Руководство пользователя по безопасной сетевой аналитике CISCO WSA

Введение

Чтобы собирать информацию о пользователях с прокси-серверов вашей сети для журнала прокси-сервера Cisco Secure Network Analytics (ранее Stealthwatch), необходимо настроить журналы прокси-сервера. Flow Collector получает журналы, а Manager (ранее Stealthwatch Management Console) отображает информацию на странице Flow Proxy Records. Эта страница предоставляет URLs и имена приложений трафика внутри сети, проходящего через прокси-сервер.

Требования

Прежде чем начать, убедитесь, что вы выполнили следующие требования:

• В этой конфигурации поддерживаются Cisco WSA (14-5-1-016), Blue Coat, McAfee и Squid. Убедитесь, что ваш прокси-сервер настроен и работает в вашей сети.
• Убедитесь, что Flow Collector и прокси-сервер используют один и тот же сервер NTP (или получают время из общего источника для сопоставления записей потока и прокси-сервера).
• Выберите сборщик потоков, который собирает данные с экспортеров и конечных точек, которые вы хотите проанализировать в журналах прокси-сервера. Для настройки вам потребуется IP-адрес.
• Размер сообщений прокси-сервера Syslog не ограничен. Однако мы рекомендуем, чтобы сообщения были короче минимального максимального размера передаваемого блока данных (MTU) на пути между прокси-сервером и Flow Collector, обычно равного 1500. Это исключает фрагментацию пакетов и повышает надежность.
• Журнал прокси-сервера не поддерживается в режиме высокой доступности (HA).

Конфигурация завершенаview

Выполните следующие процедуры:

1. Выберите один из следующих методов настройки прокси-сервера.
   • Настройка Cisco Web Журналы прокси-сервера Security Appliance (WSA)
   • Настройка журналов прокси-сервера Blue Coat
   • Настройка журналов прокси-сервера McAfee
   • Настройка журналов прокси-сервера Squid
2. Настройка сборщика потоков
3. Проверка потоков

Настройка Cisco Web Журналы прокси-сервера Security Appliance (WSA)

Используйте этот раздел для настройки журналов прокси-сервера Cisco для отправки в Secure Network Analytics.

Прокси-сервер Cisco WSA не поддерживает виртуальные IP-адреса для добавления прокси-устройства.

Чтобы настроить журнал прокси-сервера Cisco, выполните следующие действия:

1. Войдите на прокси-сервер Cisco.

2. В главном меню выберите «Администрирование системы» > «Подписки на журналы». Откроется страница «Подписки на журналы».

3. Нажмите кнопку «Добавить подписки на журналы». Откроется страница «Новые подписки на журналы».

4. В раскрывающемся списке «Тип журнала» выберите «Журналы W3C». Отобразятся доступные поля журнала W3C.

5. В поле «Имя журнала» введите имя журнала, который вы будете использовать.

6. В списке доступных полей журнала выберите Timest.amp, а затем нажмите кнопку Добавить, чтобы переместить его в список «Выбрать поля журнала».

7. Повторите предыдущий шаг для каждого из следующих полей журнала по порядку:

а. времяamp
б. x-прошедшее-время
c. c-ip
d. c-порт
е. cs-байты
f. s-ip
г. s-port
h. sc-байты
i. cs-имена пользователей
j. s-имя_компьютера
к. cs-url

Список выбранных полей журнала должен содержать следующие поля, как показано на рисунке:

Список выбранных полей журнала должен быть в указанном выше порядке, без других полей.

8. Прокрутите страницу до конца и выберите опцию Syslog Push.

9. В поле Имя хоста введите IP-адрес Flow Collector или имя хоста, на который прокси-сервер отправляет журналы.

Обязательно выберите Flow Collector, который собирает данные от экспортеров и конечных точек, которые вы хотите исследовать в журналах прокси-сервера.

10. Нажмите «Отправить». Новый журнал будет добавлен в список подписки на журналы.

11. Перейдите к разделу «Настройка Flow Collector», чтобы настроить Flow Collector для получения информации syslog.

Настройка журналов прокси-сервера Blue Coat

В этом разделе можно настроить журналы прокси-сервера Blue Coat для отправки в Secure Network Analytics.

Для тестирования использовалась версия прокси-сервера Blue Coat SG V100, SGOS 6.5.5.7 SWG Edition.

Создание формата

Чтобы создать новый формат журнала, выполните следующие действия:

1. В браузере откройте прокси-сервер Blue Coat.

2. Откройте вкладку «Конфигурация».

3. В главном меню консоли управления выберите «Ведение журнала доступа» > «Форматы».

4. Нажмите кнопку «Создать» внизу страницы. Откроется страница «Создать формат».

5. В поле «Имя формата» введите имя нового формата.

6. Выберите расширенный журнал W3C. File Параметр Формат (ELFF).

7. В поле формата введите следующую строку:

времяamp продолжительность c-ip c-port r-ip r-port s-ip s-port cs-bytes sc-bytes cs-user cs-host cs-uri

8. Нажмите «ОК». Перейдите к следующему разделу: «Создание нового журнала».

Создать новый журнал

Чтобы создать журналы, выполните следующие действия:

1. В главном меню выберите «Журналы доступа» > «Журналы» и выберите новый формат журнала. Откроется страница «Журналы».

2. Откройте вкладку Общие настройки.

3. В раскрывающемся списке Формат журнала выберите журнал, созданный на шаге 1.

4. В поле Описание введите описание нового журнала.

5. Нажмите кнопку «Применить» внизу страницы. Перейдите к следующему разделу: «Настройка клиента загрузки».

Настройте клиент загрузки

Чтобы настроить клиент загрузки, выполните следующие действия:

1. Перейдите на вкладку «Загрузить клиент». Откроется страница «Загрузить клиент».

2. В раскрывающемся списке Тип клиента выберите Пользовательский клиент.

3. Нажмите кнопку «Настройки». Откроется страница настроек пользовательского клиента.

4. В соответствующих полях введите IP-адрес Flow Collector и порт прослушивания прокси-парсера.

В настоящее время SSL не поддерживается.

5. Нажмите кнопку ОК.

6. Для параметров передачи выполните следующие шаги:

• а. Для сертификата шифрования выберите Без шифрования.
• б) В раскрывающемся списке «Ключ подписи» выберите «Без подписи».
• c. Из «Сохранить журнал» file как» выберите Текст file вариант.
• г. В текстовом поле «Отправить частичный буфер после» введите 5.
• е. Перейдите на вкладку «Расписание загрузки» и выберите параметр «Постоянно» для параметра «Загрузка журнала доступа».
• е. В поле «Время ожидания между попытками подключения» введите 60.
• ж. В поле «Время между пакетами журнала keep-alive» введите 5.

7. Нажмите кнопку «Применить» внизу страницы. Перейдите к следующему разделу: «Настройка расписания загрузки».

Настройка расписания загрузки

Чтобы настроить расписание загрузки, выполните следующие действия:

1. Перейдите на вкладку «Расписание загрузки».

2. Для параметра «Загрузить журнал доступа» выберите непрерывно.

3. Время ожидания между правильными попытками составляет 60 секунд.

4. Время между пакетами журнала keep-alive составляет 5 секунд.

5. Нажмите кнопку «Применить» внизу страницы.

На этом настройка журналов прокси-сервера Blue Coat для Flow Collector завершена.

Требования

Дополнительные примечания по конфигурации:

• Убедитесь, что Flow Collector и Proxy используют один и тот же сервер NTP (или получают время из общего источника для сопоставления записей потока и прокси).
• Поддерживается только один механизм вывода журналов для прокси-сервера. Если вы уже экспортируете журналы, вы не сможете захватывать и анализировать записи прокси-сервера.
• Высокая доступность UDP Director не поддерживается.

Настройка визуального менеджера политик

Конфигурация диспетчера визуальных политик позволяет вам проверять, отправляется ли журнал прокси-сервера в Flow Collector.

1. На вкладке «Конфигурация» в главном меню выберите «Политика» > «Визуальный менеджер политик». Откроется «Визуальный менеджер политик».

2. Нажмите кнопку «Запустить» внизу окна настроенного журнала. Откроется окно визуального менеджера политик для журнала.

3. Нажмите «Политика» > «Добавить». Web Доступ к слою. Откроется экран добавления нового слоя.

4. Введите имя нового слоя и нажмите кнопку «ОК».

5. Щёлкните правой кнопкой мыши по пункту «Запретить» в столбце «Действие» и выберите «Установить». Откроется диалоговое окно «Установить объект действия».

6. Нажмите «Создать» и выберите «Изменить журнал доступа». Откроется диалоговое окно «Изменить объект журнала доступа».

7. Нажмите Включить ведение журнала.

8. Введите имя для вашего журнала, а затем выберите его.

9. Нажмите «ОК». Объект добавлен.

10. В диалоговом окне «Установить объект действия» нажмите кнопку «ОК».

11. Нажмите кнопку Установить политику в правом верхнем углу.

12. Нажмите «Нет», а затем «ОК» для следующих окон.

13. Снова запустите Blue Coat Visual Policy Manager.

14. Щелкните правой кнопкой мыши вкладку «Ведение журнала» и выберите «Включить слой».

15. Нажмите кнопку «Установить политику». Откроется окно «Установленная политика».

16. Нажмите кнопку ОК.

17. Откройте вкладку «Статистика» и в меню журнала выберите свой журнал.

18. В главном меню выберите «Журнал доступа» и перейдите на вкладку «Окончание журнала». Откроется окно «Окончание журнала».

19. Нажмите кнопку «Начать Tail» внизу страницы.

20. В главном меню «Статистика» выберите «Система» > «Журнал событий». На этой странице будет показано, есть ли журнал file загружается в Flow Collector и вносимые изменения. Он показывает, подключен ли прокси-сервер к Flow Collector.

21. Перейдите к разделу «Настройка Flow Collector», чтобы настроить Flow Collector для получения информации syslog.

Настройка журналов прокси-сервера McAfee

Используйте этот раздел для настройки журналов прокси-сервера McAfee из McAfee Web Шлюз для отправки в Secure Network Analytics.

• Убедитесь, что вы загрузили XML-конфигурацию. file Для прокси-сервера McAfee. Перейдите в Cisco Software Central, чтобы загрузить файл readme и конфигурацию журнала прокси-сервера в формате XML. files.
• Войдите в свою учетную запись Cisco Smart Account по адресу https://software.cisco.com или обратитесь к своему администратору.
• Для тестирования использовалась версия прокси-сервера McAfee 7.4.2.6.0 – 18721.

Чтобы настроить журнал прокси-сервера McAfee, выполните следующие действия:

1. Загрузите XML file, FlowCollector_[date]_McAfee_Log_XML_Config_[v].xml, а затем сохраните его в удобном для вас месте.

«Дата» указывает дату XML file, а «v» указывает версию прокси-сервера McAfee. Выберите XML file с тем же номером версии, что и у вашего прокси-сервера McAfee.

Чтобы загрузить fileвыполните следующие шаги:

• а. Перейти к https://software.cisco.com, Центр программного обеспечения Cisco.
• б. В разделе «Загрузка и управление» > «Загрузка и обновление» выберите «Доступ к загрузкам».
• в. Прокрутите вниз до поля «Выбрать продукт».
• г. Введите Secure Network Analytics в поле «Выберите продукт». Нажмите Enter.
• е. Выберите Secure Network Analytics Virtual Flow Collector или другой Flow Collector.
• е. Выберите «Программное обеспечение для безопасной сетевой аналитики» > «Конфигурация». Files.

2. Войдите на прокси-сервер McAfee.

3. Щелкните значок «Политика», а затем щелкните вкладку «Наборы правил».

4. Выберите Обработчик журналов, а затем выберите По умолчанию.

5. Нажмите Добавить > Набор правил в библиотеке.

6. Нажмите «Импортировать из». file, а затем выберите XML file.

7. Выберите mcafeelancopelog в обработчике журналов, который только что был импортирован.

Убедитесь, что набор правил и правила «создать строку журнала доступа» и «отправить в системный журнал» включены.

8. Нажмите значок «Конфигурация» в верхней части страницы.

9. В левой части страницы нажмите кнопку File Перейдите на вкладку «Редактор» и выберите файл rsyslog.conf. file.

10. Внизу текстового поля (рядом со списком files), введите следующий текст:

Обязательно выберите Flow Collector, который собирает данные от экспортеров и конечных точек, которые вы хотите исследовать в журналах прокси-сервера.

11. Закомментируйте эту строку:

*.info;mail.none;authpriv.none;cron.none.

12. Добавьте эту строку:

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.

13. Нажмите кнопку «Сохранить изменения» в правом верхнем углу страницы.

14. Перейдите к разделу «Настройка Flow Collector», чтобы настроить Flow Collector для получения информации syslog.

Настройка журналов прокси-сервера Squid

В этом разделе можно настроить журналы прокси-сервера Squid для отправки в Secure Network Analytics. Вы можете изменить fileна прокси-сервере с использованием SSH.
Чтобы настроить логи прокси-сервера Squid, выполните следующие действия:

1. Войдите в оболочку машины, на которой работает Squid.

2. Перейдите в каталог, содержащий squid.conf (обычно /etc/squid), и откройте его в редакторе.

3. Добавьте следующие строки в squid.conf для настройки ведения журнала:

logformat access_format %ts%03tu % a %>p %>st %

4. Перезапустите Squid, выполнив следующие действия:

• Для систем на основе init: /etc/init.d/squid3 restart
• Для систем на базе systemd: systemctl restart squid

5. Настройте службу syslog на сервере Squid для пересылки журналов в Flow Collector. Это зависит от дистрибутива Linux и службы syslog.

Для syslog-ng добавьте следующее в /etc/syslog-ng/syslog-ng.conf:

# Функция журнала аудита BEGIN filter bs_filter { filter(f_user) and level(info) }; destination udp_proxy { udp("10.205.14.15" port(514)); }; log { source(s_all); filter(bs_filter); destination(udp_proxy); }; # Функция журнала аудита END

Для rsyslog добавьте следующее в /etc/rsyslog.conf:

:programname, содержит, "squid" @10.205.14.15:514

Обязательно выберите Flow Collector, который собирает данные от экспортеров и конечных точек, которые вы хотите исследовать в журналах прокси-сервера.

6. Затем перезапустите службу syslog.

• Для систем на основе init:
  /etc/init.d/syslog-ng перезапуск (для syslog-ng)
  /etc/init.d/rsyslog restart (для rsyslog)
• Для систем на базе systemd:
  systemctl restart syslog (для syslog-ng)
  systemctl restart rsyslog (для rsyslog)

7. Перейдите к разделу «Настройка сборщика потоков», чтобы получать информацию системного журнала.

Настройка сборщика потоков

После настройки прокси-сервера необходимо настроить Flow Collector для приема данных.

Чтобы настроить Flow Collector для получения информации syslog, выполните следующие действия:

1. Войдите в свой Менеджер.

2. Выберите «Настройка» > «Глобальные» > «Централизованное управление».

3. Щелкните значок (многоточие) для вашего Flow Collector, затем щелкните View Статистика по приборам.

4. Войдите в Flow Collector. Откроется интерфейс Flow Collector.

5. Нажмите «Конфигурация» > «Приём прокси-серверов». Откроется страница «Прокси-серверы».

6. Введите IP-адрес прокси-сервера.

7. В раскрывающемся списке «Тип прокси» выберите свой прокси-сервер.

Если тип вашего прокси-сервера не указан, в данный момент вы не сможете использовать журналы прокси-сервера.

8. Если прокси-сервер:

• Если у вас только один IP-адрес, введите IP-адрес прокси-сервера в поле «IP-адрес». Поле «IP-адрес телеметрии» оставьте пустым.
• Если у прокси-сервера несколько IP-адресов, введите IP-адрес управления прокси-сервера (IP-адрес источника сообщения syslog) в поле «IP-адрес». В поле «IP-адрес телеметрии» введите IP-адрес телеметрии прокси-сервера.

9. В поле «Порт службы прокси» введите номер порта прокси-сервера.

10. Если вы хотите, чтобы прокси-сервер активировал сигналы тревоги, снимите флажок Исключить из сигналов тревоги.

11. Щелкните Добавить.

12. Нажмите «Применить». Прокси-сервер появится в таблице «Proxy Ingest» в верхней части страницы.

13. Перейдите к разделу «Проверка потоков».

Проверка потоков

Чтобы проверить, получаете ли вы потоки, выполните следующие действия:

1. В интерфейсе Flow Collector нажмите «Поддержка» > «Обзор». Fileв главном меню. Обзор Fileоткроется страница s.

2. Откройте sw.log file.

3. Убедитесь, что webпрокси-сервер выполняет подсчет, показывая, что вы получаете данные.

Обращение в службу поддержки

Если вам нужна техническая поддержка, выполните одно из следующих действий:

• Свяжитесь с местным партнером Cisco
• Обратитесь в службу поддержки Cisco
• Чтобы открыть дело по web: http://www.cisco.com/c/en/us/support/index.html
• Для поддержки по телефону: 1-800-553-2447 (НАС)
• Номера поддержки по всему миру:
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

История изменений

Информация об авторских правах

Cisco и логотип Cisco являются товарными знаками или зарегистрированными товарными знаками Cisco и/или ее филиалов в США и других странах. view список товарных знаков Cisco, перейдите по ссылке URL: https://www.cisco.com/go/trademarks. Упомянутые сторонние товарные знаки являются собственностью их владельцев. Использование слова «партнер» не подразумевает партнерских отношений между Cisco и любой другой компанией. (1721R)

© Cisco Systems, Inc. и/или ее дочерние компании, 2025.
Все права защищены.

Документы/Ресурсы

Аналитика безопасной сети CISCO WSA [pdf] Руководство пользователя WSA 14-5-1-016, Blue Coat, McAfee, Squid, WSA Secure Network Analytics, WSA, Secure Network Analytics, Network Analytics, Аналитика

Ссылки

• Руководство пользователя