思科安全网络分析部署
产品信息
规格:
- 产品名称:思科安全网络分析部署
- 集成:用于 ANC 的 Cisco ISE 集成
思科安全网络分析部署和思科 ISE ANC 集成
SMC 的安装
登录控制台,输入命令 SystemConfig。输入设备的网络配置。
数据存储节点的安装
登录控制台,输入命令 SystemConfig。输入设备的网络配置。
我们已经配置了管理接口,下面是第二个网络接口,用于数据节点间通信(与其他数据节点的通信)。
流量收集器的安装
登录控制台,输入命令 SystemConfig。确保所有遥测选项都已选中。
配置遥测端口。
- 净流:2055
- 网络可视性模块:2030
- 防火墙日志:8514
输入设备的网络配置。
流量传感器的安装
登录控制台,输入命令 SystemConfig。输入设备的网络配置。
安装 Cisco Telemetry Broker
Cisco Telemetry Brocker 的核心组件
Cisco Secure Network Analytics(以前称为 Cisco Stealthwatch)是一款强大的优化遥测设备,主要用于:
- 简化 Netflow、SNMP 和 Syslog 流量的收集和聚合。
- 它简化了使用网络设备中的一个导出器而不是不同的导出器来配置和发送 Netflow 数据的过程,特别是当您拥有不同的 Netflow 分析器(如 Cisco Secure Network Analytics、SolarWinds 或 LiveAction)时,或者当您拥有多个带有 Cisco Secure Network Analytics 的流收集器时。
- 此外,当使用多个目的地和不同的日志管理解决方案时,它简化了遥测流。
Cisco Telemetry Broker 的架构由两个组件组成:
- 管理节点
- 经纪人节点。
所有 Broker 节点均由一个 Cisco Telemetry Broker 管理器通过管理接口进行管理。管理器节点需要一个网络接口用于管理流量。Broker 节点需要两个网络接口。一个管理接口用于与管理器通信,另一个遥测接口用于将遥测数据发送到流量收集器,然后由流量收集器再发送到 Cisco Secure Network Analytics 解决方案中配置的目标,例如 SMC 管理控制台。Cisco Secure Network Analytics 解决方案中遥测流量的目标流量收集器 IP 地址/端口添加到管理器节点,并通过管理接口向下推送到 Broker 节点,以指示 NetFlow 流量的去向。
安装 Broker 节点时,必须使用 sudo ctb-manage 命令将其加入到 Manager 节点,并提供 Manager 节点的 IP 地址和管理员凭据。将 Broker 节点添加到 Manager 节点后, Web 管理器节点的 GUI 会显示已添加的 Broker 节点及其管理 IP 地址。要完成 Broker 节点与管理器节点的集成,您需要将 Broker 节点的数据或遥测网络接口添加到管理器节点。最后,防火墙、路由器和交换机等网络设备将使用 Broker 节点遥测接口 IP 地址作为 Netflow 导出器。
部署管理节点
运行 sudo ctb-install –init 命令。
输入以下信息:
- 管理员用户的密码
- 主机名
- 管理网络接口的 IPv4 地址、子网掩码和默认网关地址
- DNS 名称服务器 IP 地址
部署 Broker 节点
运行 sudo ctb-install –init 命令。
输入以下信息:
- 管理员用户的密码
- 主机名
- 管理网络接口的 IPv4 地址、子网掩码和默认网关地址
- DNS 名称服务器 IP 地址
运行 sudo ctb-manage 命令。
输入以下信息:
- Manager节点的IP地址
- Manager节点管理员账户的用户名
登录 Cisco Telemetry Broker。在 web 在浏览器中,输入 Manager 节点的管理接口 IP 地址。在主菜单中选择“Broker 节点”。
在 Broker 节点表中,单击 Broker 节点。在遥测接口部分,配置遥测接口和默认网关。
现在 SNA 设备已配置了管理 IP 地址,我们需要在每个 SNA 组件上完成设备设置工具 (AST)。
设备设置工具 (AST) 将配置设备以便能够与 SNA 部署的其余部分进行通信。
片状模塑料
- 访问 SMC GUI。
- 更改 admin、root 和 sysadmin 的默认密码。
管理网络接口没有变化。
配置主机名和域。 
- 配置 DNS 服务器。
- 配置NTP服务器。
- 最后注册SMC。
- SMC 将重新启动。
数据存储节点
按照相同的步骤,唯一的区别是中央管理设置的配置。在此部分输入 SMC 的 IP 地址 198.19.20.136 以及用户名/密码。
流量收集器
按照相同的步骤,唯一的区别是中央管理设置的配置。在此部分输入 SMC 的 IP 地址 198.19.20.136 以及用户名/密码。
流量传感器
- 按照相同的步骤,唯一的区别是中央管理设置的配置。在此部分输入 SMC 的 IP 地址 198.19.20.136 以及用户名/密码。
- 要完成配置,请初始化 DataStore 节点。
- 通过 SSH 连接到 DataStore 节点并运行 SystemConfig 命令。
- 按照交互式对话框初始化 DataStore 节点。
- 访问 SMC GUI,在中央管理中我们可以看到所有 Cisco SNA 设备都连接到 SMC。
思科遥测代理配置
访问 Cisco Telemetry Broker Manager 节点 GUI。点击“添加目标”,然后选择“UDP 目标”。配置以下参数。
- 目的地名称:SNA-FC
- 目标 IP 地址:198.19.20.137
- 目标 UDP 端口:2055
单击添加规则。 
- 输入 2055 作为接收 UDP 端口。
单击添加目标并选择 UDP 目标。
配置以下参数。
- 目的地名称:经理
- 目标 IP 地址:198.19.20.136
- 目标 UDP 端口:514
- 单击添加规则。
- 输入 2055 作为接收 UDP 端口。
Cisco ISE 身份服务引擎集成
导航到管理 > pxGrid > 证书。
按如下方式填写表格:
- 单击“我想要”字段并选择“下载根证书链”
- 单击“主机名”字段并选择“管理员”
- 单击证书下载格式字段并选择 PEM 选项
- 单击“创建”
- 下载 file 作为 ISE-CA-ROOT-CHAIN.zip。
- 在 SMC 图形用户界面 (GUI) 上,单击“中央管理”。在“中央管理”页面上,找到 SMC 管理器设备,然后选择“编辑设备配置”。
- 单击“常规”。
- 向下滚动到“信任库”,然后点击“添加新文件”。选择“CertificateServicesRootCA-admin_.cer” file. 单击添加证书。
- SMC 现在将信任 ISE CA 颁发的证书。
- 单击“设备”选项卡。向下滚动到“其他 SSL/TLS 客户端身份”部分,然后单击“添加新身份”。
- 它会询问您是否需要生成 CSR,选择“是”,然后单击“下一步”。
按如下方式填写 CSR:
- RSA密钥长度
- 组织
- 组织单位
- 地区或城市
- 州或省
- 国家代码
- 电子邮件
单击生成 CSR,然后单击下载 CSR。
访问 Cisco ISE GUI。导航至管理 > pxGrid > 证书。
使用以下信息:
- 在“我想要”字段中,选择“生成单个证书(带有证书签名请求)”
- 在证书签名请求详细信息字段中填写 CSR
- 在描述字段中输入 SMC
- 在 SAN 字段中选择 IP 地址,然后输入 198.19.20.136 作为关联的 IP 地址
- 选择 PKCS12 格式作为证书下载格式选项
- 输入密码
- 单击“创建”
- 使用名称 SMC-PXGRID 保存创建的证书。
笔记 :
在某些现有的 Cisco ISE 部署中,用于管理、eap 和 pxGrid 服务的系统证书可能已过期,如下所示。
这是因为签署这些系统证书的 Cisco ISE 内部 CA 证书已过期。
要更新系统证书,请前往“管理”>“证书”>“证书签名请求”。在“使用情况”字段中,选择“ISE 根 CA”,然后点击“替换 ISE 根 CA 证书链”。
Cisco ISE 生成新的内部 CA 证书。请记得根据相应的服务(例如 pxGrid)调整“受信任”字段。
现在系统证书有效。
访问 SMC GUI。前往“中央管理”。在 SMC 设备配置选项卡中,向下滚动到“添加 SSL/TLS 客户端身份”表单,然后点击“选择” File中,选择SMC-PXGRID证书。
在 SMC GUI 中,导航到部署 > Cisco ISE 配置。
使用以下参数配置 ISE 配置:
- 集群名称:ISE-CLUSTER
- 证书:SMC-PXGRID
- 主 PxGrid 节点:198.19.20.141
- 客户名称:SMC-PXGRID
导航到监控 > 用户。
请注意,我们可以在 SMC 上看到用户数据。
ISE 自适应网络控制 (ANC) 策略
选择操作 > 自适应网络控制 > 策略列表 > 添加,然后输入 SW_QUARANTINE 作为策略名称,输入隔离作为操作。
访问 SMC GUI。在仪表板中选择一个 IP 地址,我们可以看到 ISE ANC 策略已填充。
- 全局授权例外策略允许您定义覆盖所有策略集中所有授权规则的规则。配置全局授权例外策略后,该策略将添加到所有策略集中。
- 本地授权例外规则会覆盖全局例外规则。因此,首先处理本地例外规则,然后处理全局例外规则,最后处理授权策略的正常规则。
- 这些例外规则的一个有趣的用例是,当您使用自适应网络策略 (ANC) 配置 Cisco ISE 中的 Cisco 安全网络分析 (Stealth watch) 以进行响应管理时,当发出警报时,Cisco 安全网络分析 (Stealth watch) 将请求 Cisco ISE 通过 Px Grid 使用自适应网络控制策略隔离主机。
- 最佳实践是在 Cisco ISE 上配置授权策略,以在本地例外或全局例外中隔离主机。
- 如果您想将 ANC 策略应用于所有策略集、VPN、有线和无线(即所有有线 VPN 和无线用户),请使用全局例外。
- 如果您只想将 ANC 策略应用于 VPN 用户或有线用户。请分别使用 VPN 策略集或有线策略集中的本地策略。
通过 ANC 自动采取行动和响应
场景:一家公司正在使用思科 Umbrella 作为 DNS 服务器来防御互联网威胁。我们需要一个自定义警报,以便当内部用户使用其他外部 DNS 服务器时,触发警报以防止连接到可能将流量重定向到外部站点用于恶意目的的恶意 DNS 服务器。发出警报后,思科安全网络分析将请求思科 ISE 通过 PxGrid 隔离使用自适应网络控制策略的恶意 DNS 服务器的主机。导航至“配置”>“主机管理”。在父主机组“内部主机”中,为您的内部网络创建一个名为“企业网络”的主机组。
在父主机组“外部主机”中,为 Umbrella IP 地址创建一个名为“Umbrella DNS 服务器”的主机组。
内部用户使用思科 Umbrella 作为 DNS 服务器来防御互联网威胁。请配置自定义警报,以便在内部用户使用其他外部 DNS 服务器时触发警报,以防止连接到恶意 DNS 服务器,因为这些服务器可能会将流量重定向到外部站点以用于恶意目的。发出警报后,思科安全网络分析将请求思科 ISE 通过 PxGrid 隔离使用自适应网络控制策略的恶意 DNS 服务器的主机。
导航到配置 > 策略管理。
使用以下信息创建自定义事件:
- 名称:未经授权的 DNS 流量
- 主题主机组:企业网络
- 对等主机组:除 Umbrella DNS 服务器之外的外部主机
- 对等端口/协议:53/UDP 53/TCP
基本上,当企业网络主机组内的任何主机通过 53/UDP 或 53/TCP 与外部主机主机组内的任何主机(Umbrella DNS 服务器主机组内的主机除外)进行通信时,就会触发此事件,并发出警报。
导航至“配置”>“响应管理”。单击“操作”。
选择 ISE ANC 策略操作。输入名称并选择需要联系的 Cisco ISE 集群,以便针对任何违规行为或与恶意服务器的连接应用隔离策略。
在“规则”部分下,创建一个新规则。当内部网络中的任何主机尝试向恶意 DNS 服务器发送 DNS 流量时,此规则将应用先前的操作。在“规则触发条件”部分中,选择“类型”,向下滚动并选择先前创建的自定义事件。在“关联操作”下,选择先前创建的 ISE ANC 操作。
从内部主机打开 CMD 控制台。执行 nslookup 命令,然后执行 server 8.8.8.8 命令。输入一些 8.8.8.8 DNS 服务器需要解析的地址。
导航至“监控”>“ISE ANC 策略分配”。您应该会看到思科安全网络分析工具已通过 PxGrid 和 ISE 应用自适应网络控制策略来隔离主机。
常问问题
问:如何在每个 SNA 组件上完成设备设置工具 (AST)?
A: 一旦 SNA 设备配置了管理 IP 地址,您就可以按照用户手册或设置指南中为该组件提供的具体说明完成每个组件上的 AST。
文件/资源
 |
思科安全网络分析部署 [pdf] 使用说明书 安全网络分析部署、网络分析部署、分析部署、部署 |