Cyber Vision នាំមកនូវភាពមើលឃើញដែលមិនធ្លាប់មានពីមុនមកដល់បណ្តាញ OT/ICS
“
ព័ត៌មានអំពីផលិតផល
លក្ខណៈពិសេស៖
- ឈ្មោះផលិតផល៖ Cisco Cyber Vision
- មុខងារ៖ ការត្រួតពិនិត្យបណ្តាញ និងការវិភាគ
- លក្ខណៈពិសេស៖ ការកំណត់ជាមុនដែលបានត្រួតពិនិត្យ, ការបង្កើតមូលដ្ឋាន, ប្រភេទ
អង្គការ
សេចក្តីណែនាំអំពីការប្រើប្រាស់ផលិតផល៖
ការកំណត់ជាមុនដែលបានត្រួតពិនិត្យ៖
ដើម្បីតាមដានបណ្តាញរបស់អ្នកដោយប្រើ Cisco Cyber Vision Center អ្នក
ចាំបាច់ត្រូវរៀបចំការកំណត់ជាមុនដែលបានត្រួតពិនិត្យ។ ការកំណត់ជាមុនទាំងនេះអាចប្ដូរតាមបំណងបាន។
views ដែលផ្តោតលើសំណុំរងជាក់លាក់នៃទិន្នន័យបណ្តាញ។
របៀបដំឡើង Monited Presets៖
- ពីម៉ឺនុយមេ ជ្រើសរើស រុករក។
- ចុចលើការកំណត់ជាមុន view ទិន្នន័យបណ្តាញដែលត្រូវគ្នា។
និយមន័យកំណត់ជាមុន។ - អ្នកអាចនាំចេញទិន្នន័យជា PDF file.
បន្ទាត់មូលដ្ឋាន៖
បន្ទាត់មូលដ្ឋាននៅក្នុង Cisco Cyber Vision គឺជារូបថតនៃការកំណត់ជាមុន។ វា។
បម្រើជាចំណុចយោងប្រឆាំងនឹងឥរិយាបថបណ្តាញ
ប្រៀបធៀបទៅនឹងការរកឃើញគម្លាត ឬភាពមិនប្រក្រតី។
ការបង្កើតមូលដ្ឋានជាច្រើន៖
- អ្នកអាចបង្កើតបន្ទាត់គោលជាច្រើនសម្រាប់ការកំណត់ជាមុនដើម្បីត្រួតពិនិត្យ
ស្ថានភាពផ្សេងៗនៃបណ្តាញរបស់អ្នក។ - សម្រាប់អតីតample, អ្នកអាចមានមូលដ្ឋានផ្សេងគ្នាសម្រាប់ថ្ងៃធ្វើការ និង
ចុងសប្តាហ៍។ - ដើម្បីធ្វើសកម្មភាពមួយក្នុងចំណោមបន្ទាត់មូលដ្ឋានជាច្រើនសម្រាប់ការកំណត់ដែលបានត្រួតពិនិត្យជាមុន។
យោងទៅផ្នែក កំណត់រចនាសម្ព័ន្ធដែលបានត្រួតពិនិត្យជាមុននៅក្នុង
សៀវភៅដៃ។
បង្កើតប្រភេទ៖
ទំព័ររុករកមានប្រភេទលំនាំដើម ហើយអ្នកអាចបង្កើតបាន។
ប្រភេទច្រើនទៀតដើម្បីរៀបចំការកំណត់ជាមុនរបស់អ្នកប្រកបដោយប្រសិទ្ធភាព។
របៀបបង្កើតប្រភេទ៖
- ពីម៉ឺនុយមេ ជ្រើសរើស រុករក។
- ចុចប្រភេទថ្មី។
- បញ្ចូលឈ្មោះសម្រាប់ប្រភេទ ហើយជ្រើសរើសការកំណត់ជាមុនដែលត្រូវដាក់
នៅក្នុងប្រភេទនេះ។ - ចុចបង្កើត។
បង្កើតការកំណត់ជាមុន៖
អ្នកអាចបង្កើតការកំណត់ជាមុនផ្ទាល់ខ្លួននៅក្នុង Cisco Cyber Vision ដើម្បីកែសម្រួល
ការវិភាគទិន្នន័យបណ្តាញរបស់អ្នក។
របៀបបង្កើតការកំណត់ជាមុន៖
- ពីម៉ឺនុយមេ ជ្រើសរើស រុករក។
- ចុចការកំណត់ជាមុនថ្មី។
- បញ្ចូលឈ្មោះ និងការពិពណ៌នាសម្រាប់ការកំណត់ជាមុន ជ្រើសរើសប្រភេទមួយ
ហើយចុចបង្កើត។
សំណួរដែលសួរញឹកញាប់ (FAQ):
សំណួរ៖ តើខ្ញុំអាចកែប្រែការកំណត់លំនាំដើមនៅក្នុង Cisco Cyber Vision បានទេ?
ចម្លើយ៖ ទេ អ្នកមិនអាចកែប្រែការកំណត់ជាមុនលំនាំដើមបានទេ ប៉ុន្តែអ្នកអាចរក្សាទុកបាន។
បានកែប្រែការកំណត់ជាច្បាប់ចម្លងថ្មី។
សំណួរ៖ តើខ្ញុំអាចបន្ថែមការកំណត់ជាមុនទៅប្រភេទក្នុង Cisco Cyber ដោយរបៀបណា?
ចក្ខុវិស័យ?
ចម្លើយ៖ ដើម្បីបន្ថែមការកំណត់ជាមុនទៅប្រភេទមួយ សូមចុចប៊ូតុងកែសម្រួលសម្រាប់
ប្រភេទ ជ្រើសរើសការកំណត់ជាមុនពីវាល ការកំណត់ជាមុន ហើយរក្សាទុកឯកសារ
ការផ្លាស់ប្តូរ។
“`
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
· ការកំណត់ជាមុនដែលបានត្រួតពិនិត្យនៅទំព័រ 1 · បិទមជ្ឈមណ្ឌល/ចាប់ផ្ដើមឡើងវិញនៅទំព័រ 7 · ដំឡើងកំណែជាមួយការធ្វើបច្ចុប្បន្នភាពរួមបញ្ចូលគ្នា Fileនៅទំព័រទី 7 · កំណត់រចនាសម្ព័ន្ធ syslog នៅទំព័រទី 9 · នាំចូល/នាំចេញ នៅទំព័រទី 10 · Knowledge DB នៅទំព័រទី 10 · Certificate Fingerprint នៅទំព័រ 11 · Cisco Cyber Vision Telemetry នៅទំព័រ 11 · កំណត់ឡើងវិញទៅលំនាំដើមរបស់រោងចក្រ នៅទំព័រ 11 · Snort ទំព័រ 12 · Risk, on Risk នៅទំព័រ 16
ការកំណត់ជាមុនដែលបានត្រួតពិនិត្យ
ដើម្បីតាមដានបណ្តាញរបស់អ្នកដោយប្រើ Cisco Cyber Vision Center អ្នកត្រូវតែដំឡើងការកំណត់ដែលបានត្រួតពិនិត្យជាមុន។ ការកំណត់ជាមុនដែលបានត្រួតពិនិត្យគឺជាការកំណត់ជាមុនណាមួយដែលត្រូវបានត្រួតពិនិត្យប្រឆាំងនឹងបន្ទាត់មូលដ្ឋាន។ ទៅ view ការកំណត់ជាមុននៅក្នុងមជ្ឈមណ្ឌលរបស់អ្នក ពីម៉ឺនុយមេ ជ្រើសរើស រុករក។ ចុចការកំណត់ជាមុនទៅ view ទិន្នន័យបណ្តាញដែលត្រូវនឹងនិយមន័យដែលបានកំណត់ជាមុន។ អ្នកក៏អាចនាំចេញទិន្នន័យជា PDF ផងដែរ។ file.
ការកំណត់ជាមុន ការកំណត់ជាមុនគឺអាចប្ដូរតាមបំណងបាន។ view ដែលអនុញ្ញាតឱ្យអ្នកផ្តោតលើសំណុំរងជាក់លាក់នៃទិន្នន័យបណ្តាញ។ ការកំណត់ជាមុនត្រងទិន្នន័យបណ្តាញដោយផ្អែកលើលក្ខណៈវិនិច្ឆ័យដែលបានកំណត់ ហើយផ្តល់ឱ្យអ្នកនូវការផ្តោតអារម្មណ៍ view នៃបណ្តាញអង្គការសម្រាប់ការវិភាគរហ័ស និងមានន័យ។ ប៉ារ៉ាម៉ែត្រដែលអ្នកអាចកំណត់រចនាសម្ព័ន្ធសម្រាប់ការកំណត់ជាមុនរួមមាន:
· ពេលវេលា · ជួរពិន្ទុហានិភ័យ · បណ្តាញតាមបណ្តាញរង IP ឬ VLAN IDs · ឧបករណ៍ tags · សកម្មភាព tags
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
ការកំណត់ជាមុនដែលបានត្រួតពិនិត្យ
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
· ក្រុម · ឧបករណ៍ចាប់សញ្ញា
បន្ទាត់មូលដ្ឋាន
បន្ទាត់មូលដ្ឋានគឺជារូបថតនៃការកំណត់ជាមុន។ វាគឺជាចំណុចយោងប្រឆាំងនឹងឥរិយាបថបណ្តាញដែលត្រូវបានប្រៀបធៀបជាទៀងទាត់ដើម្បីរកមើលគម្លាតបណ្តាញ ឬភាពមិនប្រក្រតីដោយកំណត់អត្តសញ្ញាណការផ្លាស់ប្តូរដូចជាឧបករណ៍ថ្មី ការទំនាក់ទំនងដែលបានផ្លាស់ប្តូរ ឬសកម្មភាពមិនធម្មតាដែលអាចបង្ហាញពីបញ្ហាសុវត្ថិភាព ឬបញ្ហាប្រតិបត្តិការ។
បន្ទាត់គោលច្រើនសម្រាប់ការកំណត់ជាមុន
អ្នកអាចបង្កើតបន្ទាត់មូលដ្ឋានច្រើនសម្រាប់ការកំណត់ជាមុនដើម្បីត្រួតពិនិត្យក្នុងស្ថានភាពដែលគេស្គាល់ផ្សេងៗនៃបណ្តាញរបស់អ្នក។
សម្រាប់អតីតampដូច្នេះ មូលដ្ឋានសកម្មភាពបណ្តាញអាចខុសគ្នាសម្រាប់ថ្ងៃធ្វើការ និងចុងសប្តាហ៍។ បង្កើតបន្ទាត់គោលពីរសម្រាប់សេណារីយ៉ូទាំងនេះ ហើយដំណើរការបន្ទាត់មូលដ្ឋានដែលនឹងក្លាយជាម៉ូនីទ័រត្រឹមត្រូវសម្រាប់បណ្តាញរបស់អ្នកនៅថ្ងៃណាមួយ។
ដើម្បីធ្វើសកម្មភាពមួយក្នុងចំណោមបន្ទាត់មូលដ្ឋានជាច្រើនសម្រាប់ការកំណត់ជាមុនដែលបានត្រួតពិនិត្យ សូមមើល កំណត់រចនាសម្ព័ន្ធការកំណត់ដែលបានត្រួតពិនិត្យជាមុន នៅទំព័រ 5
ការកំណត់ជាមុនតាមលំនាំដើម ប្រភេទការកំណត់ជាមុនមួយចំនួនអាចរកបានតាមលំនាំដើម។ អ្នកអាចធ្វើការផ្លាស់ប្តូរការកំណត់ជាមុនលំនាំដើម និងរក្សាទុកការកំណត់ដែលបានកែប្រែជាច្បាប់ចម្លងថ្មី ប៉ុន្តែអ្នកមិនអាចកែប្រែការកំណត់ជាមុនលំនាំដើមបានទេ។
តារាងទី 1៖ ការកំណត់ជាមុនលំនាំដើមមាននៅក្នុង Cisco Cyber Vision Center
ប្រភេទកំណត់ជាមុនមូលដ្ឋាន
ការកំណត់ជាមុនដែលមាន · ទិន្នន័យទាំងអស់ · ទិន្នន័យសំខាន់ៗ · សកម្មភាពរុករកសកម្ម
ការគ្រប់គ្រងទ្រព្យសកម្ម
· ឧបករណ៍ OT · ឧបករណ៍ IT · ឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធ IT · ប្រព័ន្ធ Microsoft Windows ទាំងអស់ · ឧបករណ៍បញ្ជាទាំងអស់។
ការគ្រប់គ្រងប្រព័ន្ធគ្រប់គ្រង
· សកម្មភាព OT · សកម្មភាពប្រព័ន្ធត្រួតពិនិត្យ · សកម្មភាពត្រួតពិនិត្យដំណើរការ
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
បង្កើតប្រភេទ
កំណត់ប្រភេទជាមុន ការគ្រប់គ្រងទំនាក់ទំនង IT
សន្តិសុខ
ការគ្រប់គ្រងបណ្តាញ
មានកំណត់ជាមុន · សកម្មភាពព័ត៌មានវិទ្យា · Web សកម្មភាព · សកម្មភាពអ៊ីមែល · File សកម្មភាព · សកម្មភាពរបស់ Microsoft
· សកម្មភាព DNS · សកម្មភាពហៅតាមនីតិវិធីពីចម្ងាយ · ការចូលប្រើពីចម្ងាយ · សកម្មភាពមិនមានសុវត្ថិភាព · សកម្មភាពដែលបានអ៊ិនគ្រីប · សកម្មភាពផ្ទៀងផ្ទាត់
· សកម្មភាពហេដ្ឋារចនាសម្ព័ន្ធ IT · សកម្មភាពបច្ចេកទេស IT · ទំនាក់ទំនង IPv6 · ចរាចរណ៍ពហុខាស · ចរាចរណ៍ផ្សាយតែប៉ុណ្ណោះ
បង្កើតប្រភេទ
ទំព័ររុករកមានប្រភេទលំនាំដើមជាច្រើន រួមទាំងប្រភេទមួយដែលមានឈ្មោះថា ការកំណត់ជាមុនរបស់ខ្ញុំ ដែលអ្នកអាចដាក់ការកំណត់ជាមុនណាមួយដែលអ្នកបង្កើត។ អ្នកអាចបង្កើតប្រភេទបន្ថែមទៀត ដើម្បីរៀបចំការកំណត់ជាមុនរបស់អ្នកឱ្យកាន់តែប្រសើរឡើង។
នីតិវិធី
ជំហានទី 1 ជំហានទី 2 ជំហានទី 3 ជំហានទី 4 ជំហានទី 5
ពីម៉ឺនុយមេ ជ្រើសរើស រុករក។ ចុចប្រភេទថ្មី។ បញ្ចូលឈ្មោះសម្រាប់ប្រភេទ។ (ស្រេចចិត្ត) ជ្រើសរើសការកំណត់ជាមុនដែលអ្នកចង់ដាក់ក្នុងប្រភេទនេះ។ ចុចបង្កើត។
អ្វីដែលត្រូវធ្វើបន្ទាប់ បន្ទាប់ពីអ្នកបង្កើតប្រភេទមួយ អ្នកអាចបន្ថែមការកំណត់ជាមុនទៅប្រភេទនៅពេលណាមួយ។ ដើម្បីបន្ថែមការកំណត់ជាមុនទៅប្រភេទ៖
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
បង្កើតការកំណត់ជាមុន
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
1. ចុចប៊ូតុងកែសម្រួលសម្រាប់ប្រភេទ។ 2. នៅក្នុងវាល ការកំណត់ជាមុន ជ្រើសរើសការកំណត់ជាមុនដែលអ្នកចង់បន្ថែមទៅប្រភេទ។
បង្កើតការកំណត់ជាមុន
នីតិវិធី
ជំហានទី 1 ជំហានទី 2 ជំហានទី 3
ជំហានទី 4 ជំហានទី 5
ជំហានទី 6
ពីម៉ឺនុយមេ ជ្រើសរើស រុករក។ ចុចការកំណត់ជាមុនថ្មី។ ដើម្បីបង្កើតការកំណត់ជាមុន៖ ក) បញ្ចូលឈ្មោះសម្រាប់ការកំណត់ជាមុន។ ខ) (ស្រេចចិត្ត) បញ្ចូលការពិពណ៌នាសម្រាប់ការកំណត់ជាមុន។ គ) ជ្រើសរើសប្រភេទដើម្បីដាក់ការកំណត់ជាមុនរបស់អ្នក ឃ) ចុចបង្កើត។
ជ្រើសរើសការកំណត់ដែលបានបង្កើតថ្មីពីទំព័ររុករក។ នៅក្នុងបន្ទះខាងឆ្វេង កំណត់ប្រភេទលក្ខណៈវិនិច្ឆ័យនីមួយៗ។ សម្រាប់ប៉ារ៉ាម៉ែត្រលក្ខណៈវិនិច្ឆ័យនីមួយៗ៖
· ចុចប្រអប់ធីកម្តងដើម្បីរួមបញ្ចូលប៉ារ៉ាម៉ែត្រ · ចុចប្រអប់ធីកពីរដងដើម្បីដកប៉ារ៉ាម៉ែត្រ
ចុចរក្សាទុក។
អ្វីដែលត្រូវធ្វើបន្ទាប់ បន្ទាប់ពីអ្នកបង្កើតការកំណត់ជាមុន អ្នកអាចកែសម្រួលវាបានគ្រប់ពេល និងធ្វើបច្ចុប្បន្នភាពការកំណត់លក្ខណៈវិនិច្ឆ័យណាមួយ។ ជម្រើសគ្រប់គ្រងការកំណត់លក្ខណៈវិនិច្ឆ័យទាំងនេះក៏មានសម្រាប់អ្នកផងដែរនៅក្នុងផ្នែកលក្ខណៈវិនិច្ឆ័យនៃការកំណត់ជាមុន៖
· ជ្រើសរើសទាំងអស់៖ រួមបញ្ចូលប៉ារ៉ាម៉ែត្រលក្ខណៈវិនិច្ឆ័យទាំងអស់ដែលមាននៅក្នុងមជ្ឈមណ្ឌលរបស់អ្នក។ · បដិសេធទាំងអស់៖ មិនរាប់បញ្ចូលប៉ារ៉ាម៉ែត្រលក្ខណៈវិនិច្ឆ័យទាំងអស់ដែលមាននៅក្នុងមជ្ឈមណ្ឌលរបស់អ្នក។ · លំនាំដើម៖ កំណត់ឡើងវិញនូវជម្រើសទាំងអស់ ដែលមិនមានប៉ារ៉ាម៉ែត្រត្រូវបានរួមបញ្ចូល ឬដកចេញ។
បង្កើតបន្ទាត់មូលដ្ឋាន
នីតិវិធី
ជំហានទី 1 ពីម៉ឺនុយមេ សូមជ្រើសរើស រុករក។
ជំហានទី 2
ដើម្បីបង្កើតបន្ទាត់គោល អ្នកអាចបង្កើតបន្ទាត់មូលដ្ឋានពីរូបតំណាងដែលបានកំណត់ជាមុន ( · ផ្ទាំងគ្រប់គ្រងដែលបានកំណត់ជាមុនដែលមានរាយនៅលើទំព័ររុករក។
) ពីផ្លូវពីរ៖
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
កំណត់រចនាសម្ព័ន្ធការកំណត់ជាមុនដែលបានត្រួតពិនិត្យ
ជំហានទី 3 ជំហានទី 4
· ទំព័រព័ត៌មានលម្អិតដែលបានកំណត់ជាមុនដែលត្រូវបានបង្ហាញនៅពេលអ្នកចុចលើផ្ទាំងព័ត៌មានដែលបានកំណត់ជាមុន។
បញ្ចូលឈ្មោះ និងការពិពណ៌នាសម្រាប់ការកំណត់ជាមុន។ ចុចបង្កើត។
ទៅ view បន្ទាត់មូលដ្ឋានដែលបានបង្កើតថ្មី ពីម៉ឺនុយមេ ជ្រើសរើស ម៉ូនីទ័រ។ បន្ទាត់មូលដ្ឋានទាំងអស់ដែលមាននៅក្នុងមជ្ឈមណ្ឌលរបស់អ្នកត្រូវបានបង្ហាញនៅក្នុងទំព័រនេះ ចាត់ថ្នាក់តាមការកំណត់ជាមុនដែលពួកគេត្រូវបានបង្កើត។
កំណត់រចនាសម្ព័ន្ធការកំណត់ជាមុនដែលបានត្រួតពិនិត្យ
មុនពេលអ្នកចាប់ផ្តើម ការកំណត់ជាមុនដែលបានត្រួតពិនិត្យគឺជាការកំណត់ជាមុនជាមួយនឹងបន្ទាត់មូលដ្ឋាន។ សូមមើល បង្កើតបន្ទាត់មូលដ្ឋាន នៅទំព័រទី 4។ ក្នុងកិច្ចការនេះ អ្នក៖
· កំណត់ចន្លោះពេលសម្រាប់ពិនិត្យមើលបណ្តាញប្រឆាំងនឹងការកំណត់ជាមុនដែលបានត្រួតពិនិត្យ · ជ្រើសរើសប្រភេទនៃភាពខុសគ្នានៃព្រឹត្តិការណ៍ដែលអ្នកចង់ view ការជូនដំណឹងសម្រាប់
ភាពខុសគ្នាណាមួយនៅក្នុងបន្ទាត់មូលដ្ឋានដែលបានជ្រើសរើស និងស្ថានភាពបណ្តាញបច្ចុប្បន្ននាំឱ្យមានការជូនដំណឹងដែលអាចឡើងវិញបាន។view និងទទួលស្គាល់។
នីតិវិធី
ជំហានទី 1 ជំហានទី 2 ជំហានទី 3
ពីម៉ឺនុយមេ ជ្រើសរើស ម៉ូនីទ័រ។
សម្រាប់ការកំណត់ដែលបានត្រួតពិនិត្យជាមុនដែលអ្នកចង់កំណត់ សូមចុចរូបតំណាងរាងពងក្រពើបញ្ឈរ ហើយជ្រើសរើស Monitored preset settings។
សម្រាប់ការកំណត់ដែលបានត្រួតពិនិត្យជាមុន៖
ក) បញ្ចូលចន្លោះពេលត្រួតពិនិត្យគិតជាវិនាទី។ ខ) ប្រសិនបើអ្នកបានបង្កើតបន្ទាត់គោលច្រើនជាងមួយសម្រាប់ការកំណត់ជាមុន នៅក្នុងវាលបន្ទាត់មូលដ្ឋានដែលបានត្រួតពិនិត្យ សូមជ្រើសរើសការកំណត់ជាមុនដែលអ្នក
ចង់ធ្វើឱ្យសកម្ម។ គ) នៅក្នុងផ្នែកភាពធ្ងន់ធ្ងរនៃព្រឹត្តិការណ៍ សូមជ្រើសរើសកម្រិតនៃភាពធ្ងន់ធ្ងរសម្រាប់ការជូនដំណឹងដែលបានបង្កើតសម្រាប់ប្រភេទព្រឹត្តិការណ៍នីមួយៗ។ ឃ) នៅក្នុងផ្នែកការកំណត់កម្រិតខ្ពស់ សូមជ្រើសរើសធាតុផ្សំ លក្ខណៈសម្បត្តិ និងភាពខុសគ្នានៃសកម្មភាពដែលអ្នកចង់ធ្វើ
view ការជូនដំណឹង។ e) ចុច OK ។
គ្រប់គ្រងភាពខុសគ្នាដែលបានកំណត់ជាមុនដែលបានត្រួតពិនិត្យ
កិច្ចការនេះណែនាំអ្នកតាមរយៈការទទួលស្គាល់ ឬរាយការណ៍ពីធាតុខុសគ្នាតែមួយ។ · ដើម្បីសម្គាល់ព្រឹត្តិការណ៍ដែលបានរាយការណ៍ថាជាធម្មតាសម្រាប់បណ្តាញ សូមទទួលស្គាល់ធាតុ។ · ដើម្បីកំណត់អត្តសញ្ញាណព្រឹត្តិការណ៍ដែលបានរាយការណ៍ថាជាភាពមិនប្រក្រតី និងបង្កើតព្រឹត្តិការណ៍នៅក្នុង Cisco Cyber Vision Center សូមរាយការណ៍ការចូល។
បន្ទាប់ពីអ្នកជ្រើសរើសបន្ទាត់មូលដ្ឋាននៅក្នុងទំព័រម៉ូនីទ័រ អ្នកមានជម្រើសគ្រប់គ្រងចំនួនពីរ៖
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
គ្រប់គ្រងភាពខុសគ្នាដែលបានកំណត់ជាមុនដែលបានត្រួតពិនិត្យ
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
· ដើម្បីទទួលស្គាល់ភាពខុសគ្នាទាំងអស់នៅទូទាំងសមាសធាតុ និងសកម្មភាព សូមចុចរូបតំណាងសញ្ញាពណ៌ខៀវនៅក្នុងស្លាបព្រិលខាងឆ្វេង
· ដើម្បីទទួលស្គាល់ឬរាយការណ៍ភាពខុសគ្នាជាក់លាក់ច្រើនក្នុងសមាសធាតុឬការចុះបញ្ជីសកម្មភាព សូមជ្រើសធាតុហើយចុចទទួលស្គាល់ការជ្រើសរើស ឬរាយការណ៍ការជ្រើសរើស។
នីតិវិធី
ជំហានទី 1 ជំហានទី 2 ជំហានទី 3 ជំហានទី 4 ជំហានទី 5
ជំហានទី 6
ពីម៉ឺនុយមេ ជ្រើសរើស ម៉ូនីទ័រ។ ក្នុងផ្ទៃអ្វីដែលបានផ្លាស់ប្តូរ, សម្រាប់ការកំណត់ជាមុនដែលបានត្រួតពិនិត្យ, ចុចបន្ទាត់មូលដ្ឋានដែលអ្នកចង់ពិនិត្យ។ អ្នកអាចធ្វើបាន view ភាពខុសគ្នាដែលបានរាយការណ៍ដោយផ្អែកលើ៖
· សមាសធាតុថ្មី · សកម្មភាពថ្មី។
ទៅ view លំហូរទំនាក់ទំនងដែលអាចបណ្តាលឱ្យមានភាពខុសគ្នាដែលបានរាយការណ៍ សូមចុច ស៊ើបអង្កេតជាមួយលំហូរ។
នៅក្នុងបញ្ជីសមាសភាគ ចុចធាតុទៅ view ព័ត៌មានលម្អិត។ អ្នកអាចជ្រើសរើសពីជម្រើសបួន៖
សកម្មភាព
និយមន័យ
សមាសធាតុទទួលស្គាល់
អ្នកអាចបញ្ចូលសារដែលពន្យល់ពីជម្រើសរបស់អ្នកសម្រាប់ជាឯកសារយោង។ អ្នកមានជម្រើសការទទួលស្គាល់ពីរ៖
· ទទួលស្គាល់ និងរួមបញ្ចូល៖ រក្សាការជូនដំណឹងនេះ និងទទួលបានការជូនដំណឹងថ្មី ប្រសិនបើមានអ្វីថ្មីកើតឡើងជាមួយនឹងសមាសភាគ ឬសកម្មភាពនេះ។
· ទទួលស្គាល់ និងរក្សាការព្រមាន៖ លុបការជូនដំណឹងនេះ ហើយទទួលបានការជូនដំណឹងថ្មី ប្រសិនបើព្រឹត្តិការណ៍ដដែលនេះកើតឡើងវិញ។
អេក។ ជាមួយនឹងសកម្មភាពដែលពាក់ព័ន្ធ របាយការណ៍សមាសភាគ បង្ហាញព័ត៌មានលម្អិត
អ្នកអាចបញ្ចូលសារដែលពន្យល់ពីជម្រើសរបស់អ្នកសម្រាប់ជាឯកសារយោង។
ចុច ទទួលស្គាល់ និងរួមបញ្ចូលដើម្បីរក្សាការជូនដំណឹង និងទទួលបានការជូនដំណឹងសម្រាប់ព្រឹត្តិការណ៍ថ្មីណាមួយសម្រាប់សមាសភាគ និងសកម្មភាពរបស់វា។
អ្នកត្រូវតែបញ្ចូលសារដែលពន្យល់ពីជម្រើសរបស់អ្នកសម្រាប់ជាឯកសារយោង។ អ្នកបន្តទទួលបានការដាស់តឿន ប្រសិនបើរកឃើញភាពមិនប្រក្រតីម្តងទៀត។
ចុចរបាយការណ៍សមាសភាគ ដើម្បីបង្កើតរបាយការណ៍ព្រឹត្តិការណ៍សម្រាប់ភាពមិនប្រក្រតីនេះ។
View ឧបករណ៍ tags និងលក្ខណៈសម្បត្តិ។
នៅក្នុងបញ្ជីសកម្មភាព ចុចធាតុទៅ view ព័ត៌មានលម្អិត។ អ្នកអាចជ្រើសរើសពីជម្រើសបី៖
សកម្មភាព
និយមន័យ
ទទួលស្គាល់សកម្មភាព
ទទួលស្គាល់ព្រឹត្តិការណ៍ដែលបានរាយការណ៍ថាជាធម្មតាសម្រាប់បណ្តាញ។ អ្នកអាចបញ្ចូលសារពន្យល់ពីជម្រើសរបស់អ្នកសម្រាប់
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
សកម្មភាព
រាយការណ៍សកម្មភាព បង្ហាញព័ត៌មានលម្អិត
បិទមជ្ឈមណ្ឌល/ចាប់ផ្ដើមឡើងវិញ
សេចក្តីយោងនិយមន័យ។ ជម្រើសនៃការទទួលស្គាល់ពីរមានសម្រាប់អ្នក៖
· ទទួលស្គាល់ និងរួមបញ្ចូល៖ រក្សាការជូនដំណឹងនេះ និងទទួលបានការជូនដំណឹងប្រសិនបើមានអ្វីថ្មីកើតឡើងជាមួយនឹងសមាសភាគ ឬសកម្មភាពនេះ។
· ទទួលស្គាល់ និងរក្សាការព្រមាន៖ លុបការជូនដំណឹងនេះ ហើយទទួលបានការជូនដំណឹងថ្មី ប្រសិនបើព្រឹត្តិការណ៍ដដែលនេះកើតឡើងវិញ។
អ្នកត្រូវតែបញ្ចូលសារដែលពន្យល់ពីជម្រើសរបស់អ្នកសម្រាប់ជាឯកសារយោង។ អ្នកបន្តទទួលបានការដាស់តឿន ប្រសិនបើរកឃើញភាពមិនប្រក្រតីម្តងទៀត។ ចុច របាយការណ៍សកម្មភាព ដើម្បីបង្កើតរបាយការណ៍ព្រឹត្តិការណ៍សម្រាប់ភាពមិនប្រក្រតីនេះ។
View សកម្មភាព tags និងអថេរ។
បិទមជ្ឈមណ្ឌល/ចាប់ផ្ដើមឡើងវិញ
អ្នកអាចធ្វើឱ្យមានការបិទដោយសុវត្ថិភាព និងចាប់ផ្ដើមមជ្ឈមណ្ឌលឡើងវិញ។ ប្រើការចាប់ផ្ដើមឡើងវិញដើម្បីជួសជុលកំហុសតូចតាច ដូចជាប្រព័ន្ធលើសទម្ងន់។ ដើម្បីចូលទៅកាន់ទំព័របិទ/បើកដំណើរការមជ្ឈមណ្ឌលឡើងវិញ សូមជ្រើសរើសអ្នកគ្រប់គ្រង > ប្រព័ន្ធ ពីម៉ឺនុយមេ។
អាប់ដេតជាមួយការធ្វើបច្ចុប្បន្នភាពរួមបញ្ចូលគ្នា File
ការចេញផ្សាយកំណែរួមមាន Cisco Cyber Vision Manual Update Center Update file. ដើម្បីចូលដំណើរការនេះ។ fileជ្រើសរើស អ្នកគ្រប់គ្រង > ប្រព័ន្ធ ពីម៉ឺនុយមេ។
សំខាន់ ការវិលត្រលប់ទៅកំណែ Cisco Cyber Version ចាស់មិនត្រូវបានគាំទ្រទេ។ តម្រូវការ · ការធ្វើបច្ចុប្បន្នភាពរួមបញ្ចូលគ្នាដើម្បីទាញយកពី cisco.com ។ ប្រើមូលប្បទានប័ត្រ SHA512 ដែលផ្តល់ដោយ Cisco ដើម្បីផ្ទៀងផ្ទាត់ថា file អ្នកទើបតែទាញយកគឺមានសុខភាពល្អ។ អ្នកប្រើប្រាស់វីនដូ៖
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
អាប់ដេតជាមួយការធ្វើបច្ចុប្បន្នភាពរួមបញ្ចូលគ្នា File
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
នីតិវិធី
ជំហានទី 1 ជំហានទី 2
ទាញយកបច្ចុប្បន្នភាពរួម Cisco Cyber Vision ពី cisco.com ។ បើកប្រអប់បញ្ចូលសែលដូចជា Windows Powershell ហើយប្រើពាក្យបញ្ជាខាងក្រោមដើម្បីទាញយក file មូលប្បទានប័ត្រ៖ ទទួលបាន-FileHash .CiscoCyberVision- - . -Algorithm SHA512 | បញ្ជីទម្រង់
ជំហានទី 3
នៅក្នុង cisco.com ដាក់ពីលើ file ហើយចម្លងមូលប្បទានប័ត្រ SHA512 ។
ជំហានទី 4
ប្រៀបធៀបមូលប្បទានប័ត្រទាំងពីរ។ · ប្រសិនបើមូលប្បទានប័ត្រទាំងពីរគឺដូចគ្នាបេះបិទ file មានសុខភាពល្អ។ · ប្រសិនបើមូលប្បទានប័ត្រមិនត្រូវគ្នា សូមទាញយកឯកសារ file ម្តងទៀត។ · ប្រសិនបើមូលប្បទានប័ត្រនៅតែមិនត្រូវគ្នា សូមទាក់ទងផ្នែកគាំទ្រ Cisco ។
ដើម្បីធ្វើបច្ចុប្បន្នភាពមជ្ឈមណ្ឌល និងឧបករណ៍ចាប់សញ្ញាដែលអាចអនុវត្តបានទាំងអស់៖
ជំហានទី 5 ជំហានទី 6 ជំហានទី 7 ជំហានទី 8 ជំហានទី 9
ចូលទៅ Cisco Cyber Vision ។ ពីមេ ជ្រើសរើស អ្នកគ្រប់គ្រង > ប្រព័ន្ធ។ ចុចលើ ការធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធ។ ជ្រើសរើសការធ្វើបច្ចុប្បន្នភាព file CiscoCyberVision-update-combined- .dat បញ្ជាក់ការអាប់ដេត។
នៅពេលដែលមជ្ឈមណ្ឌល និងឧបករណ៍ចាប់សញ្ញាធ្វើបច្ចុប្បន្នភាព ទំព័រកាន់មួយនឹងលេចឡើង។ នៅពេលរួចរាល់សូមចុច មជ្ឈមណ្ឌលចាប់ផ្ដើមឡើងវិញ។ អ្នកនឹងត្រូវបានចេញពីគណនី។
ជំហានទី 10
ចូល។
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
កំណត់រចនាសម្ព័ន្ធ syslog
ប្រសិនបើឧបករណ៍ចាប់សញ្ញានៅក្រៅបណ្តាញ នៅពេលដែលការអាប់ដេតបានកើតឡើង សូមធ្វើបែបបទម្តងទៀតរហូតដល់ឧបករណ៍ចាប់សញ្ញាទាំងអស់ធ្វើបច្ចុប្បន្នភាព។
កំណត់រចនាសម្ព័ន្ធ syslog
ព័ត៌មានសុវត្ថិភាព និងការគ្រប់គ្រងព្រឹត្តិការណ៍ (SIEM)៖ វាគឺជាវិធីសាស្រ្តនៃការគ្រប់គ្រងសុវត្ថិភាពដែលរួមបញ្ចូលគ្នានូវ SIM (Security Information Management) និង SEM (Security Event Management) ទៅក្នុងប្រព័ន្ធគ្រប់គ្រងសុវត្ថិភាពតែមួយ។ ស្តង់ដារ CEF សម្រាប់សារ syslog៖ អ្នកត្រូវតែប្រើស្តង់ដារ Common Event Format (CEF) សម្រាប់ការកំណត់រចនាសម្ព័ន្ធ syslog នៅក្នុង Cyber Vision Center។ ធ្វើបច្ចុប្បន្នភាពការកំណត់រចនាសម្ព័ន្ធ syslog ដែលមានស្រាប់ពីទម្រង់សារដែលមិនមែនជា CEF ទៅ CEF ។ សារ Syslog ពី Beta UI៖ នៅក្នុង Cyber Vision Center ម៉ាស៊ីនមេ syslog ដែលបានកំណត់រចនាសម្ព័ន្ធក៏ទទួលបានសារពី Cyber Vision Center Beta UI ផងដែរ។ សារ syslog ពី Beta UI មានតម្លៃគូគន្លឹះ 'Version Number = 2.0' ហើយការជូនដំណឹង syslog ត្រូវបានបង្កើតឡើងសម្រាប់ប្រភេទការជូនដំណឹងនីមួយៗដែលបានកំណត់រចនាសម្ព័ន្ធនៅក្នុង Beta UI នៃមជ្ឈមណ្ឌល។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើលការជូនដំណឹង Syslog សម្រាប់ប្រភេទការជូនដំណឹង។ ដើម្បីបន្ថែមម៉ាស៊ីនមេ syslog៖
នីតិវិធី
ជំហានទី 1 ជំហានទី 2 ជំហានទី 3
ជំហានទី 4
ជំហានទី 5 ជំហានទី 6
ជំហានទី 7
ពីម៉ឺនុយមេ ជ្រើសរើសអ្នកគ្រប់គ្រង > ប្រព័ន្ធ។ ចុច Configure ក្នុង Syslog configuration menu។ ជ្រើសរើស UDP, TCP ឬ TCP + TLS ក្នុងវាលពិធីការ។
ចំណាំ ជ្រើសរើស TCP + TLS ដើម្បីធានាការទំនាក់ទំនងជាមួយអ្នកប្រមូល syslog ដោយប្រើវិញ្ញាបនបត្រ p12 file ផ្តល់ដោយអ្នកគ្រប់គ្រង SIEM របស់អ្នក។ ប្រើប៊ូតុងកំណត់វិញ្ញាបនបត្រដើម្បីនាំចូលវា។
បញ្ចូលម៉ាស៊ីន។ បញ្ចូលអាសយដ្ឋាន IP របស់ SIEM ដែលអាចទៅដល់បានពីចំណុចប្រទាក់បណ្តាញរដ្ឋបាល (សម្រាប់ឧample, eth0) នៃមជ្ឈមណ្ឌល។
បញ្ចូលច្រកនៅលើ SIEM ដែលទទួល syslogs ។ ជ្រើសរើសទម្រង់។
· CEF៖ ផ្អែកលើស្តង់ដារនៃទ្រង់ទ្រាយព្រឹត្តិការណ៍ទូទៅ (CEF) ទម្រង់នេះផ្ញើសារព្រឹត្តិការណ៍ជាមួយនឹងពេលវេលាចាស់បំផុតamp នៃភាពជាក់លាក់មួយវិនាទី។
· CEF Extended Time Precision៖ ផ្អែកលើទម្រង់ព្រឹត្តិការណ៍ទូទៅ (CEF) និងបឋមកថា syslog បន្ថែម ទម្រង់នេះផ្ញើសារព្រឹត្តិការណ៍ជាមួយនឹងពេលវេលាចាស់បំផុតamp ភាពជាក់លាក់មីក្រូវិនាទី។
ចុច Save configuration។
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
នាំចូល/នាំចេញ
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
នាំចូល/នាំចេញ
ប្រើចំណុចប្រទាក់ប្រព័ន្ធ ដើម្បីនាំចូល និងនាំចេញមូលដ្ឋានទិន្នន័យ Cisco Cyber Vision ។ ដើម្បីចូលទៅកាន់ទំព័រនាំចូល/នាំចេញ សូមជ្រើសរើសអ្នកគ្រប់គ្រង > ប្រព័ន្ធ ពីម៉ឺនុយមេ។
នាំចេញមូលដ្ឋានទិន្នន័យជាទៀងទាត់ ដើម្បីបម្រុងទុកទិន្នន័យបណ្តាញឧស្សាហកម្មនៅលើ Cisco Cyber Vision ឬប្រសិនបើអ្នកត្រូវការផ្ទេរមូលដ្ឋានទិន្នន័យទៅមជ្ឈមណ្ឌលផ្សេង។
មូលដ្ឋានទិន្នន័យនាំចេញ file ដែនកំណត់គឺរហូតដល់ 2 GB នៃទិន្នន័យ។ នេះជៀសវាងផលប៉ះពាល់ដែលទាក់ទងនឹងការនាំចេញមូលដ្ឋានទិន្នន័យយឺត។ ប្រសិនបើមូលដ្ឋានទិន្នន័យធំជាង 2 GB អ្នកទទួលបានសារកំហុស។ ក្នុងករណីនេះ ភ្ជាប់ទៅមជ្ឈមណ្ឌលដោយប្រើ SSH ហើយធ្វើការចាក់ទិន្នន័យ។ ប្រើពាក្យបញ្ជា៖ sbs-db dump ។
ទិន្នន័យបណ្តាញ ព្រឹត្តិការណ៍ និងអ្នកប្រើប្រាស់ត្រូវបានរក្សាទុក ក៏ដូចជាការប្ដូរតាមបំណងទាំងអស់ (ឧ. ក្រុម ឈ្មោះសមាសភាគ)។
មានតែការកំណត់រចនាសម្ព័ន្ធដែលបានបង្កើតនៅក្នុង GUI របស់ Cisco Cyber Vision ប៉ុណ្ណោះដែលនៅតែបន្ត។ ប្រសិនបើអ្នកផ្លាស់ប្តូរមជ្ឈមណ្ឌល សូមអនុវត្តការកំណត់រចនាសម្ព័ន្ធមូលដ្ឋាននៃមជ្ឈមណ្ឌល ហើយបន្ទាប់មកកំណត់រចនាសម្ព័ន្ធ Cisco Cyber Vision ម្តងទៀត។ សូមមើលការណែនាំអំពីការដំឡើងមជ្ឈមណ្ឌលដែលត្រូវគ្នា។
ចំណាំ ដំណើរការនាំចូលអាចចំណាយពេលមួយម៉ោងសម្រាប់មូលដ្ឋានទិន្នន័យធំ។ ផ្ទុកទំព័រឡើងវិញដើម្បីពិនិត្យមើលថាការនាំចូលនៅតែសកម្ម (ឧ. គ្មានសារកំហុស)។
ចំណេះដឹង DB
Cisco Cyber Vision ប្រើប្រាស់មូលដ្ឋានទិន្នន័យខាងក្នុងដែលមានបញ្ជីនៃភាពងាយរងគ្រោះ រូបតំណាង និងការគំរាមកំហែងដែលត្រូវបានទទួលស្គាល់។
សំខាន់ ដើម្បីរក្សាការការពារប្រឆាំងនឹងភាពងាយរងគ្រោះ សូមធ្វើបច្ចុប្បន្នភាព Knowledge DB ជានិច្ចនៅក្នុង Cisco Cyber Vision ឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបានបន្ទាប់ពីការជូនដំណឹងអំពីកំណែថ្មី។
ដើម្បីធ្វើបច្ចុប្បន្នភាព Knowledge DB៖
នីតិវិធី
ជំហានទី 1 ជំហានទី 2 ជំហានទី 3 ជំហានទី 4
ទាញយកចុងក្រោយបំផុត.db file អាចរកបានពី cisco.com ។ ពីម៉ឺនុយមេ ជ្រើសរើសអ្នកគ្រប់គ្រង > ប្រព័ន្ធ។ ចុច នាំចូល Knowledge DB ក្រោមវាល Knowledge DB ។ ជ្រើសរើស file ហើយចុច បើក ដើម្បីផ្ទុកឡើង file.
ការនាំចូលមូលដ្ឋានទិន្នន័យថ្មី ផ្គូផ្គងសមាសធាតុដែលមានស្រាប់របស់អ្នកឡើងវិញ ប្រឆាំងនឹងភាពងាយរងគ្រោះថ្មី និងធ្វើបច្ចុប្បន្នភាពទិន្នន័យបណ្តាញ។
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
វិញ្ញាបនបត្រស្នាមម្រាមដៃ
វិញ្ញាបនបត្រស្នាមម្រាមដៃ
ប្រើស្នាមម្រាមដៃវិញ្ញាបនបត្រដើម្បីចុះឈ្មោះមជ្ឈមណ្ឌលសកលជាមួយមជ្ឈមណ្ឌលដែលបានធ្វើសមកាលកម្មរបស់វា និងច្រាសមកវិញ។ ដើម្បីចូលប្រើស្នាមម្រាមដៃកណ្តាល សូមជ្រើសរើសអ្នកគ្រប់គ្រង > ប្រព័ន្ធ ពីម៉ឺនុយមេ។ ចុចរូបតំណាងចម្លង ដើម្បីចម្លងស្នាមម្រាមដៃ ហើយចុះឈ្មោះមជ្ឈមណ្ឌលរបស់អ្នកជាមួយមជ្ឈមណ្ឌលសកល។
សម្រាប់ព័ត៌មានបន្ថែម សូមមើលមគ្គុទ្ទេសក៍ការដំឡើងមជ្ឈមណ្ឌល។
Cisco Cyber Vision Telemetry
Telemetry ត្រួតពិនិត្យប្រព័ន្ធរបស់អ្នកដើម្បីផ្តល់នូវការវិភាគអនាមិក និងទិន្នន័យប្រើប្រាស់ ជួយយើងឱ្យយល់ និងបង្កើនការប្រើប្រាស់ផលិតផល។ ការទំនាក់ទំនងទិន្នន័យទូរគមនាគមន៍ Cisco Cyber Vision កើតឡើងជាចរាចរណ៍ HTTPS តាមរយៈច្រក 443 ជាមួយ https://connectdna.cisco.com/ ។ Telemetry ត្រូវបានបើកតាមលំនាំដើម។ ដើម្បីបិទមុខងារនេះ សូមអនុវត្តតាមជំហានទាំងនេះ៖
នីតិវិធី
ជំហានទី 1 ជំហានទី 2
ពីម៉ឺនុយមេ ជ្រើសរើសអ្នកគ្រប់គ្រង > ប្រព័ន្ធ។ ដើម្បីបិទការបញ្ជូនតេឡេមេត សូមចុចប៊ូតុង ON បិទបើកនៅក្រោមប្រអប់ Telemetry Collection។ កុងតាក់បិទ។
កំណត់ឡើងវិញទៅលំនាំដើមរបស់រោងចក្រ
ប្រើតែការកំណត់ឡើងវិញទៅលំនាំដើមរបស់រោងចក្រជាមធ្យោបាយចុងក្រោយប៉ុណ្ណោះ បន្ទាប់ពីការព្យាយាមដោះស្រាយបញ្ហាផ្សេងទៀតទាំងអស់បរាជ័យ។ ទទួលបានជំនួយពីការគាំទ្រផលិតផល។ ដើម្បីចូលប្រើការកំណត់ឡើងវិញ សូមជ្រើសរើសអ្នកគ្រប់គ្រង > ប្រព័ន្ធ ពីម៉ឺនុយមេ។ ការកំណត់ឡើងវិញទៅលំនាំដើមរបស់រោងចក្រនឹងលុបដូចខាងក្រោម៖
· ធាតុទិន្នន័យកំណត់រចនាសម្ព័ន្ធមជ្ឈមណ្ឌលមួយចំនួន។ · ការកំណត់រចនាសម្ព័ន្ធ GUI (ដូចជាគណនីអ្នកប្រើប្រាស់ ការរៀបចំភាពធ្ងន់ធ្ងរនៃព្រឹត្តិការណ៍។ល។)។ ·ទិន្នន័យដែលប្រមូលបានដោយឧបករណ៍ចាប់សញ្ញា។ · ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ចាប់សញ្ញាដែលគេស្គាល់ទាំងអស់ (ដូចជាអាសយដ្ឋាន IP របៀបចាប់យក។ល។)។
ពាក្យសម្ងាត់ឫសគល់ វិញ្ញាបនបត្រ និងការកំណត់រចនាសម្ព័ន្ធពីការកំណត់រចនាសម្ព័ន្ធមជ្ឈមណ្ឌលមូលដ្ឋាននៅតែបន្ត។ បន្ទាប់ពីការកំណត់ឡើងវិញទៅលំនាំដើមរបស់រោងចក្រកើតឡើង GUI ឡើងវិញជាមួយនឹងអ្នកជំនួយការដំឡើង។ សូមមើលការណែនាំអំពីការដំឡើងមជ្ឈមណ្ឌលដែលត្រូវគ្នា។
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
ស្រមុក
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
ស្រមុក
Snort គឺជាកម្មវិធី Network Intrusion Detection System (NIDS) ដែលរកឃើញឥរិយាបថបណ្តាញព្យាបាទដោយផ្អែកលើម៉ាស៊ីនដែលត្រូវគ្នានឹងច្បាប់ និងសំណុំនៃច្បាប់ដែលបង្ហាញពីសកម្មភាពបណ្តាញព្យាបាទ។ Cisco Cyber Vision អាចដំណើរការម៉ាស៊ីន Snort ទាំងនៅលើមជ្ឈមណ្ឌល និងឧបករណ៍ចាប់សញ្ញាមួយចំនួន។ មជ្ឈមណ្ឌលរក្សាទុកច្បាប់កំណត់រចនាសម្ព័ន្ធ files ជំរុញច្បាប់លើឧបករណ៍ចាប់សញ្ញាដែលត្រូវគ្នា និងស្ទាក់ចាប់ការជូនដំណឹង Snort ដើម្បីបង្ហាញពួកវាជាព្រឹត្តិការណ៍នៅក្នុង GUI របស់ Cisco Cyber Vision Center។
ដើម្បីចូលទៅកាន់ទំព័រ SNORT សូមជ្រើសរើសអ្នកគ្រប់គ្រង > Snort ពីម៉ឺនុយមេ។
Snort មិនត្រូវបានធ្វើឱ្យសកម្មតាមលំនាំដើមនៅលើឧបករណ៍ចាប់សញ្ញាទេ ដូច្នេះដំបូងអ្នកត្រូវតែបើក IDS នៅក្នុងទំព័រ Sensor Explorer ។
វាមាននៅលើឧបករណ៍ចាប់សញ្ញាខាងក្រោម៖
· Cisco IC3000 Industrial Compute Gateway
· Cisco Catalyst 9300 Series Switches
· Cisco IR8340 Integrated Services Router រឹងមាំ
វាក៏មាននៅលើមជ្ឈមណ្ឌល DPI ហើយត្រូវបានបើកតាមលំនាំដើម។
Snort Community Rules ត្រូវបានកំណត់តាមលំនាំដើមនៅក្នុង Cisco Cyber Vision Center។ អ្នកអាចប្រើប៊ូតុងបិទ/បើកប្រើច្បាប់អ្នកជាវដើម្បីបើកប្រើច្បាប់អ្នកជាវ។ ជម្រើសនេះទាមទារ Advantage អាជ្ញាប័ណ្ណ និងអាជ្ញាប័ណ្ណឧបករណ៍ចាប់សញ្ញា IDS ជាក់លាក់សម្រាប់ឧបករណ៍ចាប់សញ្ញាដែលបានបើកនីមួយៗ។
ច្បាប់សហគមន៍
· សំណុំច្បាប់សហគមន៍គឺជាក្បួនដែលបានបញ្ជាក់ពីតាឡូសដែលត្រូវបានចែកចាយដោយសេរី។ វារួមបញ្ចូលច្បាប់ដែលត្រូវបានបញ្ជូនដោយសហគមន៍ប្រភពបើកចំហ ឬដោយអ្នករួមបញ្ចូល Snort ។ សំណុំក្បួននេះគឺជាសំណុំរងនៃសំណុំច្បាប់ពេញលេញដែលមានសម្រាប់អ្នកប្រើជាសមាជិក។ វាមិនមានច្បាប់ Snort ចុងក្រោយបង្អស់ និងមិនធានាការគ្របដណ្តប់នៃការគំរាមកំហែងចុងក្រោយបង្អស់។
ច្បាប់កំណត់អ្នកជាវ
· សំណុំច្បាប់សម្រាប់អតិថិជនរួមបញ្ចូលទាំងច្បាប់ទាំងអស់ដែលបានចេញផ្សាយដោយក្រុមស្រាវជ្រាវនិងស៊ើបការណ៍សន្តិសុខតាឡូស។ ច្បាប់កំណត់ធានានូវការចូលប្រើប្រាស់បានលឿនទៅកាន់ច្បាប់ចុងក្រោយបំផុត និងការគ្របដណ្តប់ដំបូងនៃការកេងប្រវ័ញ្ច។ បើប្រៀបធៀបទៅនឹងសំណុំច្បាប់សហគមន៍ វាមានច្បាប់ជាច្រើនទៀត ហើយនៅតែមានភាពស៊ីសង្វាក់គ្នាជាមួយនឹងការងារស្រាវជ្រាវ Talos ចុងក្រោយបង្អស់លើការរកឃើញភាពងាយរងគ្រោះ។
នៅលើទំព័ររដ្ឋបាល SNORT អ្នកអាចរកឃើញច្បាប់ Snort ដែលដាក់ជាក្រុមជាក្រុម។ ប្រើប៊ូតុងបិទបើកនៅក្រោមជួរឈរស្ថានភាព ដើម្បីបើក ឬបិទសំណុំច្បាប់។
ចុចប៊ូតុងទាញយកនៅក្រោមជួរឈរ ច្បាប់ទាញយក ដើម្បីទាញយកច្បាប់ប្រភេទនីមួយៗ file.
ចំណាំថាច្បាប់មួយចំនួនមិនត្រូវបានបើកនៅក្នុងប្រភេទទាំងនេះទេ។ ដូច្នេះ ការប្រើប៊ូតុងបិទបើកលើប្រភេទមួយនឹងមិនចាំបាច់មានឥទ្ធិពលលើច្បាប់របស់ពួកគេទេ។ របស់ដែលចាត់ទុកថាមានប្រយោជន៍បំផុតគឺត្រូវបានបើកតាមលំនាំដើម ហើយកម្មវិធីផ្សេងទៀតត្រូវបានបិទដើម្បីជៀសវាងបញ្ហានៃដំណើរការ។ ដូច្នេះហើយ ប្រសិនបើអ្នកចង់បើកច្បាប់ទាំងនេះ អ្នកត្រូវប្រើវាលច្បាប់ជាក់លាក់។
វាក៏អាចធ្វើទៅបានផងដែរក្នុងការបើក/បិទច្បាប់ជាក់លាក់មួយពីច្បាប់ផ្ទាល់ខ្លួន file.
ប្រភេទច្បាប់ Snort៖
·កម្មវិធីរុករក៖
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
ស្រមុក
ច្បាប់សម្រាប់ភាពងាយរងគ្រោះដែលមានវត្តមាននៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិតជាច្រើនរួមមាន ប៉ុន្តែមិនបានដាក់កម្រិតចំពោះ Chrome, Firefox, Internet Explorer និង Webកញ្ចប់ ប្រភេទនេះក៏គ្របដណ្តប់លើភាពងាយរងគ្រោះទាក់ទងនឹងកម្មវិធីរុករកផងដែរ។ plugins ដូចជា Active-x ។
· បានលុប៖ នៅពេលដែលច្បាប់មួយត្រូវបានបដិសេធ ឬជំនួសវាត្រូវបានផ្លាស់ទីទៅប្រភេទនេះ។
· Experimental-DoS៖ ច្បាប់ដែលបង្កើតឡើងដោយក្រុម Cisco CyberVision សម្រាប់សកម្មភាព DoS ជាច្រើនប្រភេទ (ទឹកជំនន់ TCP SYN, DNS/HTTP flooding, LOIC ។ល។)។
· Experimental-Scada៖ ច្បាប់ដែលបង្កើតឡើងដោយក្រុម Cisco CyberVision សម្រាប់ការវាយប្រហារប្រឆាំងនឹងទ្រព្យសម្បត្តិប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្ម។
· កញ្ចប់កេងប្រវ័ញ្ច៖ ច្បាប់ដែលត្រូវបានកែសម្រួលជាពិសេសដើម្បីរកមើលសកម្មភាពឧបករណ៍កេងប្រវ័ញ្ច។
· File៖ ច្បាប់សម្រាប់ភាពងាយរងគ្រោះដែលត្រូវបានរកឃើញនៅក្នុងប្រភេទជាច្រើននៃ files រួមទាំង ប៉ុន្តែមិនដាក់កម្រិតទៅ អាចប្រតិបត្តិបាន។ files, Microsoft Office files, ពន្លឺ files, រូបភាព files, ចាវ៉ា files, ពហុព័ត៌មាន files និង pdf files.
· Malware-Backdoor៖ ច្បាប់សម្រាប់ការរកឃើញនៃចរាចរណ៍ដែលកំណត់ទៅកាន់បណ្តាញបញ្ជាការស្តាប់ខាងក្រោយដែលគេស្គាល់។
· Malware-CNC៖ ស្គាល់ពាក្យបញ្ជាព្យាបាទ និងសកម្មភាពត្រួតពិនិត្យសម្រាប់ចរាចរណ៍ botnet ដែលបានកំណត់អត្តសញ្ញាណ។ នេះរួមបញ្ចូលទាំងការហៅទៅផ្ទះ ការទាញយកការទម្លាក់ files និង ex-filtration នៃទិន្នន័យ។
· Malware-Other៖ ច្បាប់ដែលដោះស្រាយជាមួយឧបករណ៍ដែលអាចចាត់ទុកថាជាព្យាបាទក្នុងធម្មជាតិ ក៏ដូចជាច្បាប់ដែលទាក់ទងនឹងមេរោគផ្សេងទៀត។
· ផ្សេងៗ៖ ច្បាប់ដែលមិនសមនឹងប្រភេទផ្សេងទៀតដូចជា ច្បាប់សូចនាករ (ការសម្របសម្រួល ការស្កេន ភាពច្របូកច្របល់។
· OS-Other៖ ច្បាប់ដែលកំពុងស្វែងរកភាពងាយរងគ្រោះនៅក្នុងប្រព័ន្ធប្រតិបត្តិការផ្សេងៗដូចជា OSes ដែលមានមូលដ្ឋានលើ Linux, Mobile based OSes, Solaris based OSes និងផ្សេងៗទៀត។
· OS-Windows Rules ដែលស្វែងរកភាពងាយរងគ្រោះនៅក្នុង OSes ដែលមានមូលដ្ឋានលើ Windows។
· Server-Other៖ ច្បាប់ទាក់ទងនឹងភាពងាយរងគ្រោះដែលរកឃើញនៅក្នុងប្រភេទ Server ជាច្រើន រួមទាំង ប៉ុន្តែមិនត្រូវបានកំណត់ចំពោះ web ម៉ាស៊ីនមេ (Apache, IIS), SQL servers (Microsoft SQL server, MySQL server, Oracle DB server), ម៉ាស៊ីនមេសំបុត្រ (Exchange, Courier) និងម៉ាស៊ីនមេ Samba ។
· ម៉ាស៊ីនមេ-Webកម្មវិធី៖
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
នាំចូល Snort ច្បាប់ផ្ទាល់ខ្លួន
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
ច្បាប់ទាក់ទងនឹងភាពងាយរងគ្រោះនៅក្នុង ឬវាយប្រហារប្រឆាំងនឹង web កម្មវិធីផ្អែកលើម៉ាស៊ីនមេ។
ក្នុងករណីមានកំហុស ឬដើម្បីត្រលប់ទៅការកំណត់លំនាំដើមវិញ អ្នកអាចប្រើប៊ូតុង RESET TO DEFAULT។ ចំណាំថាស្ថានភាពប្រភេទទាំងអស់ និងស្ថានភាពច្បាប់ជាក់លាក់នឹងត្រូវបានកំណត់ឡើងវិញ និងច្បាប់ផ្ទាល់ខ្លួនបន្ថែមណាមួយ។ file នឹងត្រូវបានលុប។ លើសពីនេះទៀត ទំព័រនេះអនុញ្ញាតឱ្យអ្នកនាំចូលច្បាប់ផ្ទាល់ខ្លួន ដើម្បីបើក ឬបិទច្បាប់ និងកំណត់ប៉ារ៉ាម៉ែត្ររបស់ Snort ឡើងវិញទៅលំនាំដើម។
នាំចូល Snort ច្បាប់ផ្ទាល់ខ្លួន
ច្បាប់ផ្ទាល់ខ្លួនមានប្រយោជន៍ ប្រសិនបើអ្នកចង់កំណត់ និងប្រើច្បាប់ផ្ទាល់ខ្លួនរបស់អ្នក បន្ថែមពីលើច្បាប់ដែលមានចែងក្នុងច្បាប់ Cyber Vision។ ដើម្បីធ្វើដូចនេះ ក file ត្រូវតែត្រូវបានបង្កើតឡើងដែលមានច្បាប់ Snort ដែលបានបង្កើតឡើងយ៉ាងល្អ ហើយនាំចូលទៅក្នុង Cisco Cyber Vision។ សូមមើលឯកសារ Snort សម្រាប់ព័ត៌មានបន្ថែមអំពីការបង្កើតច្បាប់។ ដើម្បីនាំចូលច្បាប់ផ្ទាល់ខ្លួននៅក្នុងមជ្ឈមណ្ឌល សូមអនុវត្តតាមជំហានទាំងនេះ៖
នីតិវិធី
ជំហានទី 1 ជំហានទី 2 ជំហានទី 3
ជំហានទី 4
រៀបចំច្បាប់ផ្ទាល់ខ្លួនរបស់អ្នក។ file. ពីម៉ឺនុយមេ ជ្រើសរើសអ្នកគ្រប់គ្រង > Snort ។ ចុច IMPORT Custom RULES FILE នៅក្រោមប្រអប់ នាំចូលច្បាប់ផ្ទាល់ខ្លួន។
ម្តងជាច្បាប់ទម្លាប់ file ត្រូវបាននាំចូល វាត្រូវបានរក្សាទុកនៅក្នុងមជ្ឈមណ្ឌល ហើយប៊ូតុង "ទាញយក" លេចឡើង ដែលអនុញ្ញាតឱ្យអ្នកធ្វើ view មាតិការបស់វា។
ចុច ធ្វើសមកាលកម្មច្បាប់នៅលើឧបករណ៍ចាប់សញ្ញា។
អ្វីដែលត្រូវធ្វើបន្ទាប់ អ្នកអាចបើក/បិទច្បាប់ជាក់លាក់មួយ។
បើកដំណើរការ IDS នៅលើឧបករណ៍ចាប់សញ្ញា
ដើម្បីបើកម៉ាស៊ីន Snort នៅលើឧបករណ៍ចាប់សញ្ញា សូមអនុវត្តតាមជំហានទាំងនេះ៖
មុនពេលអ្នកចាប់ផ្តើមប្រើ Snort អ្នកត្រូវបើក IDS នៅលើឧបករណ៍ចាប់សញ្ញា។ Snort គឺអាចប្រើបានតែជាមួយឧបករណ៍ចាប់សញ្ញាដែលបានបង្កប់នៅក្នុង៖
· Cisco IC3000 Industrial Compute Gateway · Cisco Catalyst 9300 Series Switches · The Cisco IR8340 Integrated Services Router Rugged
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
បើក ឬបិទច្បាប់
នីតិវិធី
ជំហានទី 1 ជំហានទី 2
ជំហានទី 3
ពីម៉ឺនុយមេ ជ្រើសរើសអ្នកគ្រប់គ្រង > ឧបករណ៍រុករក។ ចុចឧបករណ៍ចាប់សញ្ញាដែលត្រូវគ្នាក្នុងបញ្ជី។ បន្ទះចំហៀងខាងស្តាំបង្ហាញព័ត៌មានលំអិតអំពីឧបករណ៍ចាប់សញ្ញា។
ចុចបើក IDS ។
បើក ឬបិទច្បាប់
អ្នកអាចបើក និងបិទក្បួនជាក់លាក់ណាមួយដោយដៃ មិនថាវាជាលំនាំដើម ឬតាមបំណងទេ។ ដើម្បីធ្វើដូច្នេះអ្នកត្រូវការ sid (ឧទាហរណ៍លេខសម្គាល់ហត្ថលេខា) ដែលអ្នកនឹងរកឃើញនៅក្នុងច្បាប់ file.
នៅក្នុងនីតិវិធីខាងក្រោម យើងនឹងបិទ Snort rule sid 50772 ដូច exampលេ
sid 50772៖ ភាពងាយរងគ្រោះនៃការផ្លាស់ប្តូរពាក្យសម្ងាត់ដែលមិនបានបញ្ជាក់ (CVE-2018-7811) មាននៅក្នុងកម្មវិធីបង្កប់ web ម៉ាស៊ីនមេនៃម៉ូឌុល Schneider Electric Quantum Modicon Ethernet ។ ភាពងាយរងគ្រោះនេះអាចអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់សិទ្ធិចូលប្រើមុខងារ "ផ្លាស់ប្តូរពាក្យសម្ងាត់" នៃ web ម៉ាស៊ីនមេ។ ក្បួន Snort ជាមួយ sid 50772 រកឃើញការប៉ុនប៉ងបែបនេះ។ វាត្រួតពិនិត្យ និងវិភាគលំហូរ HTTP ដែលចេញមកពីបណ្តាញខាងក្រៅ និងបង្កើនការដាស់តឿននៅពេលដែលវាល HTTP URI មានពាក្យគន្លឹះជាក់លាក់ (ឧទាហរណ៍ “passwd=”,”cnfpasswd=”,”subhttppwd=”) ដែលបង្ហាញពីការប៉ុនប៉ងផ្លាស់ប្តូរពាក្យសម្ងាត់ដែលកំណត់គោលដៅ។ web ម៉ាស៊ីនមេ។
នីតិវិធី
ជំហានទី 1 ជំហានទី 2
ពីម៉ឺនុយមេ ជ្រើសរើសអ្នកគ្រប់គ្រង > Snort ។ ចុចលើរូបតំណាងទាញយកនៅក្នុងជួរឈរច្បាប់ទាញយក។ នៅក្នុងច្បាប់ដែលបានទាញយក files កំណត់ទីតាំងច្បាប់ដែលអ្នកចង់បើក ឬបិទ។
ជំហានទី 3 ជំហានទី 4
បញ្ចូលផ្នែកច្បាប់នៅក្រោមវាល ច្បាប់ជាក់លាក់។ ចុចបិទ។ សារជោគជ័យលេចឡើង។
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
ពិន្ទុហានិភ័យ
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision
ជំហានទី 5
ចំណាំប្រសិនបើអ្នកទាញយកច្បាប់ file ម្តងទៀត អ្នកនឹងឃើញ "#" នៅពីមុខច្បាប់ ដែលបង្ហាញថាវាត្រូវបានបិទ។
ចុចច្បាប់ធ្វើសមកាលកម្មនៅលើឧបករណ៍ចាប់សញ្ញា ដើម្បីរក្សាទុក និងជំរុញការផ្លាស់ប្តូរទៅឧបករណ៍ចាប់សញ្ញា។
ពិន្ទុហានិភ័យ
ទំព័រពិន្ទុហានិភ័យអនុញ្ញាតឱ្យអ្នកកំណត់ចន្លោះពេលដែលត្រូវប្រើសម្រាប់ការគណនាពិន្ទុហានិភ័យ។ ដើម្បីចូលទៅកាន់ទំព័រពិន្ទុហានិភ័យ សូមជ្រើសរើសអ្នកគ្រប់គ្រង > ពិន្ទុហានិភ័យ ពីម៉ឺនុយមេ។ ការគណនាកើតឡើងរៀងរាល់ម៉ោង ប៉ុន្តែគិតតែពីសកម្មភាពក្នុងកំឡុងពេលដែលបានកំណត់។ អ្នកអាចជ្រើសរើសចន្លោះពេល 30 ថ្ងៃ (តាមលំនាំដើម) 7 ថ្ងៃ ឬកំណត់ពេលវេលាផ្ទាល់ខ្លួនដែលមានរយៈពេលអប្បបរមាមួយថ្ងៃ សម្រាប់ព័ត៌មានបន្ថែមអំពីពិន្ទុហានិភ័យ សូមមើល គំនិតពិន្ទុហានិភ័យ។
ផ្នែកបន្ថែម
ពីទំព័រនេះ អ្នកអាចគ្រប់គ្រងផ្នែកបន្ថែមរបស់ Cisco Cyber Vision។ ផ្នែកបន្ថែមគឺជាកម្មវិធីបន្ថែមស្រេចចិត្តទៅកាន់មជ្ឈមណ្ឌល ដែលផ្តល់នូវមុខងារជាច្រើនទៀត ដូចជាការគ្រប់គ្រងប្រភេទឧបករណ៍ថ្មី ម៉ាស៊ីនរាវរកបន្ថែម ឬការរួមបញ្ចូលជាមួយសេវាកម្មខាងក្រៅ។ ដើម្បីចូលទៅកាន់ទំព័រផ្នែកបន្ថែម សូមជ្រើសរើសអ្នកគ្រប់គ្រង > ផ្នែកបន្ថែមពីម៉ឺនុយមេ។ បច្ចុប្បន្ននេះមានផ្នែកបន្ថែមចំនួនពីរដែលអាចប្រើបាន៖
· ការគ្រប់គ្រងឧបករណ៍ចាប់សញ្ញា Cyber Vision សម្រាប់ព័ត៌មានបន្ថែមអំពីផ្នែកបន្ថែមនេះ និងរបៀបប្រើវា សូមមើលឧបករណ៍ចាប់សញ្ញា។
· ការគ្រប់គ្រងរបាយការណ៍ Cyber Vision សម្រាប់ព័ត៌មានបន្ថែមអំពីផ្នែកបន្ថែមនេះ និងរបៀបប្រើវា សូមមើលរបាយការណ៍។
ដើម្បីដំឡើងផ្នែកបន្ថែម សូមទាញយកកម្មវិធីបន្ថែម file នៅលើ cisco.com ហើយចុច Import a new extension file ដើម្បីនាំចូល។
ថែរក្សា និងត្រួតពិនិត្យ Cisco Cyber Vision ១
ឯកសារ/ធនធាន
 |
CISCO Cyber Vision នាំមកនូវភាពមើលឃើញដែលមិនធ្លាប់មានពីមុនមកដល់បណ្តាញ OT/ICS [pdf] ការណែនាំអ្នកប្រើប្រាស់ Cyber Vision នាំមកនូវភាពមើលឃើញដែលមិនធ្លាប់មានពីមុនមកលើបណ្តាញ OTICS ភាពមើលឃើញដែលមិនធ្លាប់មានពីមុនមកចំពោះបណ្តាញ OTICS ភាពមើលឃើញចំពោះបណ្តាញ OTICS បណ្តាញ OTICS |