Gid Itilizatè CISCO WSA pou Analiz Rezo An Sekirite

Gid Itilizatè CISCO WSA pou Analiz Rezo An Sekirite

Kontni kache

1 Entwodiksyon

2 Konfigirasyon Plis paseview

3 Konfigirasyon Cisco a Web Jounal Proxy Aparèy Sekirite (WSA)

4 Konfigirasyon Jounal Proxy Blue Coat yo

4.1 Kreye Fòma a

4.2 Kreye yon nouvo jounal

4.3 Konfigire Kliyan Telechajman an

4.4 Konfigirasyon Orè Telechajman an

4.5 Kondisyon

4.6 Konfigirasyon Manadjè Règleman Vizyèl la

5 Konfigirasyon jounal proxy McAfee yo

6 Konfigirasyon Jounal Squid Proxy yo

7 Konfigirasyon Kolektè Flow la

8 Tcheke koule yo

9 Kontakte Sipò

10 Chanje Istwa

11 Enfòmasyon sou Copyright

12 Dokiman / Resous

12.1 Referans

Entwodiksyon

Pou kolekte enfòmasyon itilizatè nan sèvè proxy rezo ou yo pou Cisco Secure Network Analytics (ansyen Stealthwatch) Proxy Log la, ou bezwen konfigire jounal sèvè proxy yo. Flow Collector la resevwa jounal yo, epi Manager la (ansyen Stealthwatch Management Console) montre enfòmasyon yo sou paj Flow Proxy Records la. Paj sa a bay... URLnon ak aplikasyon pou trafik andedan yon rezo k ap pase nan sèvè proxy a.

Kondisyon

Anvan ou kòmanse, konfime ou satisfè kondisyon sa yo:

Cisco WSA (14-5-1-016), Blue Coat, McAfee, ak Squid yo sipòte pou konfigirasyon sa a. Asire w ke sèvè proxy ou a configuré epi li ap fonksyone kòm yon pati nan rezo w la.

Konfime ke Flow Collector la ak proxy a itilize menm sèvè NTP a (oswa resevwa lè nan yon sous komen pou anrejistreman koule ak proxy yo ka koresponn).
Chwazi Kolektè Flow la ki kolekte done ki soti nan ekspòtatè yo ak pwen final yo ke ou vle envestige nan jounal proxy yo. Ou bezwen adrès IP a pou konfigirasyon an.

Pa gen okenn limit gwosè espesifik sou mesaj proxy syslog yo. Sepandan, nou rekòmande pou mesaj yo rete pi kout pase Inite Transmisyon Maksimòm (MTU) ki pi kout la sou chemen ant proxy a ak Flow Collector la, anjeneral 1500. Sa elimine fragmentasyon pake yo epi ogmante fyab.
Yo pa sipòte Proxy Log nan mòd High Availability (HA).

Konfigirasyon Plis paseview

Ranpli pwosedi sa yo:

Chwazi youn nan metòd sa yo pou konfigire sèvè proxy ou a.
- Konfigirasyon Cisco a Web Jounal Proxy Aparèy Sekirite (WSA)
- Konfigirasyon Jounal Proxy Blue Coat yo
- Konfigirasyon jounal proxy McAfee yo
- Konfigirasyon Jounal Squid Proxy yo
Konfigirasyon Kolektè Flow la
Tcheke koule yo

Konfigirasyon Cisco a Web Jounal Proxy Aparèy Sekirite (WSA)

Sèvi ak seksyon sa a pou konfigire jounal proxy Cisco yo pou voye bay Secure Network Analytics.

Proksi Cisco WSA a pa sipòte IP vityèl pou ajoute aparèy proksi a.

Pou konfigire jounal proxy Cisco a, swiv etap sa yo:

1. Konekte sou sèvè proxy Cisco a.

2. Nan meni prensipal la, klike sou Administrasyon Sistèm > Abònman Jounal. Paj Abònman Jounal la ap ouvri.

3. Klike sou bouton Ajoute Abònman Jounal la. Paj Nouvo Abònman Jounal la ap ouvri.

4. Nan lis deroulant Kalite Log la, chwazi Jounal W3C yo. Chan Jounal W3C ki disponib yo ap parèt.

5. Nan chan Non Jounal la, tape yon non pou jounal ou pral itilize a.

6. Nan lis Chan Jounal ki disponib yo, chwazi Timestamp, epi klike sou Ajoute pou deplase li nan lis Chwazi Chan Jounal la.

7. Repete etap anvan an pou chak nan chan jounal sa yo nan lòd sa a:

yon. fwaamp
b. x-tan ki pase
c. c-ip
d. pò-c
e. cs-okte
f. s-ip
g. s-sport
h. sc-okte
i. cs-non itilizatè
j. s-NonOdinatè
k. cs-url

Lis Chan Jounal Chwazi yo ta dwe genyen chan sa yo jan yo montre a:

Lis Chan Jounal Chwazi yo dwe nan lòd ki anwo a, san okenn lòt chan ki prezan.

8. Desann jis nan pati anba paj la, epi chwazi opsyon Syslog Push la.

9. Nan chan Non òt la, tape adrès IP Flow Collector la oswa non òt li a kote proxy a voye jounal yo.

Asire w ou chwazi Kolektè Flow la ki kolekte done nan men ekspòtatè yo ak pwen final yo ke ou vle envestige nan jounal proxy yo.

10. Klike sou Soumèt. Nouvo jounal la ajoute nan lis Abònman Jounal la.

11. Kontinye nan seksyon Konfigirasyon Kolektè Flow la pou konfigire Kolektè Flow ou a pou resevwa enfòmasyon syslog.

Konfigirasyon Jounal Proxy Blue Coat yo

Sèvi ak seksyon sa a pou konfigire jounal proxy Blue Coat yo pou voye bay Secure Network Analytics.

Vèsyon proxy Blue Coat ki te itilize pou tès la se te SG V100, SGOS 6.5.5.7 SWG Edition.

Kreye Fòma a

Pou kreye yon nouvo fòma jounal, swiv etap sa yo:

1. Nan navigatè w la, ale nan sèvè proxy Blue Coat ou a.

2. Klike sou onglet Konfigirasyon an.

3. Nan meni prensipal Konsole Jesyon an, klike sou Anrejistreman Aksè > Fòma.

4. Klike sou Nouvo nan pati anba paj la. Paj Kreye Fòma a ap ouvri.

5. Nan chan Non Fòma a, tape yon non pou nouvo fòma a.

6. Chwazi W3C Extended Log la File Opsyon fòma (ELFF).

7. Nan chan fòma a, tape chèn karaktè sa a:

fwaamp dire c-ip c-port r-ip r-port s-ip s-port cs-bytes sc-bytes cs-user cs-host cs-uri

8. Klike sou OK. Kontinye nan pwochen seksyon an, Kreye yon nouvo jounal.

Kreye yon nouvo jounal

Pou kreye jounal yo, swiv etap sa yo:

1. Nan meni prensipal la, klike sou Access Logging > Logs, epi chwazi nouvo fòma log la. Paj Log la ap ouvri.

2. Klike sou onglet Anviwònman Jeneral la.

3. Nan lis deroulant Fòma Jounal la, chwazi jounal ou te kreye nan Etap 1 an.

4. Nan chan Deskripsyon an, tape yon deskripsyon pou nouvo jounal ou a.

5. Klike sou bouton Aplike ki anba paj la. Kontinye nan pwochen seksyon an, Konfigire Kliyan Telechajman an.

Konfigire Kliyan Telechajman an

Pou konfigire kliyan telechajman an, swiv etap sa yo:

1. Klike sou onglet Upload Client la. Paj Upload Client la ap ouvri.

2. Nan lis deroulant Kalite kliyan an, chwazi Kliyan pèsonalize.

3. Klike bouton Paramèt yo. Paj paramèt Kliyan Personnalisé a ap ouvri.

4. Nan chan ki apwopriye yo, tape adrès IP Flow Collector la ak pò koute analizè proxy a.

SSL pa sipòte kounye a.

5. Klike sou OK.

6. Pou Paramèt Transmisyon yo, swiv etap sa yo:

a. Pou Sètifika Chifman an, chwazi Pa gen chifman.
b. Nan lis deroulant Signing Keyring la, chwazi pa gen siyati.
c. Soti nan "Sove jounal la" file kòm" chwazi Tèks la file opsyon.
d. Nan bwat tèks "Voye yon pati nan memwa tanporè a apre", tape 5.
e. Klike sou onglet Telechaje Orè a, epi chwazi opsyon kontinyèlman an pou Telechaje jounal aksè a.
f. Nan chan Tann ant tantativ koneksyon an, tape 60.
g. Nan chan Tan ant pake jounal keep-alive yo, tape 5.

7. Klike sou bouton Aplike ki anba paj la. Kontinye nan pwochen seksyon an, Konfigirasyon Orè Telechajman an.

Konfigirasyon Orè Telechajman an

Pou konfigire orè telechajman an, swiv etap sa yo:

1. Klike sou onglet Orè Telechajman an.

2. Pou "Telechaje jounal aksè a," chwazi kontinyèlman.

3. Tan pou tann ant chak tantativ kòrèk se 60 segonn.

4. Tan ant pake jounal keep-alive 5 segonn.

5. Klike sou bouton Aplike ki anba paj la.

Sa fini konfigirasyon jounal proxy Blue Coat yo pou Flow Collector la.

Kondisyon

Plis nòt sou konfigirasyon:

Konfime ke Flow Collector a ak Proxy a itilize menm sèvè NTP a (oswa resevwa lè nan yon sous komen pou anrejistreman koule ak proxy yo ka koresponn).
Se yon sèl mekanis pwodiksyon jounal pou proxy a ki sipòte. Si w deja ap ekspòte jounal, ou pa ka kaptire epi analize anrejistreman proxy yo.
Direktè UDP a ki gen gwo disponiblite pa sipòte.

Konfigirasyon Manadjè Règleman Vizyèl la

Konfigirasyon Visual Policy Manager la pèmèt ou verifye si jounal proxy a ap voye bay Flow Collector la.

1. Nan paj onglet Konfigirasyon an nan meni prensipal la, klike sou Règleman > Manadjè Règleman Vizyèl. Manadjè Règleman Vizyèl la ap ouvri.

2. Klike sou bouton Lanse ki anba a pou jounal ou te configuré a. Fenèt jounal la ap louvri pou Manadjè Règleman Vizyèl la.

3. Klike sou Règleman > Ajoute Web Aksè Kouch la. Ekran Ajoute Nouvo kouch la ap ouvri.

4. Tape yon non pou nouvo kouch la, epi klike sou OK.

5. Klike dwa sou Refize nan kolòn Aksyon an epi klike sou Mete. Dyalòg Mete Objè Aksyon an ap ouvri.

6. Klike sou Nouvo epi chwazi Modifye Anrejistreman Aksè. Dyalòg Modifye Objè Anrejistreman Aksè a ap ouvri.

7. Klike sou Aktive koneksyon pou.

8. Tape yon non pou jounal ou a epi chwazi jounal ou a.

9. Klike sou OK. Objè a ajoute.

10. Nan dyalòg Mete Objè Aksyon an, klike sou OK.

11. Klike sou bouton Enstale règleman an anlè adwat.

12. Klike sou Non epi klike sou OK pou fenèt ki vin apre yo.

13. Lanse Manadjè Règleman Vizyèl Blue Coat la ankò.

14. Klike dwa sou onglet anrejistreman an epi chwazi Aktive Kouch la.

15. Klike bouton Enstale Règleman an. Règleman Enstale a ap ouvri.

16. Klike sou OK.

17. Klike sou onglet Estatistik yo, epi nan meni jounal la, chwazi jounal ou a.

18. Nan meni prensipal la, klike sou Anrejistreman Aksè, epi klike sou onglet Anrejistreman Anrejistreman an. Fenèt Anrejistreman Anrejistreman an ap ouvri.

19. Klike sou bouton Start Tail ki anba paj la.

20. Nan meni prensipal Estatistik yo, klike sou Sistèm > Anrejistreman Evènman. Paj sa a ap montre si jounal la file telechaje nan Flow Collector la epi chanjman ki fèt yo. Li montre si proxy a konekte ak Flow Collector la.

21. Kontinye nan seksyon Konfigirasyon Kolektè Flow la pou konfigire Kolektè Flow ou a pou resevwa enfòmasyon syslog.

Konfigirasyon jounal proxy McAfee yo

Sèvi ak seksyon sa a pou konfigire jounal proxy McAfee yo apati McAfee Web Pasarel pou voye bay Secure Network Analytics.

Asire w ou telechaje konfigirasyon XML la file pou proxy McAfee a. Ale nan Cisco Software Central pou telechaje konfigirasyon readme ak Proxy Log XML la. files.

Konekte sou kont Cisco Smart ou a nan https://software.cisco.com oubyen kontakte administratè w la.
Vèsyon proxy McAfee ki te itilize pou tès la se te 7.4.2.6.0 – 18721.

Pou konfigire jounal proxy McAfee a, swiv etap sa yo:

1. Telechaje XML la file, FlowCollector_[date]_McAfee_Log_XML_Config_[v].xml, epi sove li nan kote ou prefere a.

"Dat" la endike dat XML la. file, epi "v" endike vèsyon proxy McAfee a. Chwazi XML la file avèk menm nimewo vèsyon ak proxy McAfee ou a.

Pou telechaje la file, ranpli etap sa yo:

yon. Ale nan https://software.cisco.com, Santral Lojisyèl Cisco.
b. Nan seksyon Telechaje epi jere > Telechaje epi mete ajou, chwazi Aksè telechajman yo.

c. Desann jis nan chan pou chwazi yon pwodwi.
d. Tape Secure Network Analytics nan chan Chwazi yon pwodwi a. Peze Antre.
e. Chwazi Secure Network Analytics Virtual Flow Collector oubyen yon lòt Flow Collector.
f. Chwazi Lojisyèl Sistèm Analiz Rezo Ansekirite > Konfigirasyon Files.

2. Konekte sou sèvè proxy McAfee a.

3. Klike sou ikòn Règleman an, epi klike sou onglet Ansanm Règ yo.

4. Chwazi Log Handler, epi chwazi Default.

5. Klike sou Ajoute > Ansanm Règ nan Bibliyotèk la.

6. Klike sou Enpòte soti nan file, epi chwazi XML la file.

7. Chwazi mcafeelancopelog nan dosye jesyon jounal ki fèk enpòte a.

Asire w ke règ yo ansanm ak règ "kreye logline aksè" ak "voye nan syslog" la aktive.

8. Klike sou ikòn Konfigirasyon an ki anlè paj la.

9. Sou bò gòch paj la, klike sou File Tab Editè a, epi chwazi rsyslog.conf la file.

10. Nan pati anba bwat tèks la (akote lis la files), tape tèks sa a:

Asire w ou chwazi Kolektè Flow la ki kolekte done nan men ekspòtatè yo ak pwen final yo ke ou vle envestige nan jounal proxy yo.

11. Mete yon kòmantè sou liy sa a:

*.info; mail.none; authpriv.none; cron.none.

12. Ajoute liy sa a:

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.

13. Klike sou bouton Anrejistre Chanjman yo anlè adwat paj la.

14. Kontinye nan seksyon Konfigirasyon Kolektè Flow la pou konfigire Kolektè Flow ou a pou resevwa enfòmasyon syslog.

Konfigirasyon Jounal Squid Proxy yo

Sèvi ak seksyon sa a pou konfigire jounal proxy Squid yo pou voye bay Secure Network Analytics. Ou ka modifye yo files sou sèvè proxy a lè l sèvi avèk SSH.
Pou konfigire jounal proxy Squid yo, swiv etap sa yo:

1. Konekte sou yon shell pou machin k ap kouri Squid la.

2. Ale nan anyè ki gen squid.conf la (jeneralman /etc/squid) epi ouvri li nan yon editè.

3. Ajoute liy sa yo nan squid.conf pou konfigire koneksyon:

fòma_aksè_logformat %ts%03tu % yon %>p %>st %

4. Rekòmanse kalma a avèk sa ki annapre yo:

Pou sistèm ki baze sou inisyasyon: /etc/init.d/squid3 restart
Pou sistèm ki baze sou systemd: systemctl rekòmanse squid

5. Konfigire sèvis syslog la sou sèvè Squid la pou l voye jounal yo bay Flow Collector la. Sa depann de distribisyon Linux la/sèvis syslog la.

Pou syslog-ng, ajoute sa ki annapre yo nan /etc/syslog-ng/syslog-ng.conf:

# Enstalasyon Jounal Odit la KÒMANSE filter bs_filter { filter(f_user) ak level(info) }; destination udp_proxy { udp("10.205.14.15" port(514)); }; log { source(s_all); filter(bs_filter); destination(udp_proxy); }; # Enstalasyon Jounal Odit la FIN

Pou rsyslog, ajoute sa ki annapre yo nan /etc/rsyslog.conf:

:non pwogram, genyen, "kalma" @10.205.14.15:514

Asire w ou chwazi Kolektè Flow la ki kolekte done nan men ekspòtatè yo ak pwen final yo ke ou vle envestige nan jounal proxy yo.

6. Apre sa, rekòmanse sèvis syslog la.

Pou sistèm ki baze sou inisyalizasyon:
/etc/init.d/syslog-ng rekòmanse (pou syslog-ng)
Rekòmanse /etc/init.d/rsyslog (pou rsyslog)
Pou sistèm ki baze sou systemd:
systemctl rekòmanse syslog (pou syslog-ng)
systemctl rekòmanse rsyslog (pou rsyslog)

7. Kontinye nan seksyon Konfigirasyon Kolektè Flow la pou resevwa enfòmasyon syslog.

Konfigirasyon Kolektè Flow la

Apre ou fin konfigire sèvè proxy a, ou bezwen konfigire Flow Collector a pou l aksepte done yo.

Pou konfigire Flow Collector la pou resevwa enfòmasyon syslog, swiv etap sa yo:

1. Konekte nan Manadjè ou a.

2. Chwazi Konfigire > Global > Jesyon Santral.

3. Klike sou ikòn (Elipsis) la pou Kolektè Flow ou a, answit klike sou View Estatistik Aparèy.

4. Konekte sou Flow Collector la. Entèfas Flow Collector la ap ouvri.

5. Klike sou Konfigirasyon > Engredyan Proxy. Paj Sèvè Proxy yo ap ouvri.

6. Tape adrès IP sèvè proxy a.

7. Nan lis deroulant Kalite Proksi a, chwazi sèvè proksi ou a.

Si kalite sèvè proxy ou a pa nan lis la, ou p ap kapab itilize jounal proxy yo kounye a.

8. Si Sèvè Proxy a:

Si li gen yon sèl adrès IP, tape adrès IP sèvè proxy a nan chan Adrès IP a. Kite chan Adrès IP Telemetri a vid.

gen plis adrès IP, lè sa a tape adrès IP jesyon sèvè proxy a (adrès IP sous mesaj syslog la) nan chan Adrès IP la. Nan chan Adrès IP Telemetri a, tape adrès IP telemetri sèvè proxy a.

9. Nan chan Pò Sèvis Proxy a, tape nimewo pò sèvè proxy a.

10. Si ou vle sèvè proxy a deklanche alam yo, dekoche kaz Eskli nan Alam lan.

11. Klike sou Ajoute.

12. Klike sou Aplike. Sèvè proxy a parèt nan tablo Enjèstyon Proxy a anlè paj la.

13. Kontinye nan seksyon Verifikasyon Koule yo.

Tcheke koule yo

Pou verifye si w ap resevwa koule yo, swiv etap sa yo:

1. Nan koòdone Flow Collector la, klike sou Sipò > Browse Files nan meni prensipal la. Opsyon Browse a Filepaj la louvri.

2. Louvri sw.log la file.

3. Tcheke ke la webproxy a ap konte anlè pou montre w ap resevwa done.

Kontakte Sipò

Si w bezwen sipò teknik, tanpri fè youn nan bagay sa yo:

Kontakte patnè Cisco lokal ou a
Kontakte Sipò Cisco
Pou louvri yon ka pa web: http://www.cisco.com/c/en/us/support/index.html
Pou sipò telefòn: 1-800-553-2447 (US)
Pou nimewo sipò atravè lemond:
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Chanje Istwa

Enfòmasyon sou Copyright

Cisco ak logo Cisco a se mak komèsyal oswa mak anrejistre Cisco ak/oswa afilye li yo nan peyi Etazini ak lòt peyi yo. Pou view yon lis mak Cisco, ale nan sa a URL: https://www.cisco.com/go/trademarks. Mak twazyèm pati mansyone yo se pwopriyete pwopriyetè respektif yo. Itilizasyon mo patnè a pa vle di yon relasyon patenarya ant Cisco ak nenpòt lòt konpayi. (1721R)

Dokiman / Resous

Analiz Rezo An Sekirite CISCO WSA [pdfGid Itilizatè
WSA 14-5-1-016, Blue Coat, McAfee, Squid, WSA Analiz Rezo An Sekirite, WSA, Analiz Rezo An Sekirite, Analiz Rezo, Analiz

Referans

Manyèl itilizatè

Entwodiksyon

Konfigirasyon Plis paseview

Konfigirasyon Cisco a Web Jounal Proxy Aparèy Sekirite (WSA)

Konfigirasyon Jounal Proxy Blue Coat yo

Kreye Fòma a

Kreye yon nouvo jounal

Konfigire Kliyan Telechajman an

Konfigirasyon Orè Telechajman an

Kondisyon

Konfigirasyon Manadjè Règleman Vizyèl la

Konfigirasyon jounal proxy McAfee yo

Konfigirasyon Jounal Squid Proxy yo

Konfigirasyon Kolektè Flow la

Tcheke koule yo

Kontakte Sipò

Chanje Istwa

Enfòmasyon sou Copyright

Dokiman / Resous

Referans

Kite yon kòmantè

Anile repons