Indhold skjule
1 CISCO Secure Network Analytics-implementering
2 Produktinformation
3 Installation af SMC
4 Installation af Datastore-node
5 Installation af flowopsamler
6 Installation af flowsensor
7 ISE-godkendelsespolitikker
8 FAQ
9 Dokumenter/ressourcer
9.1 Referencer

CISCO-logo

CISCO Secure Network Analytics-implementering

CISCO-Secure-Network-Analysis-Deployment-produkt

Produktinformation

Specifikationer:

  • Produktnavn: Cisco Secure Network Analytics-implementering
  • Integration: Cisco ISE-integration til ANC

Cisco Secure Network Analytics-implementering og Cisco ISE-integration til ANC

Installation af SMC

Log ind på konsollen, skriv kommandoen SystemConfig. Indtast netværkskonfigurationen for apparatet.

CISCO-Sikker-Netværksanalyse-Implementering- (1)

CISCO-Sikker-Netværksanalyse-Implementering- (2)

CISCO-Sikker-Netværksanalyse-Implementering- (3)

Installation af Datastore-node

Log ind på konsollen, skriv kommandoen SystemConfig. Indtast netværkskonfigurationen for apparatet.

CISCO-Sikker-Netværksanalyse-Implementering- (4)

Vi har konfigureret administrationsgrænsefladen. Følgende er en anden netværksgrænseflade til kommunikation mellem dataknuder (kommunikation med andre dataknuder).

CISCO-Sikker-Netværksanalyse-Implementering- (5)

Installation af flowopsamler

Log ind på konsollen, og skriv kommandoen SystemConfig. Sørg for, at alle telemetriindstillinger er valgt.

CISCO-Sikker-Netværksanalyse-Implementering- (6)Konfigurer portene til telemetri.

  • Netflow: 2055
  • Modul til netværkssynlighed: 2030
  • Firewall-logge: 8514

CISCO-Sikker-Netværksanalyse-Implementering- (7)

CISCO-Sikker-Netværksanalyse-Implementering- (8)

Indtast netværkskonfigurationen for apparatet.

CISCO-Sikker-Netværksanalyse-Implementering- (9)

Installation af flowsensor

Log ind på konsollen, skriv kommandoen SystemConfig. Indtast netværkskonfigurationen for apparatet.

CISCO-Sikker-Netværksanalyse-Implementering- (10)

Installation af Cisco Telemetry Broker
Cisco Telemetry Brocker er kernekomponenten i

Cisco Secure Network Analytics (tidligere Cisco Stealthwatch) er en kraftfuld enhed til optimering af telemetri, der primært bruges til:

  • For at forenkle indsamling og aggregering af Netflow-, SNMP- og Syslog-trafik.
  • Det forenkler konfiguration og afsendelse af Netflow-data ved hjælp af én eksportør i dine netværksenheder i stedet for forskellige eksportører, især når du har forskellige Netflow-analysatorer som Cisco Secure Network Analytics, SolarWinds eller LiveAction, eller hvis du har flere flow-indsamlere med Cisco Secure Network Analytics.
  • Derudover forenkler det telemetri-streams, når der bruges flere destinationer og forskellige loghåndteringsløsninger.

Arkitekturen i Cisco Telemetry Broker består af to komponenter: 

  • Manager-node
  • Mæglernode.

Broker-noder administreres alle af én Cisco Telemetry Broker-manager ved hjælp af administrationsgrænsefladen. Manager-noden kræver én netværksgrænseflade til administrationstrafik. Broker-noden kræver to netværksgrænseflader. Én administrationsgrænseflade til kommunikation med manageren og telemetri-grænsefladen til at sende telemetri til Flow Collector, som igen sender til de konfigurerede destinationer, f.eks. SMC Management Console i Cisco Secure Network Analytics-løsningen. Destinations-Flow Collector IP-adressen/porten for telemetritrafikken i Cisco Secure Network Analytics-løsningen tilføjes på Manager-noden og sendes ned til Broker-noden via administrationsgrænsefladen for at instruere dem, hvor NetFlow-trafikken skal sendes hen.

Når du installerer Broker-noden, skal du forbinde den til manager-noden ved hjælp af kommandoen sudo ctb-manage og angive IP-adressen og administratoroplysningerne for manager-noden. Når Broker-noden er tilføjet til manager-noden, Web Managernodens brugergrænseflade viser den tilføjede brokernode med dens administrations-IP-adresse. For at afslutte integrationen mellem brokernoden og managernoden skal du tilføje brokernodens data- eller telemetri-netværksgrænseflade til managernoden. Endelig bruger netværksenheder såsom firewalls, routere og switche brokernodens telemetri-grænseflades IP-adresse som Netflow-eksportør.

Implementer Manager-noden
Kør kommandoen sudo ctb-install –init.

Indtast følgende oplysninger:

  • Adgangskode til administratorbrugeren
  • Værtsnavn
  • IPv4-adresse, subnetmaske og standardgateway-adresse for administrationsnetværksgrænsefladen
  • DNS-navneserverens IP-adresse

CISCO-Sikker-Netværksanalyse-Implementering- (11)

Implementer mæglernoden
Kør kommandoen sudo ctb-install –init.

Indtast følgende oplysninger:

  • Adgangskode til administratorbrugeren
  • Værtsnavn
  • IPv4-adresse, subnetmaske og standardgateway-adresse for administrationsnetværksgrænsefladen
  • DNS-navneserverens IP-adresse

CISCO-Sikker-Netværksanalyse-Implementering- (12)

Kør kommandoen sudo ctb-manage. 
Indtast følgende oplysninger:

  • IP-adressen på Manager-noden
  • Brugernavn på administratorkontoen for Manager-noden CISCO-Sikker-Netværksanalyse-Implementering- (13)

Log ind på Cisco Telemetry Broker. I en web Indtast IP-adressen for managerens administrationsgrænseflade i browseren. Vælg Broker Nodes i hovedmenuen.

I tabellen Broker Nodes skal du klikke på brokernoden. I afsnittet Telemetri-grænseflade skal du Konfigurere telemetri-grænsefladen og derefter standardgatewayen.

CISCO-Sikker-Netværksanalyse-Implementering- (14)

CISCO-Sikker-Netværksanalyse-Implementering- (15)

Nu hvor SNA-apparaterne er konfigureret med en administrations-IP-adresse, skal vi fuldføre Appliance Setup Tool (AST) på hver SNA-komponent.

Appliance Setup Tool (AST) konfigurerer apparaterne, så de kan kommunikere med resten af ​​SNA-installationen.

SMC

  • Få adgang til SMC's brugergrænseflade. CISCO-Sikker-Netværksanalyse-Implementering- (16)
  • Skift standardadgangskoderne for admin, root og sysadmin. CISCO-Sikker-Netværksanalyse-Implementering- (17)

CISCO-Sikker-Netværksanalyse-Implementering- (18)

CISCO-Sikker-Netværksanalyse-Implementering- (19)

  • CISCO-Sikker-Netværksanalyse-Implementering- (20)Ingen ændringer for administrationsnetværksgrænsefladen.
  • CISCO-Sikker-Netværksanalyse-Implementering- (21)Konfigurer værtsnavn og domæner. CISCO-Sikker-Netværksanalyse-Implementering- (22)
  • Konfigurer DNS-serverne. CISCO-Sikker-Netværksanalyse-Implementering- (23)
  • Konfigurer NTP-serveren. CISCO-Sikker-Netværksanalyse-Implementering- (24)
  • Registrer endelig SMC'en. CISCO-Sikker-Netværksanalyse-Implementering- (25)
  • SMC'en genstarter.

Datalagernode
Følg den samme procedure, den eneste forskel er konfigurationen af ​​Central Management Settings. I dette afsnit skal du indtaste IP-adressen for SMC 198.19.20.136 og brugernavn/adgangskode.

Flowsamler
Følg den samme procedure, den eneste forskel er konfigurationen af ​​Central Management Settings. I dette afsnit skal du indtaste IP-adressen for SMC 198.19.20.136 og brugernavn/adgangskode.

Flow sensor

  • Følg den samme procedure, den eneste forskel er konfigurationen af ​​Central Management Settings. I dette afsnit skal du indtaste IP-adressen for SMC 198.19.20.136 og brugernavn/adgangskode.
  • Initialiser DataStore-noden for at fuldføre konfigurationen.
  • SSH til DataStore-noden og kør SystemConfig-kommandoen.
  • Følg den interaktive dialogboks for at initialisere DataStore-noden.
  • Få adgang til SMC GUI. I Central Management kan vi se, at alle Cisco SNA-apparater er tilsluttet SMC.

CISCO-Sikker-Netværksanalyse-Implementering- (26)

Cisco Telemetry Broker-konfiguration
Få adgang til Cisco Telemetry Broker Manager-nodens brugergrænseflade. Klik på Tilføj destination, og vælg UDP-destination. Konfigurer følgende parametre.

  • Destinationsnavn: SNA-FC
  • Destinations-IP-adresse: 198.19.20.137
  • Destinations-UDP-port: 2055CISCO-Sikker-Netværksanalyse-Implementering- (27)
  • CISCO-Sikker-Netværksanalyse-Implementering- (28)Klik på Tilføj regel. CISCO-Sikker-Netværksanalyse-Implementering- (29)
  • Indtast 2055 som modtagende UDP-port.

CISCO-Sikker-Netværksanalyse-Implementering- (30)

Klik på Tilføj destination, og vælg UDP-destination.
Konfigurer følgende parametre.

  • Destinationsnavn: Leder
  • Destinations-IP-adresse: 198.19.20.136
  • Destinations-UDP-port: 514CISCO-Sikker-Netværksanalyse-Implementering- (31)
  • Klik på Tilføj regel.
  • Indtast 2055 som modtagende UDP-port.

CISCO-Sikker-Netværksanalyse-Implementering- (32)

CISCO-Sikker-Netværksanalyse-Implementering- (33)

Integration af Cisco ISE Identity Services Engine
Naviger til Administration > pxGrid > Certifikater.

Udfyld formularen som følger:

  • Klik i feltet Jeg vil, og vælg Download rodcertifikatkæde
  • Klik i feltet Værtsnavne, og vælg admin
  • Klik i feltet Certifikatdownloadformat, og vælg PEM-indstillingen
  • Klik på OpretCISCO-Sikker-Netværksanalyse-Implementering- (34)
  • Download file som ISE-CA-ROOT-CHAIN.zip.
  • Klik på Central administration i SMC GUI. Find SMC Manager-apparatet på siden Central administration, og vælg derefter Rediger apparatkonfiguration.
  • Klik på Generelt. CISCO-Sikker-Netværksanalyse-Implementering- (35)
  • Rul ned til Trust Store, og klik på Tilføj ny. Vælg CertificateServicesRootCA-admin_.cer. fileKlik på Tilføj certifikat. CISCO-Sikker-Netværksanalyse-Implementering- (36)
  • SMC vil nu have tillid til certifikater udstedt af ISE CA. CISCO-Sikker-Netværksanalyse-Implementering- (37)
  • Klik på fanen Appliance. Rul ned til afsnittet Yderligere SSL/TLS-klientidentiteter, og klik på Tilføj ny. CISCO-Sikker-Netværksanalyse-Implementering- (38)
  • Den vil spørge, om du skal generere en CSR, vælg Ja og klik på Næste.

CISCO-Sikker-Netværksanalyse-Implementering- (39)

Udfyld CSR'en som følger:

  • RSA-nøglelængde
  • Organisation
  • Organisationsenhed
  • Lokalitet eller by
  • stat eller provins
  • Landekode
  • Email adresse

Klik på Generer CSR, og derefter Download CSR.

CISCO-Sikker-Netværksanalyse-Implementering- (40)

CISCO-Sikker-Netværksanalyse-Implementering- (41)

Få adgang til Cisco ISE GUI. Naviger til Administration > pxGrid > Certifikater.

Brug følgende oplysninger:

  • I feltet Jeg vil, skal du vælge Generer et enkelt certifikat (med anmodning om certifikatsignering)
  • Indsæt CSR'en i feltet Detaljer om anmodning om certifikatsignering
  • Skriv SMC i feltet Beskrivelse
  • Vælg IP-adresse i SAN-feltet, og indtast 198.19.20.136 som den tilknyttede IP-adresse.
  • Vælg PKCS12-format som indstilling for certifikatdownloadformat
  • Indtast et kodeord
  • Klik på Opret CISCO-Sikker-Netværksanalyse-Implementering- (42)
  • Gem det certifikat, der er oprettet med navnet SMC-PXGRID.

Bemærk:
I nogle eksisterende Cisco ISE-installationer kan du have udløbne systemcertifikater, der bruges til admin-, eap- og pxGrid-tjenester, som vist nedenfor.

CISCO-Sikker-Netværksanalyse-Implementering- (43)

Dette skyldes, at de interne Cisco ISE CA-certifikater, der signerer disse systemcertifikater, er udløbne.

CISCO-Sikker-Netværksanalyse-Implementering- (44)

Sådan fornyer du systemcertifikaterne. Gå til Administration > Certifikater > Anmodninger om certifikatsignering. I feltet Brug skal du vælge ISE Root CA og derefter klikke på Erstat ISE Root CA-certifikatkæde.

CISCO-Sikker-Netværksanalyse-Implementering- (45)

Cisco ISE genererer et nyt internt CA-certifikat. Glem ikke at justere feltet "Tillid til" for de relevante tjenester, f.eks. pxGrid.

CISCO-Sikker-Netværksanalyse-Implementering- (46)

Nu er systemcertifikaterne gyldige.

CISCO-Sikker-Netværksanalyse-Implementering- (47)

Få adgang til SMC GUI. Gå til Central administration. Rul ned til formularen Tilføj SSL/TLS-klientidentitet på fanen SMC Appliance Configuration, og klik derefter på Vælg. File, vælg SMC-PXGRID-certifikatet.

CISCO-Sikker-Netværksanalyse-Implementering- (48)

CISCO-Sikker-Netværksanalyse-Implementering- (49)

I SMC GUI skal du navigere til Implementer > Cisco ISE-konfiguration.

Konfigurer ISE-konfigurationen med følgende parametre:

  • Klyngenavn: ISE-KLYNGE
  • Certifikat: SMC-PXGRID
  • Primær PxGrid-node: 198.19.20.141
  • Klientnavn: SMC-PXGRID

CISCO-Sikker-Netværksanalyse-Implementering- (50)

CISCO-Sikker-Netværksanalyse-Implementering- (51)

CISCO-Sikker-Netværksanalyse-Implementering- (52)

Naviger til Overvåg > Brugere.
Bemærk at vi kan se brugerdata på SMC.

CISCO-Sikker-Netværksanalyse-Implementering- (53)

ISE Adaptive Network Control (ANC) Politikker
Vælg Handlinger > Adaptiv netværkskontrol > Politikliste > Tilføj, og indtast SW_QUARANTINE som politiknavn og karantæne for handlingen.

CISCO-Sikker-Netværksanalyse-Implementering- (54)

CISCO-Sikker-Netværksanalyse-Implementering- (55)

Få adgang til SMC GUI. Vælg en IP-adresse i dashboardet, så kan vi se, at ISE ANC-politikken er udfyldt.

CISCO-Sikker-Netværksanalyse-Implementering- (56)

CISCO-Sikker-Netværksanalyse-Implementering- (57)

ISE-godkendelsespolitikker

  • Globale politikker for godkendelsesundtagelser giver dig mulighed for at definere regler, der tilsidesætter alle godkendelsesregler i alle dine politiksæt. Når du har konfigureret en global politik for godkendelsesundtagelser, føjes den til alle politiksæt.
  • Den lokale undtagelsesregel for godkendelse overskriver de globale undtagelsesregler. Så den lokale undtagelsesregel behandles først, derefter den globale undtagelsesregel og til sidst den normale regel i godkendelsespolitikken.
  • Et af de interessante anvendelsesscenarier for disse undtagelsesregler er, når du konfigurerer Cisco Secure Network Analytics (Stealth Watch) med Cisco ISE til Response Management ved hjælp af Adaptive Network Policy (ANC), så når en alarm udløses, vil Cisco Secure Network Analytics (Stealth Watch) anmode Cisco ISE om at sætte værten i karantæne med Adaptive Network Control Policy via Px Grid.
  • Den bedste fremgangsmåde er at konfigurere godkendelsespolitikken på Cisco ISE til at sætte værten i karantæne enten i den lokale eller globale undtagelse.
  • Hvis du vil anvende ANC-politikken på alle dine politiksæt, VPN, kablet trådløst netværk, dvs. alle brugere af kablet VPN og trådløst netværk, skal du bruge den globale undtagelse.
  • Hvis du kun vil anvende ANC-politikken på VPN-brugere eller kablede brugere. Brug den lokale politik i henholdsvis VPN-politiksættene eller det kablede politiksæt.

CISCO-Sikker-Netværksanalyse-Implementering- (58)

Automatisk handling og respons med ANC
Scenarie: En virksomhed bruger Cisco Umbrella som DNS-server for at forhindre internettrusler. Vi ønsker en brugerdefineret alarm, så når interne brugere bruger andre eksterne DNS-servere, udløses en alarm for at forhindre forbindelse til uønskede DNS-servere, der potentielt omdirigerer trafik til eksterne websteder med ondsindede formål. Når en alarm udløses, vil Cisco Secure Network Analytics anmode Cisco ISE om at sætte den vært, der bruger uønskede DNS-servere, i karantæne med Adaptive Network Control Policy via PxGrid. Naviger til Konfigurer > Værtsstyring. I den overordnede værtsgruppe Inside Hosts skal du oprette en værtsgruppe med navnet Corporate Networks til dine interne netværk.

CISCO-Sikker-Netværksanalyse-Implementering- (59)

I den overordnede værtsgruppe Outside Hosts skal du oprette en værtsgruppe med navnet Umbrella DNS-servere til Umbrella IP-adresser.

CISCO-Sikker-Netværksanalyse-Implementering- (60)

De interne brugere bruger Cisco Umbrella som DNS-server for at forhindre internettrusler. Konfigurer en brugerdefineret alarm, så når interne brugere bruger andre eksterne DNS-servere, udløses en alarm for at forhindre forbindelse til uønskede DNS-servere, der potentielt omdirigerer trafik til eksterne websteder med ondsindede formål. Når en alarm udløses, vil Cisco Secure Network Analytics anmode Cisco ISE om at sætte den vært, der bruger uønskede DNS-servere, i karantæne med Adaptive Network Control Policy via PxGrid.

Naviger til Konfigurer > Politikadministration.
Opret en brugerdefineret begivenhed med følgende oplysninger:

  • Navn: Uautoriseret DNS-trafik
  • Faglige værtsgrupper: Virksomhedsnetværk
  • Peer-værtgrupper: Eksterne værter undtagen paraply-DNS-servere
  • Peer-port/protokoller: 53/UDP 53/TCP

Grundlæggende udløses denne hændelse, når en vært inden for virksomhedsnetværks værtsgruppe kommunikerer med en vært inden for eksterne værter værtsgruppe undtagen dem inden for umbrella DNS-serveres værtsgruppe via 53/UDP eller 53/TCP, hvorved der udløses en alarm.

CISCO-Sikker-Netværksanalyse-Implementering- (61)

CISCO-Sikker-Netværksanalyse-Implementering- (62)

Naviger til Konfigurer > Svarhåndtering. Klik på Handlinger.

CISCO-Sikker-Netværksanalyse-Implementering- (63)

Vælg handlingen ISE ANC-politik. Angiv et navn og vælg den Cisco ISE-klynge, der skal kontaktes for at anvende en karantænepolitik for enhver overtrædelse eller forbindelse til uønskede servere.

CISCO-Sikker-Netværksanalyse-Implementering- (64)

CISCO-Sikker-Netværksanalyse-Implementering- (65)

Under afsnittet Regler skal du oprette en ny regel. Denne regel vil anvende den tidligere handling, når en vært i det interne netværk forsøger at sende DNS-trafik til uønskede DNS-servere. I afsnittet Reglen udløses, hvis skal du vælge Type, rulle ned og vælge den brugerdefinerede hændelse, der blev oprettet tidligere. Under Tilknyttede handlinger skal du vælge handlingen ISE ANC, der blev oprettet tidligere.

CISCO-Sikker-Netværksanalyse-Implementering- (66)

Fra en intern vært skal du åbne CMD-konsollen. Udfør kommandoen nslookup og derefter kommandoen server 8.8.8.8. Indtast et par adresser, som DNS-serveren 8.8.8.8 skal identificere.

CISCO-Sikker-Netværksanalyse-Implementering- (67)

Naviger til Monitor > ISE ANC Policy Assignments. Du bør se, at Cisco Secure Network Analytics anvendte Adaptive Network Control Policy via PxGrid og ISE for at sætte værten i karantæne.

CISCO-Sikker-Netværksanalyse-Implementering- (68)

FAQ

Q: Hvordan udfylder jeg Appliance Setup Tool (AST) på hver SNA-komponent?
A: Når SNA-apparater er konfigureret med en IP-adresse til administration, kan du udføre AST på hver komponent ved at følge de specifikke instruktioner for den pågældende komponent i brugermanualen eller installationsvejledningen.

Dokumenter/ressourcer

CISCO Secure Network Analytics-implementering [pdf] Brugsanvisning
Sikker netværksanalyseimplementering, netværksanalyseimplementering, analyseimplementering, implementering

Referencer

Efterlad en kommentar

Din e-mailadresse vil ikke blive offentliggjort. Påkrævede felter er markeret *