Czujnik CISCO Secure Cloud Analytics

Wstęp

Cisco Secure Cloud Analytics (obecnie część Cisco XDR) to usługa bezpieczeństwa SaaS, która wykrywa i reaguje na zagrożenia w środowiskach IT, zarówno lokalnych, jak i w chmurze. Ten przewodnik wyjaśnia, jak wdrożyć czujniki Secure Cloud Analytics w ramach usługi monitorowania sieci prywatnej, do użytku w sieciach przedsiębiorstw, prywatnych centrach danych, oddziałach i innych środowiskach lokalnych.

• Jeśli planujesz używać Secure Cloud Analytics wyłącznie w środowiskach chmury publicznej, takich jak Amazon Web W przypadku usług, Microsoft Azure czy Google Cloud Platform nie ma potrzeby instalowania czujnika. Więcej informacji można znaleźć w przewodnikach dotyczących monitorowania chmury publicznej.
• Ten przewodnik zawiera instrukcje dotyczące instalacji czujnika w systemie Ubuntu Linux. Instrukcje instalacji w innych systemach operacyjnych można znaleźć w podręczniku „Secure Cloud Analytics Sensor Advanced Configuration Guide”.

Rozważania dotyczące wdrażania czujników

• Możesz wdrożyć czujniki do zbierania danych o przepływie, takich jak NetFlow, lub do pobierania ruchu sieciowego zdublowanego z routera lub przełącznika w sieci. Możesz również skonfigurować czujnik tak, aby zarówno zbierał dane o przepływie, jak i pobierał zdublowany ruch sieciowy. Nie ma limitu liczby wdrożonych czujników.
• Jeśli chcesz skonfigurować czujnik w celu zbierania danych o przepływie, zapoznaj się z tematem Konfigurowanie czujnika w celu zbierania danych o przepływie, aby uzyskać więcej informacji.
• Jeśli chcesz skonfigurować czujnik do odbioru ruchu z portu lustrzanego lub SPAN, zapoznaj się z sekcją Konfiguracja urządzeń sieciowych, aby uzyskać więcej informacji na temat konfigurowania urządzeń sieciowych do lustrzanego przesyłania ruchu.
• Wersja czujnika 4.0 lub nowsza może zbierać ulepszone dane telemetryczne NetFlow. Dzięki temu Secure Cloud Analytics może generować nowe typy obserwacji i alertów. Więcej informacji można znaleźć w przewodniku konfiguracji Secure Cloud Analytics dla ulepszonego NetFlow.
• Czujnik nie obsługuje protokołu IPv6.

Wymagania wstępne czujnika

Możesz zainstalować czujnik na urządzeniu fizycznym lub maszynie wirtualnej, spełniając następujące wymagania:

Część	Minimalne wymagania
Interfejs sieciowy	Co najmniej jeden interfejs sieciowy, oznaczony jako interfejs sterujący, do przesyłania informacji do usługi Secure Cloud Analytics. Opcjonalnie, jeśli chcesz skonfigurować czujnik do pobierania ruchu sieciowego z urządzenia sieciowego, które go replikuje przez port lustrzany, potrzebujesz co najmniej jednego interfejsu sieciowego oznaczonego jako interfejsy lustrzane.
BARAN	4 GB
Procesor	co najmniej dwa rdzenie
Miejsce do przechowywania	60 GB przestrzeni dyskowej jest używane do buforowania danych produkcyjnych NetFlow przed wysłaniem rekordów do Secure Cloud Analytics.
Dostęp do Internetu	wymagane jest pobranie pakietów w celu przeprowadzenia procesu instalacji

Należy pamiętać o następujących kwestiach dotyczących wyznaczonych interfejsów lustrzanych:

• Interfejsy lustrzane odbierają kopię całego ruchu źródłowego przychodzącego i wychodzącego do celu. Upewnij się, że szczytowy ruch jest mniejszy niż przepustowość łącza interfejsu lustrzanego czujnika.
• Wiele przełączników odrzuca pakiety z interfejsów źródłowych, jeśli port docelowy lustrzany jest skonfigurowany z zbyt dużym ruchem.

Dodatkowe wymagania dotyczące urządzenia fizycznego

Część	Minimalne wymagania
Instalacja File Wgrywać	Jedno z poniższych, aby przesłać plik instalacyjny .iso file: 1 port USB i dysk flash USB 1 napęd dysków optycznych oraz nagrywalny dysk optyczny (np. dysk CD-R)

Maszyny wirtualne mogą uruchamiać się bezpośrednio z pliku .iso file bez dodatkowych wymagań.

Dodatkowe wymagania dotyczące maszyny wirtualnej
Jeśli czujnik jest wdrożony jako maszyna wirtualna, upewnij się, że host wirtualny i sieć są skonfigurowane w trybie promiscuous na drugim interfejsie sieciowym, jeśli planujesz pobierać ruch z portu lustrzanego lub SPAN.

• Podczas wdrażania czujnika w środowisku VMWare 8, czujnik nie załaduje się, jeśli używane jest domyślne ustawienie rozruchu UEFI. Aby rozwiązać ten problem, w kroku „Dostosuj sprzęt” wybierz „Opcje maszyny wirtualnej” > „Opcje rozruchu”, a następnie wybierz BIOS z listy rozwijanej „Oprogramowanie sprzętowe”.

Hiperwizor VMware
Jeśli uruchamiasz maszynę wirtualną na hiperwizorze VMware, skonfiguruj przełącznik wirtualny w trybie promiscuous:

1. Wybierz hosta z inwentarza.
2. Wybierz kartę Konfiguracja.
3. Kliknij Sieć.
4. Kliknij Właściwości swojego przełącznika wirtualnego.
5. Wybierz przełącznik wirtualny i kliknij Edytuj.
6. Wybierz kartę Bezpieczeństwo.
7. Z listy rozwijanej Tryb promiscuous wybierz opcję Akceptuj.

Więcej informacji na temat trybu promiscuous można znaleźć w bazie wiedzy VMware. Może być konieczne ustawienie identyfikatora VLAN na 4095.

Wirtualne pudełko
Jeżeli uruchamiasz maszynę wirtualną w VirtualBox, skonfiguruj adapter w trybie promiscuous:

1.  Wybierz kartę dla interfejsu Mirror z Ustawień sieciowych.
2.  Ustaw tryb promiscuous na Zezwalaj w Opcjach zaawansowanych.

Więcej informacji znajdziesz w dokumentacji VirtualBox poświęconej sieciom wirtualnym.

Sugestie dotyczące rozmieszczenia czujników
Ponieważ topologie sieci mogą się znacznie różnić, podczas wdrażania czujników należy pamiętać o następujących ogólnych wytycznych:

1.  Określ, czy chcesz wdrożyć czujniki w celu:
   • zbierać dane o przepływie
   • pobieranie lustrzanego ruchu sieciowego
   • niektóre zbierają dane o przepływie, a inne pobierają lustrzany ruch sieciowy
   • oba zbierają dane o przepływie i pobierają lustrzany ruch sieciowy
2.  Jeśli zbierasz dane o przepływie, określ, w jakich formatach mogą eksportować dane Twoje urządzenia sieciowe, np. NetFlow v5, NetFlow v9, IPFIX lub sFlow.
   Wiele zapór sieciowych obsługuje NetFlow, w tym zapory Cisco ASA i urządzenia Cisco Meraki MX. Sprawdź dokumentację producenta, aby dowiedzieć się, czy Twoja zapora również obsługuje NetFlow.
3. Upewnij się, że port sieciowy w czujniku obsługuje przepustowość portów Mirror.
   Skontaktuj się z pomocą techniczną Cisco, jeśli potrzebujesz pomocy przy wdrażaniu wielu czujników w swojej sieci.

Sprawdzanie wersji czujnika
Aby upewnić się, że w sieci zainstalowany jest najnowszy czujnik (wersja 5.1.3), możesz sprawdzić wersję istniejącego czujnika z poziomu wiersza poleceń. Jeśli konieczna jest aktualizacja, zainstaluj czujnik ponownie.

1.  Nawiąż połączenie SSH z wdrożonym czujnikiem.
2. W wierszu poleceń wpisz cat /opt/obsrvbl-ona/version i naciśnij Enter. Jeśli w konsoli nie wyświetla się wersja 5.1.3, czujnik jest nieaktualny. Pobierz najnowszy plik ISO czujnika ze strony web interfejs użytkownika portalu.

Wymagania dotyczące dostępu do czujnika
Urządzenie fizyczne lub maszyna wirtualna musi mieć dostęp do określonych usług przez internet. Skonfiguruj zaporę sieciową tak, aby zezwalała na następujący ruch między czujnikiem a zewnętrznym internetem:

Typ ruchu	Wymagany	Adres IP, domena i port lub konfiguracja
Ruch wychodzący HTTPS z	Tak	port 443 i adres IP to

Interfejs sterujący czujnika do usługi Secure Cloud Analytics hostowanej na Amazon Web Usługi		Twój adres IP portalu Adresy IP AWS S3 dla Twojego regionu Secure Cloud Analytics. Ponieważ adresy IP AWS mogą się zmieniać, zapoznaj się z informacjami AWS. Pomoc dotycząca zakresów adresów IP i wyszukiwanie usługi S3 oraz regionu AWS w podanym pliku JSON fileAby znaleźć swój region AWS, przejdź do pulpitu nawigacyjnego Secure Cloud Analytics i przewiń na dół strony. Pole w stopce wyświetla nazwę regionu dla Twojego portalu, która odpowiada następującym regionom AWS: Ameryka Północna (N. Virginia): us-east-1 Europa (Frankfurt): eu-central-1 Australia (Sydney): ap- południowy wschód-2
		1. Zaloguj się do czujnika za pomocą SSH jako administrator.
		2. W wierszu poleceń wprowadź następujące polecenie:
Wymuś, aby czujnik komunikował się wyłącznie ze znanymi adresami Cisco	NIE	sudo nano opt/obsrvbl- ona/config.local i naciśnij Wchodzić aby edytować konfigurację file 3. Zaktualizuj ustawienie OBSRVBL_SENSOR_ EXT_ONLY, aby uzyskać następującą wartość: OBSRVBL_SENSOR_ EXT_ONLY=true.
		4. Naciśnij Ctrl + 0, aby zapisać zmiany.

		5. Naciśnij Ctrl + x, aby wyjść. 6. W wierszu poleceń wpisz sudo service obsrvbl-ona restart, aby ponownie uruchomić czujnik.
Ruch wychodzący z interfejsu sterowania czujnika do serwera Ubuntu Linux w celu pobrania systemu operacyjnego Linux i powiązanych aktualizacji	Tak	us.archive.ubuntu.com:443/TCP us.archive.ubuntu.com:80/TCP
Ruch wychodzący z interfejsu sterującego czujnika do serwera DNS w celu rozwiązania nazwy hosta	Tak	[lokalny serwer DNS]:53/UDP
Ruch przychodzący ze zdalnego urządzenia do rozwiązywania problemów do Twojego czujnika	NIE	54.83.42.41:22/TCP

Jeśli używasz usługi proxy, utwórz wyjątek proxy dla adresów IP interfejsu sterowania czujnikiem.

Konfiguracja urządzenia sieciowego
Możesz skonfigurować przełącznik sieciowy lub router tak, aby odzwierciedlał kopię ruchu, a następnie przekazywał ją do czujnika.

• Ponieważ czujnik znajduje się poza normalnym przepływem ruchu, nie może bezpośrednio wpływać na Twój ruch. Zmiany konfiguracji, które wprowadzasz w web Interfejs użytkownika portalu wpływa na generowanie alertów, a nie na przepływ ruchu. Jeśli chcesz zezwolić lub zablokować ruch na podstawie alertów, zaktualizuj ustawienia zapory sieciowej.
• Poniżej znajdziesz informacje na temat producentów przełączników sieciowych i zasobów umożliwiających konfigurację ruchu lustrzanego:

Producent	Nazwa urządzenia	Dokumentacja
NetOptics	odczep sieciowy	Zobacz stronę zasobów Ixia, aby uzyskać dokumentację i inne informacje
Gigamon	odczep sieciowy	Zobacz zasoby i strony wiedzy Gigamon, aby uzyskać dokumentację i inne informacje

	Analizator (SPAN)
Jałowiec	lustro portu	Zobacz dokumentację TechLibrary firmy Juniper dotyczącą byłegoampInstrukcja konfiguracji funkcji Port Mirroring do lokalnego monitorowania wykorzystania zasobów pracowniczych na przełącznikach serii EX
NETGEAR	lustro portu	Zapoznaj się z dokumentacją bazy wiedzy firmy Netgear, aby uzyskać informacje na temat byłegoampInformacje o dublowaniu portów i jego działaniu z zarządzanym przełącznikiem
ZyXEL	lustro portu	Informacje na temat korzystania z funkcji Mirroring na przełącznikach ZyXEL można znaleźć w dokumentacji bazy wiedzy firmy ZyXEL.
Inny	port monitora, port analizatora, port odczepowy	Aby uzyskać informacje na temat przełączników różnych producentów, zapoznaj się z dokumentacją wiki programu Wireshark

Możesz również wdrożyć punkt dostępu do sieci (tap), aby przekazać kopię ruchu do czujnika. Poniżej znajdziesz informacje o producentach punktów dostępu do sieci i zasobach potrzebnych do ich konfiguracji.

Producent	Nazwa urządzenia	Dokumentacja
NetOptics	odczep sieciowy	Zobacz stronę zasobów Ixia, aby uzyskać dokumentację i inne informacje
Gigamon	odczep sieciowy	Zobacz zasoby i strony wiedzy Gigamon, aby uzyskać dokumentację i inne informacje

Konfiguracja przepływu
Musisz skonfigurować urządzenie sieciowe do przesyłania danych NetFlow. Zobacz https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco Więcej informacji na temat konfigurowania NetFlow na urządzeniach sieciowych Cisco można znaleźć w pliku NetFlow_Configuration.pdf.

Instalacja i konfiguracja nośników czujników

Przed rozpoczęciem instalacji zapoznaj się z pktview instrukcje pozwalające zrozumieć proces, a także przygotowania, czas i zasoby potrzebne do instalacji i konfiguracji.
Istnieją dwie opcje instalacji:

• Instalowanie czujnika na maszynie wirtualnej: Jeśli zainstalujesz czujnik na maszynie wirtualnej, możesz uruchomić ją z pliku .iso file bezpośrednio.
•  Instalowanie czujnika na urządzeniu fizycznym: Jeśli zainstalujesz czujnik na urządzeniu fizycznym, utworzysz nośnik startowy za pomocą pliku .iso file, a następnie uruchom ponownie urządzenie i uruchom je z tego nośnika.

Proces instalacji czyści dysk, na którym zostanie zainstalowany czujnik, przed jego zainstalowaniem. Przed rozpoczęciem instalacji upewnij się, że urządzenie fizyczne lub maszyna wirtualna, na której planujesz zainstalować czujnik, nie zawiera żadnych danych, które chcesz zapisać.

Tworzenie nośnika rozruchowego

• Jeśli wdrażasz czujnik na urządzeniu fizycznym, wdrażasz plik .iso file który instaluje czujnik, bazuje na Ubuntu Linux.
• Jeśli zapiszesz .iso file na dysk optyczny, taki jak CD lub DVD, możesz ponownie uruchomić urządzenie fizyczne z dyskiem optycznym w napędzie optycznym i wybrać opcję rozruchu z dysku optycznego.
• Jeśli utworzysz dysk flash USB z plikiem .iso file i narzędzia Rufus, możesz ponownie uruchomić urządzenie fizyczne, włożyć dysk flash USB do portu USB i wybrać opcję rozruchu z dysku flash USB.
• Jeśli wdrożysz czujnik bez użycia pliku ISO, może być konieczna aktualizacja ustawień zapory lokalnego urządzenia, aby zezwolić na ruch. Zdecydowanie zalecamy wdrożenie czujnika przy użyciu dostarczonego pliku ISO.
• Utworzenie rozruchowego dysku flash USB powoduje usunięcie wszystkich danych z dysku. Upewnij się, że na dysku flash nie ma żadnych innych informacji.

Pobierz czujnik ISO file
Pobierz najnowszą wersję czujnika ISO ze strony web Portal. Użyj go do instalacji (w przypadku nowego czujnika) lub ponownej instalacji (w celu uaktualnienia istniejącego czujnika).

1.  Zaloguj się do Secure Cloud Analytics jako administrator.
2.  Wybierz Pomoc (?) > Instalacja czujnika lokalnego.
3.  Kliknij przycisk .iso, aby pobrać najnowszą wersję ISO.
4. Przejdź do sekcji Utwórz rozruchowy dysk optyczny lub Utwórz rozruchowy dysk flash USB.

Utwórz rozruchowy dysk optyczny
Postępuj zgodnie z instrukcjami producenta, aby skopiować plik .iso file na dysk optyczny.

Utwórz rozruchowy dysk flash USB

1. Włóż pusty dysk flash USB do portu USB urządzenia, na którym chcesz utworzyć rozruchowy dysk flash USB.
2.  Zaloguj się do stacji roboczej.
3. W twoim web przeglądarka, przejdź do narzędzia Rufus webstrona.
4.  Pobierz najnowszą wersję narzędzia Rufus.
5. Otwórz narzędzie Rufus.
6.  Wybierz dysk flash USB z listy rozwijanej Urządzenie.
7. Z rozwijanej listy wyboru opcji Boot wybierz opcję Dysk lub obraz ISO.
8. Kliknij WYBIERZ i wybierz czujnik ISO file.
9. Kliknij START.

Utworzenie rozruchowego dysku flash USB powoduje usunięcie wszystkich danych z dysku. Upewnij się, że na dysku flash nie ma żadnych innych informacji.

Instalowanie czujnika

1.  Wybierz metodę rozruchu dla pliku .iso w następujący sposób:
   • Maszyna wirtualna: Jeśli instalujesz na maszynie wirtualnej, uruchom system z pliku .iso file.
   • Urządzenie fizyczne: Jeśli instalujesz na urządzeniu fizycznym, włóż nośnik startowy, ponownie uruchom urządzenie i uruchom system z nośnika startowego.
2. Wybierz opcję Zainstaluj ONA (statyczny adres IP) w pierwszym monicie, a następnie naciśnij Enter.
3. Wybierz język z listy języków za pomocą klawiszy strzałek i naciśnij Enter.
4. W przypadku konfiguracji klawiatury dostępne są następujące opcje:
   • Wybierz układ i wariant, aby skonfigurować klawiaturę, a następnie naciśnij Enter.
   • Wybierz opcję Identyfikuj klawiaturę, a następnie naciśnij Enter.
5. Aby skonfigurować sieć, wybierz opcję Ręczna i naciśnij Enter. Wszystkie pozostałe interfejsy sieciowe są automatycznie konfigurowane jako interfejsy lustrzane.
6.  Wprowadź podsieć dla urządzenia, wybierz opcję Kontynuuj za pomocą klawiszy strzałek i naciśnij Enter.
7.  Wprowadź adres IP urządzenia, wybierz opcję Kontynuuj za pomocą klawiszy strzałek i naciśnij Enter.
8. Wprowadź adres IP routera Gateway, wybierz opcję Kontynuuj za pomocą klawiszy strzałek i naciśnij Enter.
9.  (Opcjonalnie) W polu Wyszukaj domeny wprowadź domeny, które zostaną automatycznie dołączone do nazwy hosta podczas próby rozwiązania na adres IP, wybierz opcję Kontynuuj za pomocą klawiszy strzałek i naciśnij klawisz Enter.
   Domyślnie instalacja automatycznie użyje protokołu DHCP i będzie kontynuowana. Aby zastąpić adres IP DHCP, należy ręcznie edytować interfejs po zakończeniu instalacji.
   Jeśli w sieci jest wdrożony lokalny serwer nazw, zalecamy wprowadzenie jego adresu.
10. Wprowadź pełną nazwę nowego użytkownika, który jest powiązany z kontem innym niż konto root w celu uzyskania uprawnień administracyjnych, a następnie wybierz opcję Kontynuuj za pomocą klawiszy strzałek i naciśnij Enter.
11.  Wprowadź nazwę serwera, czyli nazwę, której czujnik będzie używał podczas komunikacji z innymi komputerami i która będzie widoczna w portalu Secure Cloud Analytics, a następnie wybierz opcję Kontynuuj za pomocą klawiszy strzałek i naciśnij Enter.
12.  Wprowadź nazwę użytkownika swojego konta (konto inne niż root, ale z uprawnieniami administracyjnymi), a następnie wybierz opcję Kontynuuj za pomocą klawiszy strzałek i naciśnij Enter.
13.  Wybierz hasło dla nowego użytkownika, następnie za pomocą klawiszy strzałek wybierz opcję Kontynuuj i naciśnij Enter.
14. Wprowadź ponownie hasło, aby je zweryfikować, a następnie wybierz „Kontynuuj” klawiszami strzałek i naciśnij Enter. Jeśli nie wpisałeś tego samego hasła dwukrotnie, spróbuj ponownie.
    Konto utworzone podczas konfiguracji jest jedynym kontem, z którego możesz korzystać, aby uzyskać dostęp do maszyny wirtualnej. Ta instalacja nie powoduje utworzenia osobnego konta w portalu Secure Cloud Analytics.
15. Aby potwierdzić proces instalacji, wybierz opcję Kontynuuj, a następnie naciśnij Enter.
    Ta czynność usuwa wszystkie dane z dysku. Przed kontynuacją upewnij się, że dysk jest pusty.Poczekaj kilka minut, aż instalator zainstaluje wymagane files.
16. . Gdy instalator wyświetli komunikat Instalacja ukończona, wybierz opcję Uruchom ponownie teraz za pomocą klawiszy strzałek, a następnie naciśnij Enter, aby ponownie uruchomić urządzenie.
17. Po ponownym uruchomieniu urządzenia zaloguj się na utworzone konto, aby upewnić się, że Twoje dane logowania są prawidłowe.

Co robić dalej

• Jeśli ograniczasz dostęp do swoich prywatnych środowisk, upewnij się, że komunikacja z odpowiednimi adresami IP jest dozwolona. Więcej informacji znajdziesz w sekcji „Wymagania dotyczące dostępu do czujników”.
• Jeśli używasz czujnika do zbierania danych o przepływie sieciowym, np. NetFlow, zapoznaj się z tematem Konfigurowanie czujnika w celu zbierania danych o przepływie, aby uzyskać więcej informacji na temat konfigurowania czujnika.
•  Jeśli używasz czujnika i podłączasz go do portu SPAN lub portu lustrzanego w celu zbierania ruchu lustrzanego, zapoznaj się z sekcją Podłączanie czujników do portu Web Portal, w którym znajdziesz więcej informacji na temat dodawania czujników w usłudze Secure Cloud Analytics web portal.
•  Jeśli konfigurujesz czujnik do przesyłania danych telemetrycznych Enhanced NetFlow, zapoznaj się z Podręcznikiem konfiguracji usługi Cisco Secure Cloud Analytics dla Enhanced NetFlow, aby uzyskać więcej informacji.

Podłączanie czujników do Web Portal

• Po zainstalowaniu czujnika należy go połączyć z portalem. W tym celu należy zidentyfikować publiczny adres IP czujnika i wprowadzić go do… web Jeśli nie możesz ustalić publicznego adresu IP czujnika, możesz ręcznie połączyć czujnik z portalem, używając jego unikalnego klucza usługi.

Czujnik może łączyć się z następującymi portalami:

• https://sensor.ext.obsrvbl.com (NAS)
• https://sensor.ext.eu-prod.obsrvbl.com (UE)
• https://sensor.ext.anz-prod.obsrvbl.com (Australia)

Jeśli jest wiele czujnikówtagJeśli są one przechowywane w centralnej lokalizacji, takiej jak MSSP, i są przeznaczone dla różnych klientów, publiczny adres IP należy usunąć po skonfigurowaniu każdego nowego klienta. Jeśli publiczny adres IPtagJeśli w środowisku ing używanych jest wiele czujników, czujnik może zostać nieprawidłowo podłączony do złego portalu.
Jeśli używasz serwera proxy, wykonaj czynności opisane w sekcji Konfigurowanie serwera proxy, aby umożliwić komunikację między czujnikiem a usługą Secure Cloud Analytics web portal.

Znajdowanie i dodawanie publicznego adresu IP czujnika do portalu

1. Zaloguj się do czujnika za pomocą protokołu SSH jako administrator.
2. W wierszu poleceń wpisz curl https://sensor.ext.obsrvbl.comandpressEnterWartość błędu o nieznanej tożsamości oznacza, że ​​czujnik nie jest powiązany z portalem. Zobacz przykład na poniższym obrazku.ample.Twój host usług URL Może się różnić w zależności od Twojej lokalizacji. W portalu Secure Cloud Analytics przejdź do Ustawienia > Czujniki i przewiń na dół strony, aby znaleźć hosta usługi. url.
3.  Skopiuj adres IP tożsamości.
4.  Wyloguj się z czujnika.
5.  Zaloguj się do Secure Cloud Analytics jako administrator witryny.
6.  Wybierz Ustawienia > Czujniki > Publiczny adres IP.
7. Kliknij Dodaj nowy adres IP.
8. Wprowadź adres IP tożsamości w polu Nowy adres. 9. Kliknij Utwórz. Po wymianie kluczy portalu i czujnika, zostaną one ustalone dla przyszłych
9. Kliknij Utwórz. Po wymianie kluczy portalu i czujnika, przyszłe połączenia będą nawiązywane przy użyciu kluczy, a nie publicznego adresu IP.
   Może minąć do 20 minut, zanim nowy czujnik pojawi się w portalu.

Ręczne dodawanie klucza usługi portalu do czujnika
Jeśli nie możesz dodać publicznego adresu IP czujnika do web portal lub jesteś
MSSP zarządza wieloma web portale, edytuj konfigurację lokalną czujnika file aby ręcznie dodać klucz usługi portalu w celu skojarzenia czujnika z portalem.
Wymiana kluczy odbywa się automatycznie po użyciu publicznego adresu IP z poprzedniej sekcji.

1. Zaloguj się do Secure Cloud Analytics jako administrator.
2.  Wybierz Ustawienia > Czujniki.
3.  Przejdź na koniec listy czujników i skopiuj klucz serwisowy. Zobacz przykład na poniższym obrazku.ample.
   Klucz usługi: (pokaż) Host usługi:
4. Zaloguj się do czujnika za pomocą protokołu SSH jako administrator.
5. W wierszu poleceń wprowadź następujące polecenie: sudo nano /opt/obsrvbl-ona/config.loca i naciśnij Enter, aby edytować konfigurację file.
6. Dodaj następujące wiersze, zastępując z kluczem serwisowym portalu iurl>z regionalnym dostawcą usług url: # Klucz serwisowy
   OBSRVBL_SERVICE_KEY=” ”OBSRVBL_HOST=”url>”
   W portalu Secure Cloud Analytics przejdź do Ustawienia > Czujniki i przewiń na dół strony, aby znaleźć hosta usługi url.
   Zobacz poniższy obrazek, aby zobaczyć byłegoampna:
7. Naciśnij Ctrl + 0, aby zapisać zmiany.
8.  Naciśnij Ctrl + x, aby wyjść.
9.  W wierszu poleceń wpisz sudo service obsrvbl-ona restart, aby ponownie uruchomić usługę Secure Cloud Analytics.

Może minąć do 20 minut, zanim nowy czujnik pojawi się w portalu.

Konfigurowanie serwera proxy
Jeżeli używasz serwera proxy, wykonaj następujące kroki, aby umożliwić komunikację między czujnikiem a urządzeniem. web portal.

1.  Zaloguj się do czujnika za pomocą protokołu SSH jako administrator.
2.  W wierszu poleceń wprowadź polecenie: sudo nano /opt/obsrvbl-ona/config. local i naciśnij Enter, aby edytować konfigurację file.
3.  Dodaj następujący wiersz, zastępując proxy.name.com nazwą hosta lub adresem IP serwera proxy, a Port numerem portu serwera proxy: HTTPS_PROXY="proxy.name.com:Port.”
4. Naciśnij Ctrl + 0, aby zapisać zmiany.
5.  Naciśnij Ctrl + x, aby wyjść.
6. W wierszu poleceń wpisz sudo service obsrvbl-ona restart, aby ponownie uruchomić usługę Secure Cloud Analytics.

Może minąć do 20 minut, zanim nowy czujnik pojawi się w portalu.

Potwierdzanie połączenia czujnika z portalem
Po dodaniu czujnika do portalu należy potwierdzić połączenie w Secure Cloud Analytics.

Jeśli ręcznie podłączyłeś czujnik do web portalu poprzez aktualizację pliku config.local
konfiguracja file używając klucza usługi, używając curlpolecenie potwierdzenia połączenia z czujnikiem może nie zwrócić web nazwa portalu.

1. Zaloguj się do Secure Cloud Analytics.
2. Wybierz Ustawienia > Czujniki. Czujnik pojawi się na liście.

Jeśli nie widzisz czujnika na stronie Czujniki, zaloguj się do czujnika, aby potwierdzić połączenie.

1. Zaloguj się do czujnika za pomocą protokołu SSH jako administrator.
2. W wierszu poleceń wpisz curl https://sensor.ext.obsrvbl.comandpressEnter. Czujnik zwraca nazwę portalu. Zobacz przykład na poniższym obrazku.ample.Twój host usług url Może się różnić w zależności od Twojej lokalizacji. W portalu Secure Cloud Analytics przejdź do Ustawienia > Czujniki i przewiń na dół strony, aby znaleźć hosta usługi. url.
3. Wyloguj się z czujnika.

Konfigurowanie czujnika w celu zbierania danych o przepływie

• Czujnik domyślnie tworzy rekordy przepływu z ruchu na swoich interfejsach Ethernet. Ta domyślna konfiguracja zakłada, że ​​czujnik jest podłączony do portu SPAN lub portu Ethernet lustrzanego. Jeśli inne urządzenia w sieci mogą generować rekordy przepływu, możesz skonfigurować czujnik w web Interfejs użytkownika portalu umożliwiający zbieranie rekordów przepływów z tych źródeł i przesyłanie ich do chmury.
• Jeśli urządzenia sieciowe generują różne typy przepływów, zaleca się skonfigurowanie czujnika tak, aby zbierał każdy typ przez osobny port UDP. Ułatwia to również rozwiązywanie problemów.
  Łatwiej. Domyślnie lokalna zapora sensora (iptables) ma otwarte porty 2055/UDP, 4739/UDP i 9995/UDP. Jeśli chcesz używać dodatkowych portów UDP, musisz je skonfigurować w
  ten web portal.

W programie można skonfigurować zbiór następujących typów przepływów: web interfejs użytkownika portalu:

• NetFlow v5 – Port 2055/UDP (domyślnie otwarty)
• NetFlow v9 – Port 9995/UDP (domyślnie otwarty)
• IPFIX – Port 4739/UDP (domyślnie otwarty)
•  sFlow – Port 6343/UDP

Podaliśmy domyślne porty, ale można je skonfigurować według preferowanych portów w web interfejs użytkownika portalu.

W programie należy wybrać określone urządzenia sieciowe. web interfejsu użytkownika portalu, aby działały prawidłowo:

• Cisco Meraki – Port 9998/UDP
• Cisco ASA – Port 9997/UDP
• SonicWALL – Port 9999/UDP

Wersja oprogramowania układowego Meraki 14.50 dostosowuje format eksportu logów Meraki do formatu NetFlow. Jeśli Twoje urządzenie Meraki korzysta z oprogramowania układowego w wersji 14.50 lub nowszej, skonfiguruj czujnik, używając typu sondy NetFlow v9 i źródła Standard. Jeśli Twoje urządzenie Meraki korzysta z oprogramowania układowego w wersji starszej niż 14.50, skonfiguruj czujnik, używając typu sondy NetFlow v9 i źródła Meraki MX (wersja poniżej 14.50).

Konfigurowanie czujników do zbierania danych o przepływie

1. Zaloguj się do Secure Cloud Analytics jako administrator.
2. Wybierz Ustawienia > Czujniki.
3. Kliknij menu rozwijane Ustawienia dla dodanego czujnika.
4. Wybierz opcję konfiguracji NetFlow/IPFIX.
   Ta opcja wymaga aktualnej wersji czujnika. Jeśli nie widzisz tej opcji, wybierz Pomoc (?) > Instalacja czujnika lokalnego, aby pobrać aktualną wersję pliku ISO czujnika.
5. Kliknij Dodaj nową sondę.
6.  Wybierz typ przepływu z menu rozwijanego Typ sondy.
7.  Wprowadź numer portu.
   Jeśli chcesz przesłać Enhanced NetFlow do swojego czujnika, upewnij się, że skonfigurowany port UDP nie jest jednocześnie skonfigurowany dla Flexible NetFlow lub IPFIX w konfiguracji czujnika. Na przykładampSkonfiguruj port 2055/UDP dla Enhanced NetFlow i port 9995/UDP dla Flexible NetFlow. Więcej informacji znajdziesz w Przewodniku konfiguracji Enhanced NetFlow.
8. Wybierz protokół z menu rozwijanego.
9.  Wybierz źródło z menu rozwijanego.
10.  Kliknij Zapisz.

Odzwierciedlenie zmian w konfiguracji czujnika w portalu może potrwać do 30 minut.

Rozwiązywanie problemów

Przechwytywanie pakietów z czujnika
Czasami wsparcie Cisco może wymagać weryfikacji danych przepływu odbieranych przez czujnik. Zalecamy, aby w tym celu wygenerować przechwyt pakietów przepływów. Możesz również otworzyć przechwyt pakietów w Wireshark, aby ponownie…view dane.

1.  Zaloguj się do czujnika za pomocą protokołu SSH jako administrator.
2.  W wierszu poleceń wpisz sudo tcpdump -D i naciśnij Enter, aby view Lista interfejsów. Zanotuj nazwę interfejsu sterującego czujnika.
3. W wierszu poleceń wpisz sudo tcpdump -i -n -c 100 „port ”-w , zastępować z nazwą interfejsu sterowania, z numerem portu odpowiadającym skonfigurowanym danym przepływu i z nazwą wygenerowanego pcap file, a następnie naciśnij Enter. System generuje plik pcap file z określoną nazwą dla ruchu tego interfejsu, przez określony port.
4. Wyloguj się z czujnika.
5. Zaloguj się do czujnika, korzystając z programu SFTP, np. PuTTY SFTP (PSFTP) lub WinSCP.
6. W wierszu poleceń wpisz get , zastępować z wygenerowanym pcap file nazwę i naciśnij Enter, aby przenieść file do lokalnej stacji roboczej.

Analiza przechwytywania pakietów w Wireshark

1. Pobierz i zainstaluj Wireshark, a następnie uruchom Wireshark.
2. Wybierać File > Otwórz, a następnie wybierz swój pcap file.
3. Wybierz Analizuj > Dekoduj jako.
4. Kliknij +, aby dodać nową regułę.
5. Wybierz CFLOW z listy rozwijanej „Bieżące”, a następnie kliknij OK. Interfejs użytkownika zaktualizuje się, wyświetlając tylko pakiety powiązane z NetFlow, IPFIX lub sFlow. Jeśli nie pojawią się żadne wyniki, pcap nie zawiera pakietów powiązanych z NetFlow, a zbieranie danych o przepływie jest nieprawidłowo skonfigurowane w czujniku.

Dodatkowe zasoby

Aby uzyskać więcej informacji na temat Secure Cloud Analytics, zapoznaj się z poniższymi informacjami:

• https://www.cisco.com/c/en/us/products/security/stealthwatch-cloud/index.html dla ogółuview
• https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/tsd-products-support-series-home.html dla zasobów dokumentacji
• https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/products-installation-guides-list.html przewodniki dotyczące instalacji i konfiguracji, w tym przewodnik po wstępnym wdrożeniu Secure Cloud Analytics

Kontakt z pomocą techniczną
Jeśli potrzebujesz pomocy technicznej, wykonaj jedną z następujących czynności:

•  Skontaktuj się z lokalnym partnerem Cisco
• Skontaktuj się z pomocą techniczną Cisco
• Aby otworzyć sprawę przez web: http://www.cisco.com/c/en/us/support/index.html
• Aby otworzyć sprawę przez e-mail: tac@cisco.com
•  Aby uzyskać pomoc telefoniczną: 1-800-553-2447 (NAS)
• Aby uzyskać numery pomocy technicznej na całym świecie: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Historia zmian

Wersja dokumentu	Data publikacji	Opis
1_0	Kwiecień 27,2022	Wersja początkowa
1_1	Sierpień 1,2022	Aktualizowanie informacji pomocy technicznej Cisco.  Dodano uwagę dotyczącą publicznych adresów IP.
1_2	17 lutego 2023 r.	Dodano sekcję konfiguracji serwera proxy.  Zaktualizowano ustawienia czujnika Meraki.
1_3	Czerwiec 21,2023	Naprawiono literówkę. Zaktualizowano numerację procedur.
1_4	8 kwietnia 2024 r.	Zaktualizowano wprowadzenie w Nośniki czujników Instalacja i Konfiguracja Sekcja. Drobne zmiany formatowania.
1_5	30 października 2024 r.	Zaktualizowano Wymagania dotyczące dostępu do czujnika sekcja.
2_0	4 grudnia 2024 r.	Zaktualizowano wersję czujnika, zainstalowano czujnik sekcja, Znajdowanie i dodawanie publicznego adresu IP czujnika do portalu sekcja i Wymagania wstępne czujnika sekcja.
2_1	21 kwietnia 2025 r.	Dodano notatkę dotyczącą opcji rozruchu VMware Dodatkowe wymagania dotyczące maszyny wirtualnej sekcja. Zaktualizowano Ręczne dodawanie klucza usługi portalu do Transduktor Sekcja zawierająca informacje o konfiguracji OBSRVBL_HOST.
2_2	17 października 2025 r.	Usunięto ograniczenie dotyczące Ameryki Północnej, które wymuszało na czujniku komunikację wyłącznie ze znanymi adresami Cisco.

Informacje o prawach autorskich

• Cisco i logo Cisco są znakami towarowymi lub zarejestrowanymi znakami towarowymi Cisco i/lub jej podmiotów stowarzyszonych w Stanach Zjednoczonych i innych krajach. view lista znaków towarowych Cisco, przejdź tutaj URL: https://www.cisco.com/go/trademarks. Wymienione znaki towarowe stron trzecich są własnością ich właścicieli. Użycie słowa partner nie oznacza relacji partnerskiej między Cisco a jakąkolwiek inną firmą. (1721R)
• © 2025 Cisco Systems, Inc. i/lub podmioty stowarzyszone. Wszelkie prawa zastrzeżone.

Często zadawane pytania

Czy czujnik może zbierać ruch IPv6?

Nie, czujnik nie obsługuje ruchu IPv6.

Dokumenty / Zasoby

Czujnik CISCO Secure Cloud Analytics [plik PDF] Instrukcja użytkownika Bezpieczny czujnik analizy chmury, czujnik analizy chmury, czujnik analizy, czujnik

Odniesienia

• Instrukcja obsługi