Cuprins ascunde
1 Senzor de analiză în cloud securizat CISCO
2 Introducere
3 Considerații privind implementarea senzorilor
4 Cerințe preliminare pentru senzori
5 Cerințe suplimentare pentru aparatul fizic
6 Instalarea și configurarea mediilor senzoriale
7 Instalarea senzorului
8 Ce să faci în continuare
9 Atașarea senzorilor la Web Portal
10 Configurarea senzorilor pentru colectarea fluxului
11 Depanare
12 Resurse suplimentare
13 Istoricul schimbărilor
14 Întrebări frecvente
15 Documente/Resurse
15.1 Referințe

Sigla CISCO

Senzor de analiză în cloud securizat CISCO

Produs CISCO-Secure-Cloud-Analytics-Senso

Introducere

Cisco Secure Cloud Analytics (acum parte a Cisco XDR) este un serviciu de securitate bazat pe SaaS care detectează și răspunde la amenințările din mediile IT, atât locale, cât și în cloud. Acest ghid explică modul de implementare a senzorilor Secure Cloud Analytics ca parte a serviciului dvs. de monitorizare a rețelei private, pentru utilizare în rețele de întreprinderi, centre de date private, sucursale și alte medii locale.

  • Dacă intenționați să utilizați Secure Cloud Analytics doar în medii de cloud public, cum ar fi Amazon Web Servicii, Microsoft Azure sau Google Cloud Platform, nu este nevoie să instalați un senzor. Consultați ghidurile de monitorizare a cloud-ului public pentru mai multe informații.
  • Acest ghid oferă instrucțiuni pentru instalarea senzorului pe Ubuntu Linux. Pentru instrucțiuni de instalare pe alte sisteme de operare, consultați Ghidul de configurare avansată a senzorului Secure Cloud Analytics.

Considerații privind implementarea senzorilor

  • Puteți implementa senzori pentru a colecta date de flux, cum ar fi NetFlow, sau pentru a ingera trafic de rețea care este oglindit de la un router sau switch din rețeaua dvs. De asemenea, puteți configura un senzor atât pentru a colecta date de flux, cât și pentru a ingera trafic de rețea oglindit. Nu există o limită privind numărul de senzori implementați.
  • Dacă doriți să configurați un senzor pentru a colecta date despre debit, consultați Configurarea unui senzor pentru colectarea datelor despre debit pentru mai multe informații.
  • Dacă doriți să configurați un senzor pentru a ingera trafic dintr-un port oglindă sau SPAN, consultați Configurarea dispozitivelor de rețea pentru mai multe informații despre configurarea dispozitivelor de rețea pentru a oglindi traficul.
  • Versiunea 4.0 sau o versiune ulterioară a senzorului poate colecta telemetrie NetFlow îmbunătățită. Acest lucru permite Secure Cloud Analytics să genereze noi tipuri de observații și alerte. Pentru mai multe informații, consultați Ghidul de configurare Secure Cloud Analytics pentru Enhanced NetFlow.
  • Senzorul nu acceptă IPv6.

Cerințe preliminare pentru senzori

Puteți instala un senzor pe un dispozitiv fizic sau o mașină virtuală, cu următoarele cerințe:

Componentă Cerință minimă
Interfață de rețea cel puțin o interfață de rețea, desemnată ca interfață de control, pentru transmiterea informațiilor către serviciul Secure Cloud Analytics. Opțional, dacă doriți să configurați senzorul să ingereze trafic de rețea de la un dispozitiv de rețea care îl reproduce printr-un port oglindă, aveți nevoie de una sau mai multe interfețe de rețea desemnate ca interfețe oglindă.
RAM 4 GB
CPU cel puțin două nuclee
Spațiu de depozitare Spațiul pe disc de 60 GB este utilizat pentru a stoca în cache datele NetFlow de producție înainte de a trimite înregistrările către Secure Cloud Analytics.
Acces la Internet necesar pentru descărcarea pachetelor pentru procesul de instalare

Rețineți următoarele despre interfețele Mirror desemnate:

  • Interfețele oglindă primesc o copie a întregului trafic sursă de intrare și ieșire către destinație. Asigurați-vă că traficul de vârf este mai mic decât capacitatea legăturii interfeței oglindă a senzorului.
  • Multe switch-uri abandonează pachete de la interfețele sursă dacă o destinație a portului oglindă este configurată cu prea mult trafic.

Cerințe suplimentare pentru aparatul fizic

Componentă Cerință minimă
Instalare File Încărcați Una dintre următoarele metode pentru a încărca fișierul .iso de instalare file:
  • 1 port USB, plus o unitate flash USB
  • 1 unitate de disc optic, plus un disc optic inscriptibil (cum ar fi un disc CD-R)

Mașinile virtuale pot porni direct din fișierul .iso file fără cerințe suplimentare.

Cerințe suplimentare pentru mașini virtuale
Dacă senzorul este implementat ca mașină virtuală, asigurați-vă că gazda virtuală și rețeaua sunt configurate pentru modul promiscuu pe a doua interfață de rețea dacă intenționați să ingerați trafic dintr-un port oglindă sau SPAN.

  • Când implementați senzorul într-un mediu VMWare 8, acesta nu se va încărca atunci când utilizați setarea de boot UEFI implicită. Pentru a remedia această problemă, în pasul Personalizare hardware, selectați Opțiuni VM > Opțiuni de boot, apoi alegeți BIOS din lista derulantă Firmware.

Hipervizor VMware
Dacă rulați mașina virtuală pe un hypervisor VMware, configurați switch-ul virtual pentru modul promiscuu:

  1. Selectați gazda din inventar.
  2. Selectați fila Configurare.
  3. Faceți clic pe Rețea.
  4. Faceți clic pe Proprietăți pentru comutatorul virtual.
  5. Selectați comutatorul virtual și faceți clic pe Editare.
  6. Selectați fila Securitate.
  7. Selectați Acceptare din meniul derulant Mod Promiscuu.

Consultați baza de cunoștințe VMware pentru mai multe informații despre modul promiscuu. Este posibil să fie nevoie să setați ID-ul VLAN la 4095.

VirtualBox
Dacă rulați mașina virtuală în VirtualBox, configurați adaptorul pentru modul promiscuu:

  1.  Selectați adaptorul pentru interfața Mirror din Setările de rețea.
  2.  Setați modul promiscuu la Permite în Opțiuni avansate.

Consultați documentația VirtualBox despre rețelele virtuale pentru mai multe informații.

Sugestii de implementare a senzorilor
Deoarece topologiile de rețea pot varia foarte mult, țineți cont de următoarele instrucțiuni generale atunci când implementați senzorii:

  1.  Stabiliți dacă doriți să implementați senzori pentru:
    • colectarea datelor de flux
    • ingerează trafic de rețea oglindit
    • unele colectează date de flux, iar altele ingerează trafic de rețea oglindit
    • atât colectează date despre flux, cât și ingerează trafic de rețea oglindit
  2.  Dacă colectați date de flux, determinați ce formate pot exporta dispozitivele dvs. de rețea, cum ar fi NetFlow v5, NetFlow v9, IPFIX sau sFlow.
    Multe firewall-uri acceptă NetFlow, inclusiv firewall-urile Cisco ASA și dispozitivele Cisco Meraki MX. Consultați documentația de asistență a producătorului pentru a determina dacă firewall-ul dvs. acceptă și NetFlow.
  3. Asigurați-vă că portul de rețea de pe senzor poate suporta capacitatea porturilor Mirror.
    Contactați asistența Cisco dacă aveți nevoie de ajutor pentru implementarea mai multor senzori în rețeaua dvs.

Verificarea versiunii senzorului
Pentru a vă asigura că aveți cel mai recent senzor implementat în rețeaua dvs. (versiunea 5.1.3), puteți verifica versiunea unui senzor existent din linia de comandă. Dacă trebuie să faceți upgrade, reinstalați senzorul.

  1.  Conectați-vă prin SSH la senzorul implementat.
  2. La prompt, introduceți cat /opt/obsrvbl-ona/version și apăsați Enter. Dacă consola nu afișează versiunea 5.1.3, senzorul este învechit. Descărcați cea mai recentă versiune ISO a senzorului de pe web interfața cu utilizatorul a portalului.

Cerințe de acces la senzori
Dispozitivul fizic sau mașina virtuală trebuie să aibă acces la anumite servicii prin internet. Configurați firewall-ul pentru a permite următorul trafic între un senzor și internetul extern:

Tipul de trafic Necesar Adresă IP, domeniu și port sau configurație
Trafic HTTPS de ieșire de la Da
  • portul 443 și adresa IP este
Interfața de control a senzorului către serviciul Secure Cloud Analytics găzduit pe Amazon Web Servicii adresa IP a portalului dvs.
  • Adresele IP AWS S3 pentru regiunea dvs. Secure Cloud Analytics. Deoarece adresele IP AWS se pot modifica, consultați ghidul AWS
  • Subiect de ajutor pentru intervalele de adrese IP și căutare pentru serviciul S3 și regiunea dvs. AWS în fișierul JSON furnizat filePentru a găsi regiunea AWS, accesați tabloul de bord Secure Cloud Analytics și derulați până la sfârșitul paginii. Un câmp din subsol afișează numele regiunii pentru portalul dvs., care corespunde următoarelor regiuni AWS:
    • America de Nord (Virginia de Nord): us-east-1
    • Europa (Frankfurt): eu- central-1
    • Australia (Sydney): ap- sud-est-2
1. Conectați-vă prin SSH la senzor ca administrator.
2. În promptul de comandă, introduceți această comandă:
Forțați senzorul să comunice doar cu adresele Cisco cunoscute nu sudo nano opt/obsrvbl-ona/config.local și apăsați Intră pentru a edita configurația file 3. Actualizați setarea OBSRVBL_SENSOR_EXT_ONLY la următoarea valoare: OBSRVBL_SENSOR_EXT_ONLY=true.
4. Apăsați Ctrl + 0 pentru a salva modificările.

5. Apăsați Ctrl + x pentru a ieși. 6. La promptul de comandă, introduceți sudo service obsrvbl-ona restart pentru a reporni senzorul.
Trafic de ieșire de la interfața de control a senzorului către serverul Ubuntu Linux pentru descărcarea sistemului de operare Linux și a actualizărilor aferente Da
Trafic de ieșire de la interfața de control a senzorului către un server DNS pentru rezoluția numelui de gazdă Da
  •  [server DNS local]:53/UDP
Trafic de intrare de la un dispozitiv de depanare la distanță către senzorul dvs. nu
  • 54.83.42.41:22/TCP

Dacă utilizați un serviciu proxy, creați o excepție de proxy pentru adresele IP ale interfeței de control al senzorilor.

Configurarea dispozitivului de rețea
Puteți configura switch-ul sau routerul de rețea să oglindească o copie a traficului, apoi să o transmită senzorului.

  • Deoarece senzorul se află în afara fluxului normal de trafic, acesta nu poate influența direct traficul. Modificările de configurare pe care le faceți în web Interfața cu utilizatorul portalului influențează generarea alertelor, nu modul în care circulă traficul. Dacă doriți să permiteți sau să blocați traficul pe baza alertelor, actualizați setările firewall-ului.
  • Consultați următoarele informații despre producătorii de switch-uri de rețea și resursele necesare pentru configurarea traficului oglindit:
Producător Numele dispozitivului Documentare
NetOptics acces la rețea Consultați pagina de resurse a Ixia pentru documentație și alte informații.
Gigamon acces la rețea Consultați resursele și paginile de cunoștințe Gigamon pentru documentație și alte informații

Analizator (SPAN)
Ienupăr oglindă port Consultați documentația TechLibrary a Juniper pentru un exempluampConfigurarea oglindirii porturilor pentru monitorizarea locală a utilizării resurselor angajaților pe switch-urile din seria EX
NETGEAR oglindă port Consultați documentația bazei de cunoștințe Netgear pentru un exempluampexemplul de oglindire a porturilor și cum funcționează cu un switch gestionat
ZyXEL oglindă port Consultați documentația bazei de cunoștințe ZyXEL pentru informații despre cum se utilizează Mirroring pe switch-urile ZyXEL.
alte port monitor, port analizor, port tap Consultați documentația wiki a Wireshark pentru o referință la switch-uri pentru mai mulți producători.

De asemenea, puteți implementa un dispozitiv punct de acces (tap) de testare a rețelei pentru a transmite o copie a traficului către senzor. Consultați următoarele informații despre producătorii de puncte de acces de rețea și resursele necesare pentru a configura punctul de acces de rețea.

Producător Numele dispozitivului Documentare
NetOptics acces la rețea Consultați pagina de resurse a Ixia pentru documentație și alte informații.
Gigamon acces la rețea Consultați resursele și paginile de cunoștințe Gigamon pentru documentație și alte informații

Configurarea fluxului
Trebuie să configurați dispozitivul de rețea pentru a transmite date NetFlow. Consultați https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco NetFlow_Configuration.pdf pentru mai multe informații despre configurarea NetFlow pe dispozitivele de rețea Cisco.

Instalarea și configurarea mediilor senzoriale

Înainte de a începe instalarea, review instrucțiunile pentru a înțelege procesul, precum și pregătirea, timpul și resursele de care veți avea nevoie pentru instalare și configurare.
Există două opțiuni pentru această instalare:

  • Instalarea senzorului pe o mașină virtuală: Dacă instalați un senzor pe o mașină virtuală, puteți porni din fișierul .iso file direct.
  •  Instalarea senzorului pe un dispozitiv fizic: Dacă instalați un senzor pe un dispozitiv fizic, veți crea un mediu de stocare bootabil utilizând fișierul .iso. file, apoi reporniți dispozitivul și porniți de pe mediul respectiv.

Procesul de instalare șterge discul pe care va fi instalat senzorul, înainte de instalarea acestuia. Înainte de a începe instalarea, confirmați că dispozitivul fizic sau mașina virtuală unde intenționați să instalați senzorul nu conține date pe care doriți să le salvați.

Crearea suportului de bootare

  • Dacă implementați un senzor pe un dispozitiv fizic, implementați un fișier .iso. file care instalează senzorul, bazat pe Ubuntu Linux.
  • Dacă scrii fișierul .iso file pe un disc optic, cum ar fi un CD sau un DVD, puteți reporni dispozitivul fizic cu discul optic într-o unitate de disc optic și puteți alege să bootați de pe discul optic.
  • Dacă creați o unitate flash USB cu fișierul .iso file și cu utilitarul Rufus, puteți reporni dispozitivul fizic, introduce unitatea flash USB într-un port USB și alege să bootați de pe unitatea flash USB.
  • Dacă implementați un senzor fără a utiliza un fișier ISO, este posibil să fie nevoie să actualizați setările firewall-ului dispozitivului local pentru a permite traficul. Vă recomandăm insistent să implementați senzorul utilizând fișierul ISO furnizat.
  • Crearea unei unități flash USB bootabile șterge toate informațiile de pe unitatea flash. Asigurați-vă că unitatea flash nu conține alte informații.

Descărcați fișierul ISO al senzorului file
Descărcați cea mai recentă versiune a fișierului ISO al senzorului de pe web portal. Folosiți acest lucru fie pentru a instala (pentru un senzor nou), fie pentru a reinstala (pentru a actualiza un senzor existent).

  1.  Conectați-vă la Secure Cloud Analytics ca administrator.
  2.  Selectați Ajutor (?) > Instalare senzor local.
  3.  Faceți clic pe butonul .iso pentru a descărca cea mai recentă versiune ISO.
  4. Accesați Creați un disc optic bootabil sau Creați o unitate flash USB bootabilă.

Creați un disc optic bootabil
Urmați instrucțiunile producătorului pentru a copia fișierul .iso. file pe un disc optic.

Creați o unitate flash USB bootabilă

  1. Introduceți o unitate flash USB goală într-un port USB al dispozitivului pe care doriți să îl utilizați pentru a crea unitatea flash USB bootabilă.
  2.  Conectați-vă la stația de lucru.
  3. În dumneavoastră web browser, accesați utilitarul Rufus website-ul.
  4.  Descărcați cea mai recentă versiune a utilitarului Rufus.
  5. Deschideți utilitarul Rufus.
  6.  Selectați unitatea flash USB din meniul derulant Dispozitiv.
  7. Selectați Disc sau imagine ISO din meniul derulant Selecție Boot.
  8. Faceți clic pe SELECT și selectați senzorul ISO file.
  9. Faceți clic pe START.

Crearea unei unități flash USB bootabile șterge toate informațiile de pe unitatea flash. Asigurați-vă că unitatea flash nu conține alte informații.

Instalarea senzorului

  1.  Alegeți metoda de bootare pentru fișierul .iso după cum urmează:
    • Mașină virtuală: Dacă instalați pe o mașină virtuală, porniți din fișierul .iso file.
    • Aparat fizic: Dacă instalați pe un aparat fizic, introduceți mediul de bootare, reporniți aparatul și bootați de pe mediul de bootare.
  2. Selectați Instalare ONA (IP static) la solicitarea inițială, apoi apăsați Enter.
  3. CISCO-Secure-Cloud-Analytics-Senso- (2)Selectați o limbă din lista de limbi folosind tastele săgeată, apoi apăsați Enter. CISCO-Secure-Cloud-Analytics-Senso- (3)
  4. Pentru configurarea tastaturii, aveți următoarele opțiuni:
    • Selectați un Layout și o Variantă pentru a configura tastatura, apoi apăsați Enter.
    • Selectați Identificare tastatură, apoi apăsați Enter. CISCO-Secure-Cloud-Analytics-Senso- (4)
  5. Pentru configurația rețelei, selectați Manual și apăsați Enter. CISCO-Secure-Cloud-Analytics-Senso- (5)Toate celelalte interfețe de rețea sunt configurate automat ca interfețe Mirror.
  6.  Introduceți o subrețea pentru dispozitiv, selectați Continuare cu tastele săgeată și apăsați Enter.
  7.  Introduceți o adresă IP pentru dispozitiv, selectați Continuare cu tastele săgeată și apăsați Enter.
  8. Introduceți o adresă IP pentru routerul Gateway, selectați Continuare cu tastele săgeată și apăsați Enter.
  9.  (Opțional) Pentru Domenii de căutare, introduceți domeniul (domeniile) care vor fi adăugate automat la numele de gazdă atunci când se încearcă rezolvarea la o adresă IP, selectați Continuare cu tastele săgeată și apăsați Enter.
    În mod implicit, instalarea va utiliza automat DHCP și va continua. Pentru a suprascrie adresa IP DHCP, va trebui să editați manual interfața după finalizarea instalării.
    Vă recomandăm să introduceți o adresă de server de nume local autorizat, dacă aveți unul implementat în rețea. CISCO-Secure-Cloud-Analytics-Senso- (6)
  10. Introduceți numele complet pentru noul utilizator, care este asociat cu un cont non-root pentru permisiuni administrative, apoi selectați Continuare cu tastele săgeată și apăsați Enter.
  11.  Introduceți numele serverului, care este numele pe care senzorul îl va folosi atunci când comunică cu alte computere și va fi vizibil în portalul Secure Cloud Analytics, apoi selectați Continuare cu tastele săgeată și apăsați Enter.
  12.  Introduceți numele de utilizator pentru contul dvs., care este contul non-root cu permisiuni administrative, apoi selectați Continuare cu tastele săgeată și apăsați Enter.
  13.  Alegeți o parolă pentru noul utilizator, apoi selectați Continuare cu tastele săgeată și apăsați Enter.
  14. Reintroduceți parola pentru verificare, apoi selectați Continuare cu tastele săgeată și apăsați Enter. Dacă nu ați introdus aceeași parolă de două ori, încercați din nou.
    Contul pe care îl creați în timpul configurării este singurul cont pe care îl puteți utiliza pentru a accesa mașina virtuală. Această instalare nu creează un cont separat pentru portalul Secure Cloud Analytics. CISCO-Secure-Cloud-Analytics-Senso- (7)
  15. Pentru a confirma procesul de instalare, selectați Continuare, apoi apăsați Enter.
    Această acțiune șterge toate datele de pe unitate. Asigurați-vă că este goală înainte de a continua.CISCO-Secure-Cloud-Analytics-Senso- (8)Așteptați câteva minute pentru ca instalatorul să instaleze fișierele necesare files.
  16. Când programul de instalare afișează „Instalare finalizată”, selectați Repornire acum cu tastele săgeată, apoi apăsați Enter pentru a reporni dispozitivul.CISCO-Secure-Cloud-Analytics-Senso- (9)
  17. După ce aparatul repornește, conectați-vă cu contul creat pentru a vă asigura că datele de autentificare sunt corecte.

Ce să faci în continuare

  • Dacă restricționați accesul la mediile dvs. private, asigurați-vă că este permisă comunicarea cu adresele IP relevante. Consultați Cerințe de acces la senzori pentru mai multe informații.
  • Dacă utilizați senzorul pentru a colecta trafic de flux de rețea, cum ar fi NetFlow, consultați Configurarea unui senzor pentru colectarea datelor de flux pentru mai multe informații despre configurarea senzorului.
  •  Dacă utilizați senzorul și îl atașați la porturile SPAN sau la porturile oglindă pentru a colecta traficul oglindit, consultați secțiunea Atașarea senzorilor la Web Portal pentru mai multe informații despre adăugarea de senzori în Secure Cloud Analytics web portal.
  •  Dacă configurați senzorul să transmită telemetria Enhanced NetFlow, consultați Ghidul de configurare Cisco Secure Cloud Analytics pentru Enhanced NetFlow pentru mai multe informații.

Atașarea senzorilor la Web Portal

  • Odată ce un senzor este instalat, acesta va trebui conectat la portalul dumneavoastră. Acest lucru se face prin identificarea adresei IP publice a senzorului și introducerea acesteia în web portal. Dacă nu puteți determina adresa IP publică a senzorului, puteți conecta manual senzorul la portalul dvs. folosind cheia sa unică de serviciu.

Senzorul se poate conecta la următoarele portaluri:

Dacă sunt conectați mai mulți senzoritagsituate într-o locație centrală, cum ar fi un MSSP, și sunt destinate unor clienți diferiți, adresa IP publică ar trebui eliminată după configurarea fiecărui client nou. Dacă o adresă IP publică a serveruluitagDacă mediul de lucru este utilizat pentru mai mulți senzori, un senzor ar putea fi atașat incorect la portalul greșit.
Dacă utilizați un server proxy, urmați pașii din secțiunea Configurarea proxy-ului pentru a activa comunicarea dintre senzor și Secure Cloud Analytics. web portal.

Găsirea și adăugarea adresei IP publice a unui senzor la un portal

  1. Conectați-vă prin SSH la senzor ca administrator.
  2. La promptul de comandă, introduceți curl https://sensor.ext.obsrvbl.comandpressEnterValoarea de eroare cu identitate necunoscută înseamnă că senzorul nu este asociat cu un portal. Consultați imaginea următoare pentru un exemplu.ample.CISCO-Secure-Cloud-Analytics-Senso- (10)Gazda serviciului dumneavoastră URL pot fi diferite în funcție de locația dvs. În portalul Secure Cloud Analytics, accesați Setări > Senzori și derulați până la sfârșitul paginii pentru a găsi gazda serviciului dvs. url.
  3.  Copiați adresa IP a identității.
  4.  Deconectați-vă de la senzor.
  5.  Conectați-vă la Secure Cloud Analytics ca administrator de site.
  6.  Selectați Setări > Senzori > IP public.
  7. Faceți clic pe Adăugați o adresă IP nouă.
  8. Introduceți adresa IP a identității în câmpul Adresă nouă. 9. Faceți clic pe Creare. După ce portalul și senzorul schimbă cheile, acestea stabilesc viitoare
  9. CISCO-Secure-Cloud-Analytics-Senso- (11) Faceți clic pe Creare. După ce portalul și senzorul fac schimb de chei, aceștia stabilesc conexiuni viitoare folosind cheile respective, nu adresa IP publică.
    Poate dura până la 20 de minute până când un nou senzor este reflectat în portal.

Adăugarea manuală a cheii de serviciu a unui portal la un senzor
Dacă nu puteți adăuga adresa IP publică a unui senzor la web portal, sau ești un
MSSP gestionează mai multe web portaluri, editați configurația config.local a unui senzor file pentru a adăuga manual cheia de serviciu a unui portal pentru a asocia senzorul cu portalul.
Acest schimb de chei se face automat atunci când se utilizează adresa IP publică din secțiunea anterioară.

  1. Conectați-vă la Secure Cloud Analytics ca administrator.
  2.  Selectați Setări > Senzori.
  3.  Navigați la sfârșitul listei de senzori și copiați Cheia de Service. Consultați imaginea următoare pentru un exemplu.ample.
    Cheie de serviciu: (afișare) Gazdă de serviciu:CISCO-Secure-Cloud-Analytics-Senso- (12)
  4. Conectați-vă prin SSH la senzor ca administrator.
  5. La promptul de comandă, introduceți această comandă: sudo nano /opt/obsrvbl-ona/config.local și apăsați Enter pentru a edita configurația. file.
  6. Adăugați următoarele linii, înlocuind cu cheia de serviciu a portalului șiurl>cu gazda dumneavoastră regională de servicii url# Cheie de serviciu
    OBSRVBL_SERVICE_KEY=” „OBSRVBL_HOST=”url>”
    În portalul Secure Cloud Analytics, accesați Setări > Senzori și derulați până la sfârșitul paginii pentru a găsi gazda serviciului. url.
    Vedeți imaginea următoare pentru un fostamppe:
  7. CISCO-Secure-Cloud-Analytics-Senso- (13)Apăsați Ctrl + 0 pentru a salva modificările.
  8.  Apăsați Ctrl + x pentru a ieși.
  9.  La promptul de comandă, introduceți sudo service obsrvbl-ona restart pentru a reporni serviciul Secure Cloud Analytics.

Poate dura până la 20 de minute până când un nou senzor este reflectat în portal.

Configurarea proxy-ului
Dacă utilizați un server proxy, urmați pașii următori pentru a activa comunicarea dintre senzor și web portal.

  1.  Conectați-vă prin SSH la senzor ca administrator.
  2.  La promptul de comandă, introduceți această comandă: sudo nano /opt/obsrvbl-ona/config.local și apăsați Enter pentru a edita configurația. file.
  3.  Adăugați următoarea linie, înlocuind proxy.name.com cu numele de gazdă sau adresa IP a serverului proxy și Port cu numărul de port al serverului proxy: HTTPS_PROXY=”proxy.name.com:Port.”
  4. Apăsați Ctrl + 0 pentru a salva modificările.
  5.  Apăsați Ctrl + x pentru a ieși.
  6. La promptul de comandă, introduceți sudo service obsrvbl-ona restart pentru a reporni serviciul Secure Cloud Analytics.

Poate dura până la 20 de minute până când un nou senzor este reflectat în portal.

Confirmarea conexiunii la portal a unui senzor
După ce un senzor este adăugat la portal, confirmați conexiunea în Secure Cloud Analytics.

Dacă ați conectat manual un senzor la web portal prin actualizarea fișierului config.local
configurație file folosind o cheie de serviciu, folosind curlComanda de confirmare a conexiunii de la senzor s-ar putea să nu returneze web nume de portal.

  1. Conectați-vă la Secure Cloud Analytics.
  2. Selectați Setări > Senzori. Senzorul apare în listă.

CISCO-Secure-Cloud-Analytics-Senso- (14)

Dacă nu vedeți senzorul pe pagina Senzori, conectați-vă la senzor pentru a confirma conexiunea.

  1. Conectați-vă prin SSH la senzor ca administrator.
  2. La promptul de comandă, introduceți curl https://sensor.ext.obsrvbl.comandpressEnter. Senzorul returnează numele portalului. Vedeți imaginea următoare pentru un exemplu.ample.CISCO-Secure-Cloud-Analytics-Senso- (1)Gazda serviciului dumneavoastră url pot fi diferite în funcție de locația dvs. În portalul Secure Cloud Analytics, accesați Setări > Senzori și derulați până la sfârșitul paginii pentru a găsi gazda serviciului dvs. url.
  3. Deconectați-vă de la senzor.

Configurarea unui senzor pentru colectarea datelor de debit

  • Un senzor creează în mod implicit înregistrări de flux din traficul de pe interfețele sale Ethernet. Această configurație implicită presupune că senzorul este conectat la un port Ethernet SPAN sau mirror. Dacă alte dispozitive din rețeaua dvs. pot genera înregistrări de flux, puteți configura senzorul în web interfață cu utilizatorul a portalului pentru a colecta înregistrări de flux din aceste surse și a le trimite în cloud.
  • Dacă dispozitivele de rețea generează diferite tipuri de fluxuri, se recomandă configurarea senzorului pentru a colecta fiecare tip printr-un port UDP diferit. Acest lucru facilitează și depanarea.
    mai ușor. În mod implicit, firewall-ul senzorului local (iptables) are porturile 2055/UDP, 4739/UDP și 9995/UDP deschise. Dacă doriți să utilizați porturi UDP suplimentare, trebuie să le configurați în
    cel web portal.

Puteți configura colectarea următoarelor tipuri de flux în web interfața portalului:

  • NetFlow v5 – Port 2055/UDP (deschis în mod implicit)
  • NetFlow v9 – Port 9995/UDP (deschis în mod implicit)
  • IPFIX – Port 4739/UDP (deschis implicit)
  •  sFlow – Port 6343/UDP

Am furnizat porturile implicite, dar acestea pot fi configurate la porturile preferate în web interfața cu utilizatorul a portalului.

Anumite dispozitive de rețea trebuie selectate în web interfața portalului înainte ca acestea să funcționeze corect:

  • Cisco Meraki – Port 9998/UDP
  • Cisco ASA – Port 9997/UDP
  • SonicWALL – Port 9999/UDP

Versiunea 14.50 a firmware-ului Meraki aliniază formatul de export al jurnalelor Meraki cu formatul NetFlow. Dacă dispozitivul Meraki rulează versiunea de firmware 14.50 sau o versiune ulterioară, configurați senzorul cu un tip de sondă NetFlow v9 și o sursă Standard. Dacă dispozitivul Meraki rulează o versiune de firmware mai veche decât 14.50, configurați senzorul cu un tip de sondă NetFlow v9 și o sursă Meraki MX (sub versiunea 14.50).

Configurarea senzorilor pentru colectarea fluxului

  1. Conectați-vă la Secure Cloud Analytics ca administrator.
  2. Selectați Setări > Senzori.
  3. Faceți clic pe meniul derulant Setări pentru senzorul pe care l-ați adăugat.
  4. Alegeți configurarea NetFlow/IPFIX.
    Această opțiune necesită o versiune actualizată a senzorului. Dacă nu vedeți această opțiune, selectați Ajutor (?) > Instalare senzor local pentru a descărca o versiune actuală a fișierului ISO al senzorului.
  5. Faceți clic pe Adăugare sondă nouă.
  6.  Alegeți un tip de flux din meniul derulant Tip sondă.
  7.  Introduceți un număr de port.
    Dacă doriți să transmiteți Enhanced NetFlow către senzorul dvs., asigurați-vă că portul UDP pe care îl configurați nu este unul care este configurat și pentru Flexible NetFlow sau IPFIX în configurația senzorului. De exemplu,ampAdică, configurați portul 2055/UDP pentru Enhanced NetFlow și portul 9995/UDP pentru Flexible NetFlow. Consultați Ghidul de configurare pentru Enhanced NetFlow pentru mai multe informații.
  8. Alegeți un protocol din meniul derulant.
  9.  Alegeți o Sursă din meniul derulant.
  10.  Faceți clic pe Salvare.

Poate dura până la 30 de minute până când actualizările configurației senzorilor se reflectă în portal.

Depanare

Capturați pachete de la senzor
Ocazional, este posibil ca serviciul de asistență Cisco să fie nevoit să verifice datele de flux primite de senzor. Vă recomandăm să faceți acest lucru generând o captură de pachete a fluxurilor. De asemenea, puteți deschide captura de pachete în Wireshark pentru a re-view datele.

  1.  Conectați-vă prin SSH la senzor ca administrator.
  2.  La prompt, introduceți sudo tcpdump -D și apăsați Enter pentru a view o listă de interfețe. Notați numele interfeței de control a senzorului.
  3. La prompt, introduceți sudo tcpdump -i -n -c 100 „port” „-w” , înlocuiește cu numele interfeței dvs. de Control, cu numărul de port corespunzător datelor de flux configurate și cu un nume pentru pcap-ul generat file, apoi apăsați Enter. Sistemul generează un pcap file cu numele specificat pentru traficul acelei interfețe, prin portul specificat.
  4. Deconectați-vă de la senzor.
  5. Conectați-vă la senzor folosind un program SFTP, cum ar fi PuTTY SFTP (PSFTP) sau WinSCP.
  6. La prompt, introduceți get , înlocuiește cu pcap-ul generat file nume și apăsați Enter pentru a transfera file la stația de lucru locală.

Analizați captura de pachete în Wireshark

  1. Descărcați și instalați Wireshark, apoi deschideți Wireshark.
  2. Selecta File > Deschide, apoi selectează-ți PCAP-ul file.
  3. Selectați Analiză > Decodare ca.
  4. Faceți clic pe + pentru a adăuga o regulă nouă.
  5. Selectați CFLOW din meniul derulant Curent, apoi faceți clic pe OK. Interfața cu utilizatorul se actualizează pentru a afișa doar pachetele legate de NetFlow, IPFIX sau sFlow. Dacă nu apar rezultate, pcap-ul nu conține pachete legate de NetFlow, iar colectarea datelor de flux este configurată incorect pe senzor.

Resurse suplimentare

Pentru mai multe informații despre Secure Cloud Analytics, consultați următoarele:

Contactarea asistenței
Dacă aveți nevoie de asistență tehnică, vă rugăm să efectuați una dintre următoarele:

Istoricul schimbărilor

Versiunea documentului Data Publicării Descriere
1_0 aprilie 27,2022 Versiunea inițială
1_1 august 1,2022
  • Actualizarea informațiilor de asistență Cisco.
  •  Notă adăugată pentru IP-urile publice.
1_2 17 februarie 2023
  •  Secțiunea de configurare proxy adăugată.
  •  Setările senzorului Meraki au fost actualizate.
1_3 iunie 21,2023
  •  Am corectat o greșeală de scriere.
  • Numerotare actualizată pentru proceduri.
1_4 8 aprilie 2024
  •  Introducerea a fost actualizată în Medii senzoriale Instalare și Configurare secțiune. Modificări minore de formatare.
1_5 30 octombrie 2024 Actualizat Cerințe de acces la senzori secțiune.
2_0 4 decembrie 2024 Versiunea senzorului a fost actualizată, instalat un senzor secțiune, Găsirea și adăugarea adresei IP publice a unui senzor la un portal secțiune și Cerințe preliminare pentru senzori secțiune.
2_1 21 aprilie 2025
  •  Adăugată o notă privind opțiunea de bootare VMware la Cerințe suplimentare pentru mașini virtuale secțiune.
  • Actualizat Adăugați manual o cheie de serviciu a unui portal la un Senzor secțiune pentru a include informațiile de configurare OBSRVBL_HOST.
2_2 17 octombrie 2025 A fost eliminată limitarea exclusivă pentru America de Nord pentru a impune senzorului să comunice doar cu adresele Cisco cunoscute.

Informații privind drepturile de autor

  • Cisco și sigla Cisco sunt mărci comerciale sau mărci comerciale înregistrate ale Cisco și/sau afiliaților săi în SUA și alte țări. La view o listă de mărci comerciale Cisco, accesați aceasta URL: https://www.cisco.com/go/trademarks. Mărcile comerciale ale terților menționate sunt proprietatea deținătorilor respectivi. Utilizarea cuvântului partener nu implică o relație de parteneriat între Cisco și orice altă companie. (1721R)
  • © 2025 Cisco Systems, Inc. și/sau afiliații săi. Toate drepturile rezervate.

Întrebări frecvente

Poate senzorul să colecteze trafic IPv6?

Nu, senzorul nu acceptă trafic IPv6.

Documente/Resurse

Senzor de analiză în cloud securizat CISCO [pdfGhid de utilizare
Senzor de analiză în cloud securizat, senzor de analiză în cloud, senzor de analiză, senzor

Referințe

Lasă un comentariu

Adresa ta de e-mail nu va fi publicată. Câmpurile obligatorii sunt marcate *