Ҷойгиркунии CISCO Secure Network Analytics

Маълумот оид ба маҳсулот

Мушаххасоти:

• Номи маҳсулот: Ҷойгиркунии Cisco Secure Network Analytics
• Интегратсия: Интегратсияи Cisco ISE барои ANC

Ҷойгиркунии Cisco Secure Network Analytics ва Integration Cisco ISE барои ANC

Насб кардани SMC

Ба консол ворид шавед, фармони SystemConfig -ро нависед. Конфигуратсияи шабакаро барои дастгоҳ ворид кунед.

Насби гиреҳи маълумотҳо

Ба консол ворид шавед, фармони SystemConfig -ро нависед. Конфигуратсияи шабакаро барои дастгоҳ ворид кунед.

Мо интерфейси идоракуниро танзим кардем, дар зер интерфейси шабакаи дуюм барои иртиботи байни гиреҳи додаҳо (муошират бо дигар гиреҳҳои додаҳо) мебошад.

Ҷойгиркунии коллектори ҷараён

Ба консол ворид шавед, фармони SystemConfig -ро нависед. Боварӣ ҳосил кунед, ки ҳамаи имконоти телеметрӣ интихоб шудаанд.

Бандарҳоро барои телеметрия танзим кунед.

• Ҷараёни шабака: 2055
• Модули Намоиши шабака: 2030
• Сабтҳои брандмауэр: 8514

Конфигуратсияи шабакаро барои дастгоҳ ворид кунед.

Насби сенсори ҷараёни

Ба консол ворид шавед, фармони SystemConfig -ро нависед. Конфигуратсияи шабакаро барои дастгоҳ ворид кунед.

Насби Cisco Telemetry Broker
Cisco Telemetry Brocker ҷузъи асосии

Cisco Secure Network Analytics (собиқ Cisco Stealthwatch) ва як дастгоҳи пуриқтидор барои оптимизатсияи телеметрия, он асосан истифода мешавад:

• Барои содда кардани ҷамъоварӣ ва ҷамъкунии трафики Netflow, SNMP ва Syslog.
• Он конфигуратсия ва фиристодани маълумоти Netflowро бо истифода аз як содиркунанда дар Дастгоҳҳои шабакавии шумо ба ҷои содиркунандагони гуногун содда мекунад, хусусан вақте ки шумо таҳлилгари шабакаҳои ҷудогона ба монанди Cisco Secure Network Analytics, SolarWinds ё LiveAction дошта бошед, ё агар шумо коллекторҳои зиёди ҷараёнро бо Cisco Secure Network Analytics дошта бошед.
• Илова бар ин, он ҷараёни Telemetry-ро ҳангоми истифодаи якчанд самтҳо ва ҳалли идоракунии гузоришҳои гуногун осон мекунад.

Меъмории Cisco Telemetry Broker аз ду ҷузъ иборат аст: 

• Менеҷери гиреҳ
• Брокер гиреҳ.

Гиреҳҳои брокерӣ ҳама аз ҷониби як менеҷери Cisco Telemetry Broker бо истифода аз интерфейси идоракунӣ идора карда мешаванд. Менеҷер гиреҳ барои идоракунии трафик як интерфейси шабакавиро талаб мекунад. Broker Node ду интерфейси шабакавиро талаб мекунад. Як интерфейси идоракунӣ барои иртибот бо менеҷер ва интерфейси Telemetry барои фиристодани Telemetry ба Collector Flow, ки дар навбати худ ба самтҳои танзимшуда, ба монанди Console Management SMC дар ҳалли Cisco Secure Network Analytics мефиристад. Суроғаи IP/порти трафики телеметрӣ дар ҳалли Cisco Secure Network Analytics ба гиреҳи менеҷер илова карда мешавад ва тавассути интерфейси идоракунӣ ба гиреҳи брокер тела дода мешавад, то ба онҳо дар куҷо рафтани трафики NetFlowро дастур диҳад.

Ҳангоми насб кардани гиреҳи брокер, шумо бояд онро бо истифода аз фармони sudo ctb-manage ба гиреҳи менеҷер ҳамроҳ кунед ва суроғаи IP ва маълумоти маъмурии гиреҳи мудириро таъмин кунед. Пас аз он ки гиреҳи брокер ба гиреҳи менеҷер илова карда мешавад, Web GUI-и гиреҳи менеҷер гиреҳи брокерро бо суроғаи IP-и идоракунии он илова мекунад. Барои анҷом додани ҳамгироӣ байни гиреҳи брокер ва гиреҳи менеҷер, шумо бояд интерфейси шабакаи маълумот ё телеметрии гиреҳи брокерро ба гиреҳи менеҷер илова кунед. Ниҳоят, Дастгоҳҳои шабакавӣ ба монанди брандмауэрҳо, роутерҳо ва коммутаторҳо суроғаи IP-и брокери Node Telemetry Interface-ро ҳамчун Exporter Netflow истифода мебаранд.

Гиреҳи менеҷерро ҷойгир кунед
Фармони sudo ctb-install -init -ро иҷро кунед.

Маълумоти зеринро ворид кунед:

• Рамз барои корбари администратор
• Номи мизбон
• Суроғаи IPv4, ниқоби зершабака ва суроғаи пешфарз барои интерфейси Шабакаи Идоракунӣ
• Суроғаи IP-сервери DNS

Гиреҳи брокерро ҷойгир кунед
Фармони sudo ctb-install -init -ро иҷро кунед.

Маълумоти зеринро ворид кунед:

• Рамз барои корбари администратор
• Номи мизбон
• Суроғаи IPv4, ниқоби зершабака ва суроғаи пешфарз барои интерфейси Шабакаи Идоракунӣ
• Суроғаи IP-сервери DNS

Фармони sudo ctb-manage -ро иҷро кунед. 
Маълумоти зеринро ворид кунед:

• Суроғаи IP-и гиреҳи Менеҷер
• Номи корбари ҳисоби маъмурии гиреҳи Менеҷер

Ба Cisco Telemetry Broker ворид шавед. Дар а web браузер, суроғаи IP-и гиреҳи мудири интерфейси мудириро ворид кунед. Аз менюи асосӣ, гиреҳҳои брокерро интихоб кунед.

Дар ҷадвали гиреҳҳои брокер, гиреҳи брокерро клик кунед. Дар бахши Интерфейси телеметрӣ, Интерфейси телеметриро танзим кунед ва шлюзи пешфарзро танзим кунед.

Ҳоло дастгоҳҳои SNA бо суроғаи IP-и идоракунӣ танзим карда шудаанд, мо бояд Асбоби Setup Appliance (AST) -ро дар ҳар як ҷузъи SNA анҷом диҳем.

Асбоби Setup Appliance (AST) асбобҳоро танзим мекунад, то тавонанд бо боқимондаи густариши SNA муошират кунанд.

SMC

• Дастрасӣ ба GUI SMC.
• Паролҳои пешфарзро барои администратор, root ва sysadmin иваз кунед.

• Тағйирот барои интерфейси шабакаи идоракунии.
• Номи мизбон ва доменҳоро танзим кунед.
• Серверҳои DNS-ро танзим кунед.
• Сервери NTP-ро танзим кунед.
• Дар ниҳоят, SMC-ро ба қайд гиред.
• SMC аз нав оғоз мешавад.

Гиреҳи анбори додаҳо
Ҳамин тартибро риоя кунед, ягона фарқият конфигуратсияи Танзимоти идоракунии марказӣ мебошад. Дар ин бахш суроғаи IP-и SMC 198.19.20.136 ва номи корбар/паролро ворид кунед.

Коллектори ҷараён
Ҳамин тартибро риоя кунед, ягона фарқият конфигуратсияи Танзимоти идоракунии марказӣ мебошад. Дар ин бахш суроғаи IP-и SMC 198.19.20.136 ва номи корбар/паролро ворид кунед.

Ҳисгари равон

• Ҳамин тартибро риоя кунед, ягона фарқият конфигуратсияи Танзимоти идоракунии марказӣ мебошад. Дар ин бахш суроғаи IP-и SMC 198.19.20.136 ва номи корбар/паролро ворид кунед.
• Барои анҷом додани конфигуратсия, гиреҳи DataStore-ро оғоз кунед.
• SSH ба гиреҳи DataStore ворид кунед ва фармони SystemConfig -ро иҷро кунед.
• Барои оғоз кардани гиреҳи DataStore муколамаи интерактивиро пайгирӣ кунед.
• Ба SMC GUI дастрасӣ пайдо кунед, дар Идораи марказӣ мо мебинем, ки ҳама дастгоҳҳои Cisco SNA ба SMC пайваст шудаанд.

Конфигуратсияи брокери Cisco Telemetry
Дастрасӣ ба Cisco Telemetry Broker Manager гиреҳи GUI. Иловаи таъинотро клик кунед ва UDP Destination -ро интихоб кунед. Параметрҳои зеринро танзим кунед.

• Номи таъинот: SNA-FC
• Суроғаи IP таъинот: 198.19.20.137
• Порти таъиноти UDP: 2055
• Иловаи қоидаро клик кунед.
• 2055-ро ҳамчун бандари қабулкунандаи UDP ворид кунед.

Иловаи таъинотро клик кунед ва UDP Destination -ро интихоб кунед.
Параметрҳои зеринро танзим кунед.

• Номи таъинот: Менеҷер
• Суроғаи IP таъинот: 198.19.20.136
• Порти таъиноти UDP: 514
• Иловаи қоидаро клик кунед.
• 2055-ро ҳамчун бандари қабулкунандаи UDP ворид кунед.

Cisco ISE Identity Services Integration Engine
Ба Маъмурият > pxGrid > Шаҳодатномаҳо гузаред.

Шаклро ба таври зерин пур кунед:

• Дар майдони Ман мехоҳам клик кунед ва Зеркашии занҷири сертификати решавӣ -ро интихоб кунед
• Дар майдони Номҳои мизбон клик кунед ва администраторро интихоб кунед
• Дар майдони зеркашии сертификат клик кунед ва имконоти PEM-ро интихоб кунед
• Эҷод ро пахш кунед
• -ро зеркашӣ кунед file ҳамчун ISE-CA-ROOT-CHAIN.zip.
• Дар SMC GUI, Идоракунии марказиро клик кунед. Дар саҳифаи Идоракунии марказӣ, дастгоҳи SMC Manager-ро ҷойгир кунед ва сипас Таҳрири конфигуратсияи дастгоҳро интихоб кунед.
• Умумро пахш кунед.
• Ба Дӯкони эътимод ба поён ҳаракат кунед ва Иловаи навро клик кунед. CertificateServicesRootCA-admin_.cer -ро интихоб кунед file. Иловаи сертификатро клик кунед.
• Ҳоло SMC ба шаҳодатномаҳои аз ҷониби ISE CA додашуда эътимод хоҳад кард.
• Ҷадвали Дастгоҳро клик кунед. Ба қисмати мушаххаси муштарии SSL/TLS ба поён ҳаракат кунед ва Иловаи навро клик кунед.
• Он мепурсад, ки оё ба шумо CSR эҷод кардан лозим аст, Ҳа ро интихоб кунед ва Next -ро пахш кунед.

CSR-ро ба таври зерин пур кунед:

• Дарозии калиди RSA
• Ташкилот
• Шӯъбаи ташкилӣ
• Маҳал ё шаҳр
• Давлат ё вилоят
• Кодекси кишвар
• Суроғаи имэйл

Эҷоди CSR-ро клик кунед ва пас CSR-ро зеркашӣ кунед.

Дастрасӣ ба GUI Cisco ISE. Ба Маъмурият > pxGrid > Шаҳодатномаҳо гузаред.

Маълумоти зеринро истифода баред:

• Дар майдони Ман мехоҳам, ро интихоб кунед Эҷоди як сертификат (бо дархости имзои сертификат)
• Гузаштан аз CSR дар майдони Тафсилоти дархости имзои шаҳодатнома
• Дар майдони Тавсиф SMC-ро нависед
• Дар майдони SAN суроғаи IP-ро интихоб кунед ва 198.19.20.136-ро ҳамчун суроғаи IP алоқаманд ворид кунед
• Формати PKCS12-ро ҳамчун варианти Формат зеркашӣ кардани сертификат интихоб кунед
• Рамз ворид кунед
• Эҷод ро пахш кунед
• Шаҳодатномаи бо номи SMC-PXGRID сохташударо захира кунед.

Шарҳ :
Дар баъзе ҷобаҷогузории мавҷудаи Cisco ISE, шумо шояд сертификатҳои системаро, ки барои хидматҳои администратор, eap ва pxGrid истифода мешаванд, тавре дар зер нишон дода шудааст, дошта бошед.

Сабаб дар он аст, ки сертификатҳои дохилии CA Cisco ISE, ки ин сертификатҳои системаро имзо мекунанд, мӯҳлаташон гузаштааст.

Барои нав кардани сертификатҳои система. Ба Маъмурият > Шаҳодатномаҳо > Дархостҳои имзои сертификат гузаред. Дар майдони Истифода, ISE Root CA-ро интихоб кунед ва пас Занҷираи сертификати ISE Root CA-ро иваз кунед.

Cisco ISE шаҳодатномаҳои нави CA-и дохилиро тавлид мекунад. Фаромӯш накунед, ки майдони Trusted For -ро барои хидматҳои мувофиқ ба монанди pxGrid танзим кунед.

Ҳоло сертификатҳои система эътибор доранд.

Дастрасӣ ба GUI SMC. Ба Идораи марказӣ равед. Дар ҷадвали конфигуратсияи SMC Appliance, ба поён ҳаракат кунед ба Иловаи Identity Client SSL/TLS ва сипас Интихоб-ро клик кунед File, сертификати SMC-PXGRID-ро интихоб кунед.

Дар SMC GUI, ба Ҷойгиркунӣ > Танзимоти Cisco ISE гузаред.

Конфигуратсияи ISE-ро бо параметрҳои зерин танзим кунед:

• Номи кластер: ISE-CLUSTER
• Шаҳодатнома: SMC-PXGRID
• Гиреҳи ибтидоии PxGrid: 198.19.20.141
• Номи муштарӣ: SMC-PXGRID

Ба Монитор > Истифодабарандагон гузаред.
Аҳамият диҳед, ки мо метавонем маълумоти корбарро дар SMC бубинем.

Сиёсати назорати шабакаи мутобиқсозии ISE (ANC).
Амалиётҳо > Назорати шабакавии мутобиқшавӣ > Рӯйхати сиёсатҳо > Илова ва SW_QUARANTINE -ро барои Номи сиёсат ва Карантинро барои амал ворид кунед.

Дастрасӣ ба GUI SMC. Дар панели панел суроғаи IP-ро интихоб кунед, мо мебинем, ки сиёсати ISE ANC пур карда шудааст.

Сиёсати иҷозатдиҳии ISE

• Сиёсати истисноии иҷозатдиҳии глобалӣ ба шумо имкон медиҳад, ки қоидаҳоеро муайян кунед, ки ҳамаи қоидаҳои иҷозатро дар ҳама маҷмӯи сиёсати шумо бекор мекунанд. Пас аз танзим кардани сиёсати истисноии иҷозатдиҳии глобалӣ, он ба ҳамаи маҷмӯи сиёсатҳо илова карда мешавад.
• Қоидаи истиснои иҷозати маҳаллӣ қоидаҳои истисноии умумиҷаҳонӣро аз нав менависад. Ҳамин тавр, аввал қоидаи истиснои маҳаллӣ, баъд қоидаи истисноии глобалӣ ва дар ниҳоят, қоидаи муқаррарии сиёсати иҷозатдиҳӣ коркард карда мешавад.
• Яке аз ҳолатҳои ҷолиби истифодаи ин Қоидаҳои Истисно ин аст, ки шумо Cisco Secure Network Analytics (соати пинҳонӣ)-ро бо Cisco ISE барои идоракунии вокуниш бо истифода аз Сиёсати Шабакаи Мутобиқсозӣ (ANC) танзим мекунед, то вақте ки ҳушдор баланд мешавад, Cisco Secure Network Analytics (соати пинҳонӣ) Cisco ISE-ро тавассути назорати Шабакаи Adaptive Policy дар карантин талаб кунад.
• Таҷрибаи беҳтарин барои танзим кардани Сиёсати авторизатсия дар Cisco ISE барои карантини мизбон ё дар Истиснои маҳаллӣ ё Истиснои глобалӣ.
• Агар шумо хоҳед, ки Сиёсати ANC-ро ба ҳамаи маҷмӯаҳои сиёсати худ татбиқ кунед, VPN, бесими симӣ ака ҳама VPN-и симдор ва корбарони бесим. Истиснои глобалиро истифода баред.
• Агар шумо хоҳед, ки Сиёсати ANC-ро танҳо ба корбарони VPN ё корбарони Wired татбиқ кунед. Сиёсати маҳаллиро дар дохили маҷмӯи сиёсати VPN ё маҷмӯи сиёсати симдор истифода баред.

Амали худкор ва вокуниш бо ANC
Сенария: Ширкат барои пешгирии таҳдидҳои интернетӣ Cisco Umbrella-ро ҳамчун сервери DNS истифода мебарад. Мо мехоҳем, ки ҳушдорҳои фармоишӣ дошта бошанд, то вақте ки корбарони дохилӣ аз дигар серверҳои DNS-и беруна истифода мебаранд, ҳушдор барои пешгирӣ кардани пайвастшавӣ ба серверҳои DNS-и қалбакӣ, ки эҳтимолан трафикро ба сайтҳои беруна бо мақсадҳои бад равона мекунанд, фаъол карда шавад. Вақте ки ҳушдор баланд мешавад, Cisco Secure Network Analytics аз Cisco ISE дархост мекунад, ки мизбонеро, ки серверҳои DNS-и қаллобиро бо сиёсати танзими мутобиқсозии шабака тавассути PxGrid истифода мебарад, карантин кунад. Ба Танзимот > Идоракунии мизбон гузаред. Дар гурӯҳи мизбони волидайни Inside Hosts, барои шабакаҳои дохилии худ Гурӯҳи ҳостӣ бо номи Шабакаҳои корпоративӣ эҷод кунед.

Дар гурӯҳи волидайнии ҳостҳои берун аз ҳостҳо, як гурӯҳи ҳостӣ бо номи Umbrella DNS Servers барои суроғаҳои IP Umbrella эҷод кунед.

Корбарони дохилӣ Cisco Umbrella-ро ҳамчун сервери DNS барои пешгирии таҳдидҳои интернет истифода мебаранд. Ҳушдори фармоиширо танзим кунед, то вақте ки корбарони дохилӣ аз дигар серверҳои DNS-и беруна истифода мебаранд, ҳушдор барои пешгирӣ кардани пайвастшавӣ ба сервери DNS-и фиребгарона, ки эҳтимолан трафикро ба сайтҳои беруна бо мақсадҳои бад равона мекунад, фаъол карда мешавад. Вақте ки ҳушдор баланд мешавад, Cisco Secure Network Analytics аз Cisco ISE дархост мекунад, ки мизбонеро, ки серверҳои DNS-и қаллобиро бо сиёсати танзими мутобиқсозии шабака тавассути PxGrid истифода мебарад, карантин кунад.

Ба Танзимот > Идоракунии сиёсат гузаред.
Бо маълумоти зерин рӯйдодҳои фармоишӣ эҷод кунед:

• Ном : Трафики беиҷозат DNS
• Гурӯҳҳои мизбони мавзӯъ: Шабакаҳои корпоративӣ
• Гурӯҳҳои мизбони ҳамсол: Дар берун аз мизбон ба истиснои серверҳои DNS чатр
• Порти ҳамсол/Протоколҳо: 53/UDP 53/TCP

Асосан ин ҳодиса вақте оғоз мешавад, ки ягон мизбон дар дохили шабакаҳои корпоративии мизбон бо ҳама гуна ҳост дар дохили берун аз ҳостҳо, ба истиснои онҳое, ки дар дохили Umbrella DNS Servers Host Group тавассути 53/UDP ё 53/TCP муошират мекунанд, ҳушдор дода мешавад.

Ба Танзимот > Идоракунии вокуниш гузаред. Амалҳоро клик кунед.

Амали сиёсати ISE ANC -ро интихоб кунед. Ном диҳед ва кластери Cisco ISE-ро интихоб кунед, ки барои татбиқи сиёсати карантинӣ барои ҳама гуна вайронкуниҳо ё пайвастшавӣ ба серверҳои қаллобӣ тамос гирифтан лозим аст.

Дар фасли Қоидаҳо. Қоидаи нав эҷод кунед. Ин қоида Амали қаблиро татбиқ мекунад, вақте ки ягон ҳост дар дохили шабакаи дохилӣ кӯшиш мекунад, ки трафики DNS-ро ба серверҳои DNS қаллобӣ фиристад. Дар қисмати Қоида ба кор андохта мешавад, агар Навъи -ро интихоб кунед, ба поён ҳаракат кунед ва ҳодисаи фармоишии қаблан сохташударо интихоб кунед. Дар доираи Амалҳои алоқаманд, амали ISE ANC-и қаблан сохташударо интихоб кунед.

Аз мизбони дохилӣ, консоли CMD-ро кушоед. Фармони nslookup, пас фармони сервер 8.8.8.8 -ро иҷро кунед. Барои ҳалли сервери DNS 8.8.8.8 чанд суроғаро ворид кунед.

Ба Монитор > Таъиноти сиёсати ISE ANC гузаред. Шумо бояд бубинед, ки Cisco Secure Network Analytics Сиёсати танзими шабакаро тавассути PxGrid ва ISE барои карантини ҳост истифода кардааст.

Саволҳои зиёд такрормешуда

Савол: Чӣ тавр ман Асбоби Setup Appliance (AST) -ро дар ҳар як ҷузъи SNA анҷом медиҳам?
A: Пас аз он ки дастгоҳҳои SNA бо суроғаи IP-и идоракунӣ танзим карда мешаванд, шумо метавонед AST-ро дар ҳар як ҷузъ бо риояи дастурҳои мушаххасе, ки барои ин ҷузъ дар дастури корбар ё дастури танзим пешбинӣ шудаанд, анҷом диҳед.

Ҳуҷҷатҳо / Сарчашмаҳо

Ҷойгиркунии CISCO Secure Network Analytics [pdf] Дастури дастур Ҷойгиркунии бехатарии таҳлили шабакавӣ, ҷойгиркунии таҳлили шабакавӣ, густариши таҳлил, густариш

Иқтибосҳо

• Дастури корбар