CISCO Secure Network Analytics Deployment

Mahsulot haqida ma'lumot

Texnik xususiyatlari:

• Mahsulot nomi: Cisco Secure Network Analytics Deployment
• Integratsiya: ANC uchun Cisco ISE Integration

ANC uchun Cisco Secure Network Analytics Deployment va Cisco ISE Integration

SMC ni o'rnatish

Konsolga kiring, SystemConfig buyrug'ini kiriting. Qurilma uchun tarmoq konfiguratsiyasini kiriting.

Ma'lumotlar ombori tugunini o'rnatish

Konsolga kiring, SystemConfig buyrug'ini kiriting. Qurilma uchun tarmoq konfiguratsiyasini kiriting.

Biz boshqaruv interfeysini sozladik, quyida ma'lumotlar tugunlari orasidagi aloqa (boshqa ma'lumotlar tugunlari bilan aloqa) uchun ikkinchi tarmoq interfeysi keltirilgan.

Oqim kollektorini o'rnatish

Konsolga kiring, SystemConfig buyrug'ini kiriting. Barcha telemetriya opsiyalari tanlanganligiga ishonch hosil qiling.

Telemetriya uchun portlarni sozlang.

• Tarmoq oqimi: 2055
• Tarmoqni ko'rish moduli: 2030
• Xavfsizlik devori jurnallari: 8514

Qurilma uchun tarmoq konfiguratsiyasini kiriting.

Oqim sensorini o'rnatish

Konsolga kiring, SystemConfig buyrug'ini kiriting. Qurilma uchun tarmoq konfiguratsiyasini kiriting.

Cisco Telemetry Broker dasturini o'rnatish
Cisco Telemetry Brocker ning asosiy komponenti

Cisco Secure Network Analytics (sobiq Cisco Stealthwatch) va telemetriyani optimallashtirish uchun kuchli qurilma, asosan quyidagilardan foydalaniladi:

• Netflow, SNMP va Syslog trafigini yig'ish va birlashtirishni soddalashtirish uchun.
• Bu, ayniqsa, Cisco Secure Network Analytics, SolarWinds yoki LiveAction kabi turli xil tarmoq analizatorlariga ega bo'lsangiz yoki Cisco Secure Network Analytics bilan bir nechta oqim kollektorlari mavjud bo'lsa, turli eksportchilar o'rniga tarmoq qurilmalaringizda bitta eksportyor yordamida Netflow ma'lumotlarini sozlash va yuborishni soddalashtiradi.
• Bundan tashqari, u bir nechta yo'nalishlar va turli jurnallarni boshqarish echimlaridan foydalanganda Telemetriya oqimlarini soddalashtiradi.

Cisco Telemetry Broker arxitekturasi ikkita komponentdan iborat: 

• Menejer tugun
• Broker tugun.

Broker tugunlari boshqaruv interfeysi yordamida bitta Cisco Telemetry Broker menejeri tomonidan boshqariladi. Menejer tuguniga trafikni boshqarish uchun bitta tarmoq interfeysi kerak. Broker tuguniga ikkita tarmoq interfeysi kerak. Menejer bilan aloqa qilish uchun bitta boshqaruv interfeysi va Telemetriyani Flow Collector-ga yuborish uchun Telemetriya interfeysi o'z navbatida Cisco Secure Network Analytics yechimida SMC Management Console kabi sozlangan manzillarga yuboradi. Cisco Secure Network Analytics yechimidagi telemetriya trafigining Destination Flow Collector IP-manzili/porti Menejer tuguniga qo'shiladi va NetFlow trafigini qayerda olishni ko'rsatish uchun boshqaruv interfeysi orqali Broker tuguniga tushiriladi.

Broker tugunini o'rnatayotganda uni sudo ctb-manage buyrug'i yordamida boshqaruvchi tugunga qo'shishingiz va Menejer tugunining IP manzili va administrator hisob ma'lumotlarini taqdim etishingiz kerak. Broker tuguni menejer tuguniga qo'shilgach, Web Menejer tugunining GUI boshqaruv IP manzili bilan qo'shilgan Broker tugunini ko'rsatadi. Broker tugunlari va menejer tugunlari o'rtasidagi integratsiyani tugatish uchun siz menejer tuguniga broker tugunining ma'lumotlar yoki telemetriya tarmoq interfeysini qo'shishingiz kerak. Nihoyat, xavfsizlik devorlari, marshrutizatorlar va kalitlar kabi tarmoq qurilmalari Broker tugunining telemetriya interfeysi IP-manzilini Netflow eksportchisi sifatida ishlatadi.

Menejer tugunini o'rnating
Sudo ctb-install –init buyrug'ini ishga tushiring.

Quyidagi ma'lumotlarni kiriting:

• Administrator foydalanuvchi uchun parol
• Xost nomi
• IPv4 manzili, pastki tarmoq niqobi va boshqaruv tarmog'i interfeysi uchun standart shlyuz manzili
• DNS nom serverining IP manzili

Broker tugunini joylashtiring
Sudo ctb-install –init buyrug'ini ishga tushiring.

Quyidagi ma'lumotlarni kiriting:

• Administrator foydalanuvchi uchun parol
• Xost nomi
• IPv4 manzili, pastki tarmoq niqobi va boshqaruv tarmog'i interfeysi uchun standart shlyuz manzili
• DNS nom serverining IP manzili

Sudo ctb-manage buyrug'ini ishga tushiring. 
Quyidagi ma'lumotlarni kiriting:

• Menejer tugunining IP manzili
• Menejer tugunining administrator hisobining foydalanuvchi nomi

Cisco Telemetry Broker-ga kiring. a.da web brauzerda Menejerning boshqaruv interfeysi menejer tugunining IP manzilini kiriting. Asosiy menyudan Broker tugunlarini tanlang.

Broker tugunlari jadvalida broker tugunini bosing. Telemetriya interfeysi bo'limida Telemetriya interfeysini va standart shlyuzni sozlang.

Endi SNA qurilmalari boshqaruv IP manzili bilan sozlangan, biz har bir SNA komponentida Appliance Setup Tool (AST) ni bajarishimiz kerak.

Appliance Setup Tool (AST) jihozlarni SNA tarqatishning qolgan qismi bilan bog'lana oladigan qilib sozlaydi.

SMC

• SMC GUI-ga kirish.
• Administrator, root va sysadmin uchun standart parollarni o'zgartiring.

• Tarmoqni boshqarish interfeysi uchun o'zgarishlar yo'q.
• Xost nomi va domenlarni sozlang.
• DNS serverlarini sozlang.
• NTP serverini sozlang.
• Nihoyat, SMCni ro'yxatdan o'tkazing.
• SMC qayta ishga tushadi.

Ma'lumotlar ombori tugun
Xuddi shu tartibni bajaring, yagona farq - Markaziy boshqaruv sozlamalari konfiguratsiyasi. Ushbu bo'limda SMC 198.19.20.136 IP manzilini va foydalanuvchi nomi/parolni kiriting.

Oqim kollektori
Xuddi shu tartibni bajaring, yagona farq - Markaziy boshqaruv sozlamalari konfiguratsiyasi. Ushbu bo'limda SMC 198.19.20.136 IP manzilini va foydalanuvchi nomi/parolni kiriting.

Oqim sensori

• Xuddi shu tartibni bajaring, yagona farq - Markaziy boshqaruv sozlamalari konfiguratsiyasi. Ushbu bo'limda SMC 198.19.20.136 IP manzilini va foydalanuvchi nomi/parolni kiriting.
• Konfiguratsiyani yakunlash uchun DataStore tugunini ishga tushiring.
• SSH-ni DataStore tuguniga joylashtiring va SystemConfig buyrug'ini ishga tushiring.
• DataStore tugunini ishga tushirish uchun interaktiv dialog oynasiga amal qiling.
• SMC GUI-ga kiring, Markaziy boshqaruvda biz barcha Cisco SNA qurilmalari SMC-ga ulanganligini ko'rishimiz mumkin.

Cisco Telemetry Broker konfiguratsiyasi
Cisco Telemetry Broker Manager tugunining GUI-ga kiring. Manzil qo'shish tugmasini bosing va UDP Destination-ni tanlang. Quyidagi parametrlarni sozlang.

• Mo‘ljal nomi: SNA-FC
• Belgilangan IP manzil: 198.19.20.137
• Belgilangan manzil UDP porti: 2055
• Qoida qo'shish-ni bosing.
• Qabul qiluvchi UDP porti sifatida 2055 raqamini kiriting.

Manzil qo'shish tugmasini bosing va UDP Destination-ni tanlang.
Quyidagi parametrlarni sozlang.

• Mo'ljal nomi: menejer
• Belgilangan IP manzil: 198.19.20.136
• Belgilangan manzil UDP porti: 514
• Qoida qo'shish-ni bosing.
• Qabul qiluvchi UDP porti sifatida 2055 raqamini kiriting.

Cisco ISE Identity Services Engine integratsiyasi
Ma'muriyat > pxGrid > Sertifikatlarga o'ting.

Shaklni quyidagi tarzda to'ldiring:

• "Men xohlayman" maydonini bosing va "Ildiz sertifikat zanjirini yuklab olish" -ni tanlang
• Xost nomlari maydoniga bosing va administratorni tanlang
• Sertifikat yuklab olish formati maydoniga bosing va PEM variantini tanlang
• Yaratish-ni bosing
• ni yuklab oling file ISE-CA-ROOT-CHAIN.zip sifatida.
• SMC GUI-da Markaziy boshqaruv-ni bosing. Markaziy boshqaruv sahifasida SMC Manager qurilmasini toping, so'ngra Qurilma konfiguratsiyasini tahrirlash-ni tanlang.
• Umumiy-ni bosing.
• Ishonchli do'konga pastga aylantiring va Yangi qo'shish tugmasini bosing. CertificateServicesRootCA-admin_.cer ni tanlang file. Sertifikat qo'shish-ni bosing.
• SMC endi ISE CA tomonidan berilgan sertifikatlarga ishonadi.
• Qurilma yorlig'ini bosing. Qo'shimcha SSL/TLS mijoz identifikatorlari bo'limiga pastga aylantiring va Yangi qo'shish tugmasini bosing.
• U sizdan CSR yaratishingiz kerakligini so'raydi, Ha ni tanlang va Keyingiga bosing.

CSRni quyidagicha to'ldiring:

• RSA kalit uzunligi
• Tashkilot
• Tashkiliy birlik
• Mahalla yoki shahar
• Shtat yoki viloyat
• Mamlakat kodi
• E-pochta manzili

CSR yaratish tugmasini bosing, keyin esa CSR-ni yuklab oling.

Cisco ISE grafik interfeysiga kiring. Ma'muriyat > pxGrid > Sertifikatlarga o'ting.

Quyidagi ma'lumotlardan foydalaning:

• "Men xohlayman" maydonida "Yagona sertifikat yaratish" ni tanlang (sertifikat imzolash so'rovi bilan)
• Sertifikat imzolash soʻrovi tafsilotlari maydonida CSR dan oʻting
• Tavsif maydoniga SMC kiriting
• SAN maydonida IP-manzilni tanlang va tegishli IP-manzil sifatida 198.19.20.136 kiriting.
• Sertifikat yuklab olish formati sifatida PKCS12 formatini tanlang
• Parolni kiriting
• Yaratish-ni bosing
• SMC-PXGRID nomi bilan yaratilgan sertifikatni saqlang.

Eslatma :
Ba'zi mavjud Cisco ISE o'rnatishda siz quyida ko'rsatilganidek, admin, eap va pxGrid xizmatlari uchun foydalanilgan muddati o'tgan tizim sertifikatlariga ega bo'lishingiz mumkin.

Buning sababi, ushbu tizim sertifikatlarini imzolaydigan Cisco ISE ichki CA sertifikatlarining amal qilish muddati tugagan.

Tizim sertifikatlarini yangilash uchun. Ma'muriyat > Sertifikatlar > Sertifikatni imzolash so'rovlari-ga o'ting. Foydalanish maydonida ISE Root CA-ni tanlang, so'ng ISE Root CA sertifikat zanjirini almashtirish-ni bosing.

Cisco ISE yangi ichki CA sertifikatlarini yaratadi. pxGrid kabi tegishli xizmatlar uchun Ishonchli uchun maydonini sozlashni unutmang.

Endi tizim sertifikatlari amal qiladi.

SMC GUI-ga kirish. Markaziy boshqaruvga o'ting. SMC Appliance Configuration yorlig'ida SSL/TLS mijoz identifikatorini qo'shish shakliga pastga aylantiring, so'ng Tanlash-ni bosing. File, SMC-PXGRID sertifikatini tanlang.

SMC GUI-da Deploy > Cisco ISE Configuration-ga o'ting.

ISE konfiguratsiyasini quyidagi parametrlar bilan sozlang:

• Klaster nomi: ISE-CLUSTER
• Sertifikat: SMC-PXGRID
• Asosiy PxGrid tugun: 198.19.20.141
• Mijoz nomi: SMC-PXGRID

Monitor > Foydalanuvchilar-ga o'ting.
E'tibor bering, biz SMC-da foydalanuvchi ma'lumotlarini ko'rishimiz mumkin.

ISE adaptiv tarmoq boshqaruvi (ANC) siyosatlari
Operatsiyalar > Moslashuvchan tarmoq boshqaruvi > Siyosat roʻyxati > Qoʻshish-ni tanlang va siyosat nomi uchun SW_QUARANTINE va harakat uchun karantinni kiriting.

SMC GUI-ga kirish. Boshqaruv panelida IP-manzilni tanlang, biz ISE ANC siyosati to'ldirilganligini ko'rishimiz mumkin.

ISE avtorizatsiya siyosati

• Global avtorizatsiyadan istisno siyosatlari barcha siyosatlar toʻplamidagi barcha avtorizatsiya qoidalarini bekor qiladigan qoidalarni belgilash imkonini beradi. Global avtorizatsiya istisno siyosatini sozlaganingizdan so'ng, u barcha siyosat to'plamlariga qo'shiladi.
• Mahalliy avtorizatsiya istisno qoidasi global istisno qoidalarini qayta yozadi. Shunday qilib, avval mahalliy istisno qoidasi, keyin global istisno qoidasi va nihoyat, avtorizatsiya siyosatining oddiy qoidasi qayta ishlanadi.
• Ushbu Istisno qoidalaridan foydalanishning qiziqarli holatlaridan biri Cisco Secure Network Analytics (Stealth watch) ni Adaptive Network Policy (ANC) yordamida Javoblarni boshqarish uchun Cisco ISE bilan sozlaganingizda bo‘ladi, shunda signal berilganda Cisco Secure Network Analytics (Stealth watch) Cisco ISE’dan Adaptive Grix Politsiyasi bilan tarmoq nazorati xostini karantinga olishni so‘raydi.
• Cisco ISE’da avtorizatsiya siyosatini mahalliy yoki global istisno holatlarida xostni karantin qilish uchun sozlashning eng yaxshi amaliyoti.
• Agar siz ANC siyosatini barcha siyosat to'plamlaringizga qo'llamoqchi bo'lsangiz, VPN, simli simsiz, aka barcha simli VPN va simsiz foydalanuvchilarga. Global istisnodan foydalaning.
• Agar siz ANC siyosatini faqat VPN foydalanuvchilari yoki simli foydalanuvchilarga qo'llamoqchi bo'lsangiz. Mahalliy siyosatdan mos ravishda VPN siyosatlari toʻplami yoki simli siyosat toʻplamidan foydalaning.

ANC bilan avtomatik harakat va javob
Stsenariy: Kompaniya internet tahdidlarining oldini olish uchun Cisco Umbrella-dan DNS-server sifatida foydalanmoqda. Biz shaxsiy signalni xohlaymiz, shunda ichki foydalanuvchi foydalanuvchilar boshqa tashqi DNS-serverlardan foydalanayotganda, tashqi saytlarga trafikni zararli maqsadlarda yo‘naltiruvchi noto‘g‘ri DNS serverlariga ulanishni oldini olish uchun signal ishga tushiriladi. Signal eshitilganda, Cisco Secure Network Analytics Cisco ISE kompaniyasidan PxGrid orqali adaptiv tarmoqni boshqarish siyosati bilan noto'g'ri DNS serverlaridan foydalanadigan xostni karantinga olishni so'raydi. Konfiguratsiya > Xost boshqaruvi-ga o'ting. Inside Hosts asosiy xost guruhida ichki tarmoqlaringiz uchun Korporativ tarmoqlar nomli Xost guruhini yarating.

Asosiy xostlar guruhida Outside Hosts, Umbrella IP manzillari uchun Umbrella DNS Servers nomli Xost guruhini yarating.

Ichki foydalanuvchilar internet tahdidlarini oldini olish uchun DNS server sifatida Cisco Umbrella dan foydalanmoqda. Shaxsiy signalni sozlang, shunda ichki foydalanuvchi foydalanuvchilar boshqa tashqi DNS-serverlardan foydalanayotganda, zararli maqsadlarda trafikni tashqi saytlarga yoʻnaltiruvchi notoʻgʻri DNS serveriga ulanishni oldini olish uchun signal ishga tushadi. Signal eshitilganda, Cisco Secure Network Analytics Cisco ISE kompaniyasidan PxGrid orqali adaptiv tarmoqni boshqarish siyosati bilan noto'g'ri DNS serverlaridan foydalanadigan xostni karantinga olishni so'raydi.

Sozlash > Siyosat boshqaruviga o‘ting.
Quyidagi ma'lumotlar bilan maxsus tadbirlar yarating:

• Nomi: Ruxsatsiz DNS-trafik
• Mavzu xost guruhlari: korporativ tarmoqlar
• Tengdosh xost guruhlari: Soyabon DNS serverlaridan tashqari hostdan tashqarida
• Tengdosh port/protokollar: 53/UDP 53/TCP

Asosan, bu hodisa Korporativ Tarmoqlar Xost Guruhi tarkibiga kiruvchi har qanday xost 53/UDP yoki 53/TCP orqali Umbrella DNS Serverlar Xost Guruhi tarkibidagilardan tashqari, Tashqi Xostlar Xost Guruhi ichidagi istalgan xost bilan aloqa qilganda ishga tushiriladi.

Konfiguratsiya > Javoblarni boshqarish-ga o'ting. Amallar-ni bosing.

ISE ANC siyosati harakatini tanlang. Ism bering va har qanday qoidabuzarlik yoki soxta serverlarga ulanish uchun karantin siyosatini qo'llash uchun bog'lanishi kerak bo'lgan Cisco ISE klasterini tanlang.

Qoidalar bo'limi ostida. Yangi Qoida yarating. Ushbu qoida ichki tarmoq ichidagi har qanday xost DNS trafigini noto'g'ri DNS serverlariga jo'natmoqchi bo'lganida oldingi harakatni qo'llaydi. Bo'limda Qoida ishga tushiriladi, agar Turni tanlang, pastga aylantiring va avval yaratilgan maxsus hodisani tanlang. Bog'langan harakatlar ostida, avval yaratilgan ISE ANC harakatini tanlang.

Ichki xostdan CMD konsolini oching. Nslookup buyrug'ini, keyin server 8.8.8.8 buyrug'ini bajaring. 8.8.8.8 DNS serverini hal qilish uchun bir nechta manzillarni kiriting.

Monitor > ISE ANC siyosati topshiriqlari boʻlimiga oʻting. Cisco Secure Network Analytics xostni karantin qilish uchun PxGrid va ISE orqali Adaptiv tarmoqni boshqarish siyosatini qo'llaganligini ko'rishingiz kerak.

TSS

Savol: Har bir SNA komponentida Appliance Setup Tool (AST) ni qanday bajarishim mumkin?
A: SNA qurilmalari boshqaruv IP manzili bilan sozlangandan so'ng, foydalanuvchi qo'llanmasida yoki sozlash qo'llanmasida ushbu komponent uchun berilgan maxsus ko'rsatmalarga rioya qilish orqali har bir komponentda ASTni bajarishingiz mumkin.

Hujjatlar / manbalar

CISCO Secure Network Analytics Deployment [pdf] Qo'llanma Secure Network Analytics Deployment, Network Analytics Deployment, Analytics Deployment, Deployment

Ma'lumotnomalar

• Foydalanuvchi uchun qo'llanma