CISCO WSA Sare Seguruaren Analitika Erabiltzailearen Gida

Sarrera

Cisco Secure Network Analytics (lehen Stealthwatch) Proxy Log-erako zure sareko proxy zerbitzarietatik erabiltzaileen informazioa biltzeko, proxy zerbitzariaren erregistroak konfiguratu behar dituzu. Flow Collector-ek erregistroak jasotzen ditu, eta Manager-ek (lehen Stealthwatch Management Console) informazioa Flow Proxy Records orrian bistaratzen du. Orrialde honek honako hau eskaintzen du: URLSare barruko trafikoaren proxy zerbitzaritik igarotzen den helbideak eta aplikazio izenak.

Baldintzak

Hasi aurretik, ziurtatu baldintza hauek betetzen dituzula:

• Cisco WSA (14-5-1-016), Blue Coat, McAfee eta Squid onartzen dira konfigurazio honetarako. Ziurtatu zure proxy zerbitzaria konfiguratuta dagoela eta zure sarearen parte gisa exekutatzen ari dela.
• Berretsi Flow Collector-ek eta proxy-ak NTP zerbitzari bera erabiltzen dutela (edo fluxu eta proxy erregistroak bat etor daitezen ordua iturri komun batetik jasotzen dutela).
• Hautatu proxy erregistroetan aztertu nahi dituzun esportatzaile eta amaiera-puntuetatik datuak biltzen dituen Flow Collectorra. Konfiguraziorako IP helbidea behar duzu.
• Ez dago syslog proxy mezuen tamaina mugarik. Hala ere, gomendatzen dugu mezuak proxyaren eta Flow Collectorren arteko bidean dagoen Maximum Transmission Unit (MTU) laburrena baino laburragoak izatea, normalean 1500. Horrek paketeen zatikatzea ezabatzen du eta fidagarritasuna handitzen du.
• Proxy erregistroa ez da onartzen Erabilgarritasun Handiko (HA) moduan.

Konfigurazioa amaitu daview

Bete prozedura hauek:

1. Aukeratu metodo hauetako bat zure proxy zerbitzaria konfiguratzeko.
   • Cisco konfiguratzea. Web Segurtasun Gailuaren (WSA) Proxy Erregistroak
   • Blue Coat proxy erregistroak konfiguratzea
   • McAfee proxy erregistroak konfiguratzea
   • Squid proxy erregistroak konfiguratzea
2. Fluxu-biltzailea konfiguratzea
3. Fluxuak egiaztatzea.

Cisco konfiguratzea. Web Segurtasun Gailuaren (WSA) Proxy Erregistroak

Erabili atal hau Secure Network Analytics-era bidaltzeko Cisco proxy erregistroak konfiguratzeko.

Cisco WSA proxyak ez ditu IP birtualak onartzen proxy gailua gehitzeko.

Cisco proxy erregistroa konfiguratzeko, jarraitu urrats hauek:

1. Hasi saioa Cisco proxy zerbitzarian.

2. Menu nagusian, egin klik Sistemaren Administrazioa > Erregistro Harpidetzak aukeran. Erregistro Harpidetzak orria irekiko da.

3. Egin klik Gehitu erregistro-harpidetzak botoian. Erregistro-harpidetza berriak orria irekiko da.

4. Erregistro mota goitibeherako zerrendan, hautatu W3C erregistroak. Eskuragarri dauden W3C erregistro eremuak agertuko dira.

5. Erregistroaren izena eremuan, idatzi erabiliko duzun erregistroaren izena.

6. Eskuragarri dauden erregistro-eremuak zerrendatik, hautatu Ordutegiaampeta, ondoren, egin klik Gehitu aukeran Hautatu erregistro-eremuak zerrendara mugitzeko.

7. Errepikatu aurreko urratsa ondorengo erregistro-eremu bakoitzerako, hurrenkeran:

a. denboraamp
b. x-igarotako-denbora
c. c-ip
d. c-portua
e. cs-byte
f. s-ip
g. s-sport
h. sc-byte
i. cs-erabiltzaile-izenak
j. s-ordenagailuarenIzena
k. cs-url

Hautatutako erregistro-eremuen zerrendak eremu hauek izan beharko lituzke, ilustratutako moduan:

Hautatutako erregistro-eremuen zerrenda goiko ordenan egon behar da, beste eremurik gabe.

8. Joan orriaren behealdera eta hautatu Syslog Push aukera.

9. Hostname eremuan, idatzi proxyak erregistroak bidaltzen dizkion Flow Collector IP helbidea edo hostname.

Ziurtatu proxy erregistroetan ikertu nahi dituzun esportatzaileetatik eta amaiera-puntuetatik datuak biltzen dituen Flow Collectorra hautatzen duzula.

10. Egin klik Bidali aukeran. Erregistro berria Erregistro Harpidetza zerrendara gehitzen da.

11. Jarraitu Flow Collector-a konfiguratzen atalera zure Flow Collector-a syslog informazioa jasotzeko konfiguratzeko.

Blue Coat proxy erregistroak konfiguratzea

Erabili atal hau Blue Coat proxy erregistroak Secure Network Analytics-era bidaltzeko konfiguratzeko.

Probak egiteko erabilitako Blue Coat proxy bertsioa SG V100, SGOS 6.5.5.7 SWG Edition izan zen.

Formatua sortzea.

Erregistro formatu berri bat sortzeko, jarraitu urrats hauek:

1. Zure arakatzailean, sartu zure Blue Coat proxy zerbitzarian.

2. Egin klik Konfigurazioa fitxan.

3. Kudeaketa kontsolaren menu nagusian, egin klik Sarbide erregistroa > Formatuak aukeran.

4. Egin klik orriaren behealdean dagoen Berria aukeran. Formatua sortu orria irekiko da.

5. Formatuaren izena eremuan, idatzi formatu berriaren izena.

6. Hautatu W3Cren erregistro zabaldua File Formatua (ELFF) aukera.

7. Formatu eremuan, idatzi honako kate hau:

aldizamp iraupena c-ip c-port r-ip r-port s-ip s-port cs-bytes sc-bytes cs-user cs-host cs-uri

8. Sakatu Ados. Jarraitu hurrengo atalera, Sortu erregistro berri bat

Sortu erregistro berri bat

Erregistroak sortzeko, jarraitu urrats hauek:

1. Menu nagusian, egin klik Sarbide Erregistroa > Erregistroak aukeran, eta ondoren hautatu erregistro formatu berria. Erregistro orria irekiko da.

2. Egin klik Ezarpen orokorrak fitxan.

3. Erregistroaren formatua goitibeherako zerrendan, hautatu 1. urratsean sortu duzun erregistroa.

4. Deskribapena eremuan, idatzi erregistro berriaren deskribapena.

5. Egin klik orriaren behealdean dagoen Aplikatu botoian. Jarraitu hurrengo atalera, Konfiguratu Kargatzeko Bezeroa

Konfiguratu kargatzeko bezeroa

Kargatzeko bezeroa konfiguratzeko, jarraitu urrats hauek:

1. Egin klik Bezeroa igo fitxan. Bezeroa igo orria irekiko da.

2. Bezero mota goitibeherako zerrendan, hautatu Bezero pertsonalizatua.

3. Egin klik Ezarpenak botoian. Bezero pertsonalizatuaren ezarpenen orria irekiko da.

4. Dagokion eremuetan, idatzi Flow Collector-aren IP helbidea eta proxy parser-aren entzuteko ataka.

SSL ez da onartzen une honetan.

5. Sakatu Ados.

6. Transmisio-parametroetarako, jarraitu urrats hauek:

• a. Enkriptazio ziurtagirirako, hautatu Enkriptaziorik ez.
• b. Sinadura-giltzarrapoa goitibeherako zerrendan, hautatu sinadurarik ez.
• c. "Gorde erregistroa" ataletik file "testua" hautatu file aukera.
• d. “Bidali buffer partziala ondoren” testu-koadroan, idatzi 5.
• e. Egin klik Kargatze-egutegia fitxan eta hautatu etengabe aukera Kargatu sarbide-erregistroa atalean.
• f. Konexio saiakeren artean itxaron eremuan, idatzi 60.
• g. Keep-alive log paketeen arteko denbora eremuan, idatzi 5.

7. Egin klik orriaren behealdean dagoen Aplikatu botoian. Jarraitu hurrengo atalera, Kargatzeko ordutegia konfiguratzea.

Kargatzeko ordutegia konfiguratzea

Kargatzeko ordutegia konfiguratzeko, jarraitu urrats hauek:

1. Egin klik Kargatze-egutegia fitxan.

2. “Sarbide-erregistroa igo” aukeran, hautatu etengabe.

3. Saiakera zuzenen artean itxaron behar da 60 segundoz.

4. Keep-alive erregistro-paketeen arteko denbora 5 segundo.

5. Egin klik orriaren behealdean dagoen Aplikatu botoian.

Honek Flow Collector-erako Blue Coat proxy erregistroen konfigurazioa osatzen du.

Baldintzak

Konfigurazioari buruzko ohar gehiago:

• Berretsi Flow Collector-ek eta Proxy-ek NTP zerbitzari bera erabiltzen dutela (edo fluxu eta proxy erregistroak bat etor daitezen ordua iturri komun batetik jasotzen dutela).
• Proxyarentzako erregistro-irteera mekanismo bakarra onartzen da. Erregistroak esportatzen ari bazara, ezin izango dituzu proxy erregistroak atzeman eta analizatu.
• UDP Zuzendariaren Erabilgarritasun Handia ez da onartzen.

Visual Policy Manager konfiguratzea

Visual Policy Manager-en konfigurazioak proxy erregistroa Flow Collector-era bidaltzen ari dela egiaztatzeko aukera ematen dizu.

1. Menu nagusiko Konfigurazioa fitxa-orrian, egin klik Politika > Visual Policy Manager aukeran. Visual Policy Manager irekiko da.

2. Egin klik konfiguratutako erregistroaren behealdean dagoen Abiarazi botoian. Erregistroaren leihoko Visual Policy Manager irekiko da.

3. Egin klik Politika > Gehitu aukeran Web Sartu geruzara. Geruza berria gehitu pantaila irekitzen da.

4. Idatzi geruza berriaren izena eta egin klik Ados botoian.

5. Egin klik eskuineko botoiarekin Ukatu aukeran Ekintza zutabean eta egin klik Ezarri aukeran. Ezarri ekintza-objektua elkarrizketa-koadroa irekiko da.

6. Egin klik Berria aukeran eta hautatu Aldatu sarbide-erregistroa. Editatu sarbide-erregistroko objektua elkarrizketa-koadroa irekiko da.

7. Egin klik Gaitu erregistroa aukeran.

8. Idatzi erregistroaren izena eta hautatu erregistroa.

9. Egin klik Ados botoian. Objektua gehitu da.

10. Ekintza-objektua ezarri elkarrizketa-koadroan, egin klik Ados botoian.

11. Egin klik goiko eskuineko Instalatu politika botoian.

12. Egin klik Ez botoian eta gero Ados botoian hurrengo leihoetarako.

13. Abiarazi berriro Blue Coat Visual Policy Manager.

14. Egin klik eskuineko botoiarekin erregistro-fitxan eta hautatu Gaitu geruza.

15. Egin klik Instalatu politika botoian. Instalatutako politika irekiko da.

16. Sakatu Ados.

17. Egin klik Estatistikak fitxan, eta erregistro-menuan, hautatu zure erregistroa.

18. Menu nagusian, egin klik Sarbide erregistroa aukeran eta, ondoren, egin klik Erregistro buztana fitxan. Erregistro buztana leihoa irekiko da.

19. Egin klik orriaren behealdean dagoen Hasi Buztana botoian.

20. Estatistika menu nagusian, egin klik Sistema > Gertaeren erregistroa aukeran. Orrialde honek erregistroa agertzen den ala ez erakutsiko du file Flow Collector-era igotzen da eta egindako aldaketak. Proxy-a Flow Collector-era konektatuta dagoen erakusten du.

21. Jarraitu Flow Collector-a konfiguratzen atalera zure Flow Collector-a syslog informazioa jasotzeko konfiguratzeko.

McAfee proxy erregistroak konfiguratzea

Erabili atal hau McAfee proxy erregistroak McAfee-tik konfiguratzeko. Web Secure Network Analytics-era bidaltzeko pasabidea.

• Ziurtatu XML konfigurazioa deskargatu duzula file McAfee proxyarentzat. Joan Cisco Software Centralera readme eta Proxy Log XML konfigurazioa deskargatzeko. files.
• Hasi saioa zure Cisco Smart kontuan hemen: https://software.cisco.com edo jarri harremanetan zure administratzailearekin.
• Probak egiteko erabilitako McAfee proxy bertsioa 7.4.2.6.0 – 18721 izan zen.

McAfee proxy erregistroa konfiguratzeko, jarraitu urrats hauek:

1. Deskargatu XMLa file, FlowCollector_[data]_McAfee_Log_XML_Config_[v].xml, eta gorde nahi duzun kokapenean.

«Data»-k XML-aren data adierazten du. file, eta “v”-k McAfee proxy bertsioa adierazten du. Hautatu XML fitxategia file zure McAfee proxyaren bertsio-zenbaki berdinarekin.

Deskargatzeko file, bete urrats hauek:

• a. Joan https://software.cisco.com, Cisco Software Zentrala.
• b. Deskargatu eta kudeatu > Deskargatu eta eguneratu atalean, hautatu Deskargetara sartu.
• c. Joan behera Produktu bat hautatzeko eremura.
• d. Idatzi Sare Seguruaren Analisia Produktu bat Hautatu eremuan. Sakatu Sartu.
• e. Hautatu Secure Network Analytics Virtual Flow Collector edo beste Flow Collector bat.
• f. Hautatu Sare Seguruaren Analisi Sistemaren Softwarea > Konfigurazioa Files.

2. Hasi saioa McAfee proxy zerbitzarian.

3. Egin klik Politika ikonoan eta, ondoren, egin klik Arau multzoak fitxan.

4. Hautatu Erregistro-kudeatzailea eta, ondoren, hautatu Lehenetsia.

5. Egin klik Gehitu > Arau multzoa liburutegitik.

6. Egin klik Inportatu hemendik aukeran file, eta ondoren hautatu XML file.

7. Hautatu mcafeelancopelog inportatu berri den erregistro-kudeatzailean.

Ziurtatu arau multzoa eta "sarbide-erregistroa sortu" eta "syslog-era bidali" araua gaituta daudela.

8. Egin klik orriaren goialdean dagoen Konfigurazio ikonoan.

9. Orriaren ezkerrean, egin klik botoian File Editore fitxa, eta ondoren hautatu rsyslog.conf fitxategia file.

10. Testu-koadroaren behealdean (zerrendaren ondoan) files), idatzi testu hau:

Ziurtatu proxy erregistroetan ikertu nahi dituzun esportatzaileetatik eta amaiera-puntuetatik datuak biltzen dituen Flow Collectorra hautatzen duzula.

11. Iruzkin gisa lerro hau idatzi:

*.info;mail.none;authpriv.none;cron.none.

12. Gehitu lerro hau:

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.

13. Egin klik orriaren goiko eskuinaldean dagoen Aldaketak gorde botoian.

14. Jarraitu Flow Collector-a konfiguratzen atalera zure Flow Collector-a syslog informazioa jasotzeko konfiguratzeko.

Squid proxy erregistroak konfiguratzea

Erabili atal hau Squid proxy erregistroak Secure Network Analytics-era bidaltzeko konfiguratzeko. Editatu dezakezu files proxy zerbitzarian SSH erabiliz.
Squid proxy erregistroak konfiguratzeko, jarraitu urrats hauek:

1. Hasi saioa Squid exekutatzen ari den makinaren shell batean.

2. Joan squid.conf fitxategia duen direktoriora (normalean /etc/squid) eta ireki editore batean.

3. Gehitu lerro hauek squid.conf fitxategira erregistroa konfiguratzeko:

logformat sarbide_formatua %ts%03tu % a %>p %>st %

4. Berrabiarazi squid honako hau erabiliz:

• Init-ean oinarritutako sistemetarako: /etc/init.d/squid3 restart
• Systemd-n oinarritutako sistemetarako: systemctl berrabiarazi squid

5. Konfiguratu syslog zerbitzua Squid zerbitzarian erregistroak Flow Collector-era bidaltzeko. Linux banaketaren/syslog zerbitzuaren araberakoa da hau.

syslog-ng-rako, gehitu hau /etc/syslog-ng/syslog-ng.conf fitxategira:

# Auditoria Erregistroaren Instalazioa BEGIN filter bs_filter { filter(f_user) and level(info) }; destination udp_proxy { udp("10.205.14.15" port(514)); }; log { source(s_all); filter(bs_filter); destination(udp_proxy); }; # Auditoria Erregistroaren Instalazioa END

rsyslog-erako, gehitu hau /etc/rsyslog.conf fitxategira:

:programarenizena, dauka, "txipiroia" @10.205.14.15:514

Ziurtatu proxy erregistroetan ikertu nahi dituzun esportatzaileetatik eta amaiera-puntuetatik datuak biltzen dituen Flow Collectorra hautatzen duzula.

6. Ondoren, berrabiarazi syslog zerbitzua.

• Init-en oinarritutako sistemetarako:
  /etc/init.d/syslog-ng berrabiarazi (syslog-ng-rako)
  /etc/init.d/rsyslog berrabiarazi (rsyslog-erako)
• Systemd-n oinarritutako sistemetarako:
  systemctl-ek syslog berrabiarazi (syslog-ng-rako)
  systemctl berrabiarazi rsyslog (rsyslog-erako)

7. Jarraitu Flow Collector-a konfiguratzen atalera syslog informazioa jasotzeko.

Fluxu-biltzailea konfiguratzea

Proxy zerbitzaria konfiguratu ondoren, Flow Collector datuak onartzeko konfiguratu behar duzu.

Flow Collector-a syslog informazioa jasotzeko konfiguratzeko, jarraitu urrats hauek:

1. Hasi saioa zure kudeatzailean.

2. Hautatu Konfiguratu > Globala > Kudeaketa zentralizatua.

3. Egin klik zure Flow Collector-erako (Elipsis) ikonoan, eta ondoren egin klik View Etxetresna elektrikoen estatistikak.

4. Hasi saioa Flow Collector-en. Flow Collector interfazea irekiko da.

5. Egin klik Konfigurazioa > Proxy Ingesta aukeran. Proxy zerbitzarien orria irekiko da.

6. Idatzi proxy zerbitzariaren IP helbidea.

7. Proxy mota goitibeherako zerrendan, hautatu zure proxy zerbitzaria.

Zure proxy zerbitzari mota zerrendan ez badago, ezingo dituzu proxy erregistroak erabili une honetan.

8. Proxy zerbitzaria bada:

• IP helbide bakarra badu, idatzi proxy zerbitzariaren IP helbidea IP Helbidea eremuan. Utzi Telemetria IP Helbidea eremua hutsik.
• IP helbide gehiago baditu, idatzi proxy zerbitzariaren kudeaketa IP helbidea (syslog-en mezuaren iturburu IP helbidea) IP Helbidea eremuan. Telemetria IP Helbidea eremuan, idatzi proxy zerbitzariaren telemetria IP helbidea.

9. Proxy Zerbitzuaren Ataka eremuan, idatzi proxy zerbitzariaren ataka zenbakia.

10. Proxy zerbitzariak alarmak eragitea nahi baduzu, desmarkatu Alarmatik kanpo utzi kontrol-laukia.

11. Sakatu Gehitu.

12. Egin klik Aplikatu aukeran. Proxy zerbitzaria orriaren goialdean dagoen Proxy Ingest taulan agertzen da.

13. Jarraitu Fluxuak egiaztatzea atalera.

Fluxuak egiaztatzea.

Fluxuak jasotzen ari zarela egiaztatzeko, jarraitu urrats hauek:

1. Flow Collector interfazean, egin klik Laguntza > Arakatu aukeran. Filemenu nagusian s. Arakatu aukera Files orria irekitzen da.

2. Ireki sw.log fitxategia file.

3. Egiaztatu webproxy-ak goranzko kontaketa egiten ari da datuak jasotzen ari zarela erakusteko.

Laguntzarekin harremanetan jartzea

Laguntza teknikoa behar baduzu, egin hauetako bat:

• Jarri harremanetan tokiko Cisco bazkidearekin
• Jarri harremanetan Cisco laguntzarekin
• Kasu bat irekitzeko web: http://www.cisco.com/c/en/us/support/index.html
• Telefono-laguntzarako: 1-800-553-2447 (AEB)
• Mundu osoko laguntza-zenbakietarako:
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Historia aldatzea

Copyright informazioa

Cisco eta Ciscoren logotipoa Ciscoren eta/edo bere afiliatuen marka komertzial edo erregistratutako marka dira AEBetan eta beste herrialde batzuetan. To view Cisco marken zerrenda bat, joan hona URL: https://www.cisco.com/go/trademarks. Aipatutako hirugarrenen markak dagozkien jabeen jabetzakoak dira. Bazkide hitza erabiltzeak ez du Ciscoren eta beste edozein konpainiaren arteko lankidetza-harremanik suposatzen. (1721R)

© 2025 Cisco Systems, Inc. eta/edo bere afiliatuak.
Eskubide guztiak erreserbatuta.

Dokumentuak / Baliabideak

CISCO WSA Sare Seguruaren Analisia [pdfErabiltzailearen gida WSA 14-5-1-016, Blue Coat, McAfee, Squid, WSA Sare Seguruaren Analitika, WSA, Sare Seguruaren Analitika, Sarearen Analitika, Analitika

Erreferentziak

• Erabiltzailearen eskuliburua