portaalin nimi.

  1. Kirjaudu sisään Secure Cloud Analyticsiin.
  2. Valitse Asetukset > Anturit. Anturi näkyy luettelossa.

CISCO-Secure-Cloud-Analytics-Senso- (14)

Jos et näe anturia Anturit-sivulla, kirjaudu anturiin vahvistaaksesi yhteyden.

  1. SSH-yhteys anturiin järjestelmänvalvojana.
  2. Kirjoita komentokehotteeseen curl https://sensor.ext.obsrvbl.comandpressEnter. Anturi palauttaa portaalin nimen. Katso esimerkki seuraavasta kuvasta.ample.CISCO-Secure-Cloud-Analytics-Senso- (1)Palveluntarjoajasi url voi vaihdella sijainnistasi riippuen. Siirry Secure Cloud Analytics -portaalissa kohtaan Asetukset > Anturit ja vieritä sivun alaosaan löytääksesi palveluntarjoajasi. url.
  3. Kirjaudu ulos anturista.

Anturin konfigurointi virtaustietojen keräämistä varten

  • Anturi luo oletusarvoisesti virtaustietoja Ethernet-liitäntöjensä liikenteestä. Tämä oletusmääritys olettaa, että anturi on kytketty SPAN- tai peili-Ethernet-porttiin. Jos muut verkossasi olevat laitteet voivat luoda virtaustietoja, voit määrittää anturin kohdassa web portaalin käyttöliittymän työnkulkutietueiden keräämiseksi näistä lähteistä ja niiden lähettämiseksi pilveen.
  • Jos verkkolaitteet tuottavat erityyppisiä tietovirtoja, on suositeltavaa määrittää anturi keräämään kutakin tyyppiä eri UDP-portin kautta. Tämä myös helpottaa vianmääritystä.
    helpompaa. Oletusarvoisesti paikallisessa anturipalomuurissa (iptables) on auki portit 2055/UDP, 4739/UDP ja 9995/UDP. Jos haluat käyttää lisää UDP-portteja, sinun on määritettävä ne kohdassa
    the web portaali.

Voit määrittää seuraavien virtaustyyppien kokoelman kohdassa web portaalin käyttöliittymä:

  • NetFlow v5 – Portti 2055/UDP (oletusarvoisesti auki)
  • NetFlow v9 – Portti 9995/UDP (oletusarvoisesti auki)
  • IPFIX – Portti 4739/UDP (oletusarvoisesti auki)
  •  sFlow – Portti 6343/UDP

Olemme antaneet oletusportit, mutta ne voidaan määrittää haluamiksi porteiksi kohdassa web portaalin käyttöliittymä.

Tietyt verkkolaitteet on valittava kohdassa web portaalin käyttöliittymä ennen kuin ne toimivat oikein:

  • Cisco Meraki – Portti 9998/UDP
  • Cisco ASA – Portti 9997/UDP
  • SonicWALL – Portti 9999/UDP

Meraki-laiteohjelmistoversio 14.50 yhdenmukaistaa Meraki-lokien vientimuodon NetFlow-muodon kanssa. Jos Meraki-laitteesi laiteohjelmistoversio on 14.50 tai uudempi, määritä anturillesi NetFlow v9 -anturityyppi ja Standard-lähde. Jos Meraki-laitteesi laiteohjelmistoversio on vanhempi kuin 14.50, määritä anturillesi NetFlow v9 -anturityyppi ja Meraki MX (versiota 14.50 vanhemmat) -lähde.

Antureiden konfigurointi virtausmittausta varten

  1. Kirjaudu sisään Secure Cloud Analyticsiin järjestelmänvalvojana.
  2. Valitse Asetukset > Anturit.
  3. Napsauta lisäämäsi anturin Asetukset-pudotusvalikkoa.
  4. Valitse Määritä NetFlow/IPFIX.
    Tämä vaihtoehto vaatii ajantasaisen anturiversion. Jos et näe tätä vaihtoehtoa, valitse Ohje (?) > Anturin asennus paikallisesti ladataksesi anturin ISO-tiedoston ajantasaisen version.
  5. Napsauta Lisää uusi koetin.
  6.  Valitse virtaustyyppi Anturin tyyppi -pudotusvalikosta.
  7.  Anna portin numero.
    Jos haluat välittää Enhanced NetFlow'n anturillesi, varmista, että määrittämäsi UDP-portti ei ole anturikokoonpanossa määritetty myös Flexible NetFlow'lle tai IPFIX:lle. EsimerkiksiampMääritä esimerkiksi portti 2055/UDP Enhanced NetFlow'lle ja portti 9995/UDP Flexible NetFlow'lle. Lisätietoja on Enhanced NetFlow'n määritysoppaassa.
  8. Valitse protokolla pudotusvalikosta.
  9.  Valitse Lähde avattavasta valikosta.
  10.  Napsauta Tallenna.

Anturin määrityspäivitysten näkyminen portaalissa voi kestää jopa 30 minuuttia.

Vianetsintä

Kaappaa paketteja anturilta
Cisco-tuki saattaa toisinaan joutua tarkistamaan anturin vastaanottaman virtausdatan. Suosittelemme, että teet tämän luomalla virroista pakettien kaappauksen. Voit myös avata pakettien kaappauksen Wiresharkissa tarkistaaksesi sen uudelleen.view tiedot.

  1.  SSH-yhteys anturiin järjestelmänvalvojana.
  2.  Kirjoita kehotteeseen sudo tcpdump -D ja paina Enter-näppäintä. view rajapintojen luettelo. Kirjoita muistiin anturisi ohjausrajapinnan nimi.
  3. Kirjoita kehotteeseen sudo tcpdump -i -n -c 100 “portti ” -w , korvaa ohjausliittymäsi nimellä, porttinumerolla, joka vastaa määritettyjä virtaustietojasi, ja ja luodun pcap-tiedoston nimi fileja paina sitten Enter-näppäintä. Järjestelmä luo pcap-tiedoston file kyseisen rajapinnan liikenteelle määritetyllä nimellä määritetyn portin kautta.
  4. Kirjaudu ulos anturistasi.
  5. Kirjaudu anturiin SFTP-ohjelmalla, kuten PuTTY SFTP (PSFTP) tai WinSCP:llä.
  6. Kirjoita kehotteeseen get , korvaa luomasi PCAP:n kanssa file nimi ja paina Enter siirtääksesi file paikalliselle työasemallesi.

Analysoi pakettien sieppausta Wiresharkissa

  1. Lataa ja asenna Wireshark ja avaa sitten Wireshark.
  2. Valitse File > Avaa ja valitse sitten tietokoneesi file.
  3. Valitse Analysoi > Dekoodaa muodossa.
  4. Lisää uusi sääntö napsauttamalla +.
  5. Valitse Nykyinen-pudotusvalikosta CFLOW ja napsauta sitten OK. Käyttöliittymä päivittyy näyttämään vain NetFlow'hun, IPFIX:iin tai sFlow'hun liittyvät paketit. Jos tuloksia ei näy, pcap ei sisällä NetFlow'hun liittyviä paketteja ja virtaustietojen kerääminen on määritetty anturissa väärin.

Lisäresurssit

Lisätietoja Secure Cloud Analyticsista on seuraavassa:

Yhteyden ottaminen tukeen
Jos tarvitset teknistä tukea, tee jokin seuraavista:

Muutoshistoria

Asiakirjan versio Julkaisupäivämäärä Kuvaus
1_0 Huhtikuu 27,2022 Alkuperäinen versio
1_1 Elokuu 1,2022
  • Ciscon tukitietojen päivittäminen.
  •  Lisätty huomautus julkisista IP-osoitteista.
1_2 17. helmikuuta 2023
  •  Lisätty välityspalvelimen määritysosio.
  •  Päivitetyt Meraki-anturin asetukset.
1_3 Kesäkuu 21,2023
  •  Korjattu kirjoitusvirhe.
  • Toimenpiteiden numerointia päivitetty.
1_4 8. huhtikuuta 2024
  •  Päivitetty johdanto kohdassa Anturimateriaali Asennus ja Kokoonpano osio. Pieniä muotoilumuutoksia.
1_5 30. lokakuuta 2024 Päivitetty Anturin käyttöoikeusvaatimukset osio.
2_0 4. joulukuuta 2024 Päivitetty anturin versio, asensi anturin jakso, Anturin julkisen IP-osoitteen etsiminen ja lisääminen portaaliin osio ja Anturin edellytykset osio.
2_1 21. huhtikuuta 2025
  •  Lisätty VMware-käynnistysasetusten huomautus Virtuaalikoneen lisävaatimukset osio.
  • Päivitetty Lisää portaalin palveluavain manuaalisesti Anturi osio, joka sisältää OBSRVBL_HOST-määritystiedot.
2_2 17. lokakuuta 2025 Poistettu Pohjois-Amerikkaan liittyvä rajoitus, joka pakotti anturin kommunikoimaan vain tunnettujen Cisco-osoitteiden kanssa.

Tekijänoikeustiedot

  • Cisco ja Cisco-logo ovat Ciscon ja/tai sen tytäryhtiöiden tavaramerkkejä tai rekisteröityjä tavaramerkkejä Yhdysvalloissa ja muissa maissa. Vastaanottaja view luettelo Ciscon tavaramerkeistä, siirry tähän URL: https://www.cisco.com/go/trademarks. Mainitut kolmannen osapuolen tavaramerkit ovat omistajiensa omaisuutta. Sanan kumppani käyttö ei tarkoita kumppanuussuhdetta Ciscon ja minkään muun yrityksen välillä. (1721R)
  • © 2025 Cisco Systems, Inc. ja/tai sen tytäryhtiöt. Kaikki oikeudet pidätetään.

UKK

Voiko anturi kerätä IPv6-liikennettä?

Ei, anturi ei tue IPv6-liikennettä.

Asiakirjat / Resurssit

CISCO Secure Cloud Analytics -anturi [pdfKäyttöopas
Suojattu pilvianalytiikka-anturi, pilvianalytiikka-anturi, analytiikka-anturi, anturi

Viitteet

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *