Používateľská príručka CISCO WSA Secure Network Analytics

Úvod

Ak chcete zhromažďovať informácie o používateľoch z proxy serverov vašej siete pre protokol proxy servera Cisco Secure Network Analytics (predtým Stealthwatch), musíte nakonfigurovať protokoly proxy servera. Zberač Flow prijíma protokoly a nástroj Manager (predtým Stealthwatch Management Console) zobrazuje informácie na stránke Záznamy proxy servera Flow. Táto stránka poskytuje URLa názvy aplikácií premávky v sieti prechádzajúcej cez proxy server.

Požiadavky

Pred začatím sa uistite, že ste splnili nasledujúce požiadavky:

• Táto konfigurácia podporuje siete Cisco WSA (14-5-1-016), Blue Coat, McAfee a Squid. Uistite sa, že váš proxy server je nakonfigurovaný a spustený ako súčasť vašej siete.
• Overte, či zberač toku a proxy používajú rovnaký NTP server (alebo prijímajú čas zo spoločného zdroja, aby sa záznamy toku a proxy porovnali).
• Vyberte zberač toku, ktorý zhromažďuje údaje z exportérov a koncových bodov, ktoré chcete preskúmať v protokoloch proxy. Pre konfiguráciu potrebujete IP adresu.
• Neexistuje žiadny konkrétny limit veľkosti správ proxy syslog. Odporúčame však, aby boli správy kratšie ako najkratšia maximálna prenosová jednotka (MTU) pozdĺž cesty medzi proxy a Flow Collector, zvyčajne 1500. Tým sa eliminuje fragmentácia paketov a zvyšuje sa spoľahlivosť.
• Proxy protokol nie je podporovaný v režime vysokej dostupnosti (HA).

Konfigurácia je ukončenáview

Vykonajte nasledujúce postupy:

1. Na konfiguráciu proxy servera vyberte jednu z nasledujúcich metód.
   • Konfigurácia zariadenia Cisco Web Protokoly proxy servera Security Appliance (WSA)
   • Konfigurácia protokolov proxy servera Blue Coat
   • Konfigurácia protokolov proxy servera McAfee
   • Konfigurácia protokolov proxy servera Squid
2. Konfigurácia zberača prietoku
3. Kontrola prietokov

Konfigurácia zariadenia Cisco Web Protokoly proxy servera Security Appliance (WSA)

V tejto časti môžete nakonfigurovať protokoly proxy servera Cisco, ktoré sa majú odosielať do služby Secure Network Analytics.

Proxy server Cisco WSA nepodporuje virtuálne IP adresy na pridanie proxy zariadenia.

Ak chcete nastaviť protokol proxy servera Cisco, vykonajte nasledujúce kroky:

1. Prihláste sa na proxy server Cisco.

2. V hlavnej ponuke kliknite na položky Správa systému > Odbery protokolov. Otvorí sa stránka Odbery protokolov.

3. Kliknite na tlačidlo Pridať odbery protokolov. Otvorí sa stránka Nové odbery protokolov.

4. V rozbaľovacom zozname Typ protokolu vyberte možnosť Protokoly W3C. Zobrazia sa dostupné polia protokolu W3C.

5. Do poľa Názov protokolu zadajte názov protokolu, ktorý budete používať.

6. V zozname Dostupné polia denníka vyberte možnosť Najkratší časampa potom kliknite na položku Pridať, čím ju presuniete do zoznamu Vybrať polia denníka.

7. Predchádzajúci krok zopakujte pre každé z nasledujúcich polí denníka v uvedenom poradí:

a. najkratší časamp
b. uplynutý čas x
c. c-ip
d. c-port
e. cs-bajty
f. s-ip
g. s-sport
h. sc-bajtov
i. cs-používateľské mená
j. s-názov_počítača
k. cs-url

Zoznam Vybrané polia protokolu by mal obsahovať tieto polia, ako je znázornené:

Zoznam Vybrané polia protokolu musí byť v poradí uvedenom vyššie a nesmie obsahovať žiadne ďalšie polia.

8. Prejdite na spodok stránky a potom vyberte možnosť Syslog Push.

9. Do poľa Názov hostiteľa zadajte IP adresu alebo názov hostiteľa Flow Collector, ktorému proxy odosiela protokoly.

Uistite sa, že ste vybrali zberač toku, ktorý zhromažďuje údaje z exportérov a koncových bodov, ktoré chcete preskúmať v protokoloch proxy.

10. Kliknite na tlačidlo Odoslať. Nový protokol sa pridá do zoznamu odberov protokolov.

11. Pokračujte v časti Konfigurácia zberača Flow a nastavte zberača Flow na príjem informácií syslog.

Konfigurácia protokolov proxy servera Blue Coat

V tejto časti môžete nakonfigurovať protokoly proxy servera Blue Coat, ktoré sa majú odosielať do služby Secure Network Analytics.

Na testovanie bola použitá proxy verzia Blue Coat SG V100, SGOS 6.5.5.7 SWG Edition.

Vytvorenie formátu

Ak chcete vytvoriť nový formát denníka, postupujte podľa nasledujúcich krokov:

1. Vo vašom prehliadači prejdite na proxy server Blue Coat.

2. Kliknite na kartu Konfigurácia.

3. V hlavnej ponuke konzoly pre správu kliknite na položky Protokolovanie prístupu > Formáty.

4. Kliknite na tlačidlo Nový v dolnej časti stránky. Otvorí sa stránka Vytvoriť formát.

5. Do poľa Názov formátu zadajte názov nového formátu.

6. Vyberte rozšírený protokol W3C File Možnosť formátovania (ELFF).

7. Do poľa formát zadajte nasledujúci reťazec:

timestamp trvanie c-ip c-port r-ip r-port s-ip s-port cs-bajty sc-bajty cs-užívateľ cs-host cs-uri

8. Kliknite na tlačidlo OK. Pokračujte na ďalšiu časť, Vytvorenie nového protokolu

Vytvoriť nový protokol

Ak chcete vytvoriť protokoly, vykonajte nasledujúce kroky:

1. V hlavnej ponuke kliknite na Prístup k protokolovaniu > Protokoly a potom vyberte nový formát protokolu. Otvorí sa stránka Protokol.

2. Kliknite na kartu Všeobecné nastavenia.

3. Z rozbaľovacieho zoznamu Formát protokolu vyberte protokol, ktorý ste vytvorili v kroku 1.

4. Do poľa Popis zadajte popis nového protokolu.

5. Kliknite na tlačidlo Použiť v dolnej časti stránky. Pokračujte na ďalšiu časť s názvom Konfigurácia klienta na nahrávanie.

Konfigurácia klienta na nahrávanie

Ak chcete nakonfigurovať klienta na nahrávanie, vykonajte nasledujúce kroky:

1. Kliknite na kartu Nahrať klienta. Otvorí sa stránka Nahrať klienta.

2. V rozbaľovacom zozname Typ klienta vyberte možnosť Vlastný klient.

3. Kliknite na tlačidlo Nastavenia. Otvorí sa stránka s nastaveniami Vlastného klienta.

4. Do príslušných polí zadajte IP adresu Flow Collectoru a port počúvania proxy parsera.

SSL momentálne nie je podporované.

5. Kliknite na tlačidlo OK.

6. Pre parametre prenosu vykonajte tieto kroky:

• a. V časti Šifrovací certifikát vyberte možnosť Bez šifrovania.
• b. V rozbaľovacom zozname Podpisovanie kľúčenky vyberte možnosť žiadne podpisovanie.
• c. Z časti „Uložiť protokol“ file ako“ vyberte text file možnosť.
• d. Do textového poľa „Odoslať čiastočnú vyrovnávaciu pamäť po“ zadajte hodnotu 5.
• e. Kliknite na kartu Plán nahrávania a vyberte možnosť Priebežne pre možnosť Nahrávať protokol prístupu.
• Do poľa Čakajte medzi pokusmi o pripojenie zadajte hodnotu 60.
• g. Do poľa Čas medzi paketmi protokolu keep-alive zadajte hodnotu 5.

7. Kliknite na tlačidlo Použiť v dolnej časti stránky. Pokračujte na ďalšiu časť s názvom Konfigurácia plánu nahrávania.

Konfigurácia plánu nahrávania

Ak chcete nakonfigurovať plán nahrávania, vykonajte nasledujúce kroky:

1. Kliknite na kartu Plán nahrávania.

2. V časti „Nahrať protokol prístupu“ vyberte možnosť nepretržite.

3. Čakacia doba medzi správnymi pokusmi je 60 sekúnd.

4. Čas medzi paketmi protokolu keep-alive je 5 sekúnd.

5. Kliknite na tlačidlo Použiť v dolnej časti stránky.

Týmto je dokončená konfigurácia protokolov proxy servera Blue Coat pre Flow Collector.

Požiadavky

Ďalšie poznámky ku konfigurácii:

• Potvrďte, že zberač toku a proxy používajú rovnaký NTP server (alebo prijímajú čas zo spoločného zdroja na porovnanie záznamov toku a proxy).
• Pre proxy je podporovaný iba jeden mechanizmus výstupu protokolov. Ak už exportujete protokoly, nemôžete zachytávať a analyzovať záznamy proxy.
• Vysoká dostupnosť UDP Director nie je podporovaná.

Konfigurácia Správcu vizuálnych politík

Konfigurácia nástroja Visual Policy Manager umožňuje skontrolovať, či sa protokol proxy odosiela do Flow Collectoru.

1. Na karte Konfigurácia v hlavnej ponuke kliknite na položky Politika > Správca vizuálnych politík. Otvorí sa Správca vizuálnych politík.

2. Kliknite na tlačidlo Spustiť v dolnej časti nakonfigurovaného protokolu. Otvorí sa Správca vizuálnych politík pre okno protokolu.

3. Kliknite na položky Zásady > Pridať Web Prístup k vrstve. Otvorí sa obrazovka Pridať novú vrstvu.

4. Zadajte názov novej vrstvy a potom kliknite na tlačidlo OK.

5. Kliknite pravým tlačidlom myši na položku Zamietnuť v stĺpci Akcia a potom kliknite na položku Nastaviť. Otvorí sa dialógové okno Nastaviť objekt akcie.

6. Kliknite na položku Nové a vyberte možnosť Upraviť protokolovanie prístupu. Otvorí sa dialógové okno Upraviť objekt protokolovania prístupu.

7. Kliknite na položku Povoliť zapisovanie do denníka.

8. Zadajte názov protokolu a potom ho vyberte.

9. Kliknite na tlačidlo OK. Objekt je pridaný.

10. V dialógovom okne Nastaviť objekt akcie kliknite na tlačidlo OK.

11. Kliknite na tlačidlo Inštalovať zásady v pravom hornom rohu.

12. Kliknite na Nie a potom na OK v nasledujúcich oknách.

13. Znova spustite Správcu vizuálnych politík Blue Coat.

14. Kliknite pravým tlačidlom myši na kartu protokolovania a potom vyberte možnosť Povoliť vrstvu.

15. Kliknite na tlačidlo Inštalovať politiku. Otvorí sa okno Nainštalovaná politika.

16. Kliknite na tlačidlo OK.

17. Kliknite na kartu Štatistika a v ponuke protokolu vyberte svoj protokol.

18. V hlavnej ponuke kliknite na položku Prístup k protokolovaniu a potom kliknite na kartu Koniec protokolu. Otvorí sa okno Koniec protokolu.

19. Kliknite na tlačidlo Spustiť chvost v dolnej časti stránky.

20. V hlavnej ponuke Štatistika kliknite na položky Systém > Protokolovanie udalostí. Na tejto stránke sa zobrazí, či protokol file sa nahrá do Flow Collectoru a vykonané zmeny. Zobrazuje, či je proxy pripojený k Flow Collectoru.

21. Pokračujte v časti Konfigurácia zberača Flow a nastavte zberača Flow na príjem informácií syslog.

Konfigurácia protokolov proxy servera McAfee

Túto časť použite na konfiguráciu protokolov proxy servera McAfee z McAfee Web Brána na odoslanie do služby Secure Network Analytics.

• Uistite sa, že ste si stiahli konfiguráciu XML file pre proxy McAfee. Prejdite na stránku Cisco Software Central a stiahnite si súbor readme a konfiguráciu protokolu proxy vo formáte XML. files.
• Prihláste sa do svojho účtu Cisco Smart na adrese https://software.cisco.com alebo kontaktujte svojho správcu.
• Na testovanie bola použitá verzia proxy servera McAfee 7.4.2.6.0 – 18721.

Ak chcete nastaviť protokol proxy servera McAfee, vykonajte nasledujúce kroky:

1. Stiahnite si súbor XML file, FlowCollector_[dátum]_McAfee_Log_XML_Config_[v].xml a potom ho uložte na vami preferované miesto.

„Dátum“ označuje dátum XML súboru. filea „v“ označuje verziu proxy servera McAfee. Vyberte XML file s rovnakým číslom verzie ako váš proxy server McAfee.

Na stiahnutie file, vykonajte nasledujúce kroky:

• a. Ísť do https://software.cisco.com, Centrála softvéru Cisco.
• b. V časti Stiahnuť a spravovať > Stiahnuť a aktualizovať vyberte možnosť Prístup k súborom na stiahnutie.
• c. Posuňte sa nadol do poľa na výber produktu.
• d. Do poľa Vybrať produkt zadajte Bezpečná analýza siete. Stlačte kláves Enter.
• e. Vyberte možnosť Secure Network Analytics Virtual Flow Collector alebo iný Flow Collector.
• f. Vyberte Softvér na zabezpečenie siete > Konfigurácia Files.

2. Prihláste sa na proxy server McAfee.

3. Kliknite na ikonu Politika a potom kliknite na kartu Sady pravidiel.

4. Vyberte položku Obsluha protokolov a potom vyberte možnosť Predvolené.

5. V knižnici kliknite na položky Pridať > Sada pravidiel.

6. Kliknite na Importovať z filea potom vyberte XML file.

7. V obslužnom programe protokolu, ktorý bol práve importovaný, vyberte mcafeelancopelog.

Uistite sa, že je povolená sada pravidiel a pravidlo „vytvoriť záznam prístupu“ a „odoslať do syslogu“.

8. Kliknite na ikonu Konfigurácia v hornej časti stránky.

9. V ľavej časti stránky kliknite na File kartu Editor a potom vyberte súbor rsyslog.conf file.

10. V dolnej časti textového poľa (vedľa zoznamu files), napíšte nasledujúci text:

Uistite sa, že ste vybrali zberač toku, ktorý zhromažďuje údaje z exportérov a koncových bodov, ktoré chcete preskúmať v protokoloch proxy.

11. Zakomentujte tento riadok:

*.info;mail.none;authpriv.none;cron.none.

12. Pridajte tento riadok:

*.info;démon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.

13. Kliknite na tlačidlo Uložiť zmeny v pravom hornom rohu stránky.

14. Pokračujte v časti Konfigurácia zberača Flow a nastavte zberača Flow na príjem informácií syslog.

Konfigurácia protokolov proxy servera Squid

V tejto časti môžete nakonfigurovať protokoly proxy servera Squid, ktoré sa majú odosielať do služby Secure Network Analytics. Môžete upraviť filena proxy serveri pomocou SSH.
Ak chcete nakonfigurovať protokoly proxy servera Squid, vykonajte nasledujúce kroky:

1. Prihláste sa do shellu počítača, na ktorom beží Squid.

2. Prejdite do adresára obsahujúceho súbor squid.conf (zvyčajne /etc/squid) a otvorte ho v editore.

3. Pridajte nasledujúce riadky do súboru squid.conf pre konfiguráciu protokolovania:

formát protokolu formát prístupu %ts%03tu % a %>p %>st %

4. Reštartujte squid pomocou nasledujúceho:

• Pre systémy založené na init: /etc/init.d/squid3 reštart
• Pre systémy založené na systemd: systemctl restart squid

5. Nakonfigurujte službu syslog na serveri Squid tak, aby preposielala protokoly do Flow Collectoru. Toto závisí od distribúcie Linuxu/služby syslog.

Pre syslog-ng pridajte do súboru /etc/syslog-ng/syslog-ng.conf nasledujúci súbor:

# Zariadenie na správu protokolov auditu BEGIN filter bs_filter { filter(f_user) and level(info) }; destination udp_proxy { udp("10.205.14.15" port(514)); }; log { source(s_all); filter(bs_filter); destination(udp_proxy); }; # Zariadenie na správu protokolov auditu END

Pre rsyslog pridajte do súboru /etc/rsyslog.conf nasledovné:

:názov programu, obsahuje, „squid“ @10.205.14.15:514

Uistite sa, že ste vybrali zberač toku, ktorý zhromažďuje údaje z exportérov a koncových bodov, ktoré chcete preskúmať v protokoloch proxy.

6. Potom reštartujte službu syslog.

• Pre systémy založené na init:
  /etc/init.d/syslog-ng reštart (pre syslog-ng)
  reštart súboru /etc/init.d/rsyslog (pre rsyslog)
• Pre systémy založené na systemd:
  systemctl reštart syslog (pre syslog-ng)
  systemctl reštart rsyslog (pre rsyslog)

7. Pokračujte v časti Konfigurácia zberača toku, kde nájdete informácie zo syslogu.

Konfigurácia zberača prietoku

Po konfigurácii proxy servera je potrebné nakonfigurovať Flow Collector tak, aby prijímal údaje.

Ak chcete nakonfigurovať Flow Collector na prijímanie informácií zo syslogu, vykonajte nasledujúce kroky:

1. Prihláste sa do svojho manažéra.

2. Vyberte položky Konfigurovať > Globálne > Centrálna správa.

3. Kliknite na ikonu (tri bodky) pre váš Flow Collector a potom kliknite na View Štatistika spotrebičov.

4. Prihláste sa do aplikácie Flow Collector. Otvorí sa rozhranie aplikácie Flow Collector.

5. Kliknite na Konfigurácia > Proxy Ingest. Otvorí sa stránka Proxy servery.

6. Zadajte IP adresu proxy servera.

7. Z rozbaľovacieho zoznamu Typ proxy vyberte svoj proxy server.

Ak váš typ proxy servera nie je uvedený v zozname, momentálne nebudete môcť používať protokoly proxy servera.

8. Ak proxy server:

• má iba jednu IP adresu, zadajte IP adresu proxy servera do poľa IP adresa. Pole Telemetrická IP adresa nechajte prázdne.
• má viac IP adries, zadajte do poľa IP adresa správu proxy servera (zdrojovú IP adresu správy syslog). Do poľa IP adresa telemetrie zadajte telemetrickú IP adresu proxy servera.

9. Do poľa Port proxy služby zadajte číslo portu proxy servera.

10. Ak chcete, aby proxy server spúšťal alarmy, zrušte začiarknutie políčka Vylúčiť z alarmovania.

11. Kliknite na Pridať.

12. Kliknite na tlačidlo Použiť. Proxy server sa zobrazí v tabuľke Proxy Ingest v hornej časti stránky.

13. Pokračujte na časť Kontrola prietokov.

Kontrola prietokov

Ak chcete skontrolovať, či prijímate postupy, vykonajte nasledujúce kroky:

1. V rozhraní Flow Collector kliknite na Podpora > Prehľadávať Filev hlavnej ponuke. Prehliadanie Fileotvorí sa stránka s.

2. Otvorte súbor sw.log file.

3. Skontrolujte, či je webProxy počíta smerom nahor, aby ukázal, že prijímate dáta.

Kontaktovanie podpory

Ak potrebujete technickú podporu, vykonajte jeden z nasledujúcich krokov:

• Kontaktujte svojho miestneho partnera Cisco
• Kontaktujte podporu spoločnosti Cisco
• Ak chcete otvoriť prípad pomocou web: http://www.cisco.com/c/en/us/support/index.html
• Pre telefonickú podporu: 1-800-553-2447 (USA)
• Celosvetové čísla podpory:
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

História zmien

Informácie o autorských právach

Cisco a logo Cisco sú ochranné známky alebo registrované ochranné známky spoločnosti Cisco a/alebo jej pobočiek v USA a iných krajinách. Komu view zoznam ochranných známok Cisco, prejdite na toto URL: https://www.cisco.com/go/trademarks. Uvedené ochranné známky tretích strán sú vlastníctvom ich príslušných vlastníkov. Použitie slova partner neznamená partnerský vzťah medzi spoločnosťou Cisco a inou spoločnosťou. (1721R)

© 2025 Cisco Systems, Inc. a/alebo jej pridružené spoločnosti.
Všetky práva vyhradené.

Dokumenty / zdroje

Bezpečná sieťová analýza CISCO WSA [pdf] Používateľská príručka WSA 14-5-1-016, Blue Coat, McAfee, Squid, Bezpečná sieťová analytika WSA, WSA, Bezpečná sieťová analytika, Sieťová analytika, Analytika

Referencie

• Používateľská príručka