Indhold skjule
1 CISCO Secure Cloud Analytics-sensor
2 Indledning
3 Overvejelser ved sensorinstallation
4 Sensorforudsætninger
5 Yderligere krav til fysisk apparat
6 Installation og konfiguration af sensormedier
7 Installation af sensoren
8 Hvad skal du gøre næste
9 Fastgørelse af sensorer til Web Portal
10 Konfiguration af sensorer til flowindsamling
11 Fejlfinding
12 Yderligere ressourcer
13 Ændringshistorik
14 Ofte stillede spørgsmål
15 Dokumenter/ressourcer
15.1 Referencer

CISCO-logo

CISCO Secure Cloud Analytics-sensor

CISCO-Secure-Cloud-Analytics-Senso-produkt

Indledning

Cisco Secure Cloud Analytics (nu en del af Cisco XDR) er en SaaS-baseret sikkerhedstjeneste, der registrerer og reagerer på trusler i IT-miljøer, både on-premise og i skyen. Denne vejledning forklarer, hvordan du implementerer Secure Cloud Analytics-sensorer som en del af din private netværksovervågningstjeneste til brug i virksomhedsnetværk, private datacentre, filialer og andre on-premise miljøer.

  • Hvis du planlægger kun at bruge Secure Cloud Analytics i offentlige cloud-miljøer, såsom Amazon Web Tjenester, Microsoft Azure eller Google Cloud Platform, behøver du ikke at installere en sensor. Gå til vejledningerne til overvågning af den offentlige cloud for at få flere oplysninger.
  • Denne vejledning indeholder instruktioner til installation af sensoren på Ubuntu Linux. For installationsvejledning på andre operativsystemer henvises til Secure Cloud Analytics Sensor Advanced Configuration Guide.

Overvejelser ved sensorinstallation

  • Du kan implementere sensorer til at indsamle flowdata, f.eks. NetFlow, eller til at indtage netværkstrafik, der spejles fra en router eller switch på dit netværk. Du kan også konfigurere en sensor til både at indsamle flowdata og indtage spejlet netværkstrafik. Der er ingen grænse for antallet af implementerede sensorer.
  • Hvis du vil konfigurere en sensor til at indsamle flowdata, kan du finde flere oplysninger i Konfiguration af en sensor til at indsamle flowdata.
  • Hvis du vil konfigurere en sensor til at indtage trafik fra et spejl eller en SPAN-port, skal du se Konfiguration af netværksenheder for at få flere oplysninger om konfiguration af dine netværksenheder til at spejle trafik.
  • Sensorversion 4.0 eller nyere kan indsamle forbedret NetFlow-telemetri. Dette gør det muligt for Secure Cloud Analytics at generere nye typer observationer og advarsler. For mere information, se Secure Cloud Analytics Configuration Guide for Enhanced NetFlow.
  • Sensoren understøtter ikke IPv6.

Sensorforudsætninger

Du kan installere en sensor på en fysisk enhed eller virtuel maskine, hvis følgende krav er opfyldt:

Komponent Minimumskrav
Netværksgrænseflade mindst én netværksgrænseflade, betegnet som kontrolgrænseflade, til at videregive information til Secure Cloud Analytics-tjenesten. Hvis du eventuelt vil konfigurere sensoren til at indtage netværkstrafik fra en netværksenhed, der replikerer den over en spejlport, skal du bruge en eller flere netværksgrænseflader, der er betegnet som spejlgrænseflader.
VÆDDER 4 GB
CPU mindst to kerner
Opbevaringsplads 60 GB diskplads bruges til at cache NetFlow-produktionsdata, før poster sendes til Secure Cloud Analytics.
Internetadgang kræves for at downloade pakker til installationsprocessen

Bemærk følgende om de angivne Mirror-grænseflader:

  • Mirror-grænseflader modtager en kopi af al indgående og udgående kildetrafik til destinationen. Sørg for, at din spidsbelastningstrafik er mindre end kapaciteten af ​​sensorens Mirror-grænsefladelink.
  • Mange switche dropper pakker fra kildegrænsefladerne, hvis en spejlportdestination er konfigureret med for meget trafik.

Yderligere krav til fysisk apparat

Komponent Minimumskrav
Installation File Upload En af følgende måder at uploade installationsfilen .iso file:
  • 1 USB-port plus et USB-flashdrev
  • 1 optisk diskdrev plus en skrivbar optisk disk (f.eks. en CD-R-disk)

Virtuelle maskiner kan starte direkte fra .iso-filen file uden yderligere krav.

Yderligere krav til virtuel maskine
Hvis din sensor er implementeret som en virtuel maskine, skal du sørge for, at den virtuelle vært og netværket er konfigureret til promiskuøs tilstand på den anden netværksgrænseflade, hvis du planlægger at indtage trafik fra et spejl eller en SPAN-port.

  • Når sensoren implementeres i et VMWare 8-miljø, kan den ikke indlæses, når standardindstillingen for UEFI-opstart bruges. For at løse dette problem skal du i trinnet Tilpas hardware vælge VM-indstillinger > Opstartsindstillinger og derefter vælge BIOS på rullelisten Firmware.

VMware-hypervisor
Hvis du kører den virtuelle maskine på en VMware-hypervisor, skal du konfigurere den virtuelle switch til promiskuøs tilstand:

  1. Vælg værten i inventaret.
  2. Vælg fanen Konfiguration.
  3. Klik på Netværk.
  4. Klik på Egenskaber for din virtuelle switch.
  5. Vælg den virtuelle switch, og klik på Rediger.
  6. Vælg fanen Sikkerhed.
  7. Vælg Accepter i rullemenuen Promiskuøs tilstand.

Se VMwares vidensbase for yderligere oplysninger om promiskuøs tilstand. Du skal muligvis indstille VLAN-ID'et til 4095.

VirtualBox
Hvis du kører den virtuelle maskine i VirtualBox, skal du konfigurere adapteren til promiskuøs tilstand:

  1.  Vælg adapteren til Mirror-grænsefladen fra netværksindstillingerne.
  2.  Indstil promiskuøs tilstand til Tillad i de avancerede indstillinger.

Se VirtualBox-dokumentationen om virtuelle netværk for at få flere oplysninger.

Forslag til sensorimplementering
Da netværkstopologier kan variere meget, skal du huske på følgende generelle retningslinjer, når du implementerer dine sensorer:

  1.  Bestem om du vil installere sensorer til:
    • indsaml flowdata
    • indtag spejlet netværkstrafik
    • nogle indsamler flowdata, og andre indtager spejlet netværkstrafik
    • både indsamler flowdata og indtager spejlet netværkstrafik
  2.  Hvis du indsamler flowdata, skal du bestemme, hvilke formater dine netværksenheder kan eksportere, f.eks. NetFlow v5, NetFlow v9, IPFIX eller sFlow.
    Mange firewalls understøtter NetFlow, herunder Cisco ASA-firewalls og Cisco Meraki MX Appliances. Se producentens supportdokumentation for at finde ud af, om din firewall også understøtter NetFlow.
  3. Sørg for, at netværksporten på sensoren kan understøtte spejlportenes kapacitet.
    Kontakt Cisco Support, hvis du har brug for hjælp til at implementere flere sensorer på dit netværk.

Kontrol af din sensorversion
For at sikre, at du har den nyeste sensor installeret på dit netværk (version 5.1.3), kan du kontrollere en eksisterende sensors version fra kommandolinjen. Hvis du har brug for at opgradere, skal du geninstallere sensoren.

  1.  SSH ind i den installerede sensor.
  2. Indtast cat /opt/obsrvbl-ona/version ved prompten, og tryk på Enter. Hvis konsollen ikke viser 5.1.3, er din sensor forældet. Download den nyeste sensor-ISO fra web portal brugergrænseflade.

Krav til adgang til sensorer
Den fysiske enhed eller virtuelle maskine skal have adgang til bestemte tjenester over internettet. Konfigurer din firewall til at tillade følgende trafik mellem en sensor og det eksterne internet:

Trafiktype Påkrævet IP-adresse, domæne og port eller konfiguration
Udgående HTTPS-trafik fra ja
  • port 443 og IP-adressen er
Sensorens kontrolgrænseflade til Secure Cloud Analytics-tjenesten, der hostes på Amazon Web Tjenester din portals IP-adresse
  • AWS S3 IP-adresser for din Secure Cloud Analytics-region. Da AWS IP-adresserne kan ændre sig, skal du se AWS
  • Hjælp til emnet IP-adresseintervaller og søgning efter S3-tjeneste og din AWS-region i den angivne JSON fileFor at finde din AWS-region skal du gå til dit Secure Cloud Analytics-dashboard og rulle ned til bunden af ​​siden. Et felt i sidefoden viser navnet på regionen for din portal, som svarer til følgende AWS-regioner:
    • Nordamerika (Nord-Virginia): us-east-1
    • Europa (Frankfurt): eu-central-1
    • Australien (Sydney): ap- sydøst-2
1. SSH ind i sensoren som administrator.
2. Indtast denne kommando i kommandoprompten:
Tving sensoren til kun at kommunikere med kendte Cisco-adresser ingen sudo nano opt/obsrvbl-ona/config.local og tryk på Indtast for at redigere konfigurationen file 3. Opdater indstillingen OBSRVBL_SENSOR_ EXT_ONLY til følgende: OBSRVBL_SENSOR_ EXT_ONLY=true.
4. Tryk Ctrl + 0 for at gemme ændringerne.

5. Tryk på Ctrl + x for at afslutte. 6. Indtast sudo service obsrvbl-ona restart ved kommandoprompten for at genstarte sensoren.
Udgående trafik fra sensorens kontrolgrænseflade til Ubuntu Linux-serveren for at downloade Linux OS og relaterede opdateringer ja
Udgående trafik fra sensorens kontrolgrænseflade til en DNS-server til hostname-oversættelse ja
  •  [lokal DNS-server]:53/UDP
Indgående trafik fra en fjernfejlfindingsenhed til din sensor ingen
  • 54.83.42.41:22/TCP

Hvis du bruger en proxytjeneste, skal du oprette en proxy-undtagelse for IP-adresser på sensorstyringsgrænsefladen.

Konfiguration af netværksenhed
Du kan konfigurere din netværksswitch eller router til at spejle en kopi af trafikken og derefter sende den til sensoren.

  • Da sensoren sidder uden for den normale trafikstrøm, kan den ikke direkte påvirke din trafik. Konfigurationsændringer, som du foretager i web Portalens brugergrænseflade påvirker generering af advarsler, ikke hvordan din trafik flyder. Hvis du vil tillade eller blokere trafik baseret på advarsler, skal du opdatere dine firewallindstillinger.
  • Se følgende for information om producenter af netværksswitche og ressourcer til konfiguration af spejlet trafik:
Fabrikant Enhedens navn Dokumentation
NetOptics netværkshanen Se Ixias ressourceside for dokumentation og andre oplysninger
Gigamon netværkshanen Se Gigamons ressourcer og vidensider for dokumentation og andre oplysninger.

Analysator (SPAN)
Enebær portspejl Se Junipers TechLibrary-dokumentation for et eksempel.ampLektion om konfiguration af portspejling til lokal overvågning af medarbejderressourceforbrug på EX-seriens switche
NETGEAR portspejl Se Netgears vidensbasedokumentation for et eksempel.ampom portspejling og hvordan det fungerer med en administreret switch
ZyXEL portspejl Se dokumentationen i ZyXELs vidensbase for information om, hvordan du bruger Mirroring på ZyXEL-switche.
andre monitorport, analysatorport, tapport Se Wiresharks wiki-dokumentation for en switchreference for flere producenter.

Du kan også installere en netværkstest-adgangspunktsenhed (tap) for at sende en kopi af trafikken til sensoren. Se følgende for information om producenter af netværkstap og ressourcer til konfiguration af netværkstappen.

Fabrikant Enhedens navn Dokumentation
NetOptics netværkshanen Se Ixias ressourceside for dokumentation og andre oplysninger
Gigamon netværkshanen Se Gigamons ressourcer og vidensider for dokumentation og andre oplysninger.

Flow konfiguration
Du skal konfigurere din netværksenhed til at overføre NetFlow-data. Se https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco NetFlow_Configuration.pdf for yderligere oplysninger om konfiguration af NetFlow på Cisco-netværksenheder.

Installation og konfiguration af sensormedier

Inden du starter installationen, vedrview instruktionerne for at forstå processen samt den forberedelse, tid og de ressourcer, du skal bruge til installation og konfiguration.
Der er to muligheder for denne installation:

  • Installation af sensoren på en virtuel maskine: Hvis du installerer en sensor på en virtuel maskine, kan du starte fra .iso-filen file direkte.
  •  Installation af sensoren på en fysisk enhed: Hvis du installerer en sensor på en fysisk enhed, skal du oprette et bootbart medie ved hjælp af .iso-filen. file, genstart derefter apparatet og start fra det pågældende medie.

Installationsprocessen sletter den disk, hvor sensoren skal installeres, før sensoren installeres. Før du starter installationen, skal du bekræfte, at den fysiske enhed eller virtuelle maskine, hvor du planlægger at installere sensoren, ikke indeholder data, du vil gemme.

Oprettelse af bootmedier

  • Hvis du installerer en sensor på et fysisk apparat, installerer du en .iso file som installerer sensoren, baseret på Ubuntu Linux.
  • Hvis du skriver .iso-filen file til en optisk disk, f.eks. en cd eller dvd, kan du genstarte den fysiske enhed med den optiske disk i et optisk diskdrev og vælge at starte fra den optiske disk.
  • Hvis du opretter et USB-flashdrev med .iso file og Rufus-værktøjet, kan du genstarte den fysiske enhed, indsætte USB-flashdrevet i en USB-port og vælge at starte fra USB-flashdrevet.
  • Hvis du installerer en sensor uden at bruge en ISO, skal du muligvis opdatere den lokale enhed's firewallindstillinger for at tillade trafik. Vi anbefaler kraftigt, at du installerer sensoren ved hjælp af den medfølgende ISO.
  • Oprettelse af et bootbart USB-flashdrev sletter alle oplysninger på flashdrevet. Sørg for, at flashdrevet ikke indeholder andre oplysninger.

Download sensorens ISO-fil file
Download den seneste version af sensor-ISO fra web portal. Brug denne enten til at installere (for en ny sensor) eller geninstallere (for at opgradere en eksisterende sensor).

  1.  Log ind på Secure Cloud Analytics som administrator.
  2.  Vælg Hjælp (?) > Installation af sensor på stedet.
  3.  Klik på .iso-knappen for at downloade den nyeste ISO-version.
  4. Gå til Opret en bootbar optisk disk eller Opret et bootbart USB-flashdrev.

Opret en bootbar optisk disk
Følg producentens instruktioner for at kopiere .iso-filen file til en optisk disk.

Opret et bootbart USB-flashdrev

  1. Indsæt et tomt USB-flashdrev i en USB-port på den enhed, du vil bruge til at oprette det bootbare USB-flashdrev.
  2.  Log ind på arbejdsstationen.
  3. I din web browser, gå til Rufus-værktøjet webwebsted.
  4.  Download den nyeste version af Rufus-værktøjet.
  5. Åbn Rufus-værktøjet.
  6.  Vælg USB-flashdrevet i rullemenuen Enhed.
  7. Vælg Disk eller ISO-billede fra rullemenuen Opstartsvalg.
  8. Klik på VÆLG, og vælg sensorens ISO file.
  9. Klik på START.

Oprettelse af et bootbart USB-flashdrev sletter alle oplysninger på flashdrevet. Sørg for, at flashdrevet ikke indeholder andre oplysninger.

Installation af sensoren

  1.  Vælg opstartsmetoden for .iso-filen som følger:
    • Virtuel maskine: Hvis du installerer på en virtuel maskine, skal du starte fra .iso-filen file.
    • Fysisk enhed: Hvis du installerer på en fysisk enhed, skal du indsætte det bootbare medie, genstarte enheden og starte fra det bootbare medie.
  2. Vælg Installer ONA (statisk IP) ved den første prompt, og tryk derefter på Enter.
  3. CISCO-Secure-Cloud-Analytics-Senso- (2)Vælg et sprog fra sproglisten ved hjælp af piletasterne, og tryk derefter på Enter. CISCO-Secure-Cloud-Analytics-Senso- (3)
  4. For tastaturkonfigurationen har du følgende muligheder:
    • Vælg et layout og en variant for at konfigurere tastaturet, og tryk derefter på Enter.
    • Vælg Identificer tastatur, og tryk derefter på Enter. CISCO-Secure-Cloud-Analytics-Senso- (4)
  5. For netværkskonfiguration skal du vælge Manuel og trykke på Enter. CISCO-Secure-Cloud-Analytics-Senso- (5)Alle andre netværksgrænseflader konfigureres automatisk som spejlgrænseflader.
  6.  Indtast et undernet for apparatet, vælg Fortsæt med piletasterne, og tryk på Enter.
  7.  Indtast en IP-adresse til apparatet, vælg Fortsæt med piletasterne, og tryk på Enter.
  8. Indtast en IP-adresse for gateway-routeren, vælg Fortsæt med piletasterne, og tryk på Enter.
  9.  (Valgfrit) For Søg domæner skal du indtaste det/de domæne(r), der automatisk skal føjes til værtsnavnet, når du forsøger at finde en IP-adresse, vælge Fortsæt med piletasterne og trykke på Enter.
    Som standard bruger installationen automatisk DHCP og fortsætter med installationen. For at tilsidesætte DHCP IP-adressen skal du manuelt redigere brugergrænsefladen, når installationen er færdig.
    Vi anbefaler, at du indtaster en lokal autoritativ navneserveradresse, hvis du har en installeret i dit netværk. CISCO-Secure-Cloud-Analytics-Senso- (6)
  10. Indtast det fulde navn for den nye bruger, som er knyttet til en ikke-root-konto for at få administratorrettigheder, vælg derefter Fortsæt med piletasterne, og tryk på Enter.
  11.  Indtast din servers navn, som er det navn, sensoren vil bruge, når den kommunikerer med andre computere, og som vil være synligt i Secure Cloud Analytics-portalen, og vælg derefter Fortsæt med piletasterne, og tryk på Enter.
  12.  Indtast brugernavnet til din konto, som er ikke-root-kontoen med administratorrettigheder, vælg derefter Fortsæt med piletasterne, og tryk på Enter.
  13.  Vælg en adgangskode til den nye bruger, vælg derefter Fortsæt med piletasterne, og tryk på Enter.
  14. Indtast adgangskoden igen for at bekræfte, vælg derefter Fortsæt med piletasterne, og tryk på Enter. Hvis du ikke indtastede den samme adgangskode to gange, skal du prøve igen.
    Den konto, du opretter under opsætningen, er den eneste konto, du kan bruge til at få adgang til den virtuelle maskine. Denne installation opretter ikke en separat Secure Cloud Analytics-portalkonto. CISCO-Secure-Cloud-Analytics-Senso- (7)
  15. For at bekræfte installationsprocessen skal du vælge Fortsæt og derefter trykke på Enter.
    Denne handling sletter alle data på drevet. Sørg for, at det er tomt, før du fortsætter.CISCO-Secure-Cloud-Analytics-Senso- (8)Vent et par minutter på, at installationsprogrammet installerer det nødvendige files.
  16. Når installationsprogrammet viser Installation fuldført, skal du vælge Genstart nu med piletasterne og derefter trykke på Enter for at genstarte apparatet.CISCO-Secure-Cloud-Analytics-Senso- (9)
  17. Når apparatet er genstartet, skal du logge ind med den oprettede konto for at sikre, at dine loginoplysninger er korrekte.

Hvad skal du gøre næste

  • Hvis du begrænser adgangen til dine private miljøer, skal du sørge for, at kommunikation med de relevante IP-adresser er tilladt. Se Krav til sensoradgang for yderligere information.
  • Hvis du bruger sensoren til at indsamle netværkstrafik, f.eks. NetFlow, skal du se Konfiguration af en sensor til at indsamle flowdata for at få flere oplysninger om konfiguration af sensoren.
  •  Hvis du bruger sensoren og tilslutter den til SPAN- eller spejlporte for at indsamle spejlet trafik, skal du se Tilslutning af sensorer til Web Portal for mere information om tilføjelse af sensorer i Secure Cloud Analytics web portal.
  •  Hvis du konfigurerer sensoren til at overføre Enhanced NetFlow-telemetri, kan du finde flere oplysninger i Cisco Secure Cloud Analytics-konfigurationsvejledningen til Enhanced NetFlow.

Fastgørelse af sensorer til Web Portal

  • Når en sensor er installeret, skal den forbindes med din portal. Dette gøres ved at identificere sensorens offentlige IP-adresse og indtaste den i web portal. Hvis du ikke kan bestemme sensorens offentlige IP-adresse, kan du manuelt linke sensoren til din portal ved hjælp af dens unikke servicenøgle.

Sensoren kan oprette forbindelse til følgende portaler:

Hvis der er flere sensorertagpå en central placering, f.eks. en MSSP, og de er beregnet til forskellige kunder, bør den offentlige IP-adresse fjernes, efter hver ny kunde er konfigureret. Hvis en offentlig IP-adresse for stagHvis et ing-miljø bruges til flere sensorer, kan en sensor være forkert tilsluttet den forkerte portal.
Hvis du bruger en proxyserver, skal du udføre trinnene i afsnittet Konfiguration af proxy for at aktivere kommunikation mellem sensoren og Secure Cloud Analytics. web portal.

Finde og tilføje en sensors offentlige IP-adresse til en portal

  1. SSH ind i sensoren som administrator.
  2. Indtast c ved kommandopromptenurl https://sensor.ext.obsrvbl.comandpressEnterFejlværdien for ukendt identitet betyder, at sensoren ikke er tilknyttet en portal. Se følgende billede for et eksempel.ample.CISCO-Secure-Cloud-Analytics-Senso- (10)Din servicevært URL kan variere afhængigt af din placering. Gå til Indstillinger > Sensorer i din Secure Cloud Analytics-portal, og rul ned til bunden af ​​siden for at finde din tjenestevært. url.
  3.  Kopiér identitetens IP-adresse.
  4.  Log ud af sensoren.
  5.  Log ind på Secure Cloud Analytics som webstedsadministrator.
  6.  Vælg Indstillinger > Sensorer > Offentlig IP.
  7. Klik på Tilføj ny IP-adresse.
  8. Indtast identitetens IP-adresse i feltet Ny adresse. 9. Klik på Opret. Når portalen og sensoren har udvekslet nøgler, etablerer de fremtidige
  9. CISCO-Secure-Cloud-Analytics-Senso- (11) Klik på Opret. Når portalen og sensoren har udvekslet nøgler, opretter de fremtidige forbindelser ved hjælp af nøglerne, ikke den offentlige IP-adresse.
    Det kan tage op til 20 minutter, før en ny sensor afspejles i portalen.

Tilføj manuelt en portals servicenøgle til en sensor
Hvis du ikke kan tilføje en sensors offentlige IP-adresse til web portal, eller du er en
MSSP, der administrerer flere web portaler, rediger en sensors config.local-konfiguration file at manuelt tilføje en portals servicenøgle for at knytte sensoren til portalen.
Denne nøgleudveksling sker automatisk, når den offentlige IP-adresse i det foregående afsnit bruges.

  1. Log ind på Secure Cloud Analytics som administrator.
  2.  Vælg Indstillinger > Sensorer.
  3.  Naviger til slutningen af ​​sensorlisten, og kopier servicenøglen. Se følgende billede for et eksempel.ample.
    Servicenøgle: (vis) Servicevært:CISCO-Secure-Cloud-Analytics-Senso- (12)
  4. SSH ind i sensoren som administrator.
  5. Indtast denne kommando ved kommandoprompten: sudo nano /opt/obsrvbl-ona/config.localog tryk på Enter for at redigere konfigurationen. file.
  6. Tilføj følgende linjer, og erstat med portalens servicenøgle ogurl>med din regionale servicevært url# Servicenøgle
    OBSRVBL_SERVICE_NØGLE=" "OBSRVBL_HOST="url>”
    I din Secure Cloud Analytics-portal skal du gå til Indstillinger > Sensorer og rulle ned til bunden af ​​siden for at finde din tjenestevært. url.
    Se følgende billede for et eksempelampdet:
  7. CISCO-Secure-Cloud-Analytics-Senso- (13)Tryk Ctrl + 0 for at gemme ændringerne.
  8.  Tryk Ctrl + x for at afslutte.
  9.  Skriv sudo service obsrvbl-ona restart ved kommandoprompten for at genstarte Secure Cloud Analytics-tjenesten.

Det kan tage op til 20 minutter, før en ny sensor afspejles i portalen.

Konfiguration af proxy
Hvis du bruger en proxyserver, skal du følge disse trin for at aktivere kommunikation mellem sensoren og web portal.

  1.  SSH ind i sensoren som administrator.
  2.  Indtast denne kommando ved kommandoprompten: sudo nano /opt/obsrvbl-ona/config.local og tryk på Enter for at redigere konfigurationen. file.
  3.  Tilføj følgende linje, hvor du erstatter proxy.name.com med din proxyservers værtsnavn eller IP-adresse og Port med din proxyservers portnummer: HTTPS_PROXY=”proxy.navn.com:Port."
  4. Tryk Ctrl + 0 for at gemme ændringerne.
  5.  Tryk Ctrl + x for at afslutte.
  6. Skriv sudo service obsrvbl-ona restart ved kommandoprompten for at genstarte Secure Cloud Analytics-tjenesten.

Det kan tage op til 20 minutter, før en ny sensor afspejles i portalen.

Bekræftelse af en sensors portalforbindelse
Når en sensor er tilføjet til portalen, skal du bekræfte forbindelsen i Secure Cloud Analytics.

Hvis du manuelt har forbundet en sensor til web portalen ved at opdatere config.local
konfiguration file ved hjælp af en servicenøgle, ved hjælp af curlkommandoen til at bekræfte forbindelsen fra sensoren returnerer muligvis ikke web portalnavn.

  1. Log ind på Sikker Cloud Analytics.
  2. Vælg Indstillinger > Sensorer. Sensoren vises på listen.

CISCO-Secure-Cloud-Analytics-Senso- (14)

Hvis du ikke kan se sensoren på siden Sensorer, skal du logge ind på sensoren for at bekræfte forbindelsen.

  1. SSH ind i sensoren som administrator.
  2. Indtast c ved kommandopromptenurl https://sensor.ext.obsrvbl.comandpressEnter. Sensoren returnerer portalnavnet. Se følgende billede for et eksempelample.CISCO-Secure-Cloud-Analytics-Senso- (1)Din servicevært url kan variere afhængigt af din placering. Gå til Indstillinger > Sensorer i din Secure Cloud Analytics-portal, og rul ned til bunden af ​​siden for at finde din tjenestevært. url.
  3. Log ud af sensoren.

Konfiguration af en sensor til at indsamle flowdata

  • En sensor opretter som standard flowregistreringer fra trafikken på sine Ethernet-grænseflader. Denne standardkonfiguration antager, at sensoren er tilsluttet en SPAN- eller mirror-Ethernetport. Hvis andre enheder på dit netværk kan generere flowregistreringer, kan du konfigurere sensoren i web portal-brugergrænsefladen til at indsamle flowposter fra disse kilder og sende dem til skyen.
  • Hvis netværksenhederne genererer forskellige typer flows, anbefales det at konfigurere sensoren til at indsamle hver type over en anden UDP-port. Dette gør det også nemmere at fejlfinde
    nemmere. Som standard har den lokale sensor-firewall (iptables) portene 2055/UDP, 4739/UDP og 9995/UDP åbne. Hvis du vil bruge yderligere UDP-porte, skal du konfigurere dem i
    de web portal.

Du kan konfigurere indsamling af følgende flowtyper i web Portal-brugergrænseflade:

  • NetFlow v5 – Port 2055/UDP (åben som standard)
  • NetFlow v9 – Port 9995/UDP (åben som standard)
  • IPFIX – Port 4739/UDP (åben som standard)
  •  sFlow – Port 6343/UDP

Vi har angivet standardportene, men disse kan konfigureres til dine foretrukne porte i web portal brugergrænseflade.

Visse netværksapparater skal vælges i web portal-brugergrænsefladen, før de fungerer korrekt:

  • Cisco Meraki – Port 9998/UDP
  • Cisco ASA – Port 9997/UDP
  • SonicWALL – Port 9999/UDP

Meraki-firmwareversion 14.50 justerer Meraki-logeksportformatet med NetFlow-formatet. Hvis din Meraki-enhed kører firmwareversion 14.50 eller nyere, skal du konfigurere din sensor med en probetype på NetFlow v9 og en kilde på Standard. Hvis din Meraki-enhed kører en firmwareversion ældre end 14.50, skal du konfigurere din sensor med en probetype på NetFlow v9 og en kilde på Meraki MX (nedenfor version 14.50).

Konfiguration af sensorer til flowindsamling

  1. Log ind på Secure Cloud Analytics som administrator.
  2. Vælg Indstillinger > Sensorer.
  3. Klik på rullemenuen Indstillinger for den sensor, du har tilføjet.
  4. Vælg konfigurer NetFlow/IPFIX.
    Denne mulighed kræver en opdateret sensorversion. Hvis du ikke kan se denne mulighed, skal du vælge Hjælp (?) > Installation af sensor på stedet for at downloade en aktuel version af sensor-ISO'en.
  5. Klik på Tilføj ny sonde.
  6.  Vælg en flowtype fra rullemenuen Probetype.
  7.  Indtast et portnummer.
    Hvis du vil sende Enhanced NetFlow til din sensor, skal du sørge for, at den UDP-port, du konfigurerer, ikke også er konfigureret til Flexible NetFlow eller IPFIX i din sensorkonfiguration. F.eks.ampKonfigurer port 2055/UDP til Enhanced NetFlow og port 9995/UDP til Flexible NetFlow. Se konfigurationsvejledningen til Enhanced NetFlow for yderligere oplysninger.
  8. Vælg en protokol fra rullemenuen.
  9.  Vælg en kilde fra rullemenuen.
  10.  Klik på Gem.

Det kan tage op til 30 minutter, før opdateringer af sensorkonfigurationen afspejles i portalen.

Fejlfinding

Optag pakker fra sensoren
Cisco Support kan lejlighedsvis være nødt til at verificere de flowdata, der modtages af sensoren. Vi anbefaler, at du gør dette ved at generere en pakkeoptagelse af flowdataene. Du kan også åbne pakkeoptagelsen i Wireshark for atview dataene.

  1.  SSH ind i sensoren som administrator.
  2.  Indtast sudo tcpdump -D ved prompten, og tryk på Enter for at view en liste over grænseflader. Notér navnet på din sensors kontrolgrænseflade.
  3. Indtast sudo tcpdump -i ved prompten -n -c 100 “port "-w , udskift med dit kontrolgrænsefladenavn, med portnummeret, der svarer til dine konfigurerede flowdata, og med et navn til den genererede pcap file, og tryk derefter på Enter. Systemet genererer en pcap file med det angivne navn for den pågældende grænseflades trafik, over den angivne port.
  4. Log ud af din sensor.
  5. Log ind på sensoren ved hjælp af et SFTP-program, f.eks. PuTTY SFTP (PSFTP) eller WinSCP.
  6. Indtast get ved prompten , udskift med din genererede pcap file navn, og tryk på Enter for at overføre file til din lokale arbejdsstation.

Analysér pakkeoptagelsen i Wireshark

  1. Download og installer Wireshark, og åbn derefter Wireshark.
  2. Vælge File > Åbn, og vælg derefter din pc file.
  3. Vælg Analysér > Afkod som.
  4. Klik på + for at tilføje en ny regel.
  5. Vælg CFLOW i rullemenuen Aktuel, og klik derefter på OK. Brugergrænsefladen opdateres til kun at vise pakker, der er relateret til NetFlow, IPFIX eller sFlow. Hvis der ikke vises nogen resultater, indeholder pcap'en ikke NetFlow-relaterede pakker, og indsamling af flowdata er forkert konfigureret på sensoren.

Yderligere ressourcer

For mere information om Secure Cloud Analytics, se følgende:

Kontakt Support
Hvis du har brug for teknisk support, skal du gøre et af følgende:

Ændringshistorik

Dokumentversion Udgivet dato Beskrivelse
1_0 april 27,2022 Indledende version
1_1 august 1,2022
  • Opdatering af Cisco Support-oplysninger.
  •  Tilføjet bemærkning om offentlige IP-adresser.
1_2 17. februar 2023
  •  Tilføjet afsnittet Proxykonfiguration.
  •  Opdaterede Meraki-sensorindstillinger.
1_3 juni 21,2023
  •  Rettede en stavefejl.
  • Opdateret nummerering for procedurer.
1_4 8. april 2024
  •  Opdaterede introduktionen i Sensormedier Installation og Konfiguration sektion. Mindre formateringsændringer.
1_5 30. oktober 2024 Opdateret Krav til adgang til sensorer afsnit.
2_0 4. december 2024 Opdateret sensorversionen, installeret en sensor afsnit, Finde og tilføje en sensors offentlige IP-adresse til en portal sektion, og Sensorforudsætninger afsnit.
2_1 21. april 2025
  •  Tilføjet note om VMware-opstartsmulighed til Yderligere krav til virtuel maskine afsnit.
  • Opdateret Tilføj manuelt en portals servicenøgle til en Sensor afsnittet for at inkludere OBSRVBL_HOST-konfigurationsoplysningerne.
2_2 17. oktober 2025 Fjernede den nordamerikanske begrænsning for at håndhæve sensoren til kun at kommunikere med kendte Cisco-adresser.

Oplysninger om ophavsret

  • Cisco og Cisco-logoet er varemærker eller registrerede varemærker tilhørende Cisco og/eller dets datterselskaber i USA og andre lande. Til view en liste over Cisco-varemærker, gå til denne URL: https://www.cisco.com/go/trademarks. De nævnte tredjepartsvaremærker tilhører deres respektive ejere. Brugen af ​​ordet partner indebærer ikke et partnerskabsforhold mellem Cisco og nogen anden virksomhed. (1721R)
  • © 2025 Cisco Systems, Inc. og/eller dets tilknyttede selskaber. Alle rettigheder forbeholdes.

Ofte stillede spørgsmål

Kan sensoren indsamle IPv6-trafik?

Nej, sensoren understøtter ikke IPv6-trafik.

Dokumenter/ressourcer

CISCO Secure Cloud Analytics-sensor [pdfBrugervejledning
Sikker cloudanalysesensor, cloudanalysesensor, analysesensor, sensor

Referencer

Efterlad en kommentar

Din e-mailadresse vil ikke blive offentliggjort. Påkrævede felter er markeret *