Guia do usuário do CISCO WSA Secure Network Analytics

Introdução

Para coletar informações do usuário dos servidores proxy da sua rede para o Log de Proxy do Cisco Secure Network Analytics (anteriormente Stealthwatch), você precisa configurar os logs do servidor proxy. O Coletor de Fluxo recebe os logs e o Gerenciador (anteriormente Console de Gerenciamento do Stealthwatch) exibe as informações na página Registros de Proxy de Fluxo. Esta página fornece URLs e nomes de aplicativos do tráfego dentro de uma rede que passa pelo servidor proxy.

Requisitos

Antes de começar, confirme que você atende aos seguintes requisitos:

• Cisco WSA (14-5-1-016), Blue Coat, McAfee e Squid são compatíveis com esta configuração. Certifique-se de que seu servidor proxy esteja configurado e em execução em sua rede.
• Confirme se o coletor de fluxo e o proxy usam o mesmo servidor NTP (ou recebem a hora de uma fonte comum para que os registros de fluxo e proxy correspondam).
• Selecione o coletor de fluxo que coleta dados dos exportadores e endpoints que você deseja investigar nos logs do proxy. Você precisará do endereço IP para a configuração.
• Não há um limite de tamanho específico para as mensagens do proxy syslog. No entanto, recomendamos que as mensagens sejam menores que a menor Unidade Máxima de Transmissão (MTU) ao longo do caminho entre o proxy e o coletor de fluxo, geralmente 1500. Isso elimina a fragmentação de pacotes e aumenta a confiabilidade.
• O Proxy Log não é compatível com o modo de Alta Disponibilidade (HA).

Fim da configuraçãoview

Conclua os seguintes procedimentos:

1. Escolha um dos seguintes métodos para configurar seu servidor proxy.
   • Configurando o Cisco Web Registros de proxy do dispositivo de segurança (WSA)
   • Configurando os logs do proxy Blue Coat
   • Configurando os logs do proxy McAfee
   • Configurando os logs do proxy Squid
2. Configurando o Coletor de Fluxo
3. Verificando os fluxos

Configurando o Cisco Web Registros de proxy do dispositivo de segurança (WSA)

Use esta seção para configurar os logs do proxy da Cisco para serem enviados ao Secure Network Analytics.

O proxy Cisco WSA não suporta IPs virtuais para adicionar o dispositivo proxy.

Para configurar o registro de proxy da Cisco, siga os passos abaixo:

1. Faça login no servidor proxy da Cisco.

2. No menu principal, clique em Administração do Sistema > Assinaturas de Log. A página Assinaturas de Log será aberta.

3. Clique no botão Adicionar Assinaturas de Log. A página Novas Assinaturas de Log será aberta.

4. Na lista suspensa Tipo de Log, selecione Logs do W3C. Os campos de Log do W3C disponíveis serão exibidos.

5. No campo Nome do Log, digite um nome para o log que você usará.

6. Na lista Campos de Log Disponíveis, selecione TimestampEm seguida, clique em Adicionar para movê-lo para a lista Selecionar Campos de Log.

7. Repita o passo anterior para cada um dos seguintes campos de registro, nesta ordem:

a. vezesamp
b. x-tempo decorrido
c. c-ip
d. c-port
e. bytes-cs
f. s-ip
g. s-port
h. sc-bytes
i. nomes-de-usuário-cs
j. s-nome do computador
k. cs-url

A lista de Campos de Log Selecionados deve conter os seguintes campos, conforme ilustrado:

A lista de Campos de Log Selecionados deve estar na ordem acima, sem nenhum outro campo presente.

8. Deslize até o final da página e selecione a opção Syslog Push.

9. No campo Nome do host, digite o endereço IP do coletor de fluxo ou o nome do host para o qual o proxy envia os registros.

Certifique-se de selecionar o coletor de fluxo que coleta dados dos exportadores e pontos de extremidade que você deseja investigar nos logs do proxy.

10. Clique em Enviar. O novo registro será adicionado à lista de Assinaturas de Registro.

11. Continue para a seção Configurando o Coletor de Fluxo para configurar seu Coletor de Fluxo para receber informações de syslog.

Configurando os logs do proxy Blue Coat

Use esta seção para configurar os registros de proxy do Blue Coat para serem enviados ao Secure Network Analytics.

A versão do proxy Blue Coat usada para os testes foi SG V100, SGOS 6.5.5.7 SWG Edition.

Criando o Formato

Para criar um novo formato de registro, siga os passos abaixo:

1. No seu navegador, acesse o servidor proxy Blue Coat.

2. Clique na guia Configuração.

3. No menu principal do Console de Gerenciamento, clique em Registro de Acesso > Formatos.

4. Clique em Novo na parte inferior da página. A página Criar Formato será aberta.

5. No campo Nome do formato, digite um nome para o novo formato.

6. Selecione o Log Estendido W3C File Opção de formato (ELFF).

7. No campo de formato, digite a seguinte sequência de caracteres:

tempoamp duração c-ip c-porta r-ip r-porta s-ip s-porta cs-bytes sc-bytes cs-user cs-host cs-uri

8. Clique em OK. Continue para a próxima seção, Criar um Novo Registro.

Criar um novo registro

Para criar os registros, siga os passos abaixo:

1. No menu principal, clique em Registro de Acesso > Registros e selecione o novo formato de registro. A página de Registros será aberta.

2. Clique na aba Configurações Gerais.

3. Na lista suspensa Formato do Log, selecione o log que você criou na Etapa 1.

4. No campo Descrição, digite uma descrição para o seu novo registro.

5. Clique no botão Aplicar na parte inferior da página. Continue para a próxima seção, Configurar o Cliente de Upload.

Configure o cliente de upload

Para configurar o cliente de upload, siga os passos abaixo:

1. Clique na aba "Carregar Cliente". A página "Carregar Cliente" será aberta.

2. Na lista suspensa Tipo de cliente, selecione Cliente personalizado.

3. Clique no botão Configurações. A página de configurações do Cliente Personalizado será aberta.

4. Nos campos apropriados, digite o endereço IP do coletor de fluxo e a porta de escuta do analisador proxy.

SSL não é suportado neste momento.

5. Clique em OK.

6. Para os parâmetros de transmissão, siga estes passos:

• a. Para o Certificado de Criptografia, selecione Sem criptografia.
• b. Na lista suspensa Chaveiro de Assinatura, selecione sem assinatura.
• c. De “Salvar o registro” file como” selecione o texto file opção.
• d. Na caixa de texto “Enviar buffer parcial após”, digite 5.
• e. Clique na guia Agendamento de Upload e selecione a opção contínua para o Upload do log de acesso.
• f. No campo "Aguardar entre tentativas de conexão", digite 60.
• g. No campo "Tempo entre pacotes de log keep-alive", digite 5.

7. Clique no botão Aplicar na parte inferior da página. Continue para a próxima seção, Configurando o Agendamento de Upload.

Configurando o agendamento de uploads

Para configurar o agendamento de uploads, siga os passos abaixo:

1. Clique na aba "Agendamento de Upload".

2. Para “Carregar o log de acesso”, selecione continuamente.

3. O intervalo de espera entre tentativas corretas é de 60 segundos.

4. Intervalo entre pacotes de log keep-alive: 5 segundos.

5. Clique no botão Aplicar na parte inferior da página.

Isso conclui a configuração dos logs do proxy Blue Coat para o Flow Collector.

Requisitos

Notas adicionais sobre a configuração:

• Confirme se o coletor de fluxo e o proxy usam o mesmo servidor NTP (ou recebem a hora de uma fonte comum para que os registros de fluxo e proxy correspondam).
• Apenas um mecanismo de saída de logs para o proxy é suportado. Se você já estiver exportando logs, não poderá capturar e analisar registros do proxy.
• O recurso de Alta Disponibilidade do UDP Director não é suportado.

Configurando o Gerenciador de Políticas Visuais

A configuração do Visual Policy Manager permite verificar se o log do proxy está sendo enviado para o Flow Collector.

1. Na página da guia Configuração no menu principal, clique em Política > Gerenciador de Políticas Visuais. O Gerenciador de Políticas Visuais será aberto.

2. Clique no botão Iniciar na parte inferior do log configurado. A janela do Gerenciador de Políticas Visuais para o log será aberta.

3. Clique em Política > Adicionar Web Acessar camada. A tela Adicionar nova camada é aberta.

4. Digite um nome para a nova camada e clique em OK.

5. Clique com o botão direito do mouse em Negar na coluna Ação e, em seguida, clique em Definir. A caixa de diálogo Definir Objeto de Ação será aberta.

6. Clique em Novo e selecione Modificar Registro de Acesso. A caixa de diálogo Editar Objeto de Registro de Acesso será aberta.

7. Clique em Ativar registro em.

8. Digite um nome para o seu registro e, em seguida, selecione-o.

9. Clique em OK. O objeto foi adicionado.

10. Na caixa de diálogo Definir Objeto de Ação, clique em OK.

11. Clique no botão Instalar política no canto superior direito.

12. Clique em Não e depois em OK nas janelas seguintes.

13. Inicie novamente o Gerenciador de Políticas Visuais da Blue Coat.

14. Clique com o botão direito do mouse na guia de registro e selecione Ativar camada.

15. Clique no botão Instalar Política. A janela Política Instalada será aberta.

16. Clique em OK.

17. Clique na aba Estatísticas e, no menu de registro, selecione o seu registro.

18. No menu principal, clique em Registro de Acesso e, em seguida, clique na guia Log Tail. A janela Log Tail será aberta.

19. Clique no botão Iniciar Cauda na parte inferior da página.

20. No menu principal de Estatísticas, clique em Sistema > Registro de Eventos. Esta página mostrará se o registro file é carregado no Flow Collector e as alterações são feitas. Mostra se o proxy está conectado ao Flow Collector.

21. Continue para a seção Configurando o Coletor de Fluxo para configurar seu Coletor de Fluxo para receber informações de syslog.

Configurando os logs do proxy McAfee

Use esta seção para configurar os logs de proxy do McAfee a partir do McAfee. Web Gateway para envio ao Secure Network Analytics.

• Certifique-se de ter baixado o arquivo de configuração XML. file Para o proxy McAfee, acesse o Cisco Software Central para baixar o arquivo readme e a configuração XML do log do proxy. files.
• Faça login na sua conta Cisco Smart em https://software.cisco.com ou entre em contato com seu administrador.
• A versão do proxy McAfee usada para os testes foi a 7.4.2.6.0 – 18721.

Para configurar o registro de proxy do McAfee, siga os passos abaixo:

1. Baixe o XML file, FlowCollector_[date]_McAfee_Log_XML_Config_[v].xml e, em seguida, salve-o no local de sua preferência.

A “Data” indica a data do XML. filee “v” indica a versão do proxy McAfee. Selecione o XML. file com o mesmo número de versão do seu proxy McAfee.

Para baixar o file, conclua as seguintes etapas:

• uma. Vamos para https://software.cisco.com, Central de Software da Cisco.
• b. Na seção Baixar e gerenciar > Baixar e atualizar, selecione Acessar downloads.
• c. Desça a página até o campo "Selecionar um produto".
• d. Digite Secure Network Analytics no campo Selecionar um produto. Pressione Enter.
• e. Selecione o Coletor de Fluxo Virtual do Secure Network Analytics ou outro Coletor de Fluxo.
• f. Selecione Software do Sistema de Análise de Rede Segura > Configuração Files.

2. Faça login no servidor proxy da McAfee.

3. Clique no ícone Política e, em seguida, clique na guia Conjuntos de regras.

4. Selecione o manipulador de logs e, em seguida, selecione Padrão.

5. Clique em Adicionar > Conjunto de Regras na Biblioteca.

6. Clique em Importar de filee então selecione o XML file.

7. Selecione mcafeelancopelog no manipulador de logs que acabou de ser importado.

Certifique-se de que o conjunto de regras e as regras “criar linha de log de acesso” e “enviar para o syslog” estejam ativadas.

8. Clique no ícone de Configuração na parte superior da página.

9. À esquerda da página, clique em File Na guia Editor, selecione o arquivo rsyslog.conf. file.

10. Na parte inferior da caixa de texto (ao lado da lista de files), digite o seguinte texto:

Certifique-se de selecionar o coletor de fluxo que coleta dados dos exportadores e pontos de extremidade que você deseja investigar nos logs do proxy.

11. Comente esta linha:

*.info;mail.nenhum;authpriv.nenhum;cron.nenhum.

12. Adicione esta linha:

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.

13. Clique no botão Salvar alterações no canto superior direito da página.

14. Continue para a seção Configurando o Coletor de Fluxo para configurar seu Coletor de Fluxo para receber informações de syslog.

Configurando os logs do proxy Squid

Use esta seção para configurar os logs do proxy Squid a serem enviados para o Secure Network Analytics. Você pode editar o files no servidor proxy usando SSH.
Para configurar os logs do proxy Squid, siga os passos abaixo:

1. Faça login no shell da máquina que executa o Squid.

2. Acesse o diretório que contém o arquivo squid.conf (normalmente /etc/squid) e abra-o em um editor de texto.

3. Adicione as seguintes linhas ao arquivo squid.conf para configurar o registro de logs:

formato_de_log access_format %ts%03tu % a %>p %>st %

4. Reinicie o Squid usando o seguinte comando:

• Para sistemas baseados em init: /etc/init.d/squid3 restart
• Para sistemas baseados em systemd: systemctl restart squid

5. Configure o serviço syslog no servidor Squid para encaminhar os logs para o Flow Collector. Isso depende da distribuição Linux/serviço syslog.

Para o syslog-ng, adicione o seguinte ao arquivo /etc/syslog-ng/syslog-ng.conf:

# Recurso de Log de Auditoria INÍCIO filtro bs_filter { filtro(f_user) e nível(info) }; destino udp_proxy { udp("10.205.14.15" porta(514)); }; log { origem(s_all); filtro(bs_filter); destino(udp_proxy); }; # Recurso de Log de Auditoria FIM

Para o rsyslog, adicione o seguinte ao arquivo /etc/rsyslog.conf:

:programname, contém, "squid" @10.205.14.15:514

Certifique-se de selecionar o coletor de fluxo que coleta dados dos exportadores e pontos de extremidade que você deseja investigar nos logs do proxy.

6. Em seguida, reinicie o serviço syslog.

• Para sistemas baseados em inicialização:
  /etc/init.d/syslog-ng reiniciar (para syslog-ng)
  /etc/init.d/rsyslog restart (para rsyslog)
• Para sistemas baseados em systemd:
  systemctl restart syslog (para syslog-ng)
  systemctl restart rsyslog (para rsyslog)

7. Continue para a seção Configurando o Coletor de Fluxo para receber informações do syslog.

Configurando o Coletor de Fluxo

Após configurar o servidor proxy, você precisa configurar o Flow Collector para aceitar os dados.

Para configurar o Flow Collector para receber informações de syslog, siga os passos abaixo:

1. Faça login no seu gerente.

2. Selecione Configurar > Global > Gerenciamento Central.

3. Clique no ícone (reticências) do seu Coletor de Fluxo e, em seguida, clique em View Estatísticas de eletrodomésticos.

4. Faça login no Coletor de Fluxo. A interface do Coletor de Fluxo será aberta.

5. Clique em Configuração > Ingestão de Proxy. A página Servidores Proxy será aberta.

6. Digite o endereço IP do servidor proxy.

7. Na lista suspensa Tipo de Proxy, selecione o seu servidor proxy.

Se o seu tipo de servidor proxy não estiver listado, você não poderá usar os registros de proxy neste momento.

8. Se o servidor proxy:

• Se o servidor proxy tiver apenas um endereço IP, digite o endereço IP dele no campo "Endereço IP". Deixe o campo "Endereço IP de Telemetria" vazio.
• Se o servidor proxy tiver mais endereços IP, digite o endereço IP de gerenciamento do servidor proxy (o endereço IP de origem da mensagem do syslog) no campo Endereço IP. No campo Endereço IP de Telemetria, digite o endereço IP de telemetria do servidor proxy.

9. No campo Porta do serviço proxy, digite o número da porta do servidor proxy.

10. Se você quiser que o servidor proxy dispare alarmes, desmarque a caixa de seleção "Excluir de alarmes".

11. Clique em Adicionar.

12. Clique em Aplicar. O servidor proxy aparecerá na tabela Ingestão de Proxy na parte superior da página.

13. Continue para a seção Verificando os Fluxos.

Verificando os fluxos

Para verificar se você está recebendo os fluxos, siga os passos abaixo:

1. Na interface do Flow Collector, clique em Suporte > Navegar Files no menu principal. O Navegar FileA página é aberta.

2. Abra o arquivo sw.log. file.

3. Verifique se o webO proxy está fazendo uma contagem crescente para mostrar que você está recebendo dados.

Entrando em contato com o suporte

Se precisar de suporte técnico, siga um destes procedimentos:

• Entre em contato com seu parceiro Cisco local
• Entre em contato com o suporte da Cisco
• Para abrir um caso por web: http://www.cisco.com/c/en/us/support/index.html
• Para suporte por telefone: 1-800-553-2447 (NÓS)
• Para números de suporte em todo o mundo:
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Histórico de alterações

Informações sobre direitos autorais

Cisco e o logotipo da Cisco são marcas comerciais ou marcas registradas da Cisco e/ou de suas afiliadas nos EUA e em outros países. Para view uma lista de marcas registradas da Cisco, acesse aqui URL: https://www.cisco.com/go/trademarks. As marcas registradas de terceiros mencionadas são de propriedade de seus respectivos proprietários. O uso da palavra parceiro não implica uma relação de parceria entre a Cisco e qualquer outra empresa. (1721R)

© 2025 Cisco Systems, Inc. e/ou suas afiliadas.
Todos os direitos reservados.

Documentos / Recursos

Análise de rede segura CISCO WSA [pdf] Guia do Usuário WSA 14-5-1-016, Blue Coat, McAfee, Squid, Análise de Rede Segura WSA, WSA, Análise de Rede Segura, Análise de Rede, Análise

Referências

• Manual do usuário