Съдържание скрий се
1 Сензор за защитен облачен анализ на CISCO
2 Въведение
3 Съображения за разполагане на сензори
4 Предварителни изисквания за сензори
5 Допълнителни изисквания за физическо устройство
6 Инсталиране и конфигуриране на сензорни медии
7 Инсталиране на сензора
8 Какво да направите след това
9 Прикрепване на сензори към Web Портал
10 Конфигуриране на сензори за събиране на данни за потока
11 Отстраняване на неизправности
12 Допълнителни ресурси
13 История на промените
14 Често задавани въпроси
15 Документи / Ресурси
15.1 Референции

CISCO-лого

Сензор за защитен облачен анализ на CISCO

CISCO-Secure-Cloud-Analytics-Senso-product

Въведение

Cisco Secure Cloud Analytics (сега част от Cisco XDR) е SaaS-базирана услуга за сигурност, която открива и реагира на заплахи в ИТ среди, както локални, така и облачни. Това ръководство обяснява как да внедрите сензори на Secure Cloud Analytics като част от вашата услуга за мониторинг на частна мрежа, за използване в корпоративни мрежи, частни центрове за данни, клонове и други локални среди.

  • Ако планирате да използвате Secure Cloud Analytics само в публични облачни среди, като например Amazon Web Услуги, Microsoft Azure или Google Cloud Platform, не е необходимо да инсталирате сензор. Вижте ръководствата за мониторинг на публичния облак за повече информация.
  • Това ръководство предоставя инструкции за инсталиране на сензора на Ubuntu Linux. За инструкции за инсталиране на други операционни системи вижте Ръководството за разширена конфигурация на Secure Cloud Analytics Sensor.

Съображения за разполагане на сензори

  • Можете да разположите сензори за събиране на данни за потока, като например NetFlow, или за приемане на мрежов трафик, който е огледален от рутер или комутатор във вашата мрежа. Можете също така да конфигурирате сензор както за събиране на данни за потока, така и за приемане на огледален мрежов трафик. Няма ограничение за броя на разположените сензори.
  • Ако искате да конфигурирате сензор за събиране на данни за потока, вижте „Конфигуриране на сензор за събиране на данни за потока“ за повече информация.
  • Ако искате да конфигурирате сензор да приема трафик от огледален порт или SPAN порт, вижте „Конфигурация на мрежово устройство“ за повече информация относно конфигурирането на мрежовите ви устройства за огледален трафик.
  • Сензори с версия 4.0 или по-нова могат да събират подобрена телеметрия на NetFlow. Това позволява на Secure Cloud Analytics да генерира нови видове наблюдения и предупреждения. За повече информация вижте Ръководството за конфигуриране на Secure Cloud Analytics за Enhanced NetFlow.
  • Сензорът не поддържа IPv6.

Предварителни изисквания за сензори

Можете да инсталирате сензор на физическо устройство или виртуална машина, като отговаряте на следните изисквания:

Компонент Минимално изискване
Мрежов интерфейс поне един мрежов интерфейс, обозначен като контролен интерфейс, за предаване на информация към услугата Secure Cloud Analytics. По избор, ако искате да конфигурирате сензора да приема мрежов трафик от мрежово устройство, което го репликира през огледален порт, ви е необходим един или повече мрежови интерфейси, обозначени като огледални интерфейси.
RAM 4 GB
CPU поне две ядра
Пространство за съхранение 60 GB дисково пространство се използва за кеширане на производствени NetFlow данни преди изпращане на записи към Secure Cloud Analytics.
Достъп до интернет необходими за изтегляне на пакети за процеса на инсталиране

Обърнете внимание на следното относно обозначените огледални интерфейси:

  • Огледалните интерфейси получават копие на целия входящ и изходящ трафик от източника към местоназначението. Уверете се, че пиковият трафик е по-малък от капацитета на връзката на огледалния интерфейс на сензора.
  • Много комутатори изпускат пакети от интерфейсите на източника, ако дестинацията на огледалния порт е конфигурирана с твърде много трафик.

Допълнителни изисквания за физическо устройство

Компонент Минимално изискване
Монтаж File Качване Едно от следните, за да качите инсталационния .iso файл file:
  • 1 USB порт, плюс USB флаш устройство
  • 1 оптично дисково устройство, плюс записваем оптичен диск (като например CD-R диск)

Виртуалните машини могат да се стартират директно от .iso файла file без допълнителни изисквания.

Допълнителни изисквания за виртуална машина
Ако вашият сензор е разположен като виртуална машина, уверете се, че виртуалният хост и мрежата са конфигурирани за promiscuous режим на втория мрежов интерфейс, ако планирате да приемате трафик от огледален сървър или SPAN порт.

  • Когато инсталирате сензора в среда на VMWare 8, той няма да се зареди, когато използвате настройката за зареждане по подразбиране на UEFI. За да коригирате този проблем, в стъпката „Персонализиране на хардуера“ изберете „Опции на виртуалната машина“ > „Опции за зареждане“, след което изберете „BIOS“ от падащия списък „Фърмуер“.

VMware хипервизор
Ако използвате виртуалната машина на VMware хипервизор, конфигурирайте виртуалния комутатор за promiscuous режим:

  1. Изберете хоста в инвентара.
  2. Изберете раздела Конфигурация.
  3. Щракнете върху Мрежи.
  4. Щракнете върху Свойства за вашия виртуален комутатор.
  5. Изберете виртуалния превключвател и щракнете върху „Редактиране“.
  6. Изберете раздела Сигурност.
  7. Изберете „Приемам“ от падащото меню „Промискуитетен режим“.

Вижте базата знания на VMware за повече информация относно promiscuous mode. Може да се наложи да зададете VLAN ID на 4095.

VirtualBox
Ако стартирате виртуалната машина във VirtualBox, конфигурирайте адаптера за promiscuous режим:

  1.  Изберете адаптера за интерфейса Mirror от мрежовите настройки.
  2.  Задайте безразборния режим на „Разрешено“ в „Разширени опции“.

Вижте документацията на VirtualBox за виртуални мрежи за повече информация.

Предложения за разполагане на сензори
Тъй като мрежовите топологии могат да варират значително, имайте предвид следните общи насоки, когато разполагате сензорите си:

  1.  Определете дали искате да разположите сензори за:
    • събиране на данни за потока
    • приемане на огледален мрежов трафик
    • някои събират данни за потока, а други приемат огледален мрежов трафик
    • събират данни за потока и приемат огледален мрежов трафик
  2.  Ако събирате данни за потока, определете какви формати могат да експортират вашите мрежови устройства, като например NetFlow v5, NetFlow v9, IPFIX или sFlow.
    Много защитни стени поддържат NetFlow, включително защитните стени на Cisco ASA и устройствата Cisco Meraki MX. Консултирайте се с документацията за поддръжка на производителя, за да определите дали вашата защитна стена също поддържа NetFlow.
  3. Уверете се, че мрежовият порт на сензора може да поддържа капацитета на Mirror портовете.
    Свържете се с поддръжката на Cisco, ако имате нужда от помощ при разполагането на множество сензори във вашата мрежа.

Проверка на версията на вашия сензор
За да сте сигурни, че имате най-новия сензор, инсталиран във вашата мрежа (версия 5.1.3), можете да проверите версията на съществуващ сензор от командния ред. Ако е необходимо да надстроите, преинсталирайте сензора.

  1.  SSH към разположения сензор.
  2. При подканата въведете cat /opt/obsrvbl-ona/version и натиснете Enter. Ако конзолата не показва версия 5.1.3, вашият сензор е остарял. Изтеглете най-новия ISO файл на сензора от web потребителски интерфейс на портала.

Изисквания за достъп до сензори
Физическото устройство или виртуалната машина трябва да имат достъп до определени услуги през интернет. Конфигурирайте защитната си стена, за да разрешите следния трафик между сензор и външния интернет:

Тип трафик Задължително IP адрес, домейн и порт или конфигурация
Изходящ HTTPS трафик от да
  • порт 443 и IP адресът е
Интерфейсът за управление на сензора към услугата Secure Cloud Analytics, хоствана в Amazon Web Услуги IP адресът на вашия портал
  • IP адреси на AWS S3 за вашия регион на Secure Cloud Analytics. Тъй като IP адресите на AWS могат да се променят, вижте AWS
  • Помощна тема за диапазоните на IP адресите и търсене на S3 услуга и вашия AWS регион в предоставения JSON fileЗа да намерите вашия AWS регион, отидете на таблото за управление на Secure Cloud Analytics и превъртете до долната част на страницата. Поле в долния колонтитул показва името на региона за вашия портал, което съответства на следните AWS региони:
    • Северна Америка (Северна Вирджиния): us-east-1
    • Европа (Франкфурт): eu-central-1
    • Австралия (Сидни): ap- югоизток-2
1. Влезте в сензора чрез SSH като администратор.
2. В командния ред въведете следната команда:
Настройте сензора да комуникира само с известни Cisco адреси не sudo nano opt/obsrvbl-ona/config.local и натиснете Въведете за редактиране на конфигурацията file 3. Актуализирайте настройката OBSRVBL_SENSOR_EXT_ONLY, за да бъде следната: OBSRVBL_SENSOR_EXT_ONLY=true.
4. Натиснете Ctrl + 0, за да запазите промените.

5. Натиснете Ctrl + x, за да излезете. 6. В командния ред въведете sudo service obsrvbl-ona restart, за да рестартирате сензора.
Изходящ трафик от контролния интерфейс на сензора към Ubuntu Linux сървъра за изтегляне на Linux операционната система и свързаните с нея актуализации да
Изходящ трафик от контролния интерфейс на сензора към DNS сървър за разрешаване на име на хост да
  •  [локален DNS сървър]:53/UDP
Входящ трафик от устройство за отдалечено отстраняване на неизправности към вашия сензор не
  • 54.83.42.41:22/TCP

Ако използвате прокси услуга, създайте прокси изключение за IP адресите на интерфейса за управление на сензори.

Конфигурация на мрежовото устройство
Можете да конфигурирате мрежовия си комутатор или рутер да отразява копие на трафика и след това да го предава на сензора.

  • Тъй като сензорът е разположен извън нормалния поток на трафика, той не може директно да повлияе на трафика. Промените в конфигурацията, които правите в web Потребителският интерфейс на портала влияе върху генерирането на предупреждения, а не върху начина, по който протича трафикът ви. Ако искате да разрешите или блокирате трафик въз основа на предупреждения, актуализирайте настройките на защитната си стена.
  • Вижте следното за информация относно производителите на мрежови комутатори и ресурси за конфигуриране на огледален трафик:
производител Име на устройството Документация
NetOptics мрежов кран Вижте страницата с ресурси на Ixia за документация и друга информация
Гигамон мрежов кран Вижте страниците с ресурси и знания на Gigamon за документация и друга информация.

Анализатор (SPAN)
Хвойна огледало за порт Вижте документацията на TechLibrary на Juniper за примерample на конфигурирането на огледално отразяване на портове за локално наблюдение на използването на ресурси от служители на комутатори от серия EX
NETGEAR огледало за порт Вижте документацията в базата знания на Netgear за примерampна огледално портиране и как работи с управляван комутатор
ZyXEL огледало за порт Вижте документацията в базата знания на ZyXEL за информация относно използването на Mirroring на ZyXEL комутатори.
друго порт за монитор, порт за анализатор, порт за докосване Вижте документацията в Wireshark в Уикипедия за справка за превключватели за множество производители.

Можете също така да внедрите устройство за точка за достъп (tap) за тестване на мрежата, за да предавате копие на трафика към сензора. Вижте следното за информация относно производителите на мрежови tap-ове и ресурсите за конфигуриране на мрежовия tap.

производител Име на устройството Документация
NetOptics мрежов кран Вижте страницата с ресурси на Ixia за документация и друга информация
Гигамон мрежов кран Вижте страниците с ресурси и знания на Gigamon за документация и друга информация.

Конфигурация на потока
Трябва да конфигурирате мрежовото си устройство да предава данни от NetFlow. Вижте https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco NetFlow_Configuration.pdf за повече информация относно конфигурирането на NetFlow на мрежови устройства на Cisco.

Инсталиране и конфигуриране на сензорни медии

Преди да започнете инсталацията, повторетеview инструкциите, за да разберете процеса, както и подготовката, времето и ресурсите, необходими за инсталирането и конфигурирането.
Има два варианта за тази инсталация:

  • Инсталиране на сензора на виртуална машина: Ако инсталирате сензор на виртуална машина, можете да стартирате от .iso файла file директно.
  •  Инсталиране на сензора на физическо устройство: Ако инсталирате сензор на физическо устройство, ще създадете стартиращ носител, използвайки .iso файла. file, след което рестартирайте устройството и го стартирайте от този носител.

Процесът на инсталиране изтрива диска, на който ще бъде инсталиран сензорът, преди да го инсталирате. Преди да започнете инсталирането, уверете се, че физическото устройство или виртуалната машина, където планирате да инсталирате сензора, не съдържа данни, които искате да запазите.

Създаване на носител за зареждане

  • Ако инсталирате сензор на физическо устройство, инсталирате .iso файл. file който инсталира сензора, базиран на Ubuntu Linux.
  • Ако напишете .iso файла file към оптичен диск, като например CD или DVD, можете да рестартирате физическото устройство с оптичния диск в оптично дисково устройство и да изберете да стартирате от оптичния диск.
  • Ако създадете USB флаш устройство с .iso файла file и помощната програма Rufus, можете да рестартирате физическото устройство, да поставите USB флаш устройството в USB порт и да изберете да стартирате от USB флаш устройството.
  • Ако разположите сензор без да използвате ISO образ, може да се наложи да актуализирате настройките на защитната стена на локалното устройство, за да разрешите трафик. Силно препоръчваме да разположите сензора, използвайки предоставения ISO образ.
  • Създаването на стартираща USB флаш памет изтрива цялата информация на флаш паметта. Уверете се, че флаш паметта не съдържа друга информация.

Изтеглете ISO файла на сензора file
Изтеглете най-новата версия на ISO образа на сензора от web портал. Използвайте това или за инсталиране (за нов сензор), или за преинсталиране (за надграждане на съществуващ сензор).

  1.  Влезте в Secure Cloud Analytics като администратор.
  2.  Изберете Помощ (?) > Инсталиране на локален сензор.
  3.  Щракнете върху бутона .iso, за да изтеглите най-новата ISO версия.
  4. Отидете на Създаване на стартиращ оптичен диск или Създаване на стартираща USB флаш памет.

Създаване на стартиращ оптичен диск
Следвайте инструкциите на производителя, за да копирате .iso файла. file към оптичен диск.

Създайте стартиращо USB флаш устройство

  1. Поставете празно USB флаш устройство в USB порт на устройството, което искате да използвате, за да създадете стартиращото USB флаш устройство.
  2.  Влезте в работната станция.
  3. Във вашия web браузър, отидете на помощната програма Rufus webсайт.
  4.  Изтеглете най-новата версия на помощната програма Rufus.
  5. Отворете помощната програма Rufus.
  6.  Изберете USB флаш устройството в падащото меню „Устройство“.
  7. Изберете Диск или ISO образ от падащото меню за избор на зареждане.
  8. Щракнете върху SELECT и изберете ISO стойността на сензора file.
  9. Щракнете върху СТАРТ.

Създаването на стартираща USB флаш памет изтрива цялата информация на флаш паметта. Уверете се, че флаш паметта не съдържа друга информация.

Инсталиране на сензора

  1.  Изберете метода за зареждане за .iso файла, както следва:
    • Виртуална машина: Ако инсталирате на виртуална машина, стартирайте от .iso файла file.
    • Физическо устройство: Ако инсталирате на физическо устройство, поставете стартиращия носител, рестартирайте устройството и стартирайте от стартиращия носител.
  2. Изберете „Инсталиране на ONA (статичен IP)“ при първоначалното подканване, след което натиснете Enter.
  3. CISCO-Secure-Cloud-Analytics-Senso- (2)Изберете език от списъка с езици, като използвате клавишите със стрелки, след което натиснете Enter. CISCO-Secure-Cloud-Analytics-Senso- (3)
  4. За конфигурацията на клавиатурата имате следните опции:
    • Изберете Подредба и Вариант, за да конфигурирате клавиатурата, след което натиснете Enter.
    • Изберете „Идентифициране на клавиатура“ и след това натиснете Enter. CISCO-Secure-Cloud-Analytics-Senso- (4)
  5. За мрежовата конфигурация изберете „Ръчно“ и натиснете Enter. CISCO-Secure-Cloud-Analytics-Senso- (5)Всички останали мрежови интерфейси се конфигурират автоматично като огледални интерфейси.
  6.  Въведете подмрежа за устройството, изберете „Продължи“ с клавишите със стрелки и натиснете Enter.
  7.  Въведете IP адрес за устройството, изберете „Продължи“ с клавишите със стрелки и натиснете Enter.
  8. Въведете IP адреса на шлюзовия рутер, изберете „Продължи“ с клавишите със стрелки и натиснете Enter.
  9.  (По избор) За „Търсене на домейни“ въведете домейна(ите), който(ите) ще бъде(ат) автоматично добавен(и) към името на хоста при опит за разрешаване на IP адрес, изберете „Продължи“ с клавишите със стрелки и натиснете Enter.
    По подразбиране инсталацията автоматично ще използва DHCP и ще продължи с инсталирането. За да промените DHCP IP адреса, ще трябва ръчно да редактирате интерфейса, след като инсталацията приключи.
    Препоръчваме ви да въведете локален авторитетен адрес на сървър за имена, ако имате такъв, разположен във вашата мрежа. CISCO-Secure-Cloud-Analytics-Senso- (6)
  10. Въведете пълното име на новия потребител, което е свързано с различен от root акаунт за администраторски права, след което изберете „Продължи“ с клавишите със стрелки и натиснете Enter.
  11.  Въведете името на вашия сървър, което е името, което сензорът ще използва при комуникация с други компютри и ще бъде видимо в портала Secure Cloud Analytics, след което изберете Continue (Продължи) с клавишите със стрелки и натиснете Enter.
  12.  Въведете потребителското име за вашия акаунт, което е не-root акаунт с администраторски права, след което изберете „Продължи“ с клавишите със стрелки и натиснете Enter.
  13.  Изберете парола за новия потребител, след което изберете „Продължи“ с клавишите със стрелки и натиснете Enter.
  14. Въведете отново паролата, за да я потвърдите, след което изберете „Продължи“ с клавишите със стрелки и натиснете Enter. Ако не сте въвели една и съща парола два пъти, опитайте отново.
    Акаунтът, който създавате по време на настройката, е единственият акаунт, който можете да използвате за достъп до виртуалната машина. Тази инсталация не създава отделен акаунт в портала за Secure Cloud Analytics. CISCO-Secure-Cloud-Analytics-Senso- (7)
  15. За да потвърдите процеса на инсталиране, изберете „Продължи“ и след това натиснете Enter.
    Това действие изтрива всички данни на устройството. Уверете се, че е празно, преди да продължите.CISCO-Secure-Cloud-Analytics-Senso- (8)Изчакайте няколко минути, докато инсталаторът инсталира необходимите files.
  16. Когато инсталаторът покаже „Инсталацията е завършена“, изберете „Рестартирай сега“ с клавишите със стрелки, след което натиснете Enter, за да рестартирате устройството.CISCO-Secure-Cloud-Analytics-Senso- (9)
  17. След като устройството се рестартира, влезте със създадения акаунт, за да се уверите, че вашите идентификационни данни са правилни.

Какво да направите след това

  • Ако ограничавате достъпа до личните си среди, уверете се, че комуникацията със съответните IP адреси е разрешена. Вижте Изисквания за достъп до сензори за повече информация.
  • Ако използвате сензора за събиране на трафик на мрежовия поток, като например NetFlow, вижте „Конфигуриране на сензор за събиране на данни за потока“ за повече информация относно конфигурирането на сензора.
  •  Ако използвате сензора и го свързвате към SPAN или огледални портове за събиране на огледален трафик, вижте „Свързване на сензори към“ Web Портал за повече информация относно добавянето на сензори в Secure Cloud Analytics web портал.
  •  Ако конфигурирате сензора да предава телеметрията на Enhanced NetFlow, вижте Ръководството за конфигуриране на Cisco Secure Cloud Analytics за Enhanced NetFlow за повече информация.

Прикрепване на сензори към Web Портал

  • След като сензорът бъде инсталиран, той ще трябва да бъде свързан с вашия портал. Това се прави чрез идентифициране на публичния IP адрес на сензора и въвеждането му в web портал. Ако не можете да определите публичния IP адрес на сензора, можете ръчно да го свържете към портала си, като използвате неговия уникален сервизен ключ.

Сензорът може да се свърже със следните портали:

Ако са използвани множество сензориtagразположени на централно място, като например MSSP, и са предназначени за различни клиенти, публичният IP адрес трябва да се премахва след конфигурирането на всеки нов клиент. Ако публичният IP адрес на s еtagАко работната среда се използва за множество сензори, даден сензор може да бъде неправилно свързан към грешен портал.
Ако използвате прокси сървър, изпълнете стъпките в раздела „Конфигуриране на прокси“, за да активирате комуникацията между сензора и Secure Cloud Analytics. web портал.

Намиране и добавяне на публичен IP адрес на сензор към портал

  1. SSH към сензора като администратор.
  2. В командния ред въведете curl https://sensor.ext.obsrvbl.comandpressEnterСтойността на грешката „неизвестна идентичност“ означава, че сензорът не е свързан с портал. Вижте следното изображение за пример.ampле.CISCO-Secure-Cloud-Analytics-Senso- (10)Вашият хост на услугата URL може да е различно в зависимост от местоположението ви. В портала за сигурен облачен анализ отидете на Настройки > Сензори и превъртете до долната част на страницата, за да намерите вашия хост на услугата. url.
  3.  Копирайте IP адреса на самоличността.
  4.  Излезте от сензора.
  5.  Влезте в Secure Cloud Analytics като администратор на сайта.
  6.  Изберете Настройки > Сензори > Публичен IP адрес.
  7. Кликнете върху Добавяне на нов IP адрес.
  8. Въведете IP адреса за самоличност в полето „Нов адрес“. 9. Кликнете върху „Създаване“. След като порталът и сензорът обменят ключове, те установяват бъдещи
  9. CISCO-Secure-Cloud-Analytics-Senso- (11) Щракнете върху „Създаване“. След като порталът и сензорът обменят ключове, те ще установят бъдещи връзки, използвайки ключовете, а не публичния IP адрес.
    Може да отнеме до 20 минути, преди нов сензор да се отрази в портала.

Ръчно добавяне на сервизен ключ на портал към сензор
Ако не можете да добавите публичния IP адрес на сензор към web портал или вие сте
MSSP управлява множество web портали, редактиране на конфигурацията config.local на сензор file за да добавите ръчно сервизен ключ на портал, за да свържете сензора с портала.
Този обмен на ключове се извършва автоматично, когато се използва публичният IP адрес от предишния раздел.

  1. Влезте в Secure Cloud Analytics като администратор.
  2.  Изберете Настройки > Сензори.
  3.  Отидете до края на списъка със сензори и копирайте сервизния ключ. Вижте следното изображение за пример.ampле.
    Ключ за услугата: (покажи) Хост на услугата:CISCO-Secure-Cloud-Analytics-Senso- (12)
  4. SSH към сензора като администратор.
  5. В командния ред въведете следната команда: sudo nano /opt/obsrvbl-ona/config.local и натиснете Enter, за да редактирате конфигурацията file.
  6. Добавете следните редове, замествайки с ключа за услуги на портала иurl>с вашия регионален доставчик на услуги url: # Сервизен ключ
    OBSRVBL_SERVICE_KEY="КЛЮЧ_НА_СЕРВИСА" „OBSRVBL_HOST="url>”
    В портала си за сигурен облачен анализ отидете на Настройки > Сензори и превъртете до долната част на страницата, за да намерите вашия хост на услугата. url.
    Вижте следното изображение за примерampле:
  7. CISCO-Secure-Cloud-Analytics-Senso- (13)Натиснете Ctrl + 0, за да запазите промените.
  8.  Натиснете Ctrl + x за изход.
  9.  В командния ред въведете sudo service obsrvbl-ona restart, за да рестартирате услугата Secure Cloud Analytics.

Може да отнеме до 20 минути, преди нов сензор да се отрази в портала.

Конфигуриране на прокси сървър
Ако използвате прокси сървър, изпълнете следните стъпки, за да активирате комуникацията между сензора и web портал.

  1.  SSH към сензора като администратор.
  2.  В командния ред въведете следната команда: sudo nano /opt/obsrvbl-ona/config.local и натиснете Enter, за да редактирате конфигурацията. file.
  3.  Добавете следния ред, като замените proxy.name.com с името на хоста или IP адреса на вашия прокси сървър и Port с номера на порта на вашия прокси сървър: HTTPS_PROXY="proxy.name.com:Порт.”
  4. Натиснете Ctrl + 0, за да запазите промените.
  5.  Натиснете Ctrl + x за изход.
  6. В командния ред въведете sudo service obsrvbl-ona restart, за да рестартирате услугата Secure Cloud Analytics.

Може да отнеме до 20 минути, преди нов сензор да се отрази в портала.

Потвърждаване на връзката на сензора с портала
След като към портала бъде добавен сензор, потвърдете връзката в Secure Cloud Analytics.

Ако сте свързали ръчно сензор към web портал чрез актуализиране на config.local
конфигурация file използвайки сервизен ключ, използвайки curlкомандата за потвърждаване на връзката от сензора може да не върне web име на портал.

  1. Влезте в Secure Cloud Analytics.
  2. Изберете Настройки > Сензори. Сензорът се появява в списъка.

CISCO-Secure-Cloud-Analytics-Senso- (14)

Ако не виждате сензора на страницата „Сензори“, влезте в профила си в сензора, за да потвърдите връзката.

  1. SSH към сензора като администратор.
  2. В командния ред въведете curl https://sensor.ext.obsrvbl.comandpressEnter. Сензорът връща името на портала. Вижте следното изображение за примерampле.CISCO-Secure-Cloud-Analytics-Senso- (1)Вашият хост на услугата url може да е различно в зависимост от местоположението ви. В портала за сигурен облачен анализ отидете на Настройки > Сензори и превъртете до долната част на страницата, за да намерите вашия хост на услугата. url.
  3. Излезте от сензора.

Конфигуриране на сензор за събиране на данни за потока

  • Сензорът създава записи на потока от трафика на своите Ethernet интерфейси по подразбиране. Тази конфигурация по подразбиране предполага, че сензорът е свързан към SPAN или огледален Ethernet порт. Ако други устройства във вашата мрежа могат да генерират записи на потока, можете да конфигурирате сензора в web потребителски интерфейс на портала за събиране на записи на потоци от тези източници и изпращането им в облака.
  • Ако мрежовите устройства генерират различни видове потоци, препоръчително е сензорът да се конфигурира да събира данни от всеки тип през различен UDP порт. Това също така улеснява отстраняването на неизправности.
    по-лесно. По подразбиране локалната защитна стена на сензора (iptables) има отворени портове 2055/UDP, 4739/UDP и 9995/UDP. Ако искате да използвате допълнителни UDP портове, трябва да ги конфигурирате в
    на web портал.

Можете да конфигурирате събирането на следните типове потоци в web потребителски интерфейс на портала:

  • NetFlow v5 – Порт 2055/UDP (отворен по подразбиране)
  • NetFlow v9 – Порт 9995/UDP (отворен по подразбиране)
  • IPFIX – Порт 4739/UDP (отворен по подразбиране)
  •  sFlow – Порт 6343/UDP

Предоставили сме портовете по подразбиране, но те могат да бъдат конфигурирани към предпочитаните от вас портове в web потребителски интерфейс на портала.

Някои мрежови устройства трябва да бъдат избрани в web потребителски интерфейс на портала, преди да работят правилно:

  • Cisco Meraki – порт 9998/UDP
  • Cisco ASA – Порт 9997/UDP
  • SonicWALL – Порт 9999/UDP

Версия 14.50 на фърмуера на Meraki синхронизира формата за експортиране на лог файлове на Meraki с формата на NetFlow. Ако вашето устройство Meraki работи с версия 14.50 или по-нова, конфигурирайте сензора си с тип сонда NetFlow v9 и източник на Standard. Ако вашето устройство Meraki работи с версия 14.50 на фърмуера, по-стара от 14.50, конфигурирайте сензора си с тип сонда NetFlow v9 и източник на Meraki MX (под версия 14.50).

Конфигуриране на сензори за събиране на данни за потока

  1. Влезте в Secure Cloud Analytics като администратор.
  2. Изберете Настройки > Сензори.
  3. Щракнете върху падащото меню Настройки за добавения от вас сензор.
  4. Изберете конфигуриране на NetFlow/IPFIX.
    Тази опция изисква актуална версия на сензора. Ако не виждате тази опция, изберете „Помощ“ (?) > „Локална инсталация на сензор“, за да изтеглите актуална версия на ISO файла на сензора.
  5. Щракнете върху Добавяне на нова сонда.
  6.  Изберете тип поток от падащото меню Тип сонда.
  7.  Въведете номер на порт.
    Ако искате да предадете Enhanced NetFlow на вашия сензор, уверете се, че UDP портът, който конфигурирате, не е такъв, който е конфигуриран и за Flexible NetFlow или IPFIX в конфигурацията на вашия сензор. Напримерampле, конфигурирайте порт 2055/UDP за Enhanced NetFlow и порт 9995/UDP за Flexible NetFlow. Вижте Ръководството за конфигуриране за Enhanced NetFlow за повече информация.
  8. Изберете протокол от падащото меню.
  9.  Изберете Източник от падащото меню.
  10.  Щракнете върху Запазване.

Може да отнеме до 30 минути, преди актуализациите на конфигурацията на сензорите да се отразят в портала.

Отстраняване на неизправности

Заснемане на пакети от сензора
Понякога може да се наложи поддръжката на Cisco да провери данните за потока, получавани от сензора. Препоръчваме ви да направите това, като генерирате заснемане на пакети от потоците. Можете също да отворите заснемането на пакети в Wireshark, за да...view данните.

  1.  SSH към сензора като администратор.
  2.  В командния ред въведете sudo tcpdump -D и натиснете Enter, за да view списък с интерфейси. Обърнете внимание на името на контролния интерфейс на вашия сензор.
  3. В командния ред въведете sudo tcpdump -i -n -c 100 “порт -w , замени с името на вашия контролен интерфейс, с номера на порта, съответстващ на конфигурираните от вас данни за потока, и с име за генерирания pcap file, след което натиснете Enter. Системата генерира pcap file с посоченото име за трафика на този интерфейс, през посочения порт.
  4. Излезте от сензора си.
  5. Използвайки SFTP програма, като например PuTTY SFTP (PSFTP) или WinSCP, влезте в сензора.
  6. При подканата въведете get , замени с генерирания от вас pcap file име и натиснете Enter, за да прехвърлите file към вашата локална работна станция.

Анализирайте заснемането на пакети в Wireshark

  1. Изтеглете и инсталирайте Wireshark, след което отворете Wireshark.
  2. Изберете File > Отворете, след което изберете вашия компютърен капак file.
  3. Изберете Анализиране > Декодиране като.
  4. Кликнете върху +, за да добавите ново правило.
  5. Изберете CFLOW от падащото меню Current (Текущ), след което щракнете върху OK. Потребителският интерфейс се актуализира, за да показва само пакети, свързани с NetFlow, IPFIX или sFlow. Ако не се появят резултати, pcap не съдържа пакети, свързани с NetFlow, и събирането на данни за потока е неправилно конфигурирано на сензора.

Допълнителни ресурси

За повече информация относно Secure Cloud Analytics, вижте следното:

Свързване с поддръжката
Ако имате нужда от техническа поддръжка, моля, направете едно от следните:

История на промените

Версия на документа Дата на публикуване Описание
1_0 април 27,2022 г Първоначална версия
1_1 август 1,2022 г
  • Актуализиране на информацията за поддръжка на Cisco.
  •  Добавена е бележка за публичните IP адреси.
1_2 17 февруари 2023 г
  •  Добавен е раздел за конфигурация на прокси сървър.
  •  Актуализирани настройки на сензора Meraki.
1_3 юни 21,2023 г
  •  Поправена е печатна грешка.
  • Актуализирано номериране на процедурите.
1_4 8 април 2024 г
  •  Актуализирано е въведението в Сензорни медии Монтаж и Конфигурация раздел. Незначителни промени във форматирането.
1_5 30 октомври 2024 г Актуализиран на Изисквания за достъп до сензори раздел.
2_0 4 декември 2024 г Актуализирана е версията на сензора, инсталиран сензор раздел, Намиране и добавяне на публичен IP адрес на сензор към портал раздел и Предварителни изисквания за сензори раздел.
2_1 21 април 2025 г
  •  Добавена е бележка за опцията за зареждане на VMware към Допълнителни изисквания за виртуална машина раздел.
  • Актуализиран на Ръчно добавяне на сервизен ключ на портал към Сензор раздел, за да включите информацията за конфигурацията на OBSRVBL_HOST.
2_2 17 октомври 2025 г Премахнато е ограничението само за Северна Америка, което налага сензорът да комуникира само с известни Cisco адреси.

Информация за авторските права

  • Cisco и логото на Cisco са търговски марки или регистрирани търговски марки на Cisco и/или неговите филиали в САЩ и други страни. до view списък с търговски марки на Cisco, отидете на това URL: https://www.cisco.com/go/trademarks. Споменатите търговски марки на трети страни са собственост на съответните им собственици. Използването на думата партньор не предполага партньорски отношения между Cisco и друга компания. (1721R)
  • © 2025 Cisco Systems, Inc. и/или нейните филиали. Всички права запазени.

Често задавани въпроси

Може ли сензорът да събира IPv6 трафик?

Не, сензорът не поддържа IPv6 трафик.

Документи / Ресурси

Сензор за защитен облачен анализ на CISCO [pdf] Ръководство за потребителя
Сензор за защитен облачен анализ, сензор за облачен анализ, сензор за анализ, сензор

Референции

Оставете коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са маркирани *