Cisco v7.5.3 Secure Network Analytics

Panimula

• Gamitin ang gabay na ito upang i-configure ang Cisco Secure Network Analytics (dating Stealthwatch), v7.5.3 o mas bago, upang makuha ang Zeek telemetry.
• Upang i-configure ang Zeek telemetry gamit ang Secure Network Analytics, tiyaking pinagana mo ang Data Store at Analytics.

Tapos naview

Pangunahing ginagamit ang Zeek bilang isang passive network traffic analyzer na nagbibigay-daan sa mga security team na suriin ang trapiko sa network, tuklasin ang kahina-hinalang aktibidad, at imbestigahan ang mga potensyal na banta sa pamamagitan ng pagbuo ng mga detalyadong log ng mga kaganapan sa network, kabilang ang mga detalye sa antas ng aplikasyon, sa pamamagitan ng mga kakayahan sa pag-parse ng protocol nito. Nagbibigay si Zeek ng sumusunod:

• Pangangaso sa Banta at Pagtugon sa Insidente: Sa pamamagitan ng pagsusuri sa mga Zeek log, matutukoy ng mga security team ang maanomalyang gawi, mag-imbestiga sa mga potensyal na insidente sa seguridad, at maghanap ng malisyosong aktibidad sa buong network.
• Passive Mode: Dahil gumagana ang Zeek sa isang passive mode, na nagmamasid sa trapiko ng network nang hindi nakakasagabal sa daloy, hindi gaanong nakakagambala sa mga operasyon ng network.
• Mga Detalyadong Log: Bumubuo si Zeek ng mga detalyadong log na kumukuha ng komprehensibong impormasyon tungkol sa mga koneksyon sa network, kabilang ang timestamps, pinagmulan/destinasyon na mga IP address, port, protocol, at maging file nilalaman, pinapadali ang masusing pagsusuri.
• Imbakan: Ang mga Zeek log ay naka-imbak bilang mga sumusunod.
  • Karamihan sa mga log ay nakaimbak sa Flow Colector, ngunit ang conn.log ay nasa Data Store.
  • Tinatanggal ng Flow Collector ang lahat ng data na mas matanda sa 30 araw. Para sa higit pang mga detalye, sumangguni sa “Resource Requirements” sa Virtual Edition Appliance Installation Guide.

Mga kinakailangan
Tiyaking pinagana ang Analytics. Piliin ang I-configure > Detection > Analytics mula sa pangunahing menu, pagkatapos ay i-click ang Analytics On .

Ang mga kinakailangan ay ang mga sumusunod.

• Secure Network Analytics v7.5.3.
• Data Store na may naka-enable na Analytics.
• Ang Zeek telemetry ay ang default para sa mga bagong pag-install sa panahon ng First Time Setup. Kung nag-a-upgrade ka mula sa nakaraang release, kakailanganin mong i-configure ang Zeek telemetry sa Advanced na Mga Setting.
• Hindi mo kailangang bumili ng hiwalay na lisensya para sa Zeek telemetry. Para sa karagdagang impormasyon tungkol sa paglilisensya, sumangguni sa Smart Software Licensing Guide 7.5.3.

Pagtatantya ng Pagganap

• Sinusuportahan namin ang 100,000 mga kaganapan (mga mensahe ng Syslog) bawat segundo sa isang platform ng hardware. Para sa mga detalye tungkol sa mga kinakailangan sa mapagkukunan, sumangguni sa gabay sa pag-install ng hardware. Para sa higit pang impormasyon tungkol sa pinagsamang mga kinakailangan sa mapagkukunan ng telemetry, sumangguni sa Gabay sa Pag-install ng Appliance ng Virtual Edition.
• Mayroong ilang mga kadahilanan, tulad ng rate ng kaganapan at bilang ng mga uri ng log na natutunaw, na maaaring makaapekto sa iyong partikular na pagganap. Bagama't ginagawa namin ang aming makakaya upang katawanin ang data nang patas at tumpak hangga't maaari, maaaring makaranas ang iyong kapaligiran ng iba't ibang limitasyon.

Zeek Logs
Kinokolekta namin ang lahat ng Zeek log sa pamamagitan ng Syslog ngunit kasalukuyang tumutuon lamang sa mga sumusunod:

• conn.log
• dns.log
• smb_files.logor smb_mappings.log
• dce_rpc_log
• Sa ilang pagkakataon, ang smb_fileMaaaring ipadala ang s.logand dce_rpc.log sa smb_mappings.log.

Ang mga Zeek log ay dapat na i-configure upang i-export ng Syslog bilang JSON sa isang partikular na format.

• Transportasyon: Ginagamit ng mga Zeek log ang format na JSON sa Syslog sa UDP (default na port 9514).
• Format: Dapat idagdag ng Zeek log generator ang zeek_filename=”xxx.log”tag bago ang JSONL string para sa Flow Collector.

Pag-configure ng Flow Collector sa Ingest Zeek Telemetry

Ito ang dalawang opsyon para sa pag-configure ng Zeek telemetry sa Secure Network Analytics:

• First Time Setup: Ang Zeek telemetry ay ang default para sa mga bagong pag-install, ngunit maaari mong Kumpirmahin ang Zeek Telemetry Sa Unang Oras na Setup (Data Store Lamang).
• Mga Advanced na Setting: Kapag nag-a-upgrade ka mula sa nakaraang release, kakailanganin mong I-configure ang Zeek Telemetry sa Advanced na Mga Setting.

Para sa higit pang impormasyon tungkol sa pag-configure ng Secure Network Analytics, sumangguni sa System Configuration Guide.

Kumpirmahin ang Zeek Telemetry Sa Unang Oras na Pag-setup (Data Store Lang)
Upang paganahin ang ingest ng Zeek telemetry sa isang bagong Flow Collector na may Data Store, kumpletuhin ang mga sumusunod na hakbang:

1. Sundin ang mga tagubilin sa naaangkop na gabay sa pag-install ng appliance para sa iyong Flow Collector. Pagkatapos, gamitin ang System Configuration Guide para sa mas detalyadong mga tagubilin sa pagsasaayos ng appliance ng maraming uri ng telemetry.
2. I-access ang virtual machine console. Payagan ang virtual appliance na matapos ang pag-boot.
3. Mag-log in sa pamamagitan ng console.
   • Mag-login: sysadmin
   • Default na Password: lan1cope
     Karaniwan mong babaguhin ang default na password kapag na-configure mo ang system sa unang pagkakataon.
4. Review ang nabigong impormasyon sa pagtatangka sa pag-login. Piliin ang OK upang magpatuloy.
5. Review ang panimula ng First Time Setup. Piliin ang OK upang magpatuloy.
6. Piliin ang Zeek Logs mula sa listahan ng mga uri ng telemetry. Piliin ang OK upang magpatuloy. Ang lahat ng uri ng telemetry ay pinili bilang default sa isang bagong deployment. Kung nag-a-upgrade ka sa v752 mula sa nakaraang release, sumangguni sa I-configure ang Zeek Telemetry sa Advanced na Mga Setting.
7. Kumpirmahin ang port para sa Zeek Logs ay 9514, pagkatapos ay piliin ang OK. Inirerekomenda namin na gumamit ka ng port 9514. Huwag gumamit ng mga port 2055, 514, o 8514.
   Tiyaking natatangi ang iyong mga telemetry port. Kung iko-configure mo ang mga duplicate na telemetry port, ang mga port ay ire-reset sa kanilang mga panloob na default upang maiwasan ang pagkawala ng data ng daloy. Para kay exampAt, kung ang NetFlow at Zeek ay na-export sa parehong telemetry port, ang bawat device na nag-e-export ng data ng Zeek ay lilikha ng isang exporter sa Flow Collector at mauubos ang mga mapagkukunan ng exporter sa Flow Collector engine, na magreresulta sa pagkawala ng data ng daloy.
8. I-click ang Ilapat upang i-save ang iyong mga pagbabago.
9. Sundin ang mga senyas sa screen upang tapusin ang virtual na kapaligiran at i-restart ang appliance.

I-configure ang Zeek Telemetry sa Advanced na Mga Setting

Tiyaking i-install ang pinakabagong Flow Collector NetFlow rollup patch bago mo simulan ang pamamaraang ito.

Upang simulan ang pag-ingest ng Zeek telemetry sa isang Flow Collector na na-configure na, kumpletuhin ang mga sumusunod na hakbang:

1. Mag-log in sa iyong Manager.
2. Mula sa pangunahing menu, piliin ang I-configure > Global > Central Management.
3. Sa pahina ng Imbentaryo, i-click ang... (Ellipsis) na icon para sa iyong Flow Collector, pagkatapos ay piliin View Mga Istatistika ng Appliance. Ang interface ng Flow Collector Admin ay bubukas.
4. Piliin ang Suporta > Mga Advanced na Setting.
   Kung hindi ipinapakita ang isang field, i-click ang field na Magdagdag ng Bagong Opsyon. Para sa higit pang impormasyon tungkol sa pag-edit ng mga advanced na setting sa Flow Collector, sumangguni sa paksa ng Tulong sa Advanced na Mga Setting.
5. Sa enable_zeek field, itakda ang value sa 1 para makuha ang Zeek telemetry. Tiyaking na-configure mo si Zeek na ipasa ang mga log sa JSON na format.
6. Kumpirmahin na nakatakda ang value sa 9514 sa zeek_port field.

Tiyaking natatangi ang iyong mga telemetry port. Kung iko-configure mo ang mga duplicate na telemetry port, ang mga port ay ire-reset sa kanilang mga panloob na default upang maiwasan ang pagkawala ng data ng daloy. Para kay exampAt, kung ang NetFlow at Zeek ay na-export sa parehong telemetry port, ang bawat device na nag-e-export ng data ng Zeek ay lilikha ng isang exporter sa Flow Collector at mauubos ang mga mapagkukunan ng exporter sa Flow Collector engine, na magreresulta sa pagkawala ng data ng daloy.

Pag-verify ng Zeek Telemetry

Upang i-verify na ang Zeek telemetry ay nakunan, mulingview ang ulat ng Zeek Log Collection Trend:

1. Mag-log in sa iyong Manager.
2. Mula sa pangunahing menu, piliin ang Ulat > Tagabuo ng Ulat.
3. I-click ang Gumawa ng Bagong Ulat, pagkatapos ay piliin ang Trend ng Koleksyon ng Zeek Log.
4. I-click ang Run.
5. I-verify na ang ulat ay nagpapakita ng Zeek telemetry.

Ulat ng Trend ng Koleksyon ng Zeek Log
Ang mga sumusunod na samples ng Zeek Log Collection Trend Report ay nagpapakita ng Zeek telemetry na matagumpay na nakuha.

Iulat si Sample 1
Ang ulat na ito sampnagbibigay si le ng isang oras view.

Iulat si Sample 2

• Ang ulat na ito sampNagbibigay ang le ng 12 oras view.
• Para sa higit pang impormasyon tungkol sa mga ulat, i-click ang (Tulong) na icon upang ma-access ang paksa ng Tulong sa Tagabuo ng Ulat.

Pagsusuri ng Zeek Events

Mayroong dalawang karagdagang ulat na magagamit upang matulungan kang suriin ang mga kaganapan sa Zeek:

• Zeek Database Ingest Trend Report
• Ulat ng Zeek Logs
• Tiyaking mayroon kang Data Store at naka-enable ang Analytics.
• Upang paganahin ang Analytics, piliin ang I-configure > Detection > Analytics mula sa pangunahing menu, pagkatapos ay i-click ang Analytics On .

Zeek Database Ingest Trend Report
Upang suriin ang mga kaganapan sa Zeek conn.log na isinusulat sa iyong Data Store, gawin ang sumusunod:

1. Mag-log in sa iyong Manager.
2. Mula sa pangunahing menu, piliin ang Ulat > Tagabuo ng Ulat.
3. I-click ang Gumawa ng Bagong Ulat, pagkatapos ay piliin ang Zeek Database Ingest Trend.
4. I-click ang Run.
5. Review ang ulat:
   • Ang Data Store ba ay tumatanggap ng mga kaganapan sa Zeek conn.log?
   • Mayroon bang anumang mga pagkaantala?

Iulat si Sample

• Ito sampNagbibigay ang le ng 12 oras view.
• View Mga Record na Isinulat bilang Event Bytes Bawat Panahon o Bilang ng Kaganapan Bawat Panahon.

Ulat ng Zeek Logs

• Tiyaking naka-configure ang iyong Flow Collector para makatanggap ng data mula kay Zeek. Para sa mga tagubilin, sumangguni sa System Configuration Guide.
• Pinunitview ang Zeek telemetry logging event para sa isang partikular na Zeek log type para sa Flow Collector, gawin ang sumusunod:
• Maaari kang magpatakbo ng hanggang apat na Zeek log query kasabay ng mga karagdagang query na naghihintay sa isang queue.

1. Mag-log in sa iyong Manager.
2. Mula sa pangunahing menu, piliin ang Ulat > Tagabuo ng Ulat.
3. I-click ang Gumawa ng Bagong Ulat, pagkatapos ay piliin ang Zeek Logs.
4. Tukuyin ang mga parameter sa mga kinakailangang field sa General area. Parameter Higit pang Impormasyon
   • Saklaw ng Oras Kung pipiliin mo ang Custom, pumili ng maikling hanay ng oras para sa maximum na pagganap. Kung maglalagay ka ng mahabang hanay ng panahon, maaaring magtagal ang ulat sa pagtatanong sa data.
   • Tagakolekta ng Daloy Pumili ng isang Secure Network Analytics Flow Collector sa iyong network.
   • Max na mga tala Piliin ang maximum na bilang ng mga tala. Ang limitasyon ay 10,000 record.
   • Uri ng Zeek Log Pumili ng Zeek Log Type.
   • Ang pagpili ng log maliban sa conn.log sa field ng Zeek Log Type ay maaaring maging sanhi ng paggana ng ulat, ngunit dapat itong tumakbo hanggang sa makumpleto.
5. Gamitin ang lugar ng Filter upang tukuyin ang mga karagdagang parameter, kung kinakailangan.
6. I-click ang Run.

Iulat si Sample

• Ang mga opsyonal na parameter ay pinili noong ginagawa ang ulat na ito sample.
• Upang makatanggap ng data sa ulat na ito, kailangan mo ng Secure Network Analytics na may deployment ng Data Store. Para sa impormasyon at mga tagubilin, sumangguni sa Appliance Installation Guide (Hardware o Virtual Edition) at sa System Configuration Guide.

Pakikipag-ugnayan sa Suporta
Kung kailangan mo ng teknikal na suporta, mangyaring gawin ang isa sa mga sumusunod:

• Makipag-ugnayan sa iyong lokal na Cisco Partner
• Makipag-ugnayan sa Cisco Support
• Upang buksan ang isang kaso sa pamamagitan ng web: http://www.cisco.com/c/en/us/support/index.html
• Para sa suporta sa telepono: 1-800-553-2447 (US)
• Para sa mga numero ng suporta sa buong mundo: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Kasaysayan ng Pagbabago

Bersyon ng Dokumento	Petsa ng Na-publish	Paglalarawan
1_0	Agosto 6, 2025	Paunang bersyon.

Impormasyon sa Copyright
Ang Cisco at ang logo ng Cisco ay mga trademark o nakarehistrong trademark ng Cisco at/o mga kaakibat nito sa US at iba pang mga bansa. Upang view isang listahan ng mga trademark ng Cisco, pumunta dito URL: https://www.cisco.com/go/trademarks. Ang mga trademark ng third-party na binanggit ay pag-aari ng kani-kanilang mga may-ari. Ang paggamit ng salitang kasosyo ay hindi nagpapahiwatig ng pakikipagsosyo sa pagitan ng Cisco at anumang iba pang kumpanya. (1721R)

Mga Dokumento / Mga Mapagkukunan

Cisco v7.5.3 Secure Network Analytics [pdf] Gabay sa Gumagamit v7.5.3, v7.5.3 Secure Network Analytics, v7.5.3, Secure Network Analytics, Network Analytics, Analytics

Mga sanggunian

• User Manual