kandungan bersembunyi
1 Sensor Analisis Awan Selamat CISCO
2 pengenalan
3 Pertimbangan Penggunaan Sensor
4 Prasyarat Sensor
5 Keperluan Tambahan Perkakas Fizikal
6 Pemasangan dan Konfigurasi Media Sensor
7 Memasang Penderia
8 Apa Yang Perlu Dilakukan Seterusnya
9 Memasang Sensor pada Web Portal
10 Mengkonfigurasi Sensor untuk Pengumpulan Aliran
11 Menyelesaikan masalah
12 Sumber Tambahan
13 Sejarah Perubahan
14 Soalan Lazim
15 Dokumen / Sumber
15.1 Rujukan

logo CISCO

Sensor Analisis Awan Selamat CISCO

Produk-Senso-Analisis-Awan-Selamat-CISCO

pengenalan

Cisco Secure Cloud Analytics (kini sebahagian daripada Cisco XDR) ialah perkhidmatan keselamatan berasaskan SaaS yang mengesan dan bertindak balas terhadap ancaman dalam persekitaran IT, baik di premis mahupun di awan. Panduan ini menerangkan cara menggunakan sensor Secure Cloud Analytics sebagai sebahagian daripada perkhidmatan pemantauan rangkaian persendirian anda, untuk kegunaan dalam rangkaian perusahaan, pusat data persendirian, pejabat cawangan dan persekitaran di premis yang lain.

  • Jika anda merancang untuk menggunakan Analisis Awan Selamat hanya dalam persekitaran awan awam, seperti Amazon Web Perkhidmatan, Microsoft Azure atau Google Cloud Platform, anda tidak perlu memasang sensor. Layari panduan pemantauan awan awam untuk maklumat lanjut.
  • Panduan ini menyediakan arahan untuk memasang sensor pada Ubuntu Linux. Untuk arahan pemasangan pada sistem pengendalian lain, rujuk Panduan Konfigurasi Lanjutan Sensor Analisis Awan Selamat.

Pertimbangan Penggunaan Sensor

  • Anda boleh menggunakan sensor untuk mengumpul data aliran, seperti NetFlow atau untuk menyerap trafik rangkaian yang dicerminkan daripada penghala atau suis pada rangkaian anda. Anda juga boleh mengkonfigurasi sensor untuk mengumpul data aliran dan menyerap trafik rangkaian yang dicerminkan. Tiada had pada bilangan sensor yang digunakan.
  • Jika anda ingin mengkonfigurasi sensor untuk mengumpul data aliran, lihat Mengkonfigurasi Sensor untuk Mengumpul Data Aliran untuk maklumat lanjut.
  • Jika anda ingin mengkonfigurasi sensor untuk menyerap trafik daripada port cermin atau SPAN, lihat Konfigurasi Peranti Rangkaian untuk maklumat lanjut tentang cara mengkonfigurasi peranti rangkaian anda untuk mencerminkan trafik.
  • Sensor versi 4.0 atau lebih tinggi boleh mengumpul telemetri NetFlow yang dipertingkatkan. Ini membolehkan Secure Cloud Analytics menjana jenis pemerhatian dan amaran baharu. Untuk maklumat lanjut, lihat Panduan Konfigurasi Secure Cloud Analytics untuk Enhanced NetFlow.
  • Sensor tidak menyokong IPv6.

Prasyarat Sensor

Anda boleh memasang sensor pada perkakas fizikal atau mesin maya, dengan keperluan berikut:

Komponen Keperluan Minimum
Antara muka rangkaian sekurang-kurangnya satu antara muka rangkaian, yang ditetapkan sebagai antara muka Kawalan, untuk menyampaikan maklumat kepada perkhidmatan Analitis Awan Selamat. Secara pilihan, jika anda ingin mengkonfigurasi sensor untuk menyerap trafik rangkaian daripada peranti rangkaian yang mereplikasinya melalui port cermin, anda memerlukan satu atau lebih antara muka rangkaian yang ditetapkan sebagai antara muka Cermin.
RAM 4 GB
CPU sekurang-kurangnya dua teras
Ruang Storan Ruang Disk 60 GB digunakan untuk menyimpan data NetFlow pengeluaran dalam cache sebelum menghantar rekod ke Secure Cloud Analytics.
Akses Internet diperlukan untuk memuat turun pakej bagi proses pemasangan

Perhatikan perkara berikut tentang antara muka Mirror yang ditetapkan:

  • Antara muka cermin menerima salinan semua trafik sumber masuk dan keluar ke destinasi. Pastikan trafik puncak anda kurang daripada kapasiti pautan antara muka Cermin sensor.
  • Banyak suis menggugurkan paket daripada antara muka sumber jika destinasi port cermin dikonfigurasikan dengan terlalu banyak trafik.

Keperluan Tambahan Perkakas Fizikal

Komponen Keperluan Minimum
Pemasangan File Muat naik Salah satu daripada yang berikut untuk memuat naik pemasangan .iso file:
  • 1 port USB, serta pemacu kilat USB
  • 1 pemacu cakera optik, serta cakera optik boleh tulis (seperti cakera CD-R)

Mesin maya boleh boot terus ke .iso file tanpa syarat tambahan.

Keperluan Tambahan Mesin Maya
Jika sensor anda digunakan sebagai mesin maya, pastikan hos maya dan rangkaian dikonfigurasikan untuk mod promiscuous pada antara muka rangkaian kedua jika anda merancang untuk menyerap trafik daripada port cermin atau SPAN.

  • Apabila menggunakan sensor dalam persekitaran VMWare 8, sensor akan gagal dimuatkan apabila menggunakan tetapan but UEFI lalai. Untuk menyelesaikan masalah ini, pada langkah Sesuaikan Perkakasan, pilih Pilihan VM > Pilihan But, kemudian pilih BIOS daripada senarai juntai bawah Firmware.

Hipervisor VMware
Jika anda menjalankan mesin maya pada hypervisor VMware, konfigurasikan suis maya untuk mod promiscuous:

  1. Pilih hos dalam inventori.
  2. Pilih tab Konfigurasi.
  3. Klik Rangkaian.
  4. Klik Properties untuk suis maya anda.
  5. Pilih suis maya dan klik Edit.
  6. Pilih tab Keselamatan.
  7. Pilih Terima daripada menu lungsur turun Mod Promiscuous.

Lihat pangkalan pengetahuan VMware untuk maklumat lanjut tentang mod promiscuous. Anda mungkin perlu menetapkan ID VLAN kepada 4095.

VirtualBox
Jika anda menjalankan mesin maya dalam VirtualBox, konfigurasikan penyesuai untuk mod promiscuous:

  1.  Pilih penyesuai untuk antara muka Mirror daripada Tetapan Rangkaian.
  2.  Tetapkan mod promiscuous kepada Benarkan dalam Pilihan Lanjutan.

Lihat dokumentasi VirtualBox tentang rangkaian maya untuk maklumat lanjut.

Cadangan Penggunaan Sensor
Oleh kerana topologi rangkaian boleh berbeza-beza, sila ingat garis panduan umum berikut semasa menggunakan sensor anda:

  1.  Tentukan sama ada anda ingin menggunakan sensor untuk:
    • mengumpul data aliran
    • menyerap trafik rangkaian yang dicerminkan
    • minta sesetengahnya mengumpul data aliran dan yang lain menyerap trafik rangkaian yang dicerminkan
    • kedua-duanya mengumpul data aliran dan menyerap trafik rangkaian yang dicerminkan
  2.  Jika mengumpul data aliran, tentukan format yang boleh dieksport oleh peranti rangkaian anda, seperti NetFlow v5, NetFlow v9, IPFIX atau sFlow.
    Banyak tembok api menyokong NetFlow, termasuk tembok api Cisco ASA dan Cisco Meraki MX Appliances. Rujuk dokumentasi sokongan pengilang anda untuk menentukan sama ada tembok api anda juga menyokong NetFlow.
  3. Pastikan port rangkaian pada sensor boleh menyokong kapasiti port Mirror.
    Hubungi Sokongan Cisco jika anda memerlukan bantuan untuk menggunakan berbilang sensor ke rangkaian anda.

Memeriksa Versi Sensor Anda
Untuk memastikan anda mempunyai sensor terkini yang digunakan pada rangkaian anda (versi 5.1.3), anda boleh menyemak versi sensor sedia ada daripada baris arahan. Jika anda perlu menaik taraf, pasang semula sensor tersebut.

  1.  SSH ke dalam sensor yang digunakan.
  2. Pada gesaan, masukkan cat /opt/obsrvbl-ona/version dan tekan Enter. Jika konsol tidak memaparkan 5.1.3, sensor anda telah lapuk. Muat turun ISO sensor terkini daripada web UI portal.

Keperluan Akses Sensor
Perkakas fizikal atau mesin maya mesti mempunyai akses kepada perkhidmatan tertentu melalui internet. Konfigurasikan tembok api anda untuk membenarkan trafik berikut antara sensor dan internet luaran:

Jenis trafik Diperlukan Alamat IP, domain dan port atau konfigurasi
Trafik HTTPS keluar dari ya
  • port 443 dan alamat IP ialah
Antara muka Kawalan sensor kepada perkhidmatan Analitis Awan Selamat yang dihoskan di Amazon Web Perkhidmatan alamat IP portal anda
  • Alamat IP AWS S3 untuk rantau Analitis Awan Selamat anda. Memandangkan alamat IP AWS boleh berubah, rujuk AWS
  • Julat alamat IP membantu topik dan mencari perkhidmatan S3 dan rantau AWS anda dalam JSON yang disediakan fileUntuk mencari rantau AWS anda, pergi ke papan pemuka Analitis Awan Selamat anda dan tatal ke bahagian bawah halaman. Medan di pengaki memaparkan nama rantau untuk portal anda yang sepadan dengan rantau AWS berikut:
    • Amerika Utara (Virginia Utara): us-east-1
    • Eropah (Frankfurt): eu- tengah-1
    • Australia (Sydney): ap- tenggara-2
1. Sambungkan SSH ke dalam sensor sebagai pentadbir.
2. Dalam prompt arahan, masukkan arahan ini:
Kuasakan sensor untuk hanya berkomunikasi dengan alamat Cisco yang diketahui tidak sudo nano opt/obsrvbl-ona/config.local dan tekan Masuk untuk mengedit konfigurasi file 3. Kemas kini tetapan OBSRVBL_SENSOR_ EXT_ONLY kepada yang berikut: OBSRVBL_SENSOR_ EXT_ONLY=true.
4. Tekan Ctrl + 0 untuk menyimpan perubahan.

5. Tekan Ctrl + x untuk keluar 6. Pada command prompt, masukkan sudo service obsrvbl-ona restart untuk memulakan semula sensor.
Trafik keluar dari antara muka Kawalan sensor ke pelayan Ubuntu Linux untuk memuat turun OS Linux dan kemas kini berkaitan ya
Trafik keluar dari antara muka Kawalan sensor ke pelayan DNS untuk penyelesaian nama hos ya
  •  [pelayan DNS tempatan]:53/UDP
Trafik masuk dari perkakas penyelesaian masalah jauh ke sensor anda tidak
  • 54.83.42.41:22/TCP

Jika anda menggunakan perkhidmatan proksi, cipta pengecualian proksi untuk alamat IP antara muka Kawalan sensor.

Konfigurasi Peranti Rangkaian
Anda boleh mengkonfigurasi suis rangkaian atau penghala anda untuk mencerminkan salinan trafik, kemudian menghantarnya kepada sensor.

  • Oleh kerana sensor berada di luar aliran trafik biasa, ia tidak dapat mempengaruhi trafik anda secara langsung. Perubahan konfigurasi yang anda buat dalam web UI portal mempengaruhi penjanaan amaran, bukan bagaimana trafik anda mengalir. Jika anda ingin membenarkan atau menyekat trafik berdasarkan amaran, kemas kini tetapan tembok api anda.
  • Lihat maklumat berikut tentang pengeluar suis rangkaian dan sumber untuk mengkonfigurasi trafik cermin:
Pengeluar Nama Peranti Dokumentasi
NetOptics paip rangkaian Lihat halaman sumber Ixia untuk dokumentasi dan maklumat lain
Gigamon paip rangkaian Lihat halaman sumber dan pengetahuan Gigamon untuk dokumentasi dan maklumat lain

Penganalisis (SPAN)
Juniper cermin port Lihat dokumentasi TechLibrary Juniper untuk bekasampMengkonfigurasi Pencerminan Port untuk Pemantauan Tempatan Penggunaan Sumber Pekerja pada Suis Siri EX
NETGEAR cermin port Lihat dokumentasi pangkalan pengetahuan Netgear untuk bekasamppencerminan port dan cara ia berfungsi dengan suis terurus
ZyXEL cermin port Lihat dokumentasi pangkalan pengetahuan ZyXEL untuk maklumat tentang cara menggunakan Pencerminan pada suis ZyXEL
lain port monitor, port penganalisis, port paip Lihat dokumentasi wiki Wireshark untuk rujukan suis bagi berbilang pengeluar

Anda juga boleh menggunakan peranti titik akses ujian rangkaian (tap) untuk menghantar salinan trafik kepada sensor. Lihat yang berikut untuk maklumat tentang pengeluar dan sumber tap rangkaian bagi mengkonfigurasi tap rangkaian.

Pengeluar Nama Peranti Dokumentasi
NetOptics paip rangkaian Lihat halaman sumber Ixia untuk dokumentasi dan maklumat lain
Gigamon paip rangkaian Lihat halaman sumber dan pengetahuan Gigamon untuk dokumentasi dan maklumat lain

Konfigurasi Aliran
Anda mesti mengkonfigurasi peranti rangkaian anda untuk menghantar data NetFlow. Lihat https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco NetFlow_Configuration.pdf untuk maklumat lanjut tentang mengkonfigurasi NetFlow pada peranti rangkaian Cisco.

Pemasangan dan Konfigurasi Media Sensor

Sebelum anda memulakan pemasangan, semulaview arahan untuk memahami proses serta persediaan, masa dan sumber yang anda perlukan untuk pemasangan dan konfigurasi.
Terdapat dua pilihan untuk pemasangan ini:

  • Memasang Sensor pada Mesin Maya: Jika anda memasang sensor pada mesin maya, anda boleh but dari .iso file secara langsung.
  •  Memasang Sensor pada Perkakas Fizikal: Jika anda memasang sensor pada perkakas fizikal, anda akan mencipta media yang boleh di-boot menggunakan .iso file, kemudian mulakan semula perkakas dan but daripada media tersebut.

Proses pemasangan akan mengelap cakera tempat sensor akan dipasang, sebelum memasang sensor. Sebelum anda memulakan pemasangan, sahkan bahawa perkakas fizikal atau mesin maya tempat anda merancang untuk memasang sensor tidak mengandungi sebarang data yang anda ingin simpan.

Mencipta Media But

  • Jika anda menggunakan sensor pada perkakas fizikal, anda menggunakan .iso file yang memasang sensor, berdasarkan Ubuntu Linux.
  • Jika anda menulis .iso file ke cakera optik, seperti CD atau DVD, anda boleh but semula perkakas fizikal dengan cakera optik dalam pemacu cakera optik dan memilih untuk but dari cakera optik.
  • Jika anda mencipta pemacu kilat USB dengan .iso file dan utiliti Rufus, anda boleh but semula perkakas fizikal, masukkan pemacu kilat USB ke dalam port USB dan pilih untuk but daripada pemacu kilat USB.
  • Jika anda menggunakan sensor tanpa menggunakan ISO, anda mungkin perlu mengemas kini tetapan tembok api perkakas setempat untuk membenarkan trafik. Kami sangat mengesyorkan agar anda menggunakan sensor menggunakan ISO yang disediakan.
  • Mencipta pemacu kilat USB yang boleh di-boot akan memadamkan semua maklumat pada pemacu kilat. Pastikan pemacu kilat tidak mempunyai sebarang maklumat lain padanya.

Muat turun ISO sensor file
Muat turun versi terkini ISO sensor daripada web portal. Gunakan ini sama ada untuk memasang (untuk sensor baharu) atau memasang semula (untuk menaik taraf sensor sedia ada).

  1.  Log masuk ke Secure Cloud Analytics sebagai pentadbir.
  2.  Pilih Bantuan (?) > Pemasangan Sensor Di Prem.
  3.  Klik butang .iso untuk memuat turun versi ISO terkini.
  4. Pergi ke Cipta Cakera Optik Boleh Boot atau Cipta Pemacu Kilat USB Boleh Boot.

Cipta Cakera Optik Boleh But
Ikut arahan pengilang anda untuk menyalin .iso file kepada cakera optik.

Cipta Pemacu Kilat USB yang Boleh Dibut

  1. Masukkan pemacu kilat USB kosong ke dalam port USB pada perkakas yang anda ingin gunakan untuk mencipta pemacu kilat USB yang boleh di-boot.
  2.  Log masuk ke stesen kerja.
  3. dalam anda web pelayar, pergi ke utiliti Rufus webtapak.
  4.  Muat turun versi terkini utiliti Rufus.
  5. Buka utiliti Rufus.
  6.  Pilih pemacu kilat USB dalam menu lungsur turun Peranti.
  7. Pilih imej Cakera atau ISO daripada menu lungsur turun pilihan But.
  8. Klik PILIH dan pilih ISO sensor file.
  9. Klik MULA.

Mencipta pemacu kilat USB yang boleh di-boot akan memadamkan semua maklumat pada pemacu kilat. Pastikan pemacu kilat tidak mempunyai sebarang maklumat lain padanya.

Memasang Penderia

  1.  Pilih kaedah but untuk .iso seperti berikut:
    • Mesin Maya: Jika anda memasang pada mesin maya, but dari .iso file.
    • Perkakas Fizikal: Jika anda memasang pada perkakas fizikal, masukkan media yang boleh di-boot, mulakan semula perkakas dan but daripada media yang boleh di-boot.
  2. Pilih Pasang ONA (IP Statik) pada gesaan awal, kemudian tekan Enter.
  3. CISCO-Analisis-Awan-Selamat-Senso- (2)Pilih bahasa daripada senarai bahasa menggunakan kekunci anak panah, kemudian tekan Enter. CISCO-Analisis-Awan-Selamat-Senso- (3)
  4. Untuk konfigurasi Papan Kekunci, anda mempunyai pilihan berikut:
    • Pilih Tata Letak dan Varian untuk mengkonfigurasi papan kekunci, kemudian tekan Enter.
    • Pilih Kenal pasti papan kekunci, kemudian tekan Enter. CISCO-Analisis-Awan-Selamat-Senso- (4)
  5. Untuk konfigurasi Rangkaian, pilih Manual dan tekan Enter. CISCO-Analisis-Awan-Selamat-Senso- (5)Semua antara muka rangkaian lain dikonfigurasikan secara automatik sebagai antara muka Mirror.
  6.  Masukkan Subnet untuk perkakas, pilih Teruskan dengan kekunci anak panah dan tekan Enter.
  7.  Masukkan alamat IP untuk perkakas, pilih Teruskan dengan kekunci anak panah dan tekan Enter.
  8. Masukkan alamat IP penghala Gateway, pilih Teruskan dengan kekunci anak panah dan tekan Enter.
  9.  (Pilihan) Untuk domain Carian, masukkan domain yang akan ditambahkan secara automatik pada nama hos apabila cuba menyelesaikannya ke alamat IP, pilih Teruskan dengan kekunci anak panah dan tekan Enter.
    Secara lalai, pemasangan akan menggunakan DHCP secara automatik dan meneruskan pemasangan. Untuk menggantikan alamat IP DHCP, anda perlu mengedit antara muka secara manual selepas pemasangan selesai.
    Kami mengesyorkan anda memasukkan alamat pelayan nama berwibawa tempatan jika anda mempunyai satu yang digunakan dalam rangkaian anda. CISCO-Analisis-Awan-Selamat-Senso- (6)
  10. Masukkan Nama Penuh untuk pengguna baharu, yang dikaitkan dengan akaun bukan root untuk kebenaran pentadbiran, kemudian pilih Teruskan dengan kekunci anak panah dan tekan Enter.
  11.  Masukkan nama pelayan anda, iaitu nama yang akan digunakan oleh sensor semasa berkomunikasi dengan komputer lain dan akan kelihatan dalam portal Analitis Awan Selamat, kemudian pilih Teruskan dengan kekunci anak panah dan tekan Enter.
  12.  Masukkan Nama Pengguna untuk akaun anda, iaitu akaun bukan root dengan kebenaran pentadbiran, kemudian pilih Teruskan dengan kekunci anak panah dan tekan Enter.
  13.  Pilih kata laluan untuk pengguna baharu, kemudian pilih Teruskan dengan kekunci anak panah dan tekan Enter.
  14. Masukkan semula kata laluan untuk mengesahkan, kemudian pilih Teruskan dengan kekunci anak panah dan tekan Enter. Jika anda tidak memasukkan kata laluan yang sama dua kali, cuba lagi.
    Akaun yang anda cipta semasa persediaan adalah satu-satunya akaun yang boleh anda gunakan untuk mengakses mesin maya. Pemasangan ini tidak mencipta akaun portal Analitis Awan Selamat yang berasingan. CISCO-Analisis-Awan-Selamat-Senso- (7)
  15. Untuk mengesahkan proses pemasangan, pilih Teruskan, kemudian tekan Enter.
    Tindakan ini akan memadamkan semua data pada pemacu. Pastikan ia kosong sebelum meneruskan.CISCO-Analisis-Awan-Selamat-Senso- (8)Tunggu beberapa minit untuk pemasang memasang yang diperlukan files.
  16. Apabila pemasang memaparkan Pemasangan Selesai, pilih But Semula Sekarang dengan kekunci anak panah, kemudian tekan Enter untuk memulakan semula perkakas.CISCO-Analisis-Awan-Selamat-Senso- (9)
  17. Selepas perkakas dimulakan semula, log masuk dengan akaun yang dibuat untuk memastikan kelayakan anda betul.

Apa Yang Perlu Dilakukan Seterusnya

  • Jika menyekat akses kepada persekitaran peribadi anda, pastikan komunikasi dengan IP yang berkaitan dibenarkan. Lihat Keperluan Akses Sensor untuk maklumat lanjut.
  • Jika anda menggunakan sensor untuk mengumpul trafik aliran rangkaian, seperti NetFlow, lihat Mengkonfigurasi Sensor untuk Mengumpul Data Aliran untuk maklumat lanjut tentang mengkonfigurasi sensor.
  •  Jika anda menggunakan sensor dan memasangnya pada SPAN atau port cermin untuk mengumpul trafik yang dicerminkan, lihat Memasang Sensor pada Web Portal untuk maklumat lanjut tentang menambah sensor dalam Analisis Awan Selamat web portal.
  •  Jika anda mengkonfigurasi sensor untuk lulus telemetri Enhanced NetFlow, lihat Panduan Konfigurasi Cisco Secure Cloud Analytics untuk Enhanced NetFlow untuk maklumat lanjut.

Memasang Sensor pada Web Portal

  • Sebaik sahaja sensor dipasang, ia perlu dihubungkan dengan portal anda. Ini dilakukan dengan mengenal pasti alamat IP awam sensor dan memasukkannya ke dalam web portal. Jika anda tidak dapat menentukan alamat IP awam sensor, anda boleh memautkan sensor ke portal anda secara manual menggunakan kunci perkhidmatan uniknya.

Sensor boleh disambungkan ke portal berikut:

Jika berbilang sensor adalah stagdiletakkan di lokasi pusat, seperti MSSP, dan ia bertujuan untuk pelanggan yang berbeza, IP awam harus dialih keluar selepas setiap pelanggan baharu dikonfigurasikan. Jika alamat IP awam stagApabila persekitaran penggunaan digunakan untuk berbilang sensor, sensor mungkin dipasang secara salah pada portal yang salah.
Jika anda menggunakan pelayan proksi, lengkapkan langkah-langkah dalam bahagian Mengkonfigurasi Proksi untuk mendayakan komunikasi antara sensor dan Analitis Awan Selamat. web portal.

Mencari dan Menambah Alamat IP Awam Sensor pada Portal

  1. SSH ke dalam sensor sebagai pentadbir.
  2. Pada prompt arahan, masukkan curl https://sensor.ext.obsrvbl.comandpressEnterNilai ralat identiti tidak diketahui bermaksud sensor tidak dikaitkan dengan portal. Lihat imej berikut untuk contohample.CISCO-Analisis-Awan-Selamat-Senso- (10)Hos perkhidmatan anda URL mungkin berbeza berdasarkan lokasi anda. Dalam portal Analitis Awan Selamat anda, pergi ke Tetapan > Sensor dan tatal ke bahagian bawah halaman untuk mencari hos perkhidmatan anda url.
  3.  Salin alamat IP identiti.
  4.  Log keluar dari sensor.
  5.  Log masuk ke Analitis Awan Selamat sebagai pentadbir tapak.
  6.  Pilih Tetapan > Sensor > IP Awam.
  7. Klik Tambah Alamat IP Baharu.
  8. Masukkan alamat IP identiti dalam medan Alamat Baharu.9. Klik Cipta. Selepas pertukaran kunci portal dan sensor, mereka akan menetapkan masa hadapan
  9. CISCO-Analisis-Awan-Selamat-Senso- (11) Klik Cipta. Selepas kunci pertukaran portal dan sensor, ia akan mewujudkan sambungan pada masa hadapan menggunakan kunci tersebut, bukan alamat IP awam.
    Ia boleh mengambil masa sehingga 20 minit sebelum sensor baharu dipantulkan dalam portal.

Tambah Kunci Perkhidmatan Portal secara Manual pada Sensor
Jika anda tidak boleh menambah alamat IP awam sensor pada web portal, atau anda seorang
MSSP menguruskan pelbagai web portal, sunting konfigurasi config.local sensor file untuk menambah kunci perkhidmatan portal secara manual bagi mengaitkan sensor dengan portal.
Pertukaran kunci ini dilakukan secara automatik apabila menggunakan alamat IP awam dalam bahagian sebelumnya.

  1. Log masuk ke Secure Cloud Analytics sebagai pentadbir.
  2.  Pilih Tetapan > Penderia.
  3.  Navigasi ke hujung senarai sensor dan salin Kekunci Perkhidmatan. Lihat imej berikut untuk contohample.
    Kunci Perkhidmatan:(tunjukkan) Hos Perkhidmatan:CISCO-Analisis-Awan-Selamat-Senso- (12)
  4. SSH ke dalam sensor sebagai pentadbir.
  5. Pada prompt arahan, masukkan arahan ini: sudo nano /opt/obsrvbl-ona/config.loca dan tekan Enter untuk mengedit konfigurasi file.
  6. Tambahkan baris berikut, gantikan dengan kunci perkhidmatan portal danurl>dengan hos perkhidmatan serantau anda url# Kunci Perkhidmatan
    KEY_SERVICE_OBSRVBL=” "OBSRVBL_HOST="url>”
    Dalam portal Analitis Awan Selamat anda, pergi ke Tetapan > Sensor dan tatal ke bahagian bawah halaman untuk mencari hos perkhidmatan anda url.
    Lihat imej berikut untuk bekasample:
  7. CISCO-Analisis-Awan-Selamat-Senso- (13)Tekan Ctrl + 0 untuk menyimpan perubahan.
  8.  Tekan Ctrl + x untuk keluar.
  9.  Pada prompt arahan, masukkan sudo service obsrvbl-ona restart untuk memulakan semula perkhidmatan Secure Cloud Analytics.

Ia boleh mengambil masa sehingga 20 minit sebelum sensor baharu dipantulkan dalam portal.

Mengkonfigurasi Proksi
Jika anda menggunakan pelayan proksi, lengkapkan langkah-langkah berikut untuk mendayakan komunikasi antara sensor dan web portal.

  1.  SSH ke dalam sensor sebagai pentadbir.
  2.  Pada prompt arahan, masukkan arahan ini: sudo nano /opt/obsrvbl-ona/config.local dan tekan Enter untuk mengedit konfigurasi file.
  3.  Tambahkan baris berikut, gantikan proxy.name.com dengan nama hos atau alamat IP pelayan proksi anda dan Port dengan nombor port pelayan proksi anda: HTTPS_PROXY=”proxy.name.com:Port.”
  4. Tekan Ctrl + 0 untuk menyimpan perubahan.
  5.  Tekan Ctrl + x untuk keluar.
  6. Pada prompt arahan, masukkan sudo service obsrvbl-ona restart untuk memulakan semula perkhidmatan Secure Cloud Analytics.

Ia boleh mengambil masa sehingga 20 minit sebelum sensor baharu dipantulkan dalam portal.

Mengesahkan Sambungan Portal Sensor
Selepas sensor ditambahkan pada portal, sahkan sambungan dalam Secure Cloud Analytics.

Jika anda menghubungkan sensor secara manual ke web portal dengan mengemas kini config.local
konfigurasi file menggunakan kunci perkhidmatan, menggunakan curlarahan untuk mengesahkan sambungan daripada sensor mungkin tidak mengembalikan web nama portal.

  1. Log masuk ke Analisis Awan Selamat.
  2. Pilih Tetapan > Sensor. Sensor akan muncul dalam senarai.

CISCO-Analisis-Awan-Selamat-Senso- (14)

Jika anda tidak melihat sensor pada halaman Sensor, log masuk ke sensor untuk mengesahkan sambungan.

  1. SSH ke dalam sensor sebagai pentadbir.
  2. Pada prompt arahan, masukkan curl https://sensor.ext.obsrvbl.comandpressEnter. Sensor mengembalikan nama portal. Lihat imej berikut untuk contohample.CISCO-Analisis-Awan-Selamat-Senso- (1)Hos perkhidmatan anda url mungkin berbeza berdasarkan lokasi anda. Dalam portal Analitis Awan Selamat anda, pergi ke Tetapan > Sensor dan tatal ke bahagian bawah halaman untuk mencari hos perkhidmatan anda url.
  3. Log keluar dari sensor.

Mengkonfigurasi Sensor untuk Mengumpul Data Aliran

  • Sensor mencipta rekod aliran daripada trafik pada antara muka Ethernetnya secara lalai. Konfigurasi lalai ini mengandaikan bahawa sensor dipasang pada port SPAN atau Ethernet cermin. Jika peranti lain pada rangkaian anda boleh menjana rekod aliran, anda boleh mengkonfigurasi sensor dalam web UI portal untuk mengumpul rekod aliran daripada sumber ini dan menghantarnya ke awan.
  • Jika peranti rangkaian menjana pelbagai jenis aliran, disyorkan untuk mengkonfigurasi sensor bagi mengumpul setiap jenis melalui port UDP yang berbeza. Ini juga memudahkan penyelesaian masalah.
    lebih mudah. ​​Secara lalai, tembok api sensor setempat (iptables) mempunyai port 2055/UDP, 4739/UDP dan 9995/UDP yang terbuka. Jika anda ingin menggunakan port UDP tambahan, anda mesti mengkonfigurasinya dalam
    yang web portal.

Anda boleh mengkonfigurasi koleksi jenis aliran berikut dalam web antara muka portal:

  • NetFlow v5 – Port 2055/UDP (dibuka secara lalai)
  • NetFlow v9 – Port 9995/UDP (dibuka secara lalai)
  • IPFIX – Port 4739/UDP (dibuka secara lalai)
  •  sFlow – Port 6343/UDP

Kami telah menyediakan port lalai, tetapi ini boleh dikonfigurasikan kepada port pilihan anda dalam web UI portal.

Peralatan rangkaian tertentu mesti dipilih dalam web UI portal sebelum ia berfungsi dengan betul:

  • Cisco Meraki – Port 9998/UDP
  • Cisco ASA – Port 9997/UDP
  • SonicWALL – Port 9999/UDP

Firmware Meraki versi 14.50 menyelaraskan format eksport log Meraki dengan format NetFlow. Jika peranti Meraki anda menjalankan firmware versi 14.50 atau lebih tinggi, konfigurasikan sensor anda dengan Jenis Probe NetFlow v9 dan Sumber Standard. Jika peranti Meraki anda menjalankan firmware versi lebih lama daripada 14.50, konfigurasikan sensor anda dengan Jenis Probe NetFlow v9 dan Sumber Meraki MX (versi di bawah 14.50).

Mengkonfigurasi Sensor untuk Pengumpulan Aliran

  1. Log masuk ke Secure Cloud Analytics sebagai pentadbir.
  2. Pilih Tetapan > Penderia.
  3. Klik menu lungsur turun Tetapan untuk sensor yang anda tambahkan.
  4. Pilih konfigurasikan NetFlow/IPFIX.
    Pilihan ini memerlukan versi sensor terkini. Jika anda tidak melihat pilihan ini, pilih Bantuan (?) > Pemasangan Sensor Atas Prem untuk memuat turun versi semasa ISO sensor.
  5. Klik Tambah Probe Baharu.
  6.  Pilih jenis aliran daripada menu lungsur turun Jenis Probe.
  7.  Masukkan nombor Port.
    Jika anda ingin menghantar Enhanced NetFlow kepada sensor anda, pastikan port UDP yang anda konfigurasikan bukanlah port yang turut dikonfigurasikan untuk Flexible NetFlow atau IPFIX dalam konfigurasi sensor anda. ContohnyaampLe, konfigurasikan port 2055/UDP untuk Enhanced NetFlow dan port 9995/UDP untuk Flexible NetFlow. Lihat Panduan Konfigurasi untuk Enhanced NetFlow untuk maklumat lanjut.
  8. Pilih Protokol daripada menu lungsur turun.
  9.  Pilih Sumber daripada menu lungsur turun.
  10.  Klik Simpan.

Ia boleh mengambil masa sehingga 30 minit untuk kemas kini konfigurasi sensor dipaparkan dalam portal.

Menyelesaikan masalah

Tangkap Paket daripada Sensor
Kadangkala, Sokongan Cisco mungkin perlu mengesahkan data aliran yang diterima oleh sensor. Kami mengesyorkan agar anda melakukan ini dengan menjana tangkapan paket aliran tersebut. Anda juga boleh membuka tangkapan paket dalam Wireshark untukview data tersebut.

  1.  SSH ke dalam sensor sebagai pentadbir.
  2.  Pada gesaan, masukkan sudo tcpdump -Dan tekan Enter untuk view senarai antara muka. Catatkan nama antara muka Kawalan sensor anda.
  3. Pada gesaan, masukkan sudo tcpdump -i -n -c 100 “pelabuhan "-w" , gantikan dengan nama antara muka Kawalan anda, dengan nombor port yang sepadan dengan data aliran yang dikonfigurasikan, dan dengan nama untuk pcap yang dihasilkan file, kemudian tekan Enter. Sistem menjana pcap file dengan nama yang dinyatakan untuk trafik antara muka tersebut, melalui port yang dinyatakan.
  4. Log keluar daripada sensor anda.
  5. Menggunakan program SFTP, seperti PuTTY SFTP (PSFTP) atau WinSCP, log masuk ke sensor.
  6. Pada gesaan, masukkan get , gantikan dengan pcap yang dijana anda file nama, dan tekan Enter untuk memindahkan file ke stesen kerja tempatan anda.

Analisis Tangkapan Paket dalam Wireshark

  1. Muat turun dan pasang Wireshark, kemudian buka Wireshark.
  2. Pilih File > Buka, kemudian pilih pcap anda file.
  3. Pilih Analisis > Nyahkod Sebagai.
  4. Klik + untuk menambah peraturan baharu.
  5. Pilih CFLOW daripada menu lungsur turun Semasa, kemudian klik OK. UI akan dikemas kini untuk memaparkan hanya paket yang berkaitan dengan NetFlow, IPFIX atau sFlow. Jika tiada hasil dipaparkan, pcap tidak mengandungi paket berkaitan NetFlow dan pengumpulan data aliran dikonfigurasikan secara salah pada sensor.

Sumber Tambahan

Untuk mendapatkan maklumat lanjut tentang Secure Cloud Analytics, rujuk perkara berikut:

Menghubungi Sokongan
Jika anda memerlukan sokongan teknikal, sila lakukan salah satu daripada yang berikut:

Sejarah Perubahan

Versi Dokumen Tarikh Diterbitkan Penerangan
1_0 April 27,2022 Versi awal
1_1 Ogos 1,2022
  • Mengemas kini maklumat Sokongan Cisco.
  •  Nota untuk IP awam telah ditambah.
1_2 17 Februari 2023
  •  Bahagian Konfigurasi Proksi telah ditambah.
  •  Tetapan sensor Meraki dikemas kini.
1_3 Jun 21,2023
  •  Telah membetulkan kesalahan taip.
  • Penomboran untuk prosedur dikemas kini.
1_4 8 April 2024
  •  Mengemas kini pengenalan dalam Media Sensor Pemasangan dan Konfigurasi bahagian. Perubahan format kecil.
1_5 30 Oktober 2024 Mengemas kini Keperluan Akses Sensor bahagian.
2_0 4 Disember 2024 Versi sensor telah dikemas kini, memasang Sensor bahagian, Mencari dan Menambah Alamat IP Awam Sensor pada Portal bahagian, dan Prasyarat Sensor bahagian.
2_1 21 April 2025
  •  Nota pilihan but VMware telah ditambahkan pada Keperluan Tambahan Mesin Maya bahagian.
  • Mengemas kini Tambah Kunci Perkhidmatan Portal Secara Manual pada Sensor bahagian untuk memasukkan maklumat konfigurasi OBSRVBL_HOST.
2_2 17 Oktober 2025 Mengeluarkan had khusus Amerika Utara untuk menguatkuasakan sensor agar hanya berkomunikasi dengan alamat Cisco yang diketahui.

Maklumat Hak Cipta

  • Cisco dan logo Cisco ialah tanda dagangan atau tanda dagangan berdaftar Cisco dan/atau ahli gabungannya di AS dan negara lain. Kepada view senarai tanda dagangan Cisco, pergi ke ini URL: https://www.cisco.com/go/trademarks. Tanda dagangan pihak ketiga yang disebut adalah hak milik pemilik masing-masing. Penggunaan perkataan rakan kongsi tidak membayangkan hubungan perkongsian antara Cisco dan mana-mana syarikat lain. (1721R)
  • © 2025 Cisco Systems, Inc. dan/atau sekutunya. Hak cipta terpelihara.

Soalan Lazim

Bolehkah sensor mengumpul trafik IPv6?

Tidak, sensor tidak menyokong trafik IPv6.

Dokumen / Sumber

Sensor Analisis Awan Selamat CISCO [pdf] Panduan Pengguna
Sensor Analisis Awan Selamat, Sensor Analisis Awan, Sensor Analisis, Sensor

Rujukan

Tinggalkan komen

Alamat e-mel anda tidak akan diterbitkan. Medan yang diperlukan ditanda *