Посібник користувача CISCO WSA Secure Network Analytics

вступ

Щоб збирати інформацію про користувачів з проксі-серверів вашої мережі для журналу проксі-сервера Cisco Secure Network Analytics (раніше Stealthwatch), потрібно налаштувати журнали проксі-сервера. Збірник Flow отримує журнали, а Manager (раніше Stealthwatch Management Console) відображає інформацію на сторінці записів проксі-сервера Flow. Ця сторінка містить URLімена програм та програм для трафіку всередині мережі, що проходить через проксі-сервер.

Вимоги

Перш ніж почати, переконайтеся, що ви виконали такі вимоги:

• Для цієї конфігурації підтримуються Cisco WSA (14-5-1-016), Blue Coat, McAfee та Squid. Переконайтеся, що ваш проксі-сервер налаштовано та працює як частина вашої мережі.
• Переконайтеся, що Flow Collector та проксі-сервер використовують один і той самий NTP-сервер (або отримують час зі спільного джерела для зіставлення записів потоку та проксі-сервера).
• Виберіть Flow Collector, який збирає дані з експортерів та кінцевих точок, які потрібно дослідити в журналах проксі-сервера. Вам потрібна IP-адреса для конфігурації.
• Немає конкретного обмеження на розмір повідомлень проксі-сервера syslog. Однак ми рекомендуємо, щоб повідомлення були коротшими за найкоротший максимальний розмір одиниці передачі (MTU) на шляху між проксі-сервером та Flow Collector, зазвичай 1500. Це усуває фрагментацію пакетів та підвищує надійність.
• Журнал проксі-сервера не підтримується в режимі високої доступності (HA).

Конфігурація завершенаview

Виконайте такі процедури:

1. Виберіть один із наведених нижче способів налаштування проксі-сервера.
   • Налаштування Cisco Web Журнали проксі-сервера Security Appliance (WSA)
   • Налаштування журналів проксі-сервера Blue Coat
   • Налаштування журналів проксі-сервера McAfee
   • Налаштування журналів проксі-сервера Squid
2. Налаштування колектора потоку
3. Перевірка потоків

Налаштування Cisco Web Журнали проксі-сервера Security Appliance (WSA)

Використовуйте цей розділ, щоб налаштувати журнали проксі-сервера Cisco для надсилання до Secure Network Analytics.

Проксі-сервер Cisco WSA не підтримує віртуальні IP-адреси для додавання проксі-пристрою.

Щоб налаштувати журнал проксі-сервера Cisco, виконайте такі дії:

1. Увійдіть на проксі-сервер Cisco.

2. У головному меню натисніть Системне адміністрування > Підписки на журнали. Відкриється сторінка «Підписки на журнали».

3. Натисніть кнопку «Додати підписки на журнали». Відкриється сторінка «Нові підписки на журнали».

4. У розкривному списку «Тип журналу» виберіть «Журнали W3C». З’являться доступні поля журналу W3C.

5. У полі «Назва журналу» введіть назву журналу, який ви використовуватимете.

6. Зі списку Доступні поля журналу виберіть Найшвидший часamp, а потім натисніть кнопку Додати, щоб перемістити його до списку Вибрати поля журналу.

7. Повторіть попередній крок для кожного з наступних полів журналу по порядку:

а. найшвидшийamp
b. x-час, що минув
c. c-ip
d. c-порт
e. cs-байти
f. s-ip
г. s-спорт
h. sc-байти
i. cs-імена користувачів
j. s-ім'я_комп'ютера
к. cs-url

Список вибраних полів журналу повинен містити такі поля, як показано на малюнку:

Список вибраних полів журналу має бути в порядку, зазначеному вище, без будь-яких інших полів.

8. Прокрутіть сторінку до кінця та виберіть опцію «Надсилання системного журналу».

9. У полі «Ім’я хоста» введіть IP-адресу Flow Collector або ім’я його хоста, на який проксі-сервер надсилає журнали.

Обов’язково виберіть Flow Collector, який збирає дані з експортерів та кінцевих точок, які ви хочете дослідити в журналах проксі-сервера.

10. Натисніть кнопку «Надіслати». Новий журнал буде додано до списку підписки на журнал.

11. Перейдіть до розділу «Налаштування Flow Collector», щоб налаштувати Flow Collector для отримання інформації системного журналу.

Налаштування журналів проксі-сервера Blue Coat

Використовуйте цей розділ для налаштування журналів проксі-сервера Blue Coat для надсилання до Secure Network Analytics.

Для тестування використовувалася проксі-версія Blue Coat SG V100, SGOS 6.5.5.7 SWG Edition.

Створення формату

Щоб створити новий формат журналу, виконайте такі дії:

1. У вашому браузері перейдіть до проксі-сервера Blue Coat.

2. Перейдіть на вкладку Конфігурація.

3. У головному меню Консолі керування натисніть Журнал доступу > Формати.

4. Натисніть кнопку «Створити» внизу сторінки. Відкриється сторінка «Створити формат».

5. У полі «Назва формату» введіть назву для нового формату.

6. Виберіть розширений журнал W3C File Параметр форматування (ELFF).

7. У полі формату введіть наступний рядок:

часamp тривалість c-ip c-port r-ip r-port s-ip s-port cs-байти sc-байти cs-користувач cs-хост cs-uri

8. Натисніть кнопку «ОК». Перейдіть до наступного розділу «Створення нового журналу».

Створити новий журнал

Щоб створити журнали, виконайте такі дії:

1. У головному меню натисніть Доступ до журналу > Журнали, а потім виберіть новий формат журналу. Відкриється сторінка журналу.

2. Перейдіть на вкладку Загальні налаштування.

3. У розкривному списку «Формат журналу» виберіть журнал, створений на кроці 1.

4. У полі «Опис» введіть опис нового журналу.

5. Натисніть кнопку «Застосувати» внизу сторінки. Перейдіть до наступного розділу «Налаштування клієнта завантаження».

Налаштування клієнта завантаження

Щоб налаштувати клієнт завантаження, виконайте такі дії:

1. Натисніть вкладку «Клієнт завантаження». Відкриється сторінка «Клієнт завантаження».

2. У розкривному списку «Тип клієнта» виберіть «Налаштування клієнта».

3. Натисніть кнопку «Налаштування». Відкриється сторінка налаштувань користувацького клієнта.

4. У відповідних полях введіть IP-адресу Flow Collector та порт прослуховування проксі-парсера.

SSL наразі не підтримується.

5. Клацніть OK.

6. Для параметрів передачі виконайте такі дії:

• a. Для сертифіката шифрування виберіть Без шифрування.
• b. У розкривному списку «Підписування брелока» виберіть «без підпису».
• c. З розділу «Зберегти журнал» file як” виберіть текст file варіант.
• г. У текстовому полі «Надіслати частковий буфер після» введіть 5.
• e. Перейдіть на вкладку Розклад завантаження та виберіть опцію «безперервно» для параметра «Завантажувати журнал доступу».
• f. У полі «Очікування між спробами підключення» введіть 60.
• g. У полі «Час між пакетами журналу keep-alive» введіть 5.

7. Натисніть кнопку «Застосувати» внизу сторінки. Перейдіть до наступного розділу «Налаштування розкладу завантаження».

Налаштування розкладу завантаження

Щоб налаштувати розклад завантаження, виконайте такі дії:

1. Перейдіть на вкладку «Розклад завантаження».

2. Для опції «Завантажити журнал доступу» виберіть «безперервно».

3. Інтервал між правильними спробами становить 60 секунд.

4. Час між пакетами журналу keep-alive 5 секунд.

5. Натисніть кнопку «Застосувати» внизу сторінки.

Це завершує налаштування журналів проксі-сервера Blue Coat для Flow Collector.

Вимоги

Додаткові примітки щодо конфігурації:

• Переконайтеся, що Flow Collector та Proxy використовують один і той самий NTP-сервер (або отримують час зі спільного джерела для зіставлення записів потоку та проксі).
• Підтримується лише один механізм виведення журналів для проксі-сервера. Якщо ви вже експортуєте журнали, ви не можете захоплювати та аналізувати записи проксі-сервера.
• Висока доступність UDP Director не підтримується.

Налаштування візуального менеджера політик

Конфігурація Visual Policy Manager дозволяє перевірити, чи надсилається журнал проксі-сервера до Flow Collector.

1. На вкладці «Конфігурація» в головному меню натисніть «Політика» > «Візуальний менеджер політик». Відкриється «Візуальний менеджер політик».

2. Натисніть кнопку «Запуск» внизу для налаштованого журналу. Відкриється вікно візуального менеджера політик для журналу.

3. Натисніть «Політика» > «Додати». Web Доступ до шару. Відкриється екран «Додати новий шар».

4. Введіть назву нового шару та натисніть кнопку «ОК».

5. Клацніть правою кнопкою миші на пункті «Заборонити» у стовпці «Дія» та виберіть «Встановити». Відкриється діалогове вікно «Встановити об’єкт дії».

6. Натисніть кнопку «Створити» та виберіть «Змінити журнал доступу». Відкриється діалогове вікно «Редагувати об’єкт журналу доступу».

7. Натисніть кнопку «Увімкнути ведення журналу».

8. Введіть назву журналу, а потім виберіть його.

9. Натисніть кнопку «ОК». Об’єкт додано.

10. У діалоговому вікні «Встановити об’єкт дії» натисніть кнопку «OK».

11. Натисніть кнопку «Встановити політику» у верхньому правому куті.

12. Натисніть кнопку «Ні», а потім «ОК» у наступних вікнах.

13. Знову запустіть менеджер візуальних політик Blue Coat.

14. Клацніть правою кнопкою миші вкладку журналювання та виберіть «Увімкнути шар».

15. Натисніть кнопку «Встановити політику». Відкриється вікно «Встановлена ​​політика».

16. Клацніть OK.

17. Перейдіть на вкладку «Статистика» та в меню журналу виберіть потрібний журнал.

18. У головному меню натисніть «Доступ до журналу», а потім перейдіть на вкладку «Хвостова частина журналу». Відкриється вікно «Хвостова частина журналу».

19. Натисніть кнопку «Почати хвіст» внизу сторінки.

20. У головному меню «Статистика» натисніть «Система» > «Реєстрація подій». На цій сторінці буде показано, чи журнал file завантажується до Flow Collector та внесені зміни. Він показує, чи підключено проксі-сервер до Flow Collector.

21. Перейдіть до розділу «Налаштування Flow Collector», щоб налаштувати Flow Collector для отримання інформації системного журналу.

Налаштування журналів проксі-сервера McAfee

Використовуйте цей розділ для налаштування журналів проксі-сервера McAfee з McAfee Web Шлюз для надсилання до Secure Network Analytics.

• Переконайтеся, що ви завантажили XML-конфігурацію file для проксі-сервера McAfee. Перейдіть до Cisco Software Central, щоб завантажити файл readme та конфігурацію журналу проксі-сервера у форматі XML. files.
• Увійдіть до свого облікового запису Cisco Smart за адресою https://software.cisco.com або зверніться до свого адміністратора.
• Для тестування використовувалася версія проксі-сервера McAfee 7.4.2.6.0 – 18721.

Щоб налаштувати журнал проксі-сервера McAfee, виконайте такі дії:

1. Завантажте XML-файл file, FlowCollector_[дата]_McAfee_Log_XML_Config_[v].xml, а потім збережіть його у вибраному місці.

«Дата» вказує дату XML-файлу file, а «v» вказує на версію проксі-сервера McAfee. Виберіть XML file з тим самим номером версії, що й ваш проксі-сервер McAfee.

Щоб завантажити file, виконайте такі дії:

• а. Йти до https://software.cisco.com, Центр програмного забезпечення Cisco.
• b. У розділі Завантаження та керування > Завантаження та оновлення виберіть Доступ до завантажень.
• c. Прокрутіть униз до поля «Виберіть продукт».
• г. Введіть Безпечна аналітика мережі в поле «Виберіть продукт». Натисніть клавішу Enter.
• e. Виберіть «Захищений колектор потоків аналітики мережі» або інший колектор потоків.
• f. Виберіть Програмне забезпечення системи безпечної мережевої аналітики > Конфігурація Files.

2. Увійдіть на проксі-сервер McAfee.

3. Натисніть значок Політика, а потім перейдіть на вкладку Набори правил.

4. Виберіть «Обробник журналів», а потім виберіть «За замовчуванням».

5. Натисніть Додати > Набір правил з Бібліотеки.

6. Натисніть «Імпортувати з» file, а потім виберіть XML file.

7. Виберіть mcafeelancopelog у щойно імпортованому обробнику журналу.

Переконайтеся, що набір правил і правило «створити журнал доступу» та «надіслати до системного журналу» увімкнено.

8. Натисніть значок «Конфігурація» у верхній частині сторінки.

9. Ліворуч на сторінці натисніть File вкладку «Редактор» і виберіть файл rsyslog.conf file.

10. Унизу текстового поля (поруч зі списком fileс), введіть наступний текст:

Обов’язково виберіть Flow Collector, який збирає дані з експортерів та кінцевих точок, які ви хочете дослідити в журналах проксі-сервера.

11. Закоментуйте цей рядок:

*.info;mail.none;authpriv.none;cron.none.

12. Додайте цей рядок:

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.

13. Натисніть кнопку «Зберегти зміни» у верхньому правому куті сторінки.

14. Перейдіть до розділу «Налаштування Flow Collector», щоб налаштувати Flow Collector для отримання інформації системного журналу.

Налаштування журналів проксі-сервера Squid

Використовуйте цей розділ для налаштування журналів проксі-сервера Squid для надсилання до Secure Network Analytics. Ви можете редагувати fileна проксі-сервері за допомогою SSH.
Щоб налаштувати журнали проксі-сервера Squid, виконайте такі дії:

1. Увійдіть в оболонку машини, на якій запущено Squid.

2. Перейдіть до каталогу, що містить squid.conf (зазвичай /etc/squid), та відкрийте його в редакторі.

3. Додайте наступні рядки до squid.conf для налаштування логування:

формат_доступу %ts%03tu % a %>p %>st %

4. Перезапустіть squid, використовуючи наступне:

• Для систем на основі init: /etc/init.d/squid3 перезапуск
• Для систем на базі systemd: systemctl restart squid

5. Налаштуйте службу syslog на сервері Squid для пересилання журналів до Flow Collector. Це залежить від дистрибутива Linux/служби syslog.

Для syslog-ng додайте наступний код до /etc/syslog-ng/syslog-ng.conf:

# Засіб журналу аудиту BEGIN filter bs_filter { filter(f_user) and level(info) }; destination udp_proxy { udp("10.205.14.15" port(514)); }; log { source(s_all); filter(bs_filter); destination(udp_proxy); }; # Засіб журналу аудиту END

Для rsyslog додайте наступний код до /etc/rsyslog.conf:

:назва_програми, містить, "squid" @10.205.14.15:514

Обов’язково виберіть Flow Collector, який збирає дані з експортерів та кінцевих точок, які ви хочете дослідити в журналах проксі-сервера.

6. Потім перезапустіть службу системного журналу.

• Для систем на основі init:
  /etc/init.d/syslog-ng перезапустити (для syslog-ng)
  Перезапуск /etc/init.d/rsyslog (для rsyslog)
• Для систем на базі systemd:
  systemctl перезавантажити системний журнал (для syslog-ng)
  systemctl перезавантажити rsyslog (для rsyslog)

7. Перейдіть до розділу «Налаштування колектора потоків», щоб отримувати інформацію системного журналу.

Налаштування колектора потоку

Після налаштування проксі-сервера потрібно налаштувати Flow Collector для прийому даних.

Щоб налаштувати Flow Collector для отримання інформації системного журналу, виконайте такі дії:

1. Увійдіть у свій менеджер.

2. Виберіть Налаштувати > Глобальне > Централізоване керування.

3. Натисніть значок (три крапки) для вашого Flow Collector, а потім натисніть View Статистика побутової техніки.

4. Увійдіть до Flow Collector. Відкриється інтерфейс Flow Collector.

5. Натисніть «Конфігурація» > «Проксі-інгест». Відкриється сторінка «Проксі-сервери».

6. Введіть IP-адресу проксі-сервера.

7. У розкривному списку «Тип проксі-сервера» виберіть свій проксі-сервер.

Якщо вашого типу проксі-сервера немає в списку, ви не зможете використовувати журнали проксі-сервера наразі.

8. Якщо проксі-сервер:

• має лише одну IP-адресу, тоді введіть IP-адресу проксі-сервера в поле «IP-адреса». Залиште поле «IP-адреса телеметрії» порожнім.
• має більше IP-адрес, тоді введіть IP-адресу керування проксі-сервера (IP-адресу джерела повідомлення системного журналу) у полі IP-адреса. У полі IP-адреса телеметрії введіть IP-адресу телеметрії проксі-сервера.

9. У полі «Порт проксі-сервера» введіть номер порту проксі-сервера.

10. Якщо ви хочете, щоб проксі-сервер запускав тривоги, зніміть позначку з пункту «Виключити з тривог».

11. Натисніть Додати.

12. Натисніть кнопку «Застосувати». Проксі-сервер відображається в таблиці «Завантаження проксі-сервера» у верхній частині сторінки.

13. Перейдіть до розділу «Перевірка потоків».

Перевірка потоків

Щоб перевірити, чи отримуєте потоки, виконайте такі дії:

1. В інтерфейсі Flow Collector натисніть «Підтримка» > «Огляд». Files у головному меню. Огляд FileВідкриється сторінка s.

2. Відкрийте sw.log file.

3. Переконайтесь, що webПроксі-сервер веде зростаючий відлік, показуючи, що ви отримуєте дані.

Звернення в службу підтримки

Якщо вам потрібна технічна підтримка, виконайте одну з таких дій:

• Зверніться до місцевого партнера Cisco
• Зверніться до служби підтримки Cisco
• Відкрити справу web: http://www.cisco.com/c/en/us/support/index.html
• Телефонна підтримка: 1-800-553-2447 (США)
• Номери служби підтримки по всьому світу:
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Історія змін

Інформація про авторські права

Cisco та логотип Cisco є торговими марками або зареєстрованими торговими марками Cisco та/або її філій у США та інших країнах. до view список торгових марок Cisco, перейдіть до цього URL: https://www.cisco.com/go/trademarks. Згадані торгові марки третіх сторін є власністю відповідних власників. Використання слова «партнер» не означає партнерські відносини між Cisco та будь-якою іншою компанією. (1721R)

© 2025 Cisco Systems, Inc. та/або її філії.
Всі права захищені.

Документи / Ресурси

Аналітика безпечної мережі CISCO WSA [pdfПосібник користувача WSA 14-5-1-016, Blue Coat, McAfee, Squid, Безпечна мережева аналітика WSA, WSA, Безпечна мережева аналітика, Мережева аналітика, Аналітика

Список літератури

• Посібник користувача