Senzor pro zabezpečenou cloudovou analytiku CISCO

Zavedení

Cisco Secure Cloud Analytics (nyní součást Cisco XDR) je bezpečnostní služba založená na SaaS, která detekuje a reaguje na hrozby v IT prostředích, a to jak v místních, tak v cloudových. Tato příručka vysvětluje, jak nasadit senzory Secure Cloud Analytics jako součást vaší služby monitorování privátní sítě pro použití v podnikových sítích, privátních datových centrech, pobočkách a dalších místních prostředích.

• Pokud plánujete používat Secure Cloud Analytics pouze ve veřejných cloudových prostředích, jako je Amazon Web Služby, Microsoft Azure nebo Google Cloud Platform, nemusíte instalovat senzor. Další informace naleznete v průvodcích monitorováním veřejného cloudu.
• Tato příručka obsahuje pokyny k instalaci senzoru v systému Ubuntu Linux. Pokyny k instalaci v jiných operačních systémech naleznete v Průvodci pokročilou konfigurací senzoru pro Secure Cloud Analytics.

Úvahy o nasazení senzorů

• Můžete nasadit senzory pro sběr dat o toku, například NetFlow, nebo pro příjem síťového provozu zrcadleného z routeru nebo přepínače ve vaší síti. Můžete také nakonfigurovat senzor pro sběr dat o toku i příjem zrcadleného síťového provozu. Počet nasazených senzorů není omezen.
• Pokud chcete nakonfigurovat senzor pro sběr dat o průtoku, další informace naleznete v části Konfigurace senzoru pro sběr dat o průtoku.
• Pokud chcete nakonfigurovat senzor pro příjem provozu ze zrcadla nebo portu SPAN, přečtěte si článek Konfigurace síťového zařízení, kde najdete další informace o konfiguraci síťových zařízení pro zrcadlení provozu.
• Senzory verze 4.0 nebo vyšší mohou shromažďovat rozšířenou telemetrii NetFlow. To umožňuje službě Secure Cloud Analytics generovat nové typy pozorování a upozornění. Další informace naleznete v konfigurační příručce Secure Cloud Analytics pro Enhanced NetFlow.
• Senzor nepodporuje IPv6.

Předpoklady pro senzory

Senzor můžete nainstalovat na fyzické zařízení nebo virtuální počítač s následujícími požadavky:

Komponent	Minimální požadavek
Síťové rozhraní	alespoň jedno síťové rozhraní označené jako řídicí rozhraní pro předávání informací službě Secure Cloud Analytics. Volitelně, pokud chcete nakonfigurovat senzor pro příjem síťového provozu ze síťového zařízení, které jej replikuje přes zrcadlový port, potřebujete jedno nebo více síťových rozhraní označených jako zrcadlová rozhraní.
BERAN	4 GB
CPU	alespoň dvě jádra
Úložný prostor	60 GB místa na disku se používá k ukládání produkčních dat NetFlow do mezipaměti před odesláním záznamů do služby Secure Cloud Analytics.
Přístup k internetu	nutné stáhnout balíčky pro proces instalace

O určených zrcadlových rozhraních si všimněte následujícího:

• Zrcadlová rozhraní přijímají kopii veškerého příchozího a odchozího zdrojového provozu do cíle. Ujistěte se, že váš špičkový provoz je menší než kapacita propojení zrcadlového rozhraní senzoru.
• Mnoho přepínačů zahazuje pakety ze zdrojových rozhraní, pokud je cílový zrcadlový port nakonfigurován s příliš velkým provozem.

Další požadavky na fyzické zařízení

Komponent	Minimální požadavek
Instalace File Nahrát	Jeden z následujících způsobů nahrání instalačního souboru .iso file: 1 USB port a USB flash disk 1 optická mechanika a zapisovatelný optický disk (například disk CD-R)

Virtuální počítače se mohou spustit přímo z ISO souboru. file bez dalších požadavků.

Další požadavky na virtuální počítač
Pokud je váš senzor nasazen jako virtuální počítač, ujistěte se, že virtuální hostitel a síť jsou nakonfigurovány pro promiskuitní režim na druhém síťovém rozhraní, pokud plánujete přijímat provoz ze zrcadla nebo portu SPAN.

• Při nasazení senzoru v prostředí VMWare 8 se senzor při použití výchozího nastavení spouštění UEFI nepodaří načíst. Chcete-li tento problém vyřešit, v kroku Přizpůsobit hardware vyberte Možnosti virtuálního počítače > Možnosti spouštění a poté v rozevíracím seznamu Firmware vyberte BIOS.

hypervizor VMware
Pokud virtuální počítač spouštíte na hypervisoru VMware, nakonfigurujte virtuální přepínač pro promiskuitní režim:

1. Vyberte hostitele v inventáři.
2. Vyberte kartu Konfigurace.
3. Klikněte na Sítě.
4. Klikněte na Vlastnosti pro váš virtuální přepínač.
5. Vyberte virtuální přepínač a klikněte na Upravit.
6. Vyberte kartu Zabezpečení.
7. V rozbalovací nabídce Promiskuitní režim vyberte možnost Přijmout.

Další informace o promiskuitním režimu naleznete v databázi znalostí VMware. Možná budete muset nastavit ID VLAN na 4095.

VirtualBox
Pokud spouštíte virtuální stroj ve VirtualBoxu, nakonfigurujte adaptér pro promiskuitní režim:

1.  V nastavení sítě vyberte adaptér pro rozhraní Mirror.
2.  V Upřesňujících možnostech nastavte promiskuitní režim na Povolit.

Více informací naleznete v dokumentaci k VirtualBoxu o virtuálních sítích.

Návrhy na rozmístění senzorů
Protože se topologie sítí mohou značně lišit, mějte při nasazování senzorů na paměti následující obecné pokyny:

1.  Určete, zda chcete nasadit senzory do:
   • shromažďovat data o toku
   • ingestovat zrcadlený síťový provoz
   • některé shromažďují data o toku a jiné přijímají zrcadlený síťový provoz
   • shromažďují data o toku a zároveň přijímají zrcadlený síťový provoz
2.  Pokud shromažďujete data o toku dat, zjistěte, jaké formáty mohou vaše síťová zařízení exportovat, například NetFlow v5, NetFlow v9, IPFIX nebo sFlow.
   Mnoho firewallů podporuje NetFlow, včetně firewallů Cisco ASA a zařízení Cisco Meraki MX. Zda váš firewall také podporuje NetFlow, naleznete v dokumentaci k produktu od výrobce.
3. Ujistěte se, že síťový port na senzoru podporuje kapacitu zrcadlových portů.
   Pokud potřebujete pomoc s nasazením více senzorů do sítě, obraťte se na podporu Cisco.

Kontrola verze senzoru
Abyste se ujistili, že máte ve vaší síti nasazený nejnovější senzor (verze 5.1.3), můžete zkontrolovat verzi stávajícího senzoru z příkazového řádku. Pokud potřebujete upgradovat, znovu senzor nainstalujte.

1.  SSH k nasazenému senzoru.
2. Na výzvu zadejte cat /opt/obsrvbl-ona/version a stiskněte klávesu Enter. Pokud konzole nezobrazí verzi 5.1.3, váš senzor je zastaralý. Stáhněte si nejnovější ISO soubor senzoru z web uživatelské rozhraní portálu.

Požadavky na přístup k senzorům
Fyzické zařízení nebo virtuální počítač musí mít přístup k určitým službám přes internet. Nakonfigurujte firewall tak, aby povolil následující provoz mezi senzorem a externím internetem:

Typ provozu	Požadovaný	IP adresa, doména a port nebo konfigurace
Odchozí HTTPS provoz z	Ano	port 443 a IP adresa je

Řídicí rozhraní senzoru pro službu Secure Cloud Analytics hostovanou na Amazonu Web Služby		IP adresa vašeho portálu IP adresy AWS S3 pro vaši oblast Secure Cloud Analytics. Protože se IP adresy AWS mohou měnit, řiďte se pokyny AWS. Téma nápovědy k rozsahům IP adres a vyhledávání služby S3 a vašeho regionu AWS v poskytnutém JSON fileChcete-li najít svůj region AWS, přejděte na řídicí panel Secure Cloud Analytics a přejděte na konec stránky. V poli v zápatí se zobrazuje název regionu pro váš portál, který odpovídá následujícím regionům AWS: Severní Amerika (Severní Virginie): us-east-1 Evropa (Frankfurt): eu- střed-1 Austrálie (Sydney): ap- jihovýchod-2
		1. Přihlaste se k senzoru přes SSH jako administrátor.
		2. Do příkazového řádku zadejte tento příkaz:
Vynutit komunikaci senzoru pouze se známými adresami Cisco	žádný	sudo nano opt/obsrvbl-ona/config.local a stiskněte Vstupte upravit konfiguraci file 3. Aktualizujte nastavení OBSRVBL_SENSOR_EXT_ONLY na následující hodnotu: OBSRVBL_SENSOR_EXT_ONLY=true.
		4. Stisknutím kláves Ctrl + 0 uložte změny.

		5. Stisknutím kláves Ctrl + x ukončete. 6. Na příkazovém řádku zadejte sudo service obsrvbl-ona restart pro restartování senzoru.
Odchozí provoz z ovládacího rozhraní senzoru na server Ubuntu Linux pro stahování operačního systému Linux a souvisejících aktualizací	Ano	us.archive.ubuntu.com:443/TCP us.archive.ubuntu.com:80/TCP
Odchozí provoz z řídicího rozhraní senzoru na DNS server pro rozlišení názvu hostitele	Ano	[lokální DNS server]:53/UDP
Příchozí provoz ze vzdáleného zařízení pro řešení problémů do vašeho senzoru	žádný	54.83.42.41:22/TCP

Pokud používáte proxy službu, vytvořte výjimku proxy pro IP adresy rozhraní pro řízení senzorů.

Konfigurace síťového zařízení
Síťový přepínač nebo router můžete nakonfigurovat tak, aby zrcadlil kopii provozu a poté ji předal senzoru.

• Protože se senzor nachází mimo běžný tok provozu, nemůže váš provoz přímo ovlivňovat. Změny konfigurace, které provedete v web Uživatelské rozhraní portálu ovlivňuje generování upozornění, nikoli tok provozu. Pokud chcete povolit nebo blokovat provoz na základě upozornění, aktualizujte nastavení firewallu.
• Informace o výrobcích síťových přepínačů a zdrojích pro konfiguraci zrcadleného provozu naleznete v následujících zdrojích:

Výrobce	Název zařízení	Dokumentace
NetOptics	síťový odběr	Dokumentaci a další informace naleznete na stránce se zdroji Ixie.
Gigamon	síťový odběr	Dokumentaci a další informace naleznete na stránkách Gigamonových zdrojů a znalostí.

	Analyzátor (SPAN)
Jalovec	zrcadlo pro přístav	Viz dokumentace TechLibrary k Juniperu pro příklad.ampKonfigurace zrcadlení portů pro lokální monitorování využití zdrojů zaměstnanců na přepínačích řady EX
NETGEAR	zrcadlo pro přístav	Příklad naleznete v dokumentaci znalostní báze Netgear.ampzrcadlení portů a jak to funguje se spravovaným přepínačem
ZyXEL	zrcadlo pro přístav	Informace o používání zrcadlení na přepínačích ZyXEL naleznete v dokumentaci znalostní báze ZyXEL.
ostatní	monitorovací port, analyzátorový port, odbočovací port	Referenční informace o přepínačích pro více výrobců naleznete v dokumentaci Wiresharku na wiki.

Můžete také nasadit testovací přístupový bod sítě (tap), který bude předávat kopii provozu senzoru. Následující informace obsahují informace o výrobcích síťových tapů a zdroje pro konfiguraci síťového tapu.

Výrobce	Název zařízení	Dokumentace
NetOptics	síťový odběr	Dokumentaci a další informace naleznete na stránce se zdroji Ixie.
Gigamon	síťový odběr	Dokumentaci a další informace naleznete na stránkách Gigamonových zdrojů a znalostí.

Konfigurace toku
Musíte nakonfigurovat síťové zařízení tak, aby předávalo data NetFlow. Viz https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco Další informace o konfiguraci NetFlow na síťových zařízeních Cisco naleznete v souboru NetFlow_Configuration.pdf.

Instalace a konfigurace senzorových médií

Před zahájením instalace znovuview pokyny k pochopení procesu a také přípravy, času a zdrojů, které budete potřebovat k instalaci a konfiguraci.
Pro tuto instalaci existují dvě možnosti:

• Instalace senzoru na virtuální počítač: Pokud instalujete senzor na virtuální počítač, můžete jej spustit z ISO souboru. file přímo.
•  Instalace senzoru na fyzické zařízení: Pokud instalujete senzor na fyzické zařízení, vytvoříte bootovací médium pomocí souboru .iso. file, poté restartujte zařízení a spusťte systém z daného média.

Instalační proces před instalací senzoru vymaže disk, na který bude senzor nainstalován. Před zahájením instalace se ujistěte, že fyzické zařízení nebo virtuální počítač, kam chcete senzor nainstalovat, neobsahuje žádná data, která chcete uložit.

Vytvoření spouštěcího média

• Pokud nasazujete senzor na fyzické zařízení, nasazujete soubor .iso. file který nainstaluje senzor na bázi Ubuntu Linuxu.
• Pokud napíšete soubor .iso file na optický disk, například CD nebo DVD, můžete restartovat fyzické zařízení s optickým diskem vloženým do optické mechaniky a zvolit spuštění z optického disku.
• Pokud vytvoříte USB flash disk se souborem .iso file a pomocí utility Rufus můžete restartovat fyzické zařízení, vložit USB flash disk do USB portu a zvolit spuštění z USB flash disku.
• Pokud nasadíte senzor bez použití ISO souboru, bude možná nutné aktualizovat nastavení firewallu místního zařízení, aby byl provoz povolen. Důrazně doporučujeme nasadit senzor pomocí poskytnutého ISO souboru.
• Vytvořením bootovacího USB flash disku se smažou všechny informace na flash disku. Ujistěte se, že na flash disku nejsou žádné další informace.

Stáhněte si ISO soubor senzoru file
Stáhněte si nejnovější verzi ISO obrazu senzoru z web portál. Použijte ho buď k instalaci (v případě nového senzoru), nebo k přeinstalaci (v případě upgradu stávajícího senzoru).

1.  Přihlaste se do služby Secure Cloud Analytics jako správce.
2.  Vyberte Nápověda (?) > Instalace lokálního senzoru.
3.  Klikněte na tlačítko .iso a stáhněte si nejnovější verzi ISO.
4. Přejděte na Vytvoření spouštěcího optického disku nebo Vytvoření spouštěcí USB flash disku.

Vytvořte bootovací optický disk
Postupujte podle pokynů výrobce a zkopírujte soubor .iso. file na optický disk.

Vytvořte bootovací USB flash disk

1. Vložte prázdný USB flash disk do USB portu na zařízení, které chcete použít k vytvoření bootovacího USB flash disku.
2.  Přihlaste se k pracovní stanici.
3. Ve vašem web V prohlížeči přejděte do utility Rufus webmísto.
4.  Stáhněte si nejnovější verzi utility Rufus.
5. Otevřete utilitu Rufus.
6.  V rozbalovací nabídce Zařízení vyberte USB flash disk.
7. V rozbalovací nabídce pro výběr spouštění vyberte možnost Disk nebo ISO obraz.
8. Klikněte na VYBRAT a vyberte ISO senzoru file.
9. Klikněte na START.

Vytvořením bootovacího USB flash disku se smažou všechny informace na flash disku. Ujistěte se, že na flash disku nejsou žádné další informace.

Instalace senzoru

1.  Zvolte metodu spouštění pro soubor .iso takto:
   • Virtuální počítač: Pokud instalujete na virtuální počítač, spusťte systém ze souboru .iso. file.
   • Fyzické zařízení: Pokud instalujete na fyzické zařízení, vložte bootovací médium, restartujte zařízení a spusťte systém ze bootovacího média.
2. V úvodním zobrazení vyberte možnost Instalovat ONA (Statická IP adresa) a poté stiskněte klávesu Enter.
3. Vyberte jazyk ze seznamu jazyků pomocí kláves se šipkami a poté stiskněte klávesu Enter.
4. Pro konfiguraci klávesnice máte následující možnosti:
   • Vyberte rozvržení a variantu pro konfiguraci klávesnice a poté stiskněte klávesu Enter.
   • Vyberte možnost Identifikovat klávesnici a stiskněte klávesu Enter.
5. Pro konfiguraci sítě vyberte možnost Ručně a stiskněte klávesu Enter. Všechna ostatní síťová rozhraní jsou automaticky konfigurována jako zrcadlová rozhraní.
6.  Zadejte podsíť pro zařízení, pomocí kláves se šipkami vyberte možnost Pokračovat a stiskněte klávesu Enter.
7.  Zadejte IP adresu zařízení, pomocí kláves se šipkami vyberte možnost Pokračovat a stiskněte klávesu Enter.
8. Zadejte IP adresu routeru Gateway, pomocí kláves se šipkami vyberte možnost Pokračovat a stiskněte klávesu Enter.
9.  (Volitelné) V části Vyhledávání domén zadejte doménu (domény), která (které) se automaticky připojí k názvu hostitele při pokusu o překlad na IP adresu, pomocí kláves se šipkami vyberte možnost Pokračovat a stiskněte klávesu Enter.
   Ve výchozím nastavení instalace automaticky použije DHCP a bude pokračovat. Chcete-li IP adresu DHCP přepsat, budete muset po dokončení instalace ručně upravit rozhraní.
   Doporučujeme zadat adresu lokálního autoritativního jmenného serveru, pokud jej máte ve své síti nasazený.
10. Zadejte celé jméno nového uživatele, které je přidruženo k účtu bez oprávnění root pro oprávnění správce, poté pomocí kláves se šipkami vyberte možnost Pokračovat a stiskněte klávesu Enter.
11.  Zadejte název serveru, což je název, který bude senzor používat při komunikaci s ostatními počítači a který bude viditelný na portálu Secure Cloud Analytics, poté pomocí kláves se šipkami vyberte Pokračovat a stiskněte Enter.
12.  Zadejte uživatelské jméno pro svůj účet, což je účet bez oprávnění root s oprávněními správce, poté pomocí kláves se šipkami vyberte možnost Pokračovat a stiskněte klávesu Enter.
13.  Vyberte heslo pro nového uživatele, poté pomocí kláves se šipkami vyberte možnost Pokračovat a stiskněte klávesu Enter.
14. Znovu zadejte heslo pro ověření a poté pomocí kláves se šipkami vyberte možnost Pokračovat a stiskněte klávesu Enter. Pokud jste stejné heslo nezadali dvakrát, zkuste to znovu.
    Účet, který si vytvoříte během instalace, je jediný účet, který můžete použít pro přístup k virtuálnímu počítači. Tato instalace nevytváří samostatný účet portálu Secure Cloud Analytics.
15. Chcete-li potvrdit proces instalace, vyberte Pokračovat a stiskněte Enter.
    Tato akce smaže všechna data na disku. Před pokračováním se ujistěte, že je prázdný.Počkejte několik minut, než instalační program nainstaluje požadované files.
16. Když instalační program zobrazí zprávu Instalace dokončena, vyberte pomocí kláves se šipkami možnost Restartovat nyní a poté stisknutím klávesy Enter restartujte zařízení.
17. Po restartu zařízení se přihlaste pomocí vytvořeného účtu, abyste se ujistili, že máte správné přihlašovací údaje.

Co dělat dále

• Pokud omezujete přístup do svého soukromého prostředí, ujistěte se, že je povolena komunikace s příslušnými IP adresami. Další informace naleznete v části Požadavky na přístup k senzorům.
• Pokud používáte senzor ke sběru dat o síťovém toku, například NetFlow, další informace o konfiguraci senzoru naleznete v části Konfigurace senzoru pro sběr dat o toku.
•  Pokud používáte senzor a připojujete ho k portům SPAN nebo zrcadlovým portům pro sběr zrcadleného provozu, viz Připojení senzorů k Web Portál s dalšími informacemi o přidávání senzorů do služby Secure Cloud Analytics web portál.
•  Pokud konfigurujete senzor pro přenos telemetrie Enhanced NetFlow, další informace naleznete v Konfigurační příručce Cisco Secure Cloud Analytics pro Enhanced NetFlow.

Připojení senzorů k Web Portál

• Jakmile je senzor nainstalován, bude nutné jej propojit s vaším portálem. To se provede identifikací veřejné IP adresy senzoru a jejím zadáním do web portál. Pokud nemůžete určit veřejnou IP adresu senzoru, můžete senzor ručně propojit s portálem pomocí jeho jedinečného servisního klíče.

Senzor se může připojit k následujícím portálům:

• https://sensor.ext.obsrvbl.com (NÁS)
• https://sensor.ext.eu-prod.obsrvbl.com (EU)
• https://sensor.ext.anz-prod.obsrvbl.com (Austrálie)

Pokud je zapojeno více senzorůtagPokud jsou servery umístěny v centrálním umístění, například u poskytovatele MSSP, a jsou určeny pro různé zákazníky, měla by být veřejná IP adresa po konfiguraci každého nového zákazníka odstraněna. Pokud je veřejná IP adresa serveru…tagPokud se datové prostředí používá pro více senzorů, může být senzor nesprávně připojen k nesprávnému portálu.
Pokud používáte proxy server, proveďte kroky v části Konfigurace proxy serveru, abyste povolili komunikaci mezi senzorem a službou Secure Cloud Analytics. web portál.

Vyhledání a přidání veřejné IP adresy senzoru do portálu

1. Připojte se k senzoru přes SSH jako administrátor.
2. Na příkazovém řádku zadejte curl https://sensor.ext.obsrvbl.comandpressEnterChybová hodnota neznámá identita znamená, že senzor není přidružen k portálu. Příklad viz následující obrázek.ample.Váš hostitel služeb URL se může lišit v závislosti na vaší poloze. Na portálu Secure Cloud Analytics přejděte do Nastavení > Senzory a přejděte na konec stránky, kde najdete svého hostitele služby. url.
3.  Zkopírujte IP adresu identity.
4.  Odhlaste se ze senzoru.
5.  Přihlaste se do služby Secure Cloud Analytics jako správce webu.
6.  Vyberte Nastavení > Senzory > Veřejná IP adresa.
7. Klikněte na Přidat novou IP adresu.
8. Zadejte IP adresu identity do pole Nová adresa. 9. Klikněte na Vytvořit. Po výměně klíčů mezi portálem a senzorem se vytvoří budoucí
9. Klikněte na tlačítko Vytvořit. Poté, co si portál a senzor vymění klíče, navážou budoucí připojení pomocí těchto klíčů, nikoli veřejné IP adresy.
   Může trvat až 20 minut, než se nový senzor projeví v portálu.

Ruční přidání servisního klíče portálu k senzoru
Pokud nemůžete přidat veřejnou IP adresu senzoru do web portál, nebo jste
MSSP spravující více web portály, úprava konfigurace senzoru v souboru config.local file ručně přidat servisní klíč portálu pro propojení senzoru s portálem.
Tato výměna klíčů se provádí automaticky při použití veřejné IP adresy v předchozí části.

1. Přihlaste se do služby Secure Cloud Analytics jako správce.
2.  Vyberte Nastavení > Senzory.
3.  Přejděte na konec seznamu senzorů a zkopírujte servisní klíč. Příklad naleznete na následujícím obrázku.ample.
   Klíč služby: (zobrazit) Hostitel služby:
4. Připojte se k senzoru přes SSH jako administrátor.
5. Na příkazovém řádku zadejte tento příkaz: sudo nano /opt/obsrvbl-ona/config.local a stisknutím klávesy Enter upravte konfiguraci. file.
6. Přidejte následující řádky, které nahradí s servisním klíčem portálu aurl>s vaším regionálním poskytovatelem služeb url: # Servisní klíč
   OBSRVBL_SERVICE_KEY="OBSRVBL_SERVICE_KEY=" „OBSRVBL_HOST="url>“
   Na portálu Secure Cloud Analytics přejděte do Nastavení > Senzory a přejděte na konec stránky, kde najdete svého hostitele služby. url.
   Viz následující obrázek pro příkladampten:
7. Stiskněte Ctrl + 0 pro uložení změn.
8.  Stisknutím kláves Ctrl + x ukončíte.
9.  Na příkazovém řádku zadejte příkaz sudo service obsrvbl-ona restart, čímž restartujete službu Secure Cloud Analytics.

Může trvat až 20 minut, než se nový senzor projeví v portálu.

Konfigurace proxy serveru
Pokud používáte proxy server, proveďte následující kroky k povolení komunikace mezi senzorem a web portál.

1.  Připojte se k senzoru přes SSH jako administrátor.
2.  Na příkazovém řádku zadejte tento příkaz: sudo nano /opt/obsrvbl-ona/config.local a stisknutím klávesy Enter upravte konfiguraci. file.
3.  Přidejte následující řádek, kde nahraďte proxy.name.com názvem hostitele nebo IP adresou vašeho proxy serveru a Port číslem portu vašeho proxy serveru: HTTPS_PROXY="proxy.name.com:Port.“
4. Stiskněte Ctrl + 0 pro uložení změn.
5.  Stisknutím kláves Ctrl + x ukončíte.
6. Na příkazovém řádku zadejte příkaz sudo service obsrvbl-ona restart, čímž restartujete službu Secure Cloud Analytics.

Může trvat až 20 minut, než se nový senzor projeví v portálu.

Potvrzení připojení senzoru k portálu
Po přidání senzoru do portálu potvrďte připojení v aplikaci Secure Cloud Analytics.

Pokud jste ručně propojili senzor s web portál aktualizací souboru config.local
konfigurace file pomocí servisního klíče, pomocí curlpříkaz k potvrzení připojení ze senzoru nemusí vrátit web název portálu.

1. Přihlaste se do služby Secure Cloud Analytics.
2. Vyberte Nastavení > Senzory. Senzor se zobrazí v seznamu.

Pokud senzor na stránce Senzory nevidíte, přihlaste se k senzoru a ověřte připojení.

1. Připojte se k senzoru přes SSH jako administrátor.
2. Na příkazovém řádku zadejte curl https://sensor.ext.obsrvbl.comandpressEnter. Senzor vrátí název portálu. Příklad viz následující obrázek.ample.Váš hostitel služeb url se může lišit v závislosti na vaší poloze. Na portálu Secure Cloud Analytics přejděte do Nastavení > Senzory a přejděte na konec stránky, kde najdete svého hostitele služby. url.
3. Odhlaste se ze senzoru.

Konfigurace senzoru pro sběr dat o průtoku

• Senzor ve výchozím nastavení vytváří záznamy o toku z provozu na svých ethernetových rozhraních. Tato výchozí konfigurace předpokládá, že senzor je připojen k portu SPAN nebo zrcadlovému ethernetovému portu. Pokud mohou záznamy o toku generovat i jiná zařízení ve vaší síti, můžete senzor nakonfigurovat v web uživatelské rozhraní portálu pro shromažďování záznamů o toku z těchto zdrojů a jejich odesílání do cloudu.
• Pokud síťová zařízení generují různé typy toků, doporučuje se nakonfigurovat senzor tak, aby shromažďoval každý typ přes jiný UDP port. To také usnadňuje řešení problémů.
  jednodušší. Ve výchozím nastavení má lokální senzorový firewall (iptables) otevřené porty 2055/UDP, 4739/UDP a 9995/UDP. Pokud chcete použít další porty UDP, musíte je nakonfigurovat v
  a web portál.

Můžete nakonfigurovat shromažďování následujících typů toků v web Uživatelské rozhraní portálu:

• NetFlow v5 – Port 2055/UDP (ve výchozím nastavení otevřený)
• NetFlow v9 – Port 9995/UDP (ve výchozím nastavení otevřený)
• IPFIX – Port 4739/UDP (ve výchozím nastavení otevřený)
•  sFlow – Port 6343/UDP

Uvedli jsme výchozí porty, ale ty lze nakonfigurovat na vaše preferované porty v web uživatelské rozhraní portálu.

Některá síťová zařízení musí být vybrána v web uživatelské rozhraní portálu, než budou správně fungovat:

• Cisco Meraki – Port 9998/UDP
• Cisco ASA – Port 9997/UDP
• SonicWALL – Port 9999/UDP

Firmware Meraki verze 14.50 sladí formát exportu protokolů Meraki s formátem NetFlow. Pokud vaše zařízení Meraki používá firmware verze 14.50 nebo vyšší, nakonfigurujte senzor s typem sondy NetFlow v9 a zdrojem Standard. Pokud vaše zařízení Meraki používá firmware verze starší než 14.50, nakonfigurujte senzor s typem sondy NetFlow v9 a zdrojem Meraki MX (nižší verze 14.50).

Konfigurace senzorů pro sběr dat o průtoku

1. Přihlaste se do služby Secure Cloud Analytics jako správce.
2. Vyberte Nastavení > Senzory.
3. Klikněte na rozbalovací nabídku Nastavení pro přidaný senzor.
4. Vyberte konfiguraci NetFlow/IPFIX.
   Tato možnost vyžaduje aktuální verzi senzoru. Pokud tuto možnost nevidíte, vyberte Nápověda (?) > Instalace senzoru na místě a stáhněte si aktuální verzi ISO souboru senzoru.
5. Klikněte na Přidat novou sondu.
6.  Vyberte typ průtoku z rozbalovací nabídky Typ sondy.
7.  Zadejte číslo portu.
   Pokud chcete do senzoru přenést protokol Enhanced NetFlow, ujistěte se, že port UDP, který konfigurujete, není v konfiguraci senzoru nakonfigurován také pro Flexible NetFlow nebo IPFIX. Např.ampNakonfigurujte port 2055/UDP pro Enhanced NetFlow a port 9995/UDP pro Flexible NetFlow. Další informace naleznete v Konfigurační příručce pro Enhanced NetFlow.
8. Z rozbalovací nabídky vyberte protokol.
9.  Vyberte zdroj z rozbalovací nabídky.
10.  Klikněte na Uložit.

Aktualizace konfigurace senzorů se na portálu mohou projevit až 30 minut.

Odstraňování problémů

Zachycení paketů ze senzoru
Podpora Cisco může občas potřebovat ověřit data o toku přijímaná senzorem. Doporučujeme to provést vygenerováním zachycení paketů toků. Zachycení paketů můžete také otevřít ve Wiresharku a znovu...view data.

1.  Připojte se k senzoru přes SSH jako administrátor.
2.  Na výzvu zadejte sudo tcpdump -D a stiskněte klávesu Enter. view seznam rozhraní. Poznamenejte si název řídicího rozhraní vašeho senzoru.
3. Na výzvu zadejte sudo tcpdump -i -n -c 100 “port „-w“ , nahradit s názvem vašeho ovládacího rozhraní, s číslem portu odpovídajícím vašim nakonfigurovaným datům o toku a s názvem pro vygenerovaný pcap filea poté stiskněte klávesu Enter. Systém vygeneruje pcap file se zadaným názvem pro provoz daného rozhraní přes zadaný port.
4. Odhlaste se ze senzoru.
5. Pomocí programu SFTP, jako je PuTTY SFTP (PSFTP) nebo WinSCP, se přihlaste k senzoru.
6. Na výzvu zadejte get , nahradit s vaším vygenerovaným pcap file jméno a stiskněte Enter pro přenos file k vaší lokální pracovní stanici.

Analýza zachycení paketů ve Wiresharku

1. Stáhněte a nainstalujte Wireshark a poté jej otevřete.
2. Vybrat File > Otevřete a poté vyberte svůj PCAP file.
3. Vyberte Analyzovat > Dekódovat jako.
4. Kliknutím na + přidáte nové pravidlo.
5. V rozevírací nabídce Aktuální vyberte možnost CFLOW a poté klikněte na OK. Uživatelské rozhraní se aktualizuje a zobrazuje pouze pakety související s NetFlow, IPFIX nebo sFlow. Pokud se nezobrazí žádné výsledky, soubor pcap neobsahuje pakety související s NetFlow a sběr dat o toku je na senzoru nesprávně nakonfigurován.

Další zdroje

Další informace o službě Secure Cloud Analytics naleznete v následujících odkazech:

• https://www.cisco.com/c/en/us/products/security/stealthwatch-cloud/index.html pro generála nadview
• https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/tsd-products-support-series-home.html pro dokumentační zdroje
• https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/products-installation-guides-list.html pro instalační a konfigurační průvodce, včetně Průvodce počátečním nasazením služby Secure Cloud Analytics

Kontaktování podpory
Pokud potřebujete technickou podporu, proveďte jednu z následujících akcí:

•  Kontaktujte svého místního partnera Cisco
• Kontaktujte podporu Cisco
• Chcete-li otevřít případ pomocí web: http://www.cisco.com/c/en/us/support/index.html
• Otevření případu e-mailem: tac@cisco.com
•  Pro telefonickou podporu: 1-800-553-2447 (NÁS)
• Celosvětová čísla podpory: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Historie změn

Verze dokumentu	Datum zveřejnění	Popis
1_0	dubna 27,2022	Počáteční verze
1_1	srpna 1,2022	Aktualizace informací o podpoře Cisco.  Přidána poznámka k veřejným IP adresám.
1_2	17. února 2023	Přidána sekce Konfigurace proxy.  Aktualizováno nastavení senzoru Meraki.
1_3	června 21,2023	Opravena překlep. Aktualizované číslování postupů.
1_4	8. dubna 2024	Aktualizován úvod v Senzorová média Instalace a Konfigurace sekce. Drobné změny formátování.
1_5	30. října 2024	Aktualizováno Požadavky na přístup k senzorům sekce.
2_0	4. prosince 2024	Aktualizovaná verze senzoru, nainstalovaný senzor sekce, Vyhledání a přidání veřejné IP adresy senzoru do portálu sekce a Předpoklady pro senzory sekce.
2_1	21. dubna 2025	Přidána poznámka k možnosti spouštění VMware Další požadavky na virtuální počítač sekce. Aktualizováno Ruční přidání servisního klíče portálu do Senzor sekce pro zahrnutí konfiguračních informací OBSRVBL_HOST.
2_2	17. října 2025	Odstraněno omezení pouze pro Severní Ameriku, které vynucovalo, aby senzor komunikoval pouze se známými adresami Cisco.

Informace o autorských právech

• Cisco a logo Cisco jsou ochranné známky nebo registrované ochranné známky společnosti Cisco a/nebo jejích přidružených společností v USA a dalších zemích. Na view seznam ochranných známek Cisco, přejděte sem URL: https://www.cisco.com/go/trademarks. Uvedené ochranné známky třetích stran jsou majetkem příslušných vlastníků. Použití slova partner neznamená partnerský vztah mezi společností Cisco a jakoukoli jinou společností. (1721R)
• © 2025 Cisco Systems, Inc. a/nebo její přidružené společnosti. Všechna práva vyhrazena.

Nejčastější dotazy

Může senzor shromažďovat provoz IPv6?

Ne, senzor nepodporuje provoz IPv6.

Dokumenty / zdroje

Senzor pro zabezpečenou cloudovou analytiku CISCO [pdfUživatelská příručka Bezpečný cloudový analytický senzor, cloudový analytický senzor, analytický senzor, senzor

Reference

• Uživatelská příručka