Déploiement de Cisco Secure Network Analytics

Informations sur le produit

Caractéristiques:

• Nom du produit : Déploiement de Cisco Secure Network Analytics
• Intégration : Intégration Cisco ISE pour ANC

Déploiement de Cisco Secure Network Analytics et intégration de Cisco ISE pour ANC

Installation de SMC

Connectez-vous à la console, saisissez la commande SystemConfig et saisissez la configuration réseau de l'appareil.

Installation du nœud de magasin de données

Connectez-vous à la console, saisissez la commande SystemConfig et saisissez la configuration réseau de l'appareil.

Nous avons configuré l'interface de gestion, ce qui suit est une deuxième interface réseau pour la communication inter-nœuds de données (communication avec d'autres nœuds de données).

Installation du collecteur de flux

Connectez-vous à la console et saisissez la commande SystemConfig. Assurez-vous que toutes les options de télémétrie sont sélectionnées.

Configurer les ports pour la télémétrie.

• Flux net : 2055
• Module de visibilité du réseau : 2030
• Journaux de pare-feu : 8514 XNUMX

Saisissez la configuration réseau de l'appareil.

Installation du capteur de débit

Connectez-vous à la console, saisissez la commande « SystemConfig ». Saisissez la configuration réseau de l'appareil.

Installation de Cisco Telemetry Broker
Cisco Telemetry Brocker, le composant principal de

Cisco Secure Network Analytics (anciennement Cisco Stealthwatch) et un appareil puissant pour optimiser la télémétrie, il est principalement utilisé :

• Pour simplifier la collecte et l'agrégation du trafic Netflow, SNMP et Syslog.
• Il simplifie la configuration et l'envoi de données Netflow à l'aide d'un seul exportateur dans vos périphériques réseau au lieu de différents exportateurs, en particulier lorsque vous disposez d'analyseurs Netflow disparates tels que Cisco Secure Network Analytics, SolarWinds ou LiveAction, ou si vous disposez de plusieurs collecteurs de flux avec Cisco Secure Network Analytics.
• De plus, il simplifie les flux de télémétrie lors de l'utilisation de plusieurs destinations et de différentes solutions de gestion des journaux.

L'architecture de Cisco Telemetry Broker se compose de deux composants : 

• Nœud gestionnaire
• Nœud de courtier.

Les nœuds Broker sont tous gérés par un gestionnaire Cisco Telemetry Broker via l'interface de gestion. Le nœud gestionnaire nécessite une interface réseau pour le trafic de gestion. Le nœud Broker nécessite deux interfaces réseau : une interface de gestion pour la communication avec le gestionnaire et une interface de télémétrie pour l'envoi des données au collecteur de flux, qui les envoie ensuite aux destinations configurées, telles que la console de gestion SMC dans la solution Cisco Secure Network Analytics. L'adresse IP/le port du collecteur de flux de destination du trafic de télémétrie dans la solution Cisco Secure Network Analytics est ajouté au nœud gestionnaire et transmis au nœud Broker via l'interface de gestion pour lui indiquer où diriger le trafic NetFlow.

Lors de l'installation du nœud Broker, vous devez le joindre au nœud gestionnaire à l'aide de la commande sudo ctb-manage et fournir l'adresse IP et les identifiants d'administrateur du nœud gestionnaire. Une fois le nœud Broker ajouté au nœud gestionnaire, Web L'interface graphique du nœud gestionnaire affiche le nœud Broker ajouté avec son adresse IP de gestion. Pour finaliser l'intégration entre le nœud Broker et le nœud gestionnaire, vous devez ajouter l'interface réseau de données ou de télémétrie du nœud Broker au nœud gestionnaire. Enfin, les périphériques réseau tels que les pare-feu, les routeurs et les commutateurs utilisent l'adresse IP de l'interface de télémétrie du nœud Broker comme exportateur Netflow.

Déployer le nœud gestionnaire
Exécutez la commande sudo ctb-install –init.

Saisissez les informations suivantes :

• Mot de passe pour l'utilisateur administrateur
• Nom d'hôte
• Adresse IPv4, masque de sous-réseau et adresse de passerelle par défaut pour l'interface du réseau de gestion
• Adresse IP du serveur de noms DNS

Déployer le nœud Broker
Exécutez la commande sudo ctb-install –init.

Saisissez les informations suivantes :

• Mot de passe pour l'utilisateur administrateur
• Nom d'hôte
• Adresse IPv4, masque de sous-réseau et adresse de passerelle par défaut pour l'interface du réseau de gestion
• Adresse IP du serveur de noms DNS

Exécutez la commande sudo ctb-manage. 
Saisissez les informations suivantes :

• Adresse IP du nœud Manager
• Nom d'utilisateur du compte administrateur du nœud Gestionnaire

Connectez-vous à Cisco Telemetry Broker. Dans un web Dans le navigateur, saisissez l'adresse IP de l'interface de gestion du gestionnaire. Dans le menu principal, sélectionnez « Nœuds Broker ».

Dans le tableau Nœuds Broker, cliquez sur le nœud Broker. Dans la section Interface de télémétrie, configurez l'interface de télémétrie et la passerelle par défaut.

Maintenant que les appareils SNA sont configurés avec une adresse IP de gestion, nous devons terminer l'outil de configuration de l'appareil (AST) sur chaque composant SNA.

L'outil de configuration des appareils (AST) configurera les appareils pour pouvoir communiquer avec le reste du déploiement SNA.

SMC

• Accédez à l'interface graphique SMC.
• Modifiez les mots de passe par défaut pour admin, root et sysadmin.

• Aucune modification pour l'interface réseau de gestion.
• Configurez le nom d’hôte et les domaines.
• Configurer les serveurs DNS.
• Configurer le serveur NTP.
• Enregistrez enfin le SMC.
• Le SMC va redémarrer.

Nœud de magasin de données
Suivez la même procédure, la seule différence réside dans la configuration des paramètres de gestion centralisée. Dans cette section, saisissez l'adresse IP du SMC 198.19.20.136 ainsi que le nom d'utilisateur et le mot de passe.

Collecteur de débit
Suivez la même procédure, la seule différence réside dans la configuration des paramètres de gestion centralisée. Dans cette section, saisissez l'adresse IP du SMC 198.19.20.136 ainsi que le nom d'utilisateur et le mot de passe.

Capteur de débit

• Suivez la même procédure, la seule différence réside dans la configuration des paramètres de gestion centralisée. Dans cette section, saisissez l'adresse IP du SMC 198.19.20.136 ainsi que le nom d'utilisateur et le mot de passe.
• Pour terminer la configuration, initialisez le nœud DataStore.
• Connectez-vous au nœud DataStore en SSH et exécutez la commande SystemConfig.
• Suivez la boîte de dialogue interactive pour initialiser le nœud DataStore.
• Accédez à l'interface graphique SMC, dans la gestion centrale, nous pouvons voir que tous les appareils Cisco SNA sont connectés à SMC.

Configuration du courtier de télémétrie Cisco
Accédez à l'interface graphique du nœud Cisco Telemetry Broker Manager. Cliquez sur Ajouter une destination et sélectionnez Destination UDP. Configurez les paramètres suivants.

• Nom de la destination : SNA-FC
• Adresse IP de destination : 198.19.20.137
• Port UDP de destination : 2055
• Cliquez sur Ajouter une règle.
• Entrez 2055 comme port UDP de réception.

Cliquez sur Ajouter une destination et sélectionnez Destination UDP.
Configurez les paramètres suivants.

• Nom de la destination : Gestionnaire
• Adresse IP de destination : 198.19.20.136
• Port UDP de destination : 514
• Cliquez sur Ajouter une règle.
• Entrez 2055 comme port UDP de réception.

Intégration du moteur de services d'identité Cisco ISE
Accédez à Administration > pxGrid > Certificats.

Remplissez le formulaire comme suit :

• Cliquez sur le champ Je veux et sélectionnez Télécharger la chaîne de certificats racine
• Cliquez dans le champ Noms d'hôtes et sélectionnez admin
• Cliquez dans le champ Format de téléchargement du certificat et sélectionnez l'option PEM
• Cliquez sur Créer
• Téléchargez le file comme ISE-CA-ROOT-CHAIN.zip.
• Dans l'interface graphique SMC, cliquez sur « Gestion centralisée ». Sur la page « Gestion centralisée », localisez l'appliance SMC Manager, puis sélectionnez « Modifier la configuration de l'appliance ».
• Cliquez sur Général.
• Faites défiler jusqu'à Trust Store et cliquez sur Ajouter. Sélectionnez CertificateServicesRootCA-admin_.cer. fileCliquez sur Ajouter un certificat.
• Le SMC fera désormais confiance aux certificats émis par l'autorité de certification ISE.
• Cliquez sur l'onglet « Appareil ». Faites défiler la page jusqu'à la section « Identités client SSL/TLS supplémentaires » et cliquez sur « Ajouter ».
• Il vous demandera si vous devez générer un CSR, sélectionnez Oui et cliquez sur Suivant.

Remplissez le CSR comme suit :

• Longueur de la clé RSA
• Organisation
• Unité organisationnelle
• Localité ou ville
• État ou province
• Code du pays
• Adresse email

Cliquez sur Générer le CSR, puis sur Télécharger le CSR.

Accédez à l'interface graphique de Cisco ISE. Accédez à Administration > pxGrid > Certificats.

Utilisez les informations suivantes :

• Dans le champ Je veux, sélectionnez Générer un certificat unique (avec demande de signature de certificat)
• Collez le CSR dans le champ Détails de la demande de signature de certificat
• Tapez SMC dans le champ Description
• Sélectionnez l'adresse IP dans le champ SAN et entrez 198.19.20.136 comme adresse IP associée
• Sélectionnez le format PKCS12 comme option de format de téléchargement de certificat
• Entrer un mot de passe
• Cliquez sur Créer
• Enregistrez le certificat créé avec le nom SMC-PXGRID.

Note :
Dans certains déploiements Cisco ISE existants, vous pouvez avoir des certificats système expirés utilisés pour les services admin, eap et pxGrid, comme indiqué ci-dessous.

Cela est dû au fait que les certificats CA internes de Cisco ISE qui signent ces certificats système ont expiré.

Pour renouveler les certificats système, accédez à Administration > Certificats > Demandes de signature de certificat. Dans le champ Utilisation, sélectionnez « Autorité de certification racine ISE », puis cliquez sur « Remplacer la chaîne de certificats de l'autorité de certification racine ISE ».

Cisco ISE génère un nouveau certificat d'autorité de certification interne. N'oubliez pas d'ajuster le champ « Approuvé pour » pour les services appropriés, tels que pxGrid.

Les certificats système sont désormais valides.

Accédez à l'interface utilisateur graphique du SMC. Accédez à la Gestion centralisée. Dans l'onglet Configuration de l'appliance SMC, faites défiler jusqu'au formulaire « Ajouter une identité client SSL/TLS », puis cliquez sur « Choisir ». File, sélectionnez le certificat SMC-PXGRID.

Dans l’interface graphique utilisateur SMC, accédez à Déployer > Configuration Cisco ISE.

Configurez la configuration ISE avec les paramètres suivants :

• Nom du cluster : ISE-CLUSTER
• Certificat : SMC-PXGRID
• Nœud PxGrid principal : 198.19.20.141
• Nom du client : SMC-PXGRID

Accédez à Surveiller > Utilisateurs.
Notez que nous pouvons voir les données utilisateur sur SMC.

Politiques de contrôle adaptatif du réseau (ANC) ISE
Sélectionnez Opérations > Contrôle adaptatif du réseau > Liste des politiques > Ajouter et entrez SW_QUARANTINE pour le nom de la politique et Quarantaine pour l'action.

Accédez à l'interface graphique SMC. Sélectionnez une adresse IP dans le tableau de bord ; la politique ANC ISE est renseignée.

Politiques d'autorisation ISE

• Les stratégies d'exception d'autorisation globales vous permettent de définir des règles qui remplacent toutes les règles d'autorisation de tous vos ensembles de stratégies. Une fois configurée, une stratégie d'exception d'autorisation globale est ajoutée à tous les ensembles de stratégies.
• La règle d'exception d'autorisation locale remplace les règles d'exception globales. La règle d'exception locale est donc traitée en premier, suivie de la règle d'exception globale, et enfin de la règle normale de la politique d'autorisation.
• L'un des cas d'utilisation intéressants de ces règles d'exception est lorsque vous configurez Cisco Secure Network Analytics (Stealth watch) avec Cisco ISE pour la gestion des réponses à l'aide de la politique de réseau adaptative (ANC) afin que lorsqu'une alarme est déclenchée, Cisco Secure Network Analytics (Stealth watch) demande à Cisco ISE de mettre en quarantaine l'hôte avec la politique de contrôle de réseau adaptative via Px Grid.
• La meilleure pratique consiste à configurer la politique d’autorisation sur Cisco ISE pour mettre en quarantaine l’hôte dans l’exception locale ou l’exception globale.
• Si vous souhaitez appliquer la politique ANC à tous vos ensembles de politiques (VPN, réseaux sans fil filaires, etc.), utilisez l'exception globale.
• Si vous souhaitez appliquer la politique ANC uniquement aux utilisateurs VPN ou filaires, utilisez la politique locale dans les ensembles de politiques VPN ou filaires, respectivement.

Action et réponse automatiques avec ANC
Scénario : Une entreprise utilise Cisco Umbrella comme serveur DNS pour se protéger des menaces Internet. Nous souhaitons une alarme personnalisée. Lorsque des utilisateurs internes utilisent d'autres serveurs DNS externes, une alarme se déclenche pour empêcher toute connexion à des serveurs DNS malveillants qui pourraient rediriger le trafic vers des sites externes à des fins malveillantes. Lorsqu'une alarme est déclenchée, Cisco Secure Network Analytics demande à Cisco ISE de mettre en quarantaine l'hôte utilisant des serveurs DNS malveillants avec une politique de contrôle réseau adaptatif via PxGrid. Accédez à Configuration > Gestion des hôtes. Dans le groupe d'hôtes parent « Hôtes internes », créez un groupe d'hôtes nommé « Réseaux d'entreprise » pour vos réseaux internes.

Dans le groupe d'hôtes parent Hôtes extérieurs, créez un groupe d'hôtes nommé Serveurs DNS Umbrella pour les adresses IP Umbrella.

Les utilisateurs internes utilisent Cisco Umbrella comme serveur DNS pour se protéger des menaces Internet. Configurez une alarme personnalisée afin que, lorsque des utilisateurs internes utilisent d'autres serveurs DNS externes, une alarme se déclenche pour empêcher toute connexion à un serveur DNS malveillant susceptible de rediriger le trafic vers des sites externes à des fins malveillantes. Lorsqu'une alarme est déclenchée, Cisco Secure Network Analytics demande à Cisco ISE de mettre en quarantaine l'hôte utilisant des serveurs DNS malveillants avec une politique de contrôle réseau adaptative via PxGrid.

Accédez à Configurer > Gestion des politiques.
Créez un événement personnalisé avec les informations suivantes :

• Nom : Trafic DNS non autorisé
• Groupes d'hôtes thématiques : Réseaux d'entreprise
• Groupes d'hôtes homologues : hôte externe, à l'exception des serveurs DNS Umbrella
• Port/Protocoles homologues : 53/UDP 53/TCP

Fondamentalement, cet événement est déclenché lorsqu'un hôte du groupe d'hôtes des réseaux d'entreprise communique avec un hôte du groupe d'hôtes des hôtes extérieurs, à l'exception de ceux du groupe d'hôtes des serveurs DNS Umbrella, via 53/UDP ou 53/TCP, une alarme est déclenchée.

Accédez à Configuration > Gestion des réponses. Cliquez sur Actions.

Sélectionnez l'action de politique ANC ISE. Donnez un nom et sélectionnez le cluster Cisco ISE à contacter pour appliquer une politique de quarantaine en cas de violation ou de connexion à des serveurs non autorisés.

Dans la section Règles, créez une nouvelle règle. Cette règle appliquera l'action précédente lorsqu'un hôte du réseau interne tente d'envoyer du trafic DNS vers des serveurs DNS non autorisés. Dans la section « La règle est déclenchée si », sélectionnez « Type », faites défiler vers le bas et sélectionnez l'événement personnalisé créé précédemment. Dans la section « Actions associées », sélectionnez l'action ISE ANC créée précédemment.

Depuis un hôte interne, ouvrez la console CMD. Exécutez la commande nslookup, puis la commande server 8.8.8.8. Saisissez quelques adresses à résoudre pour le serveur DNS 8.8.8.8.

Accédez à Surveillance > Affectations de stratégie ISE ANC. Vous devriez constater que Cisco Secure Network Analytics a appliqué la stratégie de contrôle réseau adaptatif via PxGrid et ISE pour mettre l'hôte en quarantaine.

FAQ

Q : Comment puis-je compléter l’outil de configuration de l’appareil (AST) sur chaque composant SNA ?
A: Une fois les appareils SNA configurés avec une adresse IP de gestion, vous pouvez terminer l'AST sur chaque composant en suivant les instructions spécifiques fournies pour ce composant dans le manuel d'utilisation ou le guide de configuration.

Documents / Ressources

Déploiement de Cisco Secure Network Analytics [pdf] Manuel d'instructions Déploiement d'analyses réseau sécurisées, Déploiement d'analyses réseau, Déploiement d'analyses, Déploiement

Références

• Manuel d'utilisation