Mga sulod itago
1 CISCO Secure Network Analytics Deployment
2 Impormasyon sa Produkto
3 Pag-instalar sa SMC
4 Pag-instalar sa Datastore Node
5 Pag-instalar sa Flow Collector
6 Pag-instalar sa Flow Sensor
7 Mga Patakaran sa Awtorisasyon sa ISE
8 FAQ
9 Mga Dokumento / Mga Kapanguhaan
9.1 Mga pakisayran

CISCO-logo

CISCO Secure Network Analytics Deployment

CISCO-Secure-Network-Analytics-Deployment-product

Impormasyon sa Produkto

Mga detalye:

  • Ngalan sa Produkto: Cisco Secure Network Analytics Deployment
  • Integration: Cisco ISE Integration alang sa ANC

Cisco Secure Network Analytics Deployment ug Cisco ISE Integration alang sa ANC

Pag-instalar sa SMC

Pag-log in sa console, i-type ang command SystemConfig. Pagsulod sa network configuration alang sa appliance.

CISCO-Secure-Network-Analytics-Deployment- (1)

CISCO-Secure-Network-Analytics-Deployment- (2)

CISCO-Secure-Network-Analytics-Deployment- (3)

Pag-instalar sa Datastore Node

Pag-log in sa console, i-type ang command SystemConfig. Pagsulod sa network configuration alang sa appliance.

CISCO-Secure-Network-Analytics-Deployment- (4)

Gi-configure namon ang interface sa pagdumala, ang mosunod usa ka ikaduha nga interface sa network alang sa komunikasyon sa inter-Data Node (komunikasyon sa ubang mga node sa data).

CISCO-Secure-Network-Analytics-Deployment- (5)

Pag-instalar sa Flow Collector

Pag-log in sa console, i-type ang command SystemConfig. Siguruha nga ang tanan nga mga kapilian sa telemetry gipili.

CISCO-Secure-Network-Analytics-Deployment- (6)I-configure ang mga pantalan alang sa telemetry.

  • Netflow: 2055
  • Module sa Pagtan-aw sa Network: 2030
  • Mga Log sa Firewal: 8514

CISCO-Secure-Network-Analytics-Deployment- (7)

CISCO-Secure-Network-Analytics-Deployment- (8)

Pagsulod sa network configuration alang sa appliance.

CISCO-Secure-Network-Analytics-Deployment- (9)

Pag-instalar sa Flow Sensor

Pag-log in sa console, i-type ang command SystemConfig. Pagsulod sa network configuration alang sa appliance.

CISCO-Secure-Network-Analytics-Deployment- (10)

Pag-instalar sa Cisco Telemetry Broker
Cisco Telemetry Brocker ang kinauyokan nga bahin sa

Ang Cisco Secure Network Analytics (Kaniadto nga Cisco Stealthwatch) ug usa ka kusgan nga aparato aron ma-optimize ang telemetry, kasagaran kini gigamit:

  • Aron pasimplehon ang pagkolekta ug pagtipon sa trapiko sa Netflow, SNMP ug Syslog.
  • Gipasayon ​​niini ang pag-configure ug pagpadala sa datos sa Netflow gamit ang usa ka exporter sa imong Network Devices imbes nga lain-laing mga exporter, ilabi na kung ikaw adunay disparate nga netflow analyzers sama sa Cisco Secure Network Analytics, SolarWinds o LiveAction, o kung ikaw adunay daghang mga kolektor sa daloy nga adunay Cisco Secure Network Analytics.
  • Dugang pa nga gipasimple niini ang Telemetry Streams kung gigamit ang daghang mga destinasyon ug lainlain ang mga solusyon sa pagdumala sa log.

Ang arkitektura sa Cisco Telemetry Broker naglangkob sa duha ka mga sangkap: 

  • Manager Node
  • Broker Node.

Ang Broker Nodes tanan gidumala sa usa ka Cisco Telemetry Broker manager gamit ang Management Interface. Ang Manager Node nanginahanglan usa ka interface sa network alang sa trapiko sa pagdumala. Ang Broker Node nanginahanglan duha ka interface sa network. Usa ka interface sa pagdumala alang sa komunikasyon sa manedyer ug ang interface sa Telemetry aron ipadala ang Telemetry sa Flow Collector nga sa baylo ipadala sa mga na-configure nga destinasyon sama sa SMC Management Console sa solusyon sa Cisco Secure Network Analytics. Ang Destination Flow Collector IP Address/Port sa telemetry traffic sa Cisco Secure Network Analytics nga solusyon gidugang sa Manager Node ug giduso ngadto sa Broker Node pinaagi sa management interface aron pagtudlo kanila kung asa ang trapiko sa NetFlow.

Kung Intalling ang Broker Node, kinahanglan nimo nga iapil kini sa manager Node gamit ang sudo ctb-manage nga mando ug naghatag sa IP Address ug mga kredensyal sa admin sa Manager Node. Kung ang Broker Node idugang sa Manager Node, ang Web Ang GUI sa Manager Node nagpakita sa Broker Node nga gidugang uban sa pagdumala sa IP Address niini. Aron mahuman ang panagsama tali sa Broker Node ug Manager Node, kinahanglan nimong idugang ang Data o Telemetry Network Interface sa Broker Node sa Manager Node. Sa kataposan ang Network Devices sama sa firewalls, Router ug Switches naggamit sa Broker Node Telemetry Interface IP Address isip Netflow Exporter.

I-deploy ang Manager Node
Pagdalagan ang sudo ctb-install –init nga sugo.

Pagsulod sa mosunod nga impormasyon:

  • Password alang sa admin user
  • Hostname
  • IPv4 address, subnet mask, ug default gateway address para sa Management Network interface
  • DNS nameserver IP address

CISCO-Secure-Network-Analytics-Deployment- (11)

I-deploy ang Broker Node
Pagdalagan ang sudo ctb-install –init nga sugo.

Pagsulod sa mosunod nga impormasyon:

  • Password alang sa admin user
  • Hostname
  • IPv4 address, subnet mask, ug default gateway address para sa Management Network interface
  • DNS nameserver IP address

CISCO-Secure-Network-Analytics-Deployment- (12)

Pagdalagan ang sudo ctb-manage command. 
Pagsulod sa mosunod nga impormasyon:

  • IP address sa Manager node
  • Username sa admin account sa Manager node CISCO-Secure-Network-Analytics-Deployment- (13)

Pag-log in sa Cisco Telemetry Broker. Sa usa ka web browser, isulod ang manager's management interface IP address sa manager node. Gikan sa main menu, pilia ang Broker Nodes.

Sa lamesa sa Broker Nodes, i-klik ang node sa broker. Sa seksyon sa Telemetry Interface, I-configure ang Telemetry Interface ug ang default gateway.

CISCO-Secure-Network-Analytics-Deployment- (14)

CISCO-Secure-Network-Analytics-Deployment- (15)

Karon ang mga appliances sa SNA gi-configure sa usa ka IP address sa pagdumala, kinahanglan namon nga makompleto ang Appliance Setup Tool (AST) sa matag sangkap sa SNA.

Ang Appliance Setup Tool (AST) maoy mag-configure sa mga appliances aron makakomunikar sa ubang bahin sa SNA deployment.

SMC

  • Pag-access sa SMC GUI. CISCO-Secure-Network-Analytics-Deployment- (16)
  • Usba ang Default nga mga Password para sa admin, gamut, ug sysadmin. CISCO-Secure-Network-Analytics-Deployment- (17)

CISCO-Secure-Network-Analytics-Deployment- (18)

CISCO-Secure-Network-Analytics-Deployment- (19)

  • CISCO-Secure-Network-Analytics-Deployment- (20)Walay mga kausaban alang sa Management Network Interface.
  • CISCO-Secure-Network-Analytics-Deployment- (21)I-configure ang Host Name ug Domains. CISCO-Secure-Network-Analytics-Deployment- (22)
  • I-configure ang mga DNS Server. CISCO-Secure-Network-Analytics-Deployment- (23)
  • I-configure ang NTP Server. CISCO-Secure-Network-Analytics-Deployment- (24)
  • Sa katapusan irehistro ang SMC. CISCO-Secure-Network-Analytics-Deployment- (25)
  • Ang SMC mag-reboot.

Datastore Node
Sunda ang parehas nga pamaagi, ang bugtong kalainan mao ang pag-configure sa Central Management Settings. Niini nga seksyon Isulod ang IP address sa SMC 198.19.20.136 ug ang username/password.

Tigkolekta sa Agos
Sunda ang parehas nga pamaagi, ang bugtong kalainan mao ang pag-configure sa Central Management Settings. Niini nga seksyon Isulod ang IP address sa SMC 198.19.20.136 ug ang username/password.

Ang Sensor sa Daloy

  • Sunda ang parehas nga pamaagi, ang bugtong kalainan mao ang pag-configure sa Central Management Settings. Niini nga seksyon Isulod ang IP address sa SMC 198.19.20.136 ug ang username/password.
  • Aron makompleto ang configuration, I-initialize ang DataStore node.
  • SSH ngadto sa DataStore node ug padagana ang SystemConfig command.
  • Sunda ang interactive nga dialog aron masugdan ang DataStore node.
  • Pag-access sa SMC GUI, sa Central Management atong makita ang tanan nga Cisco SNA appliances konektado sa SMC.

CISCO-Secure-Network-Analytics-Deployment- (26)

Cisco Telemetry Broker Configuration
Pag-access sa Cisco Telemetry Broker Manager node GUI. I-klik ang Add Destination ug pilia ang UDP Destination. I-configure ang mosunod nga mga parameter.

  • Ngalan sa Destinasyon: SNA-FC
  • Destinasyon IP Address: 198.19.20.137
  • Destinasyon nga UDP Port: 2055CISCO-Secure-Network-Analytics-Deployment- (27)
  • CISCO-Secure-Network-Analytics-Deployment- (28)I-klik ang Add Rule. CISCO-Secure-Network-Analytics-Deployment- (29)
  • Pagsulod sa 2055 ingon ang Pagdawat sa UDP Port.

CISCO-Secure-Network-Analytics-Deployment- (30)

I-klik ang Add Destination ug pilia ang UDP Destination.
I-configure ang mosunod nga mga parameter.

  • Ngalan sa Destinasyon: Manager
  • Destinasyon IP Address: 198.19.20.136
  • Destinasyon nga UDP Port: 514CISCO-Secure-Network-Analytics-Deployment- (31)
  • I-klik ang Add Rule.
  • Pagsulod sa 2055 ingon ang Pagdawat sa UDP Port.

CISCO-Secure-Network-Analytics-Deployment- (32)

CISCO-Secure-Network-Analytics-Deployment- (33)

Cisco ISE Identity Services Engine Integration
Pagdala ngadto sa Administration> pxGrid> Certificates.

Kompletoha ang porma sama sa mosunod:

  • I-klik ang I want to field ug pilia ang Download Root Certificate Chain
  • I-klik ang Host Names field ug pilia ang admin
  • I-klik ang Certificate Download Format field ug pilia ang PEM option
  • I-klik ang PaghimoCISCO-Secure-Network-Analytics-Deployment- (34)
  • I-download ang file ingon ISE-CA-ROOT-CHAIN.zip.
  • Sa SMC GUI, i-klik ang Central Management. Sa pahina sa Central Management, pangitaa ang SMC Manager appliance, unya pilia ang Edit Appliance Configuration.
  • I-klik ang Kinatibuk-an. CISCO-Secure-Network-Analytics-Deployment- (35)
  • Pag-scroll down sa Trust Store ug i-klik ang Add New. Pilia ang CertificateServicesRootCA-admin_.cer file. I-klik ang Add Certificate. CISCO-Secure-Network-Analytics-Deployment- (36)
  • Ang SMC karon mosalig sa mga sertipiko nga gi-isyu sa ISE CA. CISCO-Secure-Network-Analytics-Deployment- (37)
  • I-klik ang Appliance tab. Pag-scroll paubos sa Dugang nga SSL/TLS Client Identities nga seksyon ug i-klik ang Add New. CISCO-Secure-Network-Analytics-Deployment- (38)
  • Mangutana kini kung kinahanglan nimo nga maghimo usa ka CSR, pilia ang Oo ug i-klik ang Sunod.

CISCO-Secure-Network-Analytics-Deployment- (39)

Sulati ang CSR ingon sa mosunod:

  • RSA Key Gitas-on
  • Organisasyon
  • Organisasyonal nga Yunit
  • Lokalidad o Lungsod
  • Estado o Probinsya
  • Kodigo sa Nasud
  • Email Address

I-klik ang Paghimo og CSR, dayon I-download ang CSR.

CISCO-Secure-Network-Analytics-Deployment- (40)

CISCO-Secure-Network-Analytics-Deployment- (41)

Pag-access sa Cisco ISE GUI. Pagdala ngadto sa Administration> pxGrid> Certificates.

Gamita ang mosunod nga impormasyon:

  • Sa gusto ko nga uma, pilia ang Paghimo usa ka sertipiko (nga adunay hangyo sa pagpirma sa sertipiko)
  • Paglabay sa CSR sa Certificate Signing Request Details field
  • Type SMC sa Deskripsyon field
  • Pilia ang IP Address sa field sa SAN ug isulod ang 198.19.20.136 isip kaubang IP Address
  • Pilia ang format nga PKCS12 ingon kapilian nga Format sa Pag-download sa Sertipiko
  • Pagsulud sa usa ka password
  • I-klik ang Paghimo CISCO-Secure-Network-Analytics-Deployment- (42)
  • I-save ang sertipiko nga gihimo nga adunay ngalan nga SMC-PXGRID.

Mubo nga sulat:
Sa pipila nga naglungtad nga pag-deploy sa Cisco ISE, mahimo nimong na-expire ang mga sertipiko sa sistema nga gigamit alang sa mga serbisyo sa admin, eap ug pxGrid sama sa gipakita sa ubos.

CISCO-Secure-Network-Analytics-Deployment- (43)

Kini tungod kay ang Cisco ISE internal CA nga mga sertipiko nga nagpirma niini nga mga sertipiko sa sistema expire na.

CISCO-Secure-Network-Analytics-Deployment- (44)

Aron mabag-o ang mga sertipiko sa sistema. Pagdala ngadto sa Administration> Certificates> Certificate Signing Requests. Sa Usage field, pilia ang ISE Root CA, unya i-klik ang Replace ISE Root CA Certificate Chain.

CISCO-Secure-Network-Analytics-Deployment- (45)

Ang Cisco ISE makamugna og bag-ong Internal CA nga mga sertipiko. Ayaw kalimti ang pag-adjust sa Trusted For field para sa angay nga serbisyo sama sa pxGrid.

CISCO-Secure-Network-Analytics-Deployment- (46)

Karon ang mga sertipiko sa sistema balido.

CISCO-Secure-Network-Analytics-Deployment- (47)

Pag-access sa SMC GUI. Lakaw ngadto sa Central Management. Diha sa SMC Appliance Configuration tab, i-scroll down sa Add SSL/TLS Client Identity form, unya i-klik ang Select File, pilia ang sertipiko sa SMC-PXGRID.

CISCO-Secure-Network-Analytics-Deployment- (48)

CISCO-Secure-Network-Analytics-Deployment- (49)

Sa SMC GUI, navigate sa Deploy> Cisco ISE Configuration.

I-configure ang ISE Configuration gamit ang mosunod nga mga parameter:

  • Ngalan sa Cluster: ISE-CLUSTER
  • Sertipiko: SMC-PXGRID
  • Panguna nga PxGrid Node: 198.19.20.141
  • Ngalan sa Kliyente: SMC-PXGRID

CISCO-Secure-Network-Analytics-Deployment- (50)

CISCO-Secure-Network-Analytics-Deployment- (51)

CISCO-Secure-Network-Analytics-Deployment- (52)

Pagdala ngadto sa Monitor> Users.
Matikdi nga atong makita ang User data sa SMC.

CISCO-Secure-Network-Analytics-Deployment- (53)

Mga Patakaran sa ISE Adaptive Network Control (ANC).
Pilia ang Operations > Adaptive Network Control > Policy List > Add and enter SW_QUARANTINE para sa Policy Name ug Quarantine for the Action.

CISCO-Secure-Network-Analytics-Deployment- (54)

CISCO-Secure-Network-Analytics-Deployment- (55)

Pag-access sa SMC GUI. Pagpili og IP address sa dashboard, atong makita nga ang ISE ANC Policy napuno.

CISCO-Secure-Network-Analytics-Deployment- (56)

CISCO-Secure-Network-Analytics-Deployment- (57)

Mga Patakaran sa Awtorisasyon sa ISE

  • Ang mga polisiya sa eksepsiyon sa pagtugot sa tibuok kalibotan makapahimo kanimo sa paghubit sa mga lagda nga molapas sa tanang lagda sa pagtugot sa tanan nimong mga set sa polisiya. Kung ma-configure nimo ang usa ka global nga palisiya sa eksepsiyon sa pagtugot, idugang kini sa tanan nga mga set sa palisiya.
  • Ang lagda sa eksepsiyon sa lokal nga pagtugot mo-overwrite sa mga lagda sa eksepsiyon sa tibuok kalibotan. Mao nga ang lokal nga lagda sa eksepsiyon giproseso una, dayon ang global nga lagda sa eksepsiyon, ug sa katapusan, ang normal nga lagda sa polisiya sa pagtugot.
  • Usa sa makaiikag nga kaso sa paggamit niini nga Exception Rules mao ang imong pag-configure sa Cisco Secure Network Analytics (Stealth watch) uban sa Cisco ISE for Response Management gamit ang Adaptive Network Policy (ANC) aron kung ang alarma gipataas, ang Cisco Secure Network Analytics (Stealth watch) mohangyo sa Cisco ISE nga i-quarantine ang host gamit ang Adaptive Network Control Policy pinaagi sa Px Grid.
  • Ang labing kaayo nga praktis aron ma-configure ang Patakaran sa Awtorisasyon sa Cisco ISE aron i-quarantine ang host bisan sa Local Exception o Global Exception.
  • Kung gusto nimo i-apply ang ANC Policy sa tanan nimong mga set sa palisiya, VPN, wired wireless aka tanan nga wired VPN ug wireless nga tiggamit. Gamita ang Global Exception.
  • Kung gusto nimo i-apply ang ANC Policy lamang sa mga tiggamit sa VPN o Wired nga tiggamit. Gamita ang Lokal nga Polisiya sulod sa VPN Policy Sets o Wired Policy Set matag usa.

CISCO-Secure-Network-Analytics-Deployment- (58)

Awtomatikong Aksyon ug Tubag sa ANC
Scenario : Usa ka kompanya ang naggamit sa Cisco Umbrella isip DNS server aron mapugngan ang mga hulga sa internet. Gusto namon ang usa ka naandan nga alarma aron kung ang mga internal nga tiggamit naggamit sa ubang mga eksternal nga DNS server, usa ka alarma ang ma-trigger aron mapugngan ang koneksyon sa mga rogue nga DNS server nga mahimo’g mag-redirect sa trapiko sa mga eksternal nga site alang sa makadaot nga katuyoan. Kung ang usa ka alarma gipataas, ang Cisco Secure Network Analytics mohangyo sa Cisco ISE nga i-quarantine ang host nga naggamit sa rogue DNS Servers nga adunay Adaptive Network Control Policy pinaagi sa PxGrid. Pagdala ngadto sa I-configure > Pagdumala sa Host. Sa parent host group Inside Hosts, paghimo ug Host Group nga ginganlag Corporate Networks para sa imong internal nga mga network.

CISCO-Secure-Network-Analytics-Deployment- (59)

Sa parent host group Outside Hosts, paghimo ug Host Group nga ginganlag Umbrella DNS Servers para sa Umbrella IP addresses.

CISCO-Secure-Network-Analytics-Deployment- (60)

Ang mga internal nga tiggamit naggamit sa Cisco Umbrella isip DNS server aron mapugngan ang mga hulga sa internet. I-configure ang usa ka naandan nga alarma aron kung ang mga internal nga tiggamit naggamit sa ubang mga eksternal nga DNS server, usa ka alarma ang ma-trigger aron mapugngan ang koneksyon sa rogue nga DNS server nga mahimo’g mag-redirect sa trapiko sa mga eksternal nga site alang sa makadaot nga katuyoan. Kung ang usa ka alarma gipataas, ang Cisco Secure Network Analytics mohangyo sa Cisco ISE nga i-quarantine ang host nga naggamit sa rogue DNS Servers nga adunay Adaptive Network Control Policy pinaagi sa PxGrid.

Pagdala ngadto sa I-configure > Pagdumala sa Patakaran.
Paghimo ug Custom nga mga Hitabo uban sa mosunod nga mga impormasyon:

  • Ngalan : Dili awtorisado nga DNS Traffic
  • Mga Grupo sa Host sa Subject: Mga Network sa Kumpanya
  • Mga Grupo sa Peer Host : Gawas sa Host Gawas sa Umbrella DNS Servers
  • Peer Port/Protocols : 53/UDP 53/TCP

Sa panguna kini nga panghitabo ma-trigger kung adunay bisan kinsa nga host nga kauban ang Corporate Networks Host Group nga nakigsulti sa bisan kinsa nga host sa sulod sa Outside Hosts Host Group gawas sa sulod sa Umbrella DNS Servers Host Group, pinaagi sa 53/UDP o 53/TCP, usa ka alarma ang gipataas.

CISCO-Secure-Network-Analytics-Deployment- (61)

CISCO-Secure-Network-Analytics-Deployment- (62)

Pagdala ngadto sa I-configure > Pagdumala sa Tubag. Pag-klik sa Mga Aksyon.

CISCO-Secure-Network-Analytics-Deployment- (63)

Pilia ang ISE ANC Policy Action. Hatagi og ngalan ug pilia ang Cisco ISE cluster nga kinahanglang kontakon aron magamit ang polisiya sa quarantine alang sa bisan unsang paglapas o koneksyon sa mga rogue server.

CISCO-Secure-Network-Analytics-Deployment- (64)

CISCO-Secure-Network-Analytics-Deployment- (65)

Ubos sa seksyon sa Rules. Paghimo og bag-ong Lagda. Kini nga lagda magamit sa kaniadto nga Aksyon kung ang bisan kinsa nga host sa sulod sa internal nga network naningkamot nga ipadala ang trapiko sa DNS sa mga rogue nga DNS Server. Sa seksyon nga Rule ma-trigger kung, pilia ang Type, scroll down ug pilia ang naandan nga panghitabo nga gihimo kaniadto. Ubos sa Associated Actions, pilia ang ISE ANC nga aksyon nga gihimo kaniadto.

CISCO-Secure-Network-Analytics-Deployment- (66)

Gikan sa sulod nga host, ablihi ang CMD console. Ipatuman ang nslookup command, dayon server 8.8.8.8 command. Pag-type sa pipila ka mga adres alang sa 8.8.8.8 DNS server aron masulbad.

CISCO-Secure-Network-Analytics-Deployment- (67)

Pagdala ngadto sa Monitor > ISE ANC Policy Assignments. Kinahanglan nimong makita nga ang Cisco Secure Network Analytics nag-apply sa Adaptive Network Control Policy pinaagi sa PxGrid ug ISE aron i-quarantine ang Host.

CISCO-Secure-Network-Analytics-Deployment- (68)

FAQ

P: Unsaon nako pagkompleto ang Appliance Setup Tool (AST) sa matag component sa SNA?
A: Kung ma-configure na ang mga appliances sa SNA nga adunay IP address sa pagdumala, makompleto nimo ang AST sa matag sangkap pinaagi sa pagsunod sa piho nga mga panudlo nga gihatag alang sa kana nga sangkap sa sulod sa manwal sa paggamit o giya sa pag-setup.

Mga Dokumento / Mga Kapanguhaan

CISCO Secure Network Analytics Deployment [pdf] Manwal sa Instruksyon
Luwas nga Network Analytics Deployment, Network Analytics Deployment, Analytics Deployment, Deployment

Mga pakisayran

Pagbilin ug komento

Ang imong email address dili mamantala. Ang gikinahanglan nga mga natad gimarkahan *