CISCO WSA Secure Network Analytics foydalanuvchi qo'llanmasi

Kirish

Cisco Secure Network Analytics (sobiq Stealthwatch) Proksi jurnali uchun tarmoq proksi-serverlaridan foydalanuvchi ma'lumotlarini to'plash uchun siz proksi-server jurnallarini sozlashingiz kerak. Oqim kollektori jurnallarni qabul qiladi va menejer (sobiq Stealthwatch boshqaruv konsoli) Flow proksi yozuvlari sahifasida ma'lumotlarni ko'rsatadi. Ushbu sahifa taqdim etadi URLs va proksi-server orqali o'tadigan tarmoq ichidagi trafikning dastur nomlari.

Talablar

Ishni boshlashdan oldin, quyidagi talablarga javob berganligingizni tasdiqlang:

• Ushbu konfiguratsiya uchun Cisco WSA (14-5-1-016), Blue Coat, McAfee va Squid qo'llab-quvvatlanadi. Proksi-serveringiz tarmog'ingizning bir qismi sifatida sozlangan va ishlayotganligiga ishonch hosil qiling.
• Flow Collector va proksi-server bir xil NTP serveridan foydalanishini tasdiqlang (yoki oqim va proksi-server yozuvlari mos kelishi uchun umumiy manbadan vaqt oling).
• Proksi-server jurnallarida tekshirmoqchi bo'lgan eksportchilar va oxirgi nuqtalardan ma'lumotlarni to'playdigan Flow Collector-ni tanlang. Konfiguratsiya uchun sizga IP-manzil kerak bo'ladi.
• Syslog proksi-xabarlarida aniq hajm chegarasi yo'q. Biroq, biz xabarlarni proksi-server va Flow Collector o'rtasidagi yo'l bo'ylab eng qisqa Maksimal uzatish birligidan (MTU) qisqaroq saqlashni tavsiya qilamiz, odatda 1500. Bu paketlarning parchalanishini bartaraf qiladi va ishonchlilikni oshiradi.
• Proksi jurnali yuqori mavjudlik (HA) rejimida qo'llab-quvvatlanmaydi.

Konfiguratsiya tugadiview

Quyidagi protseduralarni bajaring:

1. Proksi-serveringizni sozlash uchun quyidagi usullardan birini tanlang.
   • Cisco-ni sozlash Web Security Appliance (WSA) proksi jurnallari
   • Blue Coat proksi jurnallarini sozlash
   • McAfee proksi jurnallarini sozlash
   • Squid proksi jurnallarini sozlash
2. Oqim kollektorini sozlash
3. Oqimlarni tekshirish

Cisco-ni sozlash Web Security Appliance (WSA) proksi jurnallari

Secure Network Analytics-ga yuborish uchun Cisco proksi jurnallarini sozlash uchun ushbu bo'limdan foydalaning.

Cisco WSA proksi-server proksi qurilmasini qo'shish uchun Virtual IP-larni qo'llab-quvvatlamaydi.

Cisco proksi jurnalini sozlash uchun quyidagi amallarni bajaring:

1. Cisco proksi-serveriga kiring.

2. Asosiy menyuda Tizim boshqaruvi > Jurnal obunalarini bosing. Jurnal obunalari sahifasi ochiladi.

3. Jurnal obunalarini qo'shish tugmasini bosing. Yangi jurnal obunalari sahifasi ochiladi.

4. Jurnal turi ochiladigan ro'yxatidan W3C jurnallarini tanlang. Mavjud W3C jurnali maydonlari paydo bo'ladi.

5. Jurnal nomi maydoniga siz foydalanadigan jurnal nomini kiriting.

6. Mavjud jurnal maydonlari ro'yxatidan Timest ni tanlangampni bosing va undan so'ng uni Jurnal maydonlarini tanlash ro'yxatiga ko'chirish uchun Qo'shish tugmasini bosing.

7. Quyidagi jurnal maydonlarining har biri uchun oldingi qadamni tartibda takrorlang:

a. martaamp
b. x o'tgan vaqt
c. c-ip
d. c-port
e. cs-baytlar
f. s-ip
g. s-port
h. sc-baytlar
i. cs-foydalanuvchi nomlari
j. s-computerName
k. cs-url

Tanlangan jurnal maydonlari roʻyxatida koʻrsatilganidek, ushbu maydonlar boʻlishi kerak:

Tanlangan jurnal maydonlari roʻyxati yuqoridagi tartibda boʻlishi kerak, boshqa maydonlar boʻlmasligi kerak.

8. Sahifaning pastki qismiga o'ting va keyin Syslog Push opsiyasini tanlang.

9. Xost nomi maydoniga Flow Collector IP manzilini yoki proksi-server jurnallarni yuboradigan xost nomini kiriting.

Proksi-server jurnallarida tekshirmoqchi bo'lgan eksportchilar va oxirgi nuqtalardan ma'lumotlarni to'playdigan Flow Collector-ni tanlaganingizga ishonch hosil qiling.

10. Submit tugmasini bosing. Yangi jurnal jurnalga obuna bo'lish ro'yxatiga qo'shiladi.

11. Syslog ma'lumotlarini qabul qilish uchun Oqim kollektorini sozlash uchun Oqim kollektorini sozlash bo'limiga o'ting.

Blue Coat proksi jurnallarini sozlash

Secure Network Analytics-ga yuborish uchun Blue Coat proksi jurnallarini sozlash uchun ushbu bo'limdan foydalaning.

Sinov uchun ishlatiladigan Blue Coat proksi versiyasi SG V100, SGOS 6.5.5.7 SWG Edition edi.

Formatni yaratish

Yangi jurnal formatini yaratish uchun quyidagi amallarni bajaring:

1. Brauzeringizda Blue Coat proksi-serveringizga kiring.

2. Konfiguratsiya yorlig'ini bosing.

3. Boshqaruv konsolining asosiy menyusida Kirish jurnaliga kirish > Formatlar-ni bosing.

4. Sahifaning pastki qismidagi Yangi tugmasini bosing. Format yaratish sahifasi ochiladi.

5. Format nomi maydoniga yangi format nomini kiriting.

6. W3C kengaytirilgan jurnalini tanlang File Format (ELFF) opsiyasi.

7. Format maydoniga quyidagi qatorni kiriting:

vaqtamp davomiyligi c-ip c-port r-ip r-port s-ip s-port cs-baytlar sc-baytlar cs-user cs-host cs-uri

8. OK tugmasini bosing. Keyingi bo'limga o'ting, Yangi jurnal yaratish

Yangi jurnal yarating

Jurnallarni yaratish uchun quyidagi amallarni bajaring:

1. Asosiy menyuda Jurnalga kirish > Jurnallar-ni bosing va keyin yangi jurnal formatini tanlang. Jurnal sahifasi ochiladi.

2. Umumiy sozlamalar yorlig'ini bosing.

3. Jurnal formati ochiladigan ro'yxatidan 1-bosqichda yaratgan jurnalni tanlang.

4. Tavsif maydoniga yangi jurnalingiz uchun tavsifni kiriting.

5. Sahifaning pastki qismidagi Qo'llash tugmasini bosing. Keyingi bo'limga o'ting, Yuklash mijozini sozlash

Yuklash mijozini sozlang

Yuklash mijozini sozlash uchun quyidagi amallarni bajaring:

1. Yuklash mijoz yorlig'ini bosing. Yuklash mijoz sahifasi ochiladi.

2. Mijoz turi ochiladigan ro'yxatidan Custom Client-ni tanlang.

3. Sozlamalar tugmasini bosing. Maxsus mijoz sozlamalari sahifasi ochiladi.

4. Tegishli maydonlarga Flow Collector IP manzilini va proksi tahlilchining tinglash portini kiriting.

Ayni paytda SSL qo'llab-quvvatlanmaydi.

5. OK ni bosing.

6. Transmissiya parametrlari uchun quyidagi amallarni bajaring:

• a. Shifrlash sertifikati uchun Shifrlash yo'q-ni tanlang.
• b. Signing Keyring ochiladigan roʻyxatidan “No signing” ni tanlang.
• c. “Jurnalni saqlash file sifatida” matnini tanlang file variant.
• d. "Qisman buferni keyin yuborish" matn maydoniga 5 kiriting.
• e. Yuklash jadvali yorlig'ini bosing va kirish jurnalini yuklash uchun doimiy opsiyani tanlang.
• f. Ulanish urinishlarini kutish maydoniga 60 kiriting.
• g. Jurnal paketlari orasidagi vaqt maydoniga 5 ni kiriting.

7. Sahifaning pastki qismidagi Qo'llash tugmasini bosing. Keyingi bo'limga o'ting, Yuklash jadvalini sozlash.

Yuklash jadvalini sozlash

Yuklash jadvalini sozlash uchun quyidagi amallarni bajaring:

1. Yuklash jadvali yorlig'ini bosing.

2. “Kirish jurnalini yuklash” uchun doimiy ni tanlang.

3. To'g'ri urinishlar orasidagi kutish - 60 soniya.

4. Jonli jurnal paketi orasidagi vaqt 5 soniya.

5. Sahifaning pastki qismidagi Qo'llash tugmasini bosing.

Bu Flow Collector uchun Blue Coat proksi jurnallari uchun konfiguratsiyani yakunlaydi.

Talablar

Konfiguratsiya bo'yicha qo'shimcha eslatmalar:

• Flow Collector va Proksi-server bir xil NTP serveridan foydalanishini tasdiqlang (yoki oqim va proksi-server yozuvlari mos kelishi uchun umumiy manbadan vaqt oling).
• Proksi-server uchun faqat bitta jurnalni chiqarish mexanizmi qo'llab-quvvatlanadi. Agar siz allaqachon jurnallarni eksport qilayotgan bo'lsangiz, proksi-server yozuvlarini yozib olishingiz va tahlil qila olmaysiz.
• UDP direktorining yuqori mavjudligi qo'llab-quvvatlanmaydi.

Vizual siyosat menejerini sozlash

Vizual siyosat menejerining konfiguratsiyasi proksi jurnali Flow Collector-ga yuborilayotganligini tekshirish imkonini beradi.

1. Asosiy menyudagi Konfiguratsiya yorlig'i sahifasida Siyosat > Vizual siyosat menejeri-ni bosing. Vizual siyosat menejeri ochiladi.

2. Sozlangan jurnalingiz uchun pastki qismidagi Ishga tushirish tugmasini bosing. Jurnal uchun vizual siyosat menejeri ochiladi.

3. Siyosat > Qo'shish-ni bosing Web Kirish qatlami. Yangi qatlam qo'shish ekrani ochiladi.

4. Yangi qatlam nomini kiriting va OK tugmasini bosing.

5. Harakat ustunidagi Rad etish tugmasini sichqonchaning o'ng tugmasi bilan bosing va keyin O'rnatish-ni bosing. Harakat ob'ektini o'rnatish dialog oynasi ochiladi.

6. Yangi tugmasini bosing va Kirish jurnalini o'zgartirish-ni tanlang. Jurnalga kirish ob'ektini tahrirlash dialog oynasi ochiladi.

7. Enable logging to ni bosing.

8. Jurnalingiz uchun nom kiriting va keyin jurnalni tanlang.

9. OK tugmasini bosing. Ob'ekt qo'shiladi.

10. Harakat ob'ektini o'rnatish muloqot oynasida OK tugmasini bosing.

11. Yuqori o'ng tarafdagi "Siyosatni o'rnatish" tugmasini bosing.

12. Quyidagi oynalar uchun Yo'q va keyin OK ni bosing.

13. Blue Coat Visual Policy Manager dasturini yana ishga tushiring.

14. Jurnallar yorlig'ini sichqonchaning o'ng tugmasi bilan bosing va undan so'ng Layerni yoqish-ni tanlang.

15. O'rnatish siyosati tugmasini bosing. O'rnatilgan siyosat ochiladi.

16. OK ni bosing.

17. Statistika yorlig'ini bosing va jurnal menyusida jurnalingizni tanlang.

18. Asosiy menyuda Jurnalga kirish-ni bosing va keyin Jurnal quyruq yorlig'ini bosing. Log Tail oynasi ochiladi.

19. Sahifaning pastki qismidagi Start Tail tugmasini bosing.

20. Statistika asosiy menyusida Tizim > Voqealar jurnali-ni bosing. Ushbu sahifa jurnali ko'rsatiladi file Flow Collector-ga yuklanadi va kiritilgan o'zgarishlar. Bu proksi-server Flow Collector-ga ulanganligini ko'rsatadi.

21. Syslog ma'lumotlarini qabul qilish uchun Oqim kollektorini sozlash uchun Oqim kollektorini sozlash bo'limiga o'ting.

McAfee proksi jurnallarini sozlash

McAfee-dan McAfee proksi jurnallarini sozlash uchun ushbu bo'limdan foydalaning Web Secure Network Analytics-ga yuborish uchun shlyuz.

• XML konfiguratsiyasini yuklab olganingizga ishonch hosil qiling file McAfee proksi-server uchun. Readme va Proxy Log XML konfiguratsiyasini yuklab olish uchun Cisco Software Central ga o'ting files.
• Cisco Smart hisobingizga kiring https://software.cisco.com yoki administratoringizga murojaat qiling.
• Sinov uchun ishlatiladigan McAfee proksi-versiyasi 7.4.2.6.0 – 18721 edi.

McAfee proksi jurnalini sozlash uchun quyidagi amallarni bajaring:

1. XMLni yuklab oling file, FlowCollector_[date]_McAfee_Log_XML_Config_[v].xml va keyin uni oʻzingiz yoqtirgan joyga saqlang.

"Sana" XML sanasini bildiradi file, va “v” McAfee proksi-versiyasi versiyasini bildiradi. XML ni tanlang file McAfee proksi-serveringiz bilan bir xil versiya raqami bilan.

Yuklab olish uchun file, quyidagi amallarni bajaring:

• a. Boring https://software.cisco.com, Cisco Software Central.
• b. Yuklab olish va boshqarish > Yuklash va yangilash bo'limida Yuklashlarga kirish-ni tanlang.
• c. Mahsulotni tanlash maydoniga pastga aylantiring.
• d. Mahsulotni tanlash maydoniga Secure Network Analytics-ni kiriting. Enter tugmasini bosing.
• e. Secure Network Analytics Virtual Flow Collector yoki boshqa Flow Collector-ni tanlang.
• f. Secure Network Analytics System Software > Configuration-ni tanlang Files.

2. McAfee proksi-serveriga kiring.

3. Siyosat belgisini bosing va keyin Qoidalar to'plami yorlig'ini bosing.

4. Jurnal ishlov beruvchi-ni tanlang va undan so'ng Standart-ni tanlang.

5. Kutubxonadan Qo'shish > Qoidalar to'plamini bosing.

6. Import ni bosing file, va keyin XML ni tanlang file.

7. Hozirgina import qilingan jurnal ishlov beruvchisida mcafeelancopelog ni tanlang.

Qoidalar to'plami va "kirish logline yaratish" va "syslogga yuborish" qoidalari yoqilganligiga ishonch hosil qiling.

8. Sahifaning yuqori qismidagi Konfiguratsiya belgisini bosing.

9. Sahifaning chap tomonidagi ni bosing File Tahrirlovchi yorlig'iga o'ting va rsyslog.conf ni tanlang file.

10. Matn oynasining pastki qismida (ro'yxati yonida files), quyidagi matnni kiriting:

Proksi-server jurnallarida tekshirmoqchi bo'lgan eksportchilar va oxirgi nuqtalardan ma'lumotlarni to'playdigan Flow Collector-ni tanlaganingizga ishonch hosil qiling.

11. Ushbu qatorni izohlang:

*.info;mail.none;authpriv.none;cron.none.

12. Ushbu qatorni qo'shing:

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.

13. Sahifaning yuqori o'ng qismidagi O'zgarishlarni saqlash tugmasini bosing.

14. Syslog ma'lumotlarini qabul qilish uchun Oqim kollektorini sozlash uchun Oqim kollektorini sozlash bo'limiga o'ting.

Squid proksi jurnallarini sozlash

Secure Network Analytics-ga yuborish uchun Squid proksi jurnallarini sozlash uchun ushbu bo'limdan foydalaning. ni tahrirlashingiz mumkin files SSH yordamida proksi-serverda.
Squid proksi jurnallarini sozlash uchun quyidagi amallarni bajaring:

1. Squid bilan ishlaydigan mashina uchun qobiqqa kiring.

2. Squid.conf (odatda /etc/squid) bo'lgan katalogga o'ting va uni tahrirlovchida oching.

3. Jurnal yozishni sozlash uchun squid.conf ga quyidagi qatorlarni qo'shing:

logformat access_format %ts%03tu % a %>p %>st %

4. Quyidagilar yordamida kalamarni qayta ishga tushiring:

• Init-ga asoslangan tizimlar uchun: /etc/init.d/squid3 qayta ishga tushirish
• Systemd asoslangan tizimlar uchun: systemctl squidni qayta ishga tushiring

5. Jurnallarni Flow Collector-ga yo'naltirish uchun Squid serveridagi syslog xizmatini sozlang. Bu Linux tarqatish/syslog xizmatiga bog'liq.

Syslog-ng uchun /etc/syslog-ng/syslog-ng.conf ga quyidagilarni qo'shing:

# Audit jurnali moslamasi BEGIN filter bs_filter { filter(f_user) va level(info)}; maqsad udp_proxy { udp("10.205.14.15" port(514)); }; log { manba(s_all); filtr (bs_filtr); maqsad (udp_proxy); }; # Audit jurnali ob'ekti END

Rsyslog uchun /etc/rsyslog.conf ga quyidagilarni qo'shing:

:dastur nomi, o'z ichiga oladi, "squid" @10.205.14.15:514

Proksi-server jurnallarida tekshirmoqchi bo'lgan eksportchilar va oxirgi nuqtalardan ma'lumotlarni to'playdigan Flow Collector-ni tanlaganingizga ishonch hosil qiling.

6. Keyin syslog xizmatini qayta ishga tushiring.

• Init asoslangan tizimlar uchun:
  /etc/init.d/syslog-ng qayta ishga tushirish (syslog-ng uchun)
  /etc/init.d/rsyslog qayta ishga tushirish (rsyslog uchun)
• Tizimga asoslangan tizimlar uchun:
  systemctl syslogni qayta ishga tushirish (syslog-ng uchun)
  systemctl rsyslogni qayta ishga tushiring (rsyslog uchun)

7. Syslog ma'lumotlarini olish uchun Oqim kollektorini sozlash bo'limiga o'ting.

Oqim kollektorini sozlash

Proksi-serverni sozlaganingizdan so'ng, Flow Collector-ni ma'lumotlarni qabul qilish uchun sozlashingiz kerak.

Oqim kollektorini syslog ma'lumotlarini olish uchun sozlash uchun quyidagi amallarni bajaring:

1. Menejeringizga kiring.

2. Konfiguratsiya > Global > Markaziy boshqaruv-ni tanlang.

3. Oqim kollektoringiz uchun (Elipsis) belgisini bosing va keyin bosing View Uskunalar statistikasi.

4. Flow Collector-ga kiring. Flow Collector interfeysi ochiladi.

5. Konfiguratsiya > Proksi qabul qilish-ni bosing. Proksi-serverlar sahifasi ochiladi.

6. Proksi-serverning IP manzilini kiriting.

7. Proksi turi ochiladigan ro'yxatidan proksi-serveringizni tanlang.

Agar proksi-server turi ro'yxatda bo'lmasa, hozirda proksi-server jurnallaridan foydalana olmaysiz.

8. Proksi-server:

• faqat bitta IP-manzilga ega bo'lsa, IP-manzil maydoniga proksi-serverning IP-manzilini kiriting. Telemetriya IP manzil maydonini bo'sh qoldiring.
• ko'proq IP-manzillarga ega bo'lsa, IP-manzil maydoniga proksi-serverning boshqaruv IP-manzilini (syslog xabarining manba IP-manzili) kiriting. Telemetriya IP manzili maydoniga proksi-serverning telemetriya IP manzilini kiriting.

9. Proksi-server port maydoniga proksi-serverning port raqamini kiriting.

10. Agar proksi-server signallarni ishga tushirishini istasangiz, Signaldan chiqarib tashlash katagiga belgini olib tashlang.

11. Qo'shish tugmasini bosing.

12. Ilova tugmasini bosing. Proksi-server sahifaning yuqori qismidagi Proksi qabul qilish jadvalida ko'rinadi.

13. Oqimlarni tekshirish bo'limiga o'ting.

Oqimlarni tekshirish

Oqimlarni qabul qilayotganingizni tekshirish uchun quyidagi amallarni bajaring:

1. Flow Collector interfeysida Qo'llab-quvvatlash > Ko'rib chiqish-ni bosing Files asosiy menyuda. Ko'rib chiqish Files sahifasi ochiladi.

2. Sw.logni oching file.

3. ekanligini tekshiring webproksi-server siz ma'lumot olayotganingizni ko'rsatish uchun yuqoriga qarab hisoblamoqda.

Qo'llab-quvvatlash xizmatiga murojaat qilish

Agar sizga texnik yordam kerak bo'lsa, quyidagi usullardan birini bajaring:

• Mahalliy Cisco hamkoringiz bilan bog'laning
• Cisco Support bilan bog'laning
• Ishni ochish uchun web: http://www.cisco.com/c/en/us/support/index.html
• Telefonni qo'llab-quvvatlash uchun: 1-800-553-2447 (AQSh)
• Butun dunyo bo'ylab qo'llab-quvvatlash raqamlari uchun:
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

O'zgartirish tarixi

Mualliflik huquqi haqida ma'lumot

Cisco va Cisco logotipi Cisco va/yoki uning filiallarining AQSh va boshqa mamlakatlardagi savdo belgilari yoki roʻyxatdan oʻtgan savdo belgilaridir. Kimga view Cisco savdo belgilari ro'yxati, bu erga o'ting URL: https://www.cisco.com/go/trademarks. Ko'rsatilgan uchinchi tomon savdo belgilari tegishli egalarining mulki hisoblanadi. Hamkor so'zidan foydalanish Cisco va boshqa kompaniya o'rtasidagi hamkorlik munosabatlarini anglatmaydi. (1721R)

© 2025 Cisco Systems, Inc. va/yoki uning filiallari.
Barcha huquqlar himoyalangan.

Hujjatlar / manbalar

CISCO WSA Secure Network Analytics [pdf] Foydalanuvchi uchun qoʻllanma WSA 14-5-1-016, Blue Coat, McAfee, Squid, WSA Secure Network Analytics, WSA, Secure Network Analytics, Network Analytics, Analytics

Ma'lumotnomalar

• Foydalanuvchi uchun qo'llanma