Sensor de análisis de nube segura de CISCO

Introducción

Cisco Secure Cloud Analytics (ahora parte de Cisco XDR) es un servicio de seguridad basado en SaaS que detecta y responde a amenazas en entornos de TI, tanto locales como en la nube. Esta guía explica cómo implementar los sensores de Secure Cloud Analytics como parte de su servicio de monitorización de redes privadas, para su uso en redes empresariales, centros de datos privados, sucursales y otros entornos locales.

• Si planea utilizar Secure Cloud Analytics solo en entornos de nube pública, como Amazon Web Servicios como Microsoft Azure o Google Cloud Platform: no es necesario instalar un sensor. Consulta las guías de monitorización de la nube pública para obtener más información.
• Esta guía proporciona instrucciones para instalar el sensor en Ubuntu Linux. Para obtener instrucciones de instalación en otros sistemas operativos, consulte la Guía de configuración avanzada del sensor de Secure Cloud Analytics.

Consideraciones sobre la implementación de sensores

• Puede implementar sensores para recopilar datos de flujo, como NetFlow, o para procesar tráfico de red reflejado desde un enrutador o conmutador en su red. También puede configurar un sensor para recopilar datos de flujo e incorporar tráfico de red reflejado. No hay límite en la cantidad de sensores implementados.
• Si desea configurar un sensor para recopilar datos de flujo, consulte Configurar un sensor para recopilar datos de flujo para obtener más información.
• Si desea configurar un sensor para ingerir tráfico desde un puerto espejo o SPAN, consulte Configuración de dispositivos de red para obtener más información sobre cómo configurar sus dispositivos de red para reflejar el tráfico.
• La versión 4.0 o posterior del sensor puede recopilar telemetría NetFlow mejorada. Esto permite a Secure Cloud Analytics generar nuevos tipos de observaciones y alertas. Para obtener más información, consulte la Guía de configuración de Secure Cloud Analytics para NetFlow mejorado.
• El sensor no es compatible con IPv6.

Requisitos previos del sensor

Puede instalar un sensor en un dispositivo físico o una máquina virtual, con los siguientes requisitos:

Componente	Requisito mínimo
Interfaz de red	Al menos una interfaz de red, designada como interfaz de control, para transferir información al servicio Secure Cloud Analytics. Opcionalmente, si desea configurar el sensor para que ingiera tráfico de red desde un dispositivo de red que lo replica a través de un puerto espejo, necesita una o más interfaces de red designadas como interfaces espejo.
RAM	4 GB
UPC	al menos dos núcleos
Espacio de almacenamiento	Se utilizan 60 GB de espacio en disco para almacenar en caché los datos de producción de NetFlow antes de enviar registros a Secure Cloud Analytics.
Acceso a Internet	Es necesario descargar paquetes para el proceso de instalación.

Tenga en cuenta lo siguiente acerca de las interfaces Mirror designadas:

• Las interfaces espejo reciben una copia de todo el tráfico de origen, tanto entrante como saliente, hacia el destino. Asegúrese de que el tráfico máximo sea inferior a la capacidad del enlace de la interfaz espejo del sensor.
• Muchos conmutadores descartan paquetes de las interfaces de origen si un destino de puerto espejo está configurado con demasiado tráfico.

Requisitos adicionales del dispositivo físico

Componente	Requisito mínimo
Instalación File Subir	Uno de los siguientes para cargar el .iso de instalación file: 1 puerto USB, más una unidad flash USB 1 unidad de disco óptico, más un disco óptico grabable (como un disco CD-R)

Las máquinas virtuales pueden arrancar directamente en el .iso file sin requisitos adicionales.

Requisitos adicionales de la máquina virtual
Si su sensor se implementa como una máquina virtual, asegúrese de que el host virtual y la red estén configurados para el modo promiscuo en la segunda interfaz de red si planea ingerir tráfico desde un puerto espejo o SPAN.

• Al implementar el sensor en un entorno VMware 8, este no se cargará al usar la configuración de arranque UEFI predeterminada. Para solucionar este problema, en el paso "Personalizar hardware", seleccione "Opciones de máquina virtual" > "Opciones de arranque" y, a continuación, seleccione "BIOS" en la lista desplegable "Firmware".

Hipervisor de VMware
Si está ejecutando la máquina virtual en un hipervisor VMware, configure el conmutador virtual para el modo promiscuo:

1. Seleccione el host en el inventario.
2. Seleccione la pestaña Configuración.
3. Haga clic en Redes.
4. Haga clic en Propiedades para su conmutador virtual.
5. Seleccione el conmutador virtual y haga clic en Editar.
6. Seleccione la pestaña Seguridad.
7. Seleccione Aceptar en el menú desplegable Modo promiscuo.

Consulte la base de conocimientos de VMware para obtener más información sobre el modo promiscuo. Es posible que deba configurar el ID de VLAN en 4095.

VirtualBox
Si está ejecutando la máquina virtual en VirtualBox, configure el adaptador para el modo promiscuo:

1.  Seleccione el adaptador para la interfaz Mirror desde la Configuración de red.
2.  Establezca el modo promiscuo en Permitir en las Opciones avanzadas.

Consulte la documentación de VirtualBox sobre redes virtuales para obtener más información.

Sugerencias para la implementación de sensores
Debido a que las topologías de red pueden variar en gran medida, tenga en cuenta las siguientes pautas generales al implementar sus sensores:

1.  Determine si desea implementar sensores para:
   • recopilar datos de flujo
   • ingerir tráfico de red reflejado
   • Algunos recopilan datos de flujo y otros ingerirán tráfico de red reflejado.
   • Ambos recopilan datos de flujo e ingieren tráfico de red reflejado
2.  Si recopila datos de flujo, determine qué formatos pueden exportar sus dispositivos de red, como NetFlow v5, NetFlow v9, IPFIX o sFlow.
   Muchos firewalls son compatibles con NetFlow, incluyendo los firewalls Cisco ASA y los dispositivos Cisco Meraki MX. Consulte la documentación de soporte del fabricante para determinar si su firewall también es compatible con NetFlow.
3. Asegúrese de que el puerto de red del sensor pueda soportar la capacidad de los puertos Mirror.
   Comuníquese con el soporte de Cisco si necesita ayuda para implementar varios sensores en su red.

Comprobación de la versión del sensor
Para asegurarse de tener el sensor más reciente implementado en su red (versión 5.1.3), puede consultar la versión de un sensor existente desde la línea de comandos. Si necesita actualizarlo, reinstale el sensor.

1.  Acceda por SSH al sensor implementado.
2. En el indicador, introduzca cat /opt/obsrvbl-ona/version y pulse Intro. Si la consola no muestra la versión 5.1.3, el sensor no está actualizado. Descargue la ISO más reciente del sensor desde web Interfaz de usuario del portal.

Requisitos de acceso al sensor
El dispositivo físico o la máquina virtual deben tener acceso a ciertos servicios a través de internet. Configure su firewall para permitir el siguiente tráfico entre un sensor y la red externa de internet:

Tipo de tráfico	Requerido	Dirección IP, dominio y puerto, o configuración
Tráfico HTTPS saliente desde	Sí	puerto 443 y la dirección IP es

La interfaz de control del sensor al servicio Secure Cloud Analytics alojado en Amazon Web Servicios		su dirección IP del portal Direcciones IP de AWS S3 para su región de Secure Cloud Analytics. Dado que las direcciones IP de AWS pueden cambiar, consulte la información de AWS. Tema de ayuda sobre rangos de direcciones IP y búsqueda del servicio S3 y su región de AWS en el JSON proporcionado filePara encontrar su región de AWS, acceda a su panel de Secure Cloud Analytics y desplácese hasta la parte inferior de la página. Un campo en el pie de página muestra el nombre de la región de su portal, que corresponde a las siguientes regiones de AWS: América del Norte (Virginia del Norte): us-east-1 Europa (Frankfurt): eu-central-1 Australia (Sídney): ap- sureste-2
		1. Inicie sesión en el sensor como administrador.
		2. En el símbolo del sistema, ingrese este comando:
Obligar al sensor a comunicarse únicamente con direcciones Cisco conocidas	No	sudo nano opt/obsrvbl- ona/config.local y presione Ingresar para editar la configuración file 3. Actualice la configuración OBSRVBL_SENSOR_EXT_ONLY a lo siguiente: OBSRVBL_SENSOR_EXT_ONLY=true.
		4. Presione Ctrl + 0 para guardar los cambios.

		5. Presione Ctrl + x para salir 6. En el símbolo del sistema, ingrese sudo service obsrvbl-ona restart para reiniciar el sensor.
Tráfico saliente desde la interfaz de control del sensor al servidor Ubuntu Linux para descargar el sistema operativo Linux y las actualizaciones relacionadas	Sí	us.archive.ubuntu.com:443/TCP us.archive.ubuntu.com:80/TCP
Tráfico saliente desde la interfaz de control del sensor a un servidor DNS para la resolución del nombre de host	Sí	[servidor DNS local]:53/UDP
Tráfico entrante desde un dispositivo de resolución de problemas remoto a su sensor	No	54.83.42.41:22/TCP

Si utiliza un servicio proxy, cree una excepción de proxy para las direcciones IP de la interfaz de control del sensor.

Configuración del dispositivo de red
Puede configurar su conmutador de red o enrutador para reflejar una copia del tráfico y luego pasarla al sensor.

• Dado que el sensor se encuentra fuera del flujo normal de tráfico, no puede influir directamente en el tráfico. Los cambios de configuración que realice en el web La interfaz del portal influye en la generación de alertas, no en el flujo de tráfico. Si desea permitir o bloquear el tráfico según las alertas, actualice la configuración de su firewall.
• Consulte lo siguiente para obtener información sobre fabricantes de conmutadores de red y recursos para configurar el tráfico reflejado:

Fabricante	Nombre del dispositivo	Documentación
NetOptics	grifo de red	Consulte la página de recursos de Ixia para obtener documentación y otra información.
Gigamón	grifo de red	Consulte las páginas de recursos y conocimientos de Gigamon para obtener documentación y otra información.

	Analizador (SPAN)
Enebro	espejo de puerto	Consulte la documentación de TechLibrary de Juniper para obtener más información.ampLe de configuración de duplicación de puertos para la monitorización local del uso de recursos de los empleados en los conmutadores de la serie EX
NETGEAR	espejo de puerto	Consulte la documentación de la base de conocimientos de Netgear para obtener más información.ampEl concepto de duplicación de puertos y cómo funciona con un conmutador administrado
ZyXEL	espejo de puerto	Consulte la documentación de la base de conocimientos de ZyXEL para obtener información sobre cómo usar la duplicación en los conmutadores ZyXEL
otro	puerto de monitor, puerto de analizador, puerto de grifo	Consulte la documentación wiki de Wireshark para obtener una referencia de conmutadores para varios fabricantes.

También puede implementar un punto de acceso de prueba de red (TAP) para transferir una copia del tráfico al sensor. Consulte la siguiente información sobre los fabricantes de puntos de acceso de red y los recursos para configurarlos.

Fabricante	Nombre del dispositivo	Documentación
NetOptics	grifo de red	Consulte la página de recursos de Ixia para obtener documentación y otra información.
Gigamón	grifo de red	Consulte las páginas de recursos y conocimientos de Gigamon para obtener documentación y otra información.

Configuración de flujo
Debe configurar su dispositivo de red para pasar datos de NetFlow. Consulte https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco NetFlow_Configuration.pdf para obtener más información sobre la configuración de NetFlow en dispositivos de red Cisco.

Instalación y configuración de medios sensores

Antes de comenzar la instalación, vuelva aview las instrucciones para comprender el proceso, así como la preparación, el tiempo y los recursos que necesitará para la instalación y configuración.
Hay dos opciones para esta instalación:

• Instalación del sensor en una máquina virtual: si instala un sensor en una máquina virtual, puede iniciar desde el archivo .iso file directamente.
•  Instalación del sensor en un dispositivo físico: si instala un sensor en un dispositivo físico, creará un medio de arranque utilizando el archivo .iso file, luego reinicie el dispositivo y arranque desde ese medio.

El proceso de instalación borra el disco donde se instalará el sensor antes de instalarlo. Antes de comenzar la instalación, confirme que el dispositivo físico o la máquina virtual donde planea instalar el sensor no contenga datos que desee guardar.

Creación de medios de arranque

• Si está implementando un sensor en un dispositivo físico, implemente un archivo .iso file que instala el sensor, basado en Ubuntu Linux.
• Si escribes el .iso file en un disco óptico, como un CD o DVD, puede reiniciar el dispositivo físico con el disco óptico en una unidad de disco óptico y elegir iniciar desde el disco óptico.
• Si crea una unidad flash USB con el archivo .iso file y la utilidad Rufus, puede reiniciar el dispositivo físico, insertar la unidad flash USB en un puerto USB y elegir arrancar desde la unidad flash USB.
• Si implementa un sensor sin usar una ISO, es posible que deba actualizar la configuración del firewall del dispositivo local para permitir el tráfico. Le recomendamos encarecidamente que implemente el sensor usando la ISO proporcionada.
• Al crear una unidad USB de arranque, se elimina toda la información contenida en ella. Asegúrese de que la unidad no contenga ninguna otra información.

Descargar el sensor ISO file
Descargue la última versión del sensor ISO desde web Portal. Úselo para instalar (un sensor nuevo) o reinstalar (actualizar un sensor existente).

1.  Inicie sesión en Secure Cloud Analytics como administrador.
2.  Seleccione Ayuda (?) > Instalación de sensor local.
3.  Haga clic en el botón .iso para descargar la última versión ISO.
4. Vaya a Crear un disco óptico de arranque o Crear una unidad flash USB de arranque.

Crear un disco óptico de arranque
Siga las instrucciones del fabricante para copiar el archivo .iso file a un disco óptico.

Crear una unidad flash USB de arranque

1. Inserte una unidad flash USB en blanco en un puerto USB del dispositivo que desea utilizar para crear la unidad flash USB de arranque.
2.  Inicie sesión en la estación de trabajo.
3. En tu web navegador, vaya a la utilidad Rufus websitio.
4.  Descargue la última versión de la utilidad Rufus.
5. Abra la utilidad Rufus.
6.  Seleccione la unidad flash USB en el menú desplegable Dispositivo.
7. Seleccione Disco o imagen ISO en el menú desplegable de selección de Arranque.
8. Haga clic en SELECCIONAR y seleccione el sensor ISO file.
9. Haga clic en INICIAR.

Al crear una unidad USB de arranque, se elimina toda la información contenida en ella. Asegúrese de que la unidad no contenga ninguna otra información.

Instalación del sensor

1.  Elija el método de arranque para el .iso de la siguiente manera:
   • Máquina virtual: si está instalando en una máquina virtual, inicie desde el .iso file.
   • Dispositivo físico: si está realizando la instalación en un dispositivo físico, inserte el medio de arranque, reinicie el dispositivo y arranque desde el medio de arranque.
2. Seleccione Instalar ONA (IP estática) en el mensaje inicial y luego presione Entrar.
3. Seleccione un idioma de la lista de idiomas utilizando las teclas de flecha y luego presione Enter.
4. Para la configuración del teclado, tienes las siguientes opciones:
   • Seleccione un diseño y una variante para configurar el teclado, luego presione Enter.
   • Seleccione Identificar teclado y luego presione Enter.
5. Para la configuración de red, seleccione Manual y presione Enter. Todas las demás interfaces de red se configuran automáticamente como interfaces espejo.
6.  Ingrese una subred para el dispositivo, seleccione Continuar con las teclas de flecha y presione Entrar.
7.  Ingrese una dirección IP para el dispositivo, seleccione Continuar con las teclas de flecha y presione Entrar.
8. Ingrese una dirección IP del enrutador de puerta de enlace, seleccione Continuar con las teclas de flecha y presione Entrar.
9.  (Opcional) Para buscar dominios, ingrese el o los dominios que se agregarán automáticamente al nombre de host cuando intente resolverlo a una dirección IP, seleccione Continuar con las teclas de flecha y presione Entrar.
   De forma predeterminada, la instalación usará automáticamente DHCP y continuará. Para anular la dirección IP de DHCP, deberá editar manualmente la interfaz una vez finalizada la instalación.
   Le recomendamos que ingrese una dirección de servidor de nombres autorizado local si tiene uno implementado en su red.
10. Ingrese el nombre completo del nuevo usuario, que está asociado a una cuenta no root para permisos administrativos, luego seleccione Continuar con las teclas de flecha y presione Entrar.
11.  Ingrese el nombre de su servidor, que es el nombre que usará el sensor al comunicarse con otras computadoras y será visible en el portal de Secure Cloud Analytics, luego seleccione Continuar con las teclas de flecha y presione Enter.
12.  Ingrese el nombre de usuario de su cuenta, que es la cuenta no root con permisos administrativos, luego seleccione Continuar con las teclas de flecha y presione Enter.
13.  Elija una contraseña para el nuevo usuario, luego seleccione Continuar con las teclas de flecha y presione Enter.
14. Vuelva a ingresar la contraseña para verificarla, luego seleccione "Continuar" con las flechas y presione Enter. Si no ingresó la misma contraseña dos veces, inténtelo de nuevo.
    La cuenta que cree durante la configuración es la única que podrá usar para acceder a la máquina virtual. Esta instalación no crea una cuenta independiente en el portal de Secure Cloud Analytics.
15. Para confirmar el proceso de instalación, seleccione Continuar y luego presione Entrar.
    Esta acción elimina todos los datos de la unidad. Asegúrese de que esté vacía antes de continuar.Espere varios minutos para que el instalador instale el programa requerido. files.
16. Cuando el instalador muestre Instalación completa, seleccione Reiniciar ahora con las teclas de flecha y luego presione Entrar para reiniciar el dispositivo.
17. Después de reiniciar el dispositivo, inicie sesión con la cuenta creada para asegurarse de que sus credenciales sean correctas.

¿Qué hacer a continuación?

• Si restringe el acceso a sus entornos privados, asegúrese de que se permita la comunicación con las IP correspondientes. Consulte los Requisitos de acceso al sensor para obtener más información.
• Si está utilizando el sensor para recopilar tráfico de flujo de red, como NetFlow, consulte Configuración de un sensor para recopilar datos de flujo para obtener más información sobre cómo configurar el sensor.
•  Si está utilizando el sensor y conectándolo a los puertos SPAN o espejo para recopilar tráfico reflejado, consulte Conexión de sensores al Web Portal para obtener más información sobre cómo agregar sensores en Secure Cloud Analytics web portal.
•  Si está configurando el sensor para pasar telemetría Enhanced NetFlow, consulte la Guía de configuración de Cisco Secure Cloud Analytics para Enhanced NetFlow para obtener más información.

Conexión de sensores al Web Portal

• Una vez instalado el sensor, deberá vincularlo a su portal. Esto se hace identificando la dirección IP pública del sensor e ingresándola en el web Portal. Si no puede determinar la dirección IP pública del sensor, puede vincularlo manualmente a su portal usando su clave de servicio única.

El sensor puede conectarse a los siguientes portales:

• https://sensor.ext.obsrvbl.com (A NOSOTROS)
• https://sensor.ext.eu-prod.obsrvbl.com (UE)
• https://sensor.ext.anz-prod.obsrvbl.com (Australia)

Si hay varios sensorestagSi se almacenan en una ubicación central, como un MSSP, y están destinados a diferentes clientes, la IP pública debe eliminarse después de configurar cada nuevo cliente. Si una dirección IP pública de...tagSi el entorno se utiliza para varios sensores, es posible que un sensor esté conectado incorrectamente al portal equivocado.
Si está utilizando un servidor proxy, complete los pasos de la sección Configuración de proxy para habilitar la comunicación entre el sensor y Secure Cloud Analytics web portal.

Cómo encontrar y agregar la dirección IP pública de un sensor a un portal

1. Acceda al sensor mediante SSH como administrador.
2. En el símbolo del sistema, ingrese curl https://sensor.ext.obsrvbl.comandpressEnterEl valor de error de identidad desconocida significa que el sensor no está asociado a un portal. Vea la siguiente imagen para ver un ejemplo.ampel.Su anfitrión de servicios URL Puede variar según tu ubicación. En tu portal de Secure Cloud Analytics, ve a Configuración > Sensores y desplázate hasta el final de la página para encontrar el host de tu servicio. url.
3.  Copiar la dirección IP de identidad.
4.  Cerrar sesión en el sensor.
5.  Inicie sesión en Secure Cloud Analytics como administrador del sitio.
6.  Seleccione Configuración > Sensores > IP pública.
7. Haga clic en Agregar nueva dirección IP.
8. Introduzca la dirección IP de identidad en el campo Nueva dirección. 9. Haga clic en Crear. Después de que el portal y el sensor intercambien claves, se establecen las futuras...
9. Haga clic en Crear. Tras intercambiar las claves, el portal y el sensor establecerán futuras conexiones utilizando las claves, no la dirección IP pública.
   Pueden pasar hasta 20 minutos antes de que un nuevo sensor se refleje en el portal.

Agregar manualmente la clave de servicio de un portal a un sensor
Si no puede agregar la dirección IP pública de un sensor a la web portal, o eres un
MSSP gestionando múltiples web portales, editar la configuración local de un sensor file para agregar manualmente una clave de servicio del portal para asociar el sensor con el portal.
Este intercambio de claves se realiza automáticamente al utilizar la dirección IP pública en la sección anterior.

1. Inicie sesión en Secure Cloud Analytics como administrador.
2.  Seleccione Configuración > Sensores.
3.  Vaya al final de la lista de sensores y copie la clave de servicio. Vea la siguiente imagen para ver un ejemplo.ampel.
   Clave de servicio: (mostrar) Host del servicio:
4. Acceda al sensor mediante SSH como administrador.
5. En el símbolo del sistema, ingrese este comando: sudo nano /opt/obsrvbl-ona/config.local y presione Entrar para editar la configuración file.
6. Agregue las siguientes líneas, reemplazando con la clave de servicio del portal yurl>con su anfitrión de servicio regional url: # Clave de servicio
   CLAVE_DE_SERVICIO_OBSRVBL=" ” OBSRVBL_HOST="url>”
   En su portal de Secure Cloud Analytics, vaya a Configuración > Sensores y desplácese hasta la parte inferior de la página para encontrar su host de servicio. url.
   Vea la siguiente imagen para ver un ejemploampen:
7. Presione Ctrl + 0 para guardar los cambios.
8.  Presione Ctrl + x para salir.
9.  En el símbolo del sistema, ingrese sudo service obsrvbl-ona restart para reiniciar el servicio Secure Cloud Analytics.

Pueden pasar hasta 20 minutos antes de que un nuevo sensor se refleje en el portal.

Configuración de proxy
Si está utilizando un servidor proxy, complete los siguientes pasos para habilitar la comunicación entre el sensor y el web portal.

1.  Acceda al sensor mediante SSH como administrador.
2.  En el símbolo del sistema, ingrese este comando: sudo nano /opt/obsrvbl-ona/config.local y presione Entrar para editar la configuración file.
3.  Agregue la siguiente línea, reemplazando proxy. name. com con el nombre de host o la dirección IP de su servidor proxy y Port con el número de puerto de su servidor proxy: HTTPS_PROXY=”proxy.name.com:Puerto.”
4. Presione Ctrl + 0 para guardar los cambios.
5.  Presione Ctrl + x para salir.
6. En el símbolo del sistema, ingrese sudo service obsrvbl-ona restart para reiniciar el servicio Secure Cloud Analytics.

Pueden pasar hasta 20 minutos antes de que un nuevo sensor se refleje en el portal.

Confirmación de la conexión del portal de un sensor
Después de agregar un sensor al portal, confirme la conexión en Secure Cloud Analytics.

Si vinculó manualmente un sensor al web portal actualizando el config.local
configuración file utilizando una tecla de servicio, utilizando la curlEl comando para confirmar la conexión desde el sensor puede no devolver el resultado. web nombre del portal.

1. Inicie sesión en Secure Cloud Analytics.
2. Seleccione Configuración > Sensores. El sensor aparecerá en la lista.

Si no ve el sensor en la página Sensores, inicie sesión en el sensor para confirmar la conexión.

1. Acceda al sensor mediante SSH como administrador.
2. En el símbolo del sistema, ingrese curl https://sensor.ext.obsrvbl.comandpressEnter. El sensor devuelve el nombre del portal. Vea la siguiente imagen para un ejemplo.ampel.Su anfitrión de servicios url Puede variar según tu ubicación. En tu portal de Secure Cloud Analytics, ve a Configuración > Sensores y desplázate hasta el final de la página para encontrar el host de tu servicio. url.
3. Cerrar sesión en el sensor.

Configuración de un sensor para recopilar datos de flujo

• Un sensor crea registros de flujo a partir del tráfico en sus interfaces Ethernet de forma predeterminada. Esta configuración predeterminada presupone que el sensor está conectado a un puerto Ethernet SPAN o espejo. Si otros dispositivos de su red pueden generar registros de flujo, puede configurar el sensor en el... web Interfaz de usuario del portal para recopilar registros de flujo de estas fuentes y enviarlos a la nube.
• Si los dispositivos de red generan diferentes tipos de flujos, se recomienda configurar el sensor para que recopile cada tipo a través de un puerto UDP diferente. Esto también facilita la resolución de problemas.
  Más fácil. De forma predeterminada, el firewall del sensor local (iptables) tiene abiertos los puertos 2055/UDP, 4739/UDP y 9995/UDP. Si desea usar puertos UDP adicionales, debe configurarlos en
  el web portal.

Puede configurar la recopilación de los siguientes tipos de flujo en el web Interfaz de usuario del portal:

• NetFlow v5 – Puerto 2055/UDP (abierto por defecto)
• NetFlow v9 – Puerto 9995/UDP (abierto por defecto)
• IPFIX – Puerto 4739/UDP (abierto por defecto)
•  sFlow – Puerto 6343/UDP

Hemos proporcionado los puertos predeterminados, pero estos se pueden configurar según sus puertos preferidos en el web Interfaz de usuario del portal.

Se deben seleccionar ciertos dispositivos de red en el web Interfaz de usuario del portal antes de que funcione correctamente:

• Cisco Meraki – Puerto 9998/UDP
• Cisco ASA – Puerto 9997/UDP
• SonicWALL – Puerto 9999/UDP

La versión 14.50 del firmware de Meraki alinea el formato de exportación de registros de Meraki con el formato NetFlow. Si su dispositivo Meraki utiliza la versión 14.50 o posterior, configure el sensor con el tipo de sonda NetFlow v9 y la fuente Estándar. Si su dispositivo Meraki utiliza una versión de firmware anterior a la 14.50, configure el sensor con el tipo de sonda NetFlow v9 y la fuente Meraki MX (anterior a la 14.50).

Configuración de sensores para la recolección de flujo

1. Inicie sesión en Secure Cloud Analytics como administrador.
2. Seleccione Configuración > Sensores.
3. Haga clic en el menú desplegable Configuración del sensor que agregó.
4. Seleccione configurar NetFlow/IPFIX.
   Esta opción requiere una versión actualizada del sensor. Si no la ve, seleccione Ayuda (?) > Instalación del sensor local para descargar la versión actual del ISO del sensor.
5. Haga clic en Agregar nueva sonda.
6.  Seleccione un tipo de flujo en el menú desplegable Tipo de sonda.
7.  Introduzca un número de puerto.
   Si desea pasar NetFlow mejorado a su sensor, asegúrese de que el puerto UDP que configure no esté configurado también para NetFlow flexible o IPFIX en la configuración de su sensor. Por ejemplo:ampConfigure el puerto 2055/UDP para Enhanced NetFlow y el puerto 9995/UDP para Flexible NetFlow. Consulte la Guía de configuración de Enhanced NetFlow para obtener más información.
8. Elija un protocolo del menú desplegable.
9.  Elija una fuente en el menú desplegable.
10.  Haga clic en Guardar.

Las actualizaciones de configuración del sensor pueden tardar hasta 30 minutos en reflejarse en el portal.

Solución de problemas

Capturar paquetes del sensor
Ocasionalmente, el soporte de Cisco podría necesitar verificar los datos de flujo que recibe el sensor. Recomendamos realizar esto generando una captura de paquetes de los flujos. También puede abrir la captura de paquetes en Wireshark para...view Los datos.

1.  Acceda al sensor mediante SSH como administrador.
2.  En el indicador, ingrese sudo tcpdump -D y presione Enter para view Lista de interfaces. Anote el nombre de la interfaz de control de su sensor.
3. En el indicador, ingrese sudo tcpdump -i -n -c 100 “puerto " -w , reemplazar con el nombre de su interfaz de control, con el número de puerto correspondiente a sus datos de flujo configurados, y con un nombre para el pcap generado file, luego presione Enter. El sistema genera un pcap file con el nombre especificado para el tráfico de esa interfaz, a través del puerto especificado.
4. Cierre la sesión de su sensor.
5. Usando un programa SFTP, como PuTTY SFTP (PSFTP) o WinSCP, inicie sesión en el sensor.
6. En el mensaje, ingrese get , reemplazar con tu pcap generado file nombre y presione Enter para transferir el file a su estación de trabajo local.

Analizar la captura de paquetes en Wireshark

1. Descargue e instale Wireshark, luego abra Wireshark.
2. Seleccionar File > Abra y seleccione su pcap file.
3. Seleccione Analizar > Decodificar como.
4. Haga clic en + para agregar una nueva regla.
5. Seleccione CFLOW en el menú desplegable Actual y haga clic en Aceptar. La interfaz de usuario se actualiza para mostrar solo los paquetes relacionados con NetFlow, IPFIX o sFlow. Si no aparecen resultados, el pcap no contiene paquetes relacionados con NetFlow y la recopilación de datos de flujo está configurada incorrectamente en el sensor.

Recursos adicionales

Para obtener más información sobre Secure Cloud Analytics, consulte lo siguiente:

• https://www.cisco.com/c/en/us/products/security/stealthwatch-cloud/index.html para un general sobreview
• https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/tsd-products-support-series-home.html para recursos de documentación
• https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/products-installation-guides-list.html para guías de instalación y configuración, incluida la Guía de implementación inicial de Secure Cloud Analytics

Cómo ponerse en contacto con el servicio de asistencia
Si necesita soporte técnico, realice una de las siguientes acciones:

•  Póngase en contacto con su socio local de Cisco
• Póngase en contacto con el soporte de Cisco
• Para abrir un caso por web: http://www.cisco.com/c/en/us/support/index.html
• Para abrir un caso por correo electrónico: tac@cisco.com
•  Para soporte telefónico: 1-800-553-2447 (A NOSOTROS)
• Para números de soporte mundial: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Historial de cambios

Versión del documento	Fecha de publicación	Descripción
1_0	Abril de 27,2022	Versión inicial
1_1	Agosto de 1,2022	Actualización de la información de soporte de Cisco.  Se agregó nota para IP públicas.
1_2	17 de febrero de 2023	Se agregó la sección Configuración de proxy.  Configuración del sensor Meraki actualizada.
1_3	Junio ​​de 21,2023	Se corrigió un error tipográfico. Numeración actualizada para procedimientos.
1_4	8 de abril de 2024	Se actualizó la introducción en el Medios de sensores Instalación y Configuración Sección. Cambios menores de formato.
1_5	30 de octubre de 2024	Se actualizó el Requisitos de acceso al sensor sección.
2_0	4 de diciembre de 2024	Se actualizó la versión del sensor, instaló un sensor sección, Cómo encontrar y agregar la dirección IP pública de un sensor a un portal sección, y Requisitos previos del sensor sección.
2_1	21 de abril de 2025	Se agregó una nota sobre la opción de arranque de VMware. Requisitos adicionales de la máquina virtual sección. Se actualizó el Agregar manualmente una clave de servicio de un portal a un Sensor sección para incluir la información de configuración de OBSRVBL_HOST.
2_2	17 de octubre de 2025	Se eliminó la limitación exclusiva de América del Norte para obligar al sensor a comunicarse únicamente con direcciones Cisco conocidas.

Información de derechos de autor

• Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco y/o sus filiales en los EE. UU. y otros países. view Para obtener una lista de marcas comerciales de Cisco, visite este sitio URL: https://www.cisco.com/go/trademarksLas marcas comerciales de terceros mencionadas son propiedad de sus respectivos dueños. El uso de la palabra socio no implica una relación de asociación entre Cisco y ninguna otra empresa. (1721R)
• © 2025 Cisco Systems, Inc. y/o sus filiales. Reservados todos los derechos.

Preguntas frecuentes

¿Puede el sensor recopilar tráfico IPv6?

No, el sensor no admite tráfico IPv6.

Documentos / Recursos

Sensor de análisis de nube segura de CISCO [pdf] Guía del usuario Sensor de análisis de nube segura, sensor de análisis de nube, sensor de análisis, sensor

Referencias

• Manual de usuario