Hướng dẫn sử dụng CISCO WSA Secure Network Analytics

Giới thiệu

Để thu thập thông tin người dùng từ máy chủ proxy mạng của bạn cho Nhật ký Proxy của Cisco Secure Network Analytics (trước đây là Stealthwatch), bạn cần cấu hình nhật ký máy chủ proxy. Bộ thu thập luồng sẽ nhận nhật ký và Trình quản lý (trước đây là Bảng điều khiển Quản lý Stealthwatch) sẽ hiển thị thông tin trên trang Bản ghi Proxy Luồng. Trang này cung cấp URLvà tên ứng dụng của lưu lượng truy cập bên trong mạng đi qua máy chủ proxy.

Yêu cầu

Trước khi bắt đầu, hãy xác nhận rằng bạn đã đáp ứng các yêu cầu sau:

• Cisco WSA (14-5-1-016), Blue Coat, McAfee và Squid được hỗ trợ cho cấu hình này. Hãy đảm bảo máy chủ proxy của bạn được cấu hình và đang hoạt động như một phần của mạng.
• Xác nhận rằng Flow Collector và proxy sử dụng cùng một máy chủ NTP (hoặc nhận thời gian từ một nguồn chung để khớp các bản ghi luồng và proxy).
• Chọn Flow Collector để thu thập dữ liệu từ các nhà xuất khẩu và điểm cuối mà bạn muốn điều tra trong nhật ký proxy. Bạn cần địa chỉ IP để cấu hình.
• Không có giới hạn kích thước cụ thể cho các tin nhắn proxy syslog. Tuy nhiên, chúng tôi khuyến nghị các tin nhắn nên ngắn hơn Đơn vị Truyền tải Tối đa (MTU) ngắn nhất trên đường dẫn giữa proxy và Flow Collector, thường là 1500. Điều này giúp loại bỏ tình trạng phân mảnh gói tin và tăng độ tin cậy.
• Nhật ký Proxy không được hỗ trợ ở chế độ Khả dụng cao (HA).

Cấu hình kết thúcview

Hoàn tất các thủ tục sau:

1. Chọn một trong các phương pháp sau để cấu hình máy chủ proxy của bạn.
   • Cấu hình Cisco Web Nhật ký Proxy của Thiết bị Bảo mật (WSA)
   • Cấu hình Nhật ký Proxy Blue Coat
   • Cấu hình Nhật ký Proxy McAfee
   • Cấu hình Nhật ký Proxy Squid
2. Cấu hình Bộ thu thập luồng
3. Kiểm tra luồng

Cấu hình Cisco Web Nhật ký Proxy của Thiết bị Bảo mật (WSA)

Sử dụng phần này để cấu hình nhật ký proxy của Cisco để gửi tới Secure Network Analytics.

Proxy Cisco WSA không hỗ trợ IP ảo để thêm thiết bị proxy.

Để thiết lập nhật ký proxy của Cisco, hãy hoàn thành các bước sau:

1. Đăng nhập vào máy chủ proxy của Cisco.

2. Trên menu chính, nhấp vào Quản trị Hệ thống > Đăng ký Nhật ký. Trang Đăng ký Nhật ký sẽ mở ra.

3. Nhấp vào nút Thêm Đăng ký Nhật ký. Trang Đăng ký Nhật ký Mới sẽ mở ra.

4. Từ danh sách thả xuống Loại Nhật ký, chọn Nhật ký W3C. Các trường Nhật ký W3C khả dụng sẽ xuất hiện.

5. Trong trường Tên nhật ký, nhập tên cho nhật ký mà bạn sẽ sử dụng.

6. Từ danh sách Trường nhật ký khả dụng, chọn Thời gianamp, sau đó nhấp vào Thêm để di chuyển nó vào danh sách Chọn trường nhật ký.

7. Lặp lại bước trước đó cho từng trường nhật ký sau theo thứ tự:

a. lần đầu tiênamp
b. x-thời gian trôi qua
c. c-ip
d. cổng c
ví dụ cs-byte
f. s-ip
g. cổng s
h. sc-byte
i. cs-tên người dùng
j. s-computerName
k. cs-url

Danh sách Trường nhật ký đã chọn phải chứa các trường sau như minh họa:

Danh sách Trường nhật ký đã chọn phải theo thứ tự trên và không có trường nào khác.

8. Cuộn xuống cuối trang, sau đó chọn tùy chọn Syslog Push.

9. Trong trường Tên máy chủ, nhập địa chỉ IP của Flow Collector hoặc tên máy chủ mà proxy gửi nhật ký tới.

Hãy đảm bảo chọn Flow Collector để thu thập dữ liệu từ các nhà xuất khẩu và điểm cuối mà bạn muốn điều tra trong nhật ký proxy.

10. Nhấp vào Gửi. Nhật ký mới sẽ được thêm vào danh sách Đăng ký Nhật ký.

11. Tiếp tục đến phần Cấu hình Flow Collector để thiết lập Flow Collector của bạn để nhận thông tin syslog.

Cấu hình Nhật ký Proxy Blue Coat

Sử dụng phần này để cấu hình nhật ký proxy Blue Coat để gửi tới Secure Network Analytics.

Phiên bản proxy Blue Coat được sử dụng để thử nghiệm là SG V100, SGOS 6.5.5.7 SWG Edition.

Tạo định dạng

Để tạo định dạng nhật ký mới, hãy hoàn thành các bước sau:

1. Trong trình duyệt của bạn, hãy truy cập vào máy chủ proxy Blue Coat.

2. Nhấp vào tab Cấu hình.

3. Trong menu chính của Bảng điều khiển quản lý, nhấp vào Ghi nhật ký truy cập > Định dạng.

4. Nhấp vào Mới ở cuối trang. Trang Tạo Định dạng sẽ mở ra.

5. Trong trường Tên định dạng, nhập tên cho định dạng mới.

6. Chọn Nhật ký mở rộng W3C File Tùy chọn định dạng (ELFF).

7. Trong trường định dạng, nhập chuỗi sau:

thời gianamp thời lượng c-ip c-port r-ip r-port s-ip s-port cs-bytes sc-bytes cs-user cs-host cs-uri

8. Nhấp vào OK. Tiếp tục đến phần tiếp theo, Tạo Nhật ký Mới

Tạo Nhật ký mới

Để tạo nhật ký, hãy hoàn thành các bước sau:

1. Trong menu chính, nhấp vào Truy cập Nhật ký > Nhật ký, rồi chọn định dạng nhật ký mới. Trang Nhật ký sẽ mở ra.

2. Nhấp vào tab Cài đặt chung.

3. Từ danh sách thả xuống Định dạng nhật ký, hãy chọn nhật ký bạn đã tạo ở Bước 1.

4. Trong trường Mô tả, nhập mô tả cho nhật ký mới của bạn.

5. Nhấp vào nút Áp dụng ở cuối trang. Tiếp tục đến phần tiếp theo, Cấu hình Máy khách Tải lên

Cấu hình máy khách tải lên

Để cấu hình ứng dụng tải lên, hãy hoàn thành các bước sau:

1. Nhấp vào tab Tải lên máy khách. Trang Tải lên máy khách sẽ mở ra.

2. Từ danh sách thả xuống Loại máy khách, chọn Máy khách tùy chỉnh.

3. Nhấp vào nút Cài đặt. Trang cài đặt Máy khách Tùy chỉnh sẽ mở ra.

4. Trong các trường thích hợp, nhập địa chỉ IP của Flow Collector và cổng lắng nghe của trình phân tích proxy.

SSL không được hỗ trợ tại thời điểm này.

5. Nhấp vào OK.

6. Đối với các Thông số truyền dẫn, hãy hoàn thành các bước sau:

• a. Đối với Chứng chỉ mã hóa, hãy chọn Không mã hóa.
• b. Từ danh sách thả xuống Móc khóa ký tên, chọn không ký tên.
• c. Từ “Lưu nhật ký file as” chọn Văn bản file lựa chọn.
• d. Trong hộp văn bản “Gửi bộ đệm một phần sau”, nhập 5.
• e. Nhấp vào tab Lịch tải lên và chọn tùy chọn liên tục để Tải nhật ký truy cập lên.
• f. Trong trường Chờ giữa các lần kết nối, nhập 60.
• g. Trong trường Thời gian giữa các gói nhật ký duy trì kết nối, nhập 5.

7. Nhấp vào nút Áp dụng ở cuối trang. Tiếp tục đến phần tiếp theo, Cấu hình Lịch tải lên.

Cấu hình Lịch tải lên

Để cấu hình lịch tải lên, hãy hoàn thành các bước sau:

1. Nhấp vào tab Lịch tải lên.

2. Đối với mục “Tải lên nhật ký truy cập”, hãy chọn liên tục.

3. Thời gian chờ giữa các lần thử đúng là 60 giây.

4. Thời gian giữa các gói nhật ký duy trì hoạt động là 5 giây.

5. Nhấp vào nút Áp dụng ở cuối trang.

Như vậy là hoàn tất việc cấu hình nhật ký proxy Blue Coat cho Flow Collector.

Yêu cầu

Ghi chú thêm về cấu hình:

• Xác nhận rằng Flow Collector và Proxy sử dụng cùng một máy chủ NTP (hoặc nhận thời gian từ một nguồn chung để khớp các bản ghi luồng và proxy).
• Chỉ hỗ trợ một cơ chế xuất nhật ký cho proxy. Nếu bạn đã xuất nhật ký, bạn không thể thu thập và phân tích cú pháp các bản ghi proxy.
• Tính năng UDP Director High Availability không được hỗ trợ.

Cấu hình Trình quản lý chính sách trực quan

Cấu hình Visual Policy Manager cho phép bạn kiểm tra xem nhật ký proxy có được gửi đến Flow Collector hay không.

1. Trong trang tab Cấu hình trên menu chính, nhấp vào Chính sách > Trình quản lý Chính sách Trực quan. Trình quản lý Chính sách Trực quan sẽ mở ra.

2. Nhấp vào nút Khởi chạy ở cuối cửa sổ nhật ký đã cấu hình. Trình quản lý Chính sách Trực quan cho cửa sổ nhật ký sẽ mở ra.

3. Nhấp vào Chính sách > Thêm Web Truy cập Lớp. Màn hình Thêm lớp mới sẽ mở ra.

4. Nhập tên cho lớp mới, sau đó nhấp vào OK.

5. Nhấp chuột phải vào mục Deny trong cột Action, sau đó nhấp vào Set. Hộp thoại Set Action Object sẽ mở ra.

6. Nhấp vào Mới và chọn Sửa đổi Nhật ký Truy cập. Hộp thoại Sửa đổi Nhật ký Truy cập sẽ mở ra.

7. Nhấp vào Bật ghi nhật ký vào.

8. Nhập tên cho nhật ký của bạn rồi chọn nhật ký.

9. Nhấp vào OK. Đối tượng đã được thêm vào.

10. Trong hộp thoại Đặt đối tượng hành động, nhấp vào OK.

11. Nhấp vào nút Cài đặt chính sách ở góc trên bên phải.

12. Nhấp vào Không rồi nhấp vào OK cho các cửa sổ sau.

13. Khởi chạy lại Blue Coat Visual Policy Manager.

14. Nhấp chuột phải vào tab ghi nhật ký rồi chọn Bật lớp.

15. Nhấp vào nút Cài đặt Chính sách. Chính sách đã cài đặt sẽ mở ra.

16. Nhấp vào OK.

17. Nhấp vào tab Thống kê và trong menu nhật ký, chọn nhật ký của bạn.

18. Trong menu chính, nhấp vào Ghi nhật ký Truy cập, rồi nhấp vào tab Log Tail. Cửa sổ Log Tail sẽ mở ra.

19. Nhấp vào nút Bắt đầu Tail ở cuối trang.

20. Trên menu chính của Thống kê, nhấp vào Hệ thống > Ghi nhật ký sự kiện. Trang này sẽ hiển thị nếu nhật ký file được tải lên Flow Collector và các thay đổi được thực hiện. Nó cho biết liệu proxy có được kết nối với Flow Collector hay không.

21. Tiếp tục đến phần Cấu hình Flow Collector để thiết lập Flow Collector của bạn để nhận thông tin syslog.

Cấu hình Nhật ký Proxy McAfee

Sử dụng phần này để cấu hình nhật ký proxy McAfee từ McAfee Web Cổng gửi đến Secure Network Analytics.

• Hãy đảm bảo rằng bạn đã tải xuống cấu hình XML file cho proxy McAfee. Truy cập Cisco Software Central để tải xuống tệp readme và cấu hình XML của Proxy Log. files.
• Đăng nhập vào Tài khoản thông minh Cisco của bạn tại https://software.cisco.com hoặc liên hệ với người quản lý của bạn.
• Phiên bản proxy McAfee được sử dụng để thử nghiệm là 7.4.2.6.0 – 18721.

Để thiết lập nhật ký proxy McAfee, hãy hoàn thành các bước sau:

1. Tải xuống XML file, FlowCollector_[date]_McAfee_Log_XML_Config_[v].xml, sau đó lưu vào vị trí bạn muốn.

“Ngày” chỉ ra ngày của XML filevà “v” biểu thị phiên bản proxy McAfee. Chọn XML file có cùng số phiên bản với proxy McAfee của bạn.

Để tải xuống file, hoàn thành các bước sau:

• a. Đi đến https://software.cisco.com, Trung tâm phần mềm Cisco.
• b. Trong phần Tải xuống và quản lý > Tải xuống và Nâng cấp, chọn Truy cập tải xuống.
• c. Cuộn xuống trường chọn Sản phẩm.
• d. Nhập Secure Network Analytics vào trường Chọn sản phẩm. Nhấn Enter.
• e. Chọn Secure Network Analytics Virtual Flow Collector hoặc một Flow Collector khác.
• f. Chọn Phần mềm Hệ thống Phân tích Mạng An toàn > Cấu hình Files.

2. Đăng nhập vào máy chủ proxy McAfee.

3. Nhấp vào biểu tượng Chính sách, sau đó nhấp vào tab Bộ quy tắc.

4. Chọn Trình xử lý nhật ký, sau đó chọn Mặc định.

5. Nhấp vào Thêm > Bộ quy tắc từ Thư viện.

6. Nhấp vào Nhập từ file, sau đó chọn XML file.

7. Chọn mcafeelancopelog trong trình xử lý nhật ký vừa được nhập.

Đảm bảo rằng bộ quy tắc và quy tắc “tạo logline truy cập” và “gửi đến syslog” được bật.

8. Nhấp vào biểu tượng Cấu hình ở đầu trang.

9. Ở bên trái của trang, nhấp vào File Tab Editor, sau đó chọn rsyslog.conf file.

10. Ở cuối hộp văn bản (bên cạnh danh sách files), nhập văn bản sau:

Hãy đảm bảo chọn Flow Collector để thu thập dữ liệu từ các nhà xuất khẩu và điểm cuối mà bạn muốn điều tra trong nhật ký proxy.

11. Bình luận dòng này:

*.info;mail.none;authpriv.none;cron.none.

12. Thêm dòng này:

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.

13. Nhấp vào nút Lưu thay đổi ở góc trên bên phải của trang.

14. Tiếp tục đến phần Cấu hình Flow Collector để thiết lập Flow Collector của bạn để nhận thông tin syslog.

Cấu hình Nhật ký Proxy Squid

Sử dụng phần này để cấu hình nhật ký proxy Squid để gửi đến Secure Network Analytics. Bạn có thể chỉnh sửa filetrên máy chủ proxy sử dụng SSH.
Để cấu hình nhật ký proxy Squid, hãy hoàn thành các bước sau:

1. Đăng nhập vào shell của máy đang chạy Squid.

2. Vào thư mục chứa squid.conf (thường là /etc/squid) và mở nó trong trình soạn thảo.

3. Thêm các dòng sau vào squid.conf để cấu hình ghi nhật ký:

định dạng nhật ký truy cập_định dạng %ts%03tu % a %>p %>st %

4. Khởi động lại squid bằng lệnh sau:

• Đối với hệ thống dựa trên init: /etc/init.d/squid3 restart
• Đối với các hệ thống dựa trên systemd: systemctl restart squid

5. Cấu hình dịch vụ syslog trên máy chủ Squid để chuyển tiếp nhật ký đến Flow Collector. Điều này phụ thuộc vào bản phân phối Linux/dịch vụ syslog.

Đối với syslog-ng, hãy thêm nội dung sau vào /etc/syslog-ng/syslog-ng.conf:

# Cơ sở Nhật ký Kiểm toán BẮT ĐẦU bộ lọc bs_filter { bộ lọc(f_user) và cấp độ(thông tin) }; đích udp_proxy { udp("10.205.14.15" cổng(514)); }; nhật ký { nguồn(s_all); bộ lọc(bs_filter); đích(udp_proxy); }; # Cơ sở Nhật ký Kiểm toán KẾT THÚC

Đối với rsyslog, hãy thêm nội dung sau vào /etc/rsyslog.conf:

:programname, chứa, "squid" @10.205.14.15:514

Hãy đảm bảo chọn Flow Collector để thu thập dữ liệu từ các nhà xuất khẩu và điểm cuối mà bạn muốn điều tra trong nhật ký proxy.

6. Sau đó khởi động lại dịch vụ syslog.

• Đối với hệ thống dựa trên init:
  /etc/init.d/syslog-ng khởi động lại (đối với syslog-ng)
  /etc/init.d/rsyslog khởi động lại (cho rsyslog)
• Đối với hệ thống dựa trên systemd:
  systemctl restart syslog (cho syslog-ng)
  systemctl restart rsyslog (cho rsyslog)

7. Tiếp tục đến phần Cấu hình Bộ thu thập luồng để nhận thông tin syslog.

Cấu hình Bộ thu thập luồng

Sau khi bạn đã cấu hình máy chủ proxy, bạn cần cấu hình Flow Collector để chấp nhận dữ liệu.

Để cấu hình Flow Collector để nhận thông tin syslog, hãy hoàn thành các bước sau:

1. Đăng nhập vào Trình quản lý của bạn.

2. Chọn Cấu hình > Toàn cầu > Quản lý trung tâm.

3. Nhấp vào biểu tượng (Dấu ba chấm) cho Flow Collector của bạn, sau đó nhấp vào View Thống kê thiết bị.

4. Đăng nhập vào Flow Collector. Giao diện Flow Collector sẽ mở ra.

5. Nhấp vào Cấu hình > Proxy Ingest. Trang Máy chủ Proxy sẽ mở ra.

6. Nhập địa chỉ IP của máy chủ proxy.

7. Từ danh sách thả xuống Loại Proxy, hãy chọn máy chủ proxy của bạn.

Nếu loại máy chủ proxy của bạn không được liệt kê, bạn sẽ không thể sử dụng nhật ký proxy tại thời điểm này.

8. Nếu Máy chủ Proxy:

• chỉ có một địa chỉ IP, sau đó nhập địa chỉ IP của máy chủ proxy vào trường Địa chỉ IP. Để trống trường Địa chỉ IP Telemetry.
• Nếu có nhiều địa chỉ IP hơn, hãy nhập địa chỉ IP quản lý của máy chủ proxy (địa chỉ IP nguồn của thông báo syslog) vào trường Địa chỉ IP. Trong trường Địa chỉ IP đo từ xa, hãy nhập địa chỉ IP đo từ xa của máy chủ proxy.

9. Trong trường Proxy Service Port, nhập số cổng của máy chủ proxy.

10. Nếu bạn muốn máy chủ proxy kích hoạt cảnh báo, hãy bỏ chọn hộp kiểm Loại trừ khỏi cảnh báo.

11. Nhấp vào Thêm.

12. Nhấp vào Áp dụng. Máy chủ proxy sẽ xuất hiện trong bảng Proxy Ingest ở đầu trang.

13. Tiếp tục đến phần Kiểm tra luồng.

Kiểm tra luồng

Để kiểm tra xem bạn có nhận được luồng hay không, hãy hoàn thành các bước sau:

1. Trong giao diện Flow Collector, nhấp vào Hỗ trợ > Duyệt Files trong menu chính. Duyệt Filetrang s sẽ mở ra.

2. Mở sw.log file.

3. Kiểm tra xem webproxy đang đếm ngược để cho biết bạn đang nhận dữ liệu.

Liên hệ hỗ trợ

Nếu bạn cần hỗ trợ kỹ thuật, vui lòng thực hiện một trong các thao tác sau:

• Liên hệ với Đối tác Cisco tại địa phương của bạn
• Liên hệ với bộ phận hỗ trợ của Cisco
• Để mở một trường hợp bằng cách web: http://www.cisco.com/c/en/us/support/index.html
• Để được hỗ trợ qua điện thoại: 1-800-553-2447 (CHÚNG TA)
• Đối với các số hỗ trợ trên toàn thế giới:
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Lịch sử thay đổi

Thông tin bản quyền

Cisco và logo Cisco là nhãn hiệu hoặc nhãn hiệu đã đăng ký của Cisco và/hoặc các chi nhánh của Cisco tại Hoa Kỳ và các quốc gia khác. view danh sách các nhãn hiệu của Cisco, hãy truy cập vào đây URL: https://www.cisco.com/go/trademarks. Các nhãn hiệu của bên thứ ba được đề cập là tài sản của chủ sở hữu tương ứng của chúng. Việc sử dụng từ đối tác không ngụ ý mối quan hệ đối tác giữa Cisco và bất kỳ công ty nào khác. (1721R)

© 2025 Cisco Systems, Inc. và/hoặc các chi nhánh của nó.
Mọi quyền được bảo lưu.

Tài liệu / Tài nguyên

Phân tích mạng an toàn CISCO WSA [tập tin pdf] Hướng dẫn sử dụng WSA 14-5-1-016, Blue Coat, McAfee, Squid, WSA Phân tích mạng an toàn, WSA, Phân tích mạng an toàn, Phân tích mạng, Phân tích

Tài liệu tham khảo

• Hướng dẫn sử dụng