Мазмуну жашыруу
1 CISCO Коопсуз Булут Аналитика Сенсору
2 Introduction
3 Сенсорду жайгаштыруу боюнча эске алынуучу жагдайлар
4 Сенсордун алдын ала талаптары
5 Физикалык шаймандардын кошумча талаптары
6 Сенсордук медианы орнотуу жана конфигурациялоо
7 Сенсорду орнотуу
8 Эмне кылуу керек
9 Сенсорлорду туташтыруу Web Портал
10 Агымды чогултуу үчүн сенсорлорду конфигурациялоо
11 Проблемаларды чечүү
12 Кошумча ресурстар
13 Өзгөртүү тарыхы
14 Көп берилүүчү суроолор
15 Документтер / Ресурстар
15.1 Шилтемелер

CISCO логотиби

CISCO Коопсуз Булут Аналитика Сенсору

CISCO-Коопсуз-Булут-Аналитика-Сенсо-продукт

Introduction

Cisco Secure Cloud Analytics (азыр Cisco XDRдин бир бөлүгү) - бул SaaS негизиндеги коопсуздук кызматы, ал IT чөйрөсүндөгү, жергиликтүү жана булуттагы коркунучтарды аныктайт жана аларга жооп берет. Бул колдонмодо Secure Cloud Analytics сенсорлорун ишкана тармактарында, жеке маалымат борборлорунда, филиалдарда жана башка жергиликтүү чөйрөлөрдө колдонуу үчүн жеке тармакты көзөмөлдөө кызматыңыздын бир бөлүгү катары кантип жайгаштыруу керектиги түшүндүрүлөт.

  • Эгер сиз Secure Cloud Analyticsти Amazon сыяктуу коомдук булут чөйрөлөрүндө гана колдонууну пландап жатсаңыз Web Кызматтар, Microsoft Azure же Google Cloud Platform, сизге сенсор орнотуунун кажети жок. Көбүрөөк маалымат алуу үчүн коомдук булут мониторинги боюнча колдонмолорго өтүңүз.
  • Бул колдонмодо сенсорду Ubuntu Linux'ка орнотуу боюнча көрсөтмөлөр берилген. Башка операциялык тутумдарга орнотуу боюнча көрсөтмөлөр үчүн Secure Cloud Analytics Sensor Advanced Configuration Guide караңыз.

Сенсорду жайгаштыруу боюнча эске алынуучу жагдайлар

  • Сиз сенсорлорду NetFlow сыяктуу агым маалыматтарын чогултуу же тармагыңыздагы роутерден же коммутаторлордон чагылдырылган тармак трафигин кабыл алуу үчүн жайгаштыра аласыз. Ошондой эле, сенсорду агым маалыматтарын чогултуу жана чагылдырылган тармак трафигин кабыл алуу үчүн конфигурациялай аласыз. Орнотулган сенсорлордун санына чектөө жок.
  • Эгер сиз агым маалыматтарын чогултуу үчүн сенсорду конфигурациялагыңыз келсе, көбүрөөк маалымат алуу үчүн Агым маалыматтарын чогултуу үчүн сенсорду конфигурациялоо бөлүмүн караңыз.
  • Эгер сиз сенсорду күзгүдөн же SPAN портунан трафикти кабыл алуу үчүн конфигурациялагыңыз келсе, тармак түзмөктөрүңүздү трафикти чагылдыруу үчүн конфигурациялоо боюнча көбүрөөк маалымат алуу үчүн Тармак түзмөгүнүн конфигурациясын караңыз.
  • Сенсордун 4.0 же андан жогорку версиясы жакшыртылган NetFlow телеметриясын чогулта алат. Бул Secure Cloud Analyticsке жаңы типтеги байкоолорду жана эскертүүлөрдү түзүүгө мүмкүндүк берет. Көбүрөөк маалымат алуу үчүн, Enhanced NetFlow үчүн Secure Cloud Analytics конфигурациясы боюнча колдонмону караңыз.
  • Сенсор IPv6 колдобойт.

Сенсордун алдын ала талаптары

Сиз сенсорду физикалык шайманга же виртуалдык машинага төмөнкү талаптарды аткаруу менен орното аласыз:

Компонент Минималдуу талап
Тармак интерфейси Коопсуз булут аналитикасы кызматына маалымат берүү үчүн жок дегенде бир тармактык интерфейс, Control интерфейси катары дайындалган. Кошумча катары, эгер сиз сенсорду аны күзгү порту аркылуу кайталаган тармактык түзмөктөн тармактык трафикти кабыл алуу үчүн конфигурациялагыңыз келсе, сизге Күзгү интерфейстери катары дайындалган бир же бир нече тармактык интерфейстер керек.
RAM 4 ГБ
CPU жок дегенде эки өзөк
Сактагыч мейкиндиги Secure Cloud Analytics кызматына жазууларды жөнөтүүдөн мурун NetFlow өндүрүш маалыматтарын кэштөө үчүн 60 ГБ диск мейкиндиги колдонулат.
Интернетке кирүү орнотуу процесси үчүн пакеттерди жүктөп алуу талап кылынат

Белгиленген күзгү интерфейстери жөнүндө төмөнкүлөргө көңүл буруңуз:

  • Күзгү интерфейстери бардык кирүүчү жана чыгуучу булак трафигинин көчүрмөсүн көздөгөн жерге чейин алат. Эң жогорку трафик сенсордун Күзгү интерфейсинин байланышынын сыйымдуулугунан аз экенин текшериңиз.
  • Эгерде күзгү портунун көздөгөн жери өтө көп трафик менен конфигурацияланган болсо, көптөгөн коммутаторлор баштапкы интерфейстерден пакеттерди чыгарып салышат.

Физикалык шаймандардын кошумча талаптары

Компонент Минималдуу талап
Орнотуу File Жүктөө .iso орнотуусун жүктөө үчүн төмөнкүлөрдүн бири file:
  • 1 USB порту, ошондой эле USB флеш-диск
  • 1 оптикалык диск, ошондой эле жазылуучу оптикалык диск (мисалы, CD-R диск)

Виртуалдык машиналар түз эле .iso файлына жүктөлүшү мүмкүн file кошумча талаптарсыз.

Виртуалдык машинанын кошумча талаптары
Эгер сенсоруңуз виртуалдык машина катары жайгаштырылса, эгер сиз трафикти күзгүдөн же SPAN портунан алууну пландап жатсаңыз, виртуалдык хост жана тармак экинчи тармак интерфейсинде башаламан режимге конфигурацияланганын текшериңиз.

  • Сенсорду VMWare 8 чөйрөсүнө жайгаштырганда, демейки UEFI жүктөө жөндөөсүн колдонууда сенсор жүктөлбөй калат. Бул көйгөйдү чечүү үчүн, "Жабдууну ыңгайлаштыруу" кадамында VM параметрлери > Жүктөө параметрлери дегенди тандап, андан кийин "Фирматура" ачылуучу тизмесинен BIOS тандаңыз.

VMware гипервизору
Эгер сиз виртуалдык машинаны VMware гипервизорунда иштетип жатсаңыз, виртуалдык которгучту бурмаланган режимге конфигурациялаңыз:

  1. Инвентаризациядан хостту тандаңыз.
  2. Конфигурация өтмөгүн тандаңыз.
  3. "Тармак" баскычын чыкылдатыңыз.
  4. Виртуалдык коммутатор үчүн "Касиеттерди" чыкылдатыңыз.
  5. Виртуалдык которгучту тандап, "Түзөтүү" баскычын чыкылдатыңыз.
  6. Коопсуздук тактасын тандаңыз.
  7. "Бузулган режим" ачылуучу тизмесинен "Кабыл алуу" дегенди тандаңыз.

Бузуу режими жөнүндө көбүрөөк маалымат алуу үчүн VMware билим базасын караңыз. VLAN ID'син 4095ке коюшуңуз керек болушу мүмкүн.

VirtualBox
Эгер сиз виртуалдык машинаны VirtualBox'то иштетип жатсаңыз, адаптерди бузуку режимге конфигурациялаңыз:

  1.  Тармак жөндөөлөрүнөн Күзгү интерфейси үчүн адаптерди тандаңыз.
  2.  "Кеңейтилген жөндөөлөр" бөлүмүндө "промискуалдык" режимин "Уруксат берүү" деп коюңуз.

Көбүрөөк маалымат алуу үчүн виртуалдык тармак боюнча VirtualBox документтерин караңыз.

Сенсорду жайгаштыруу боюнча сунуштар
Тармак топологиялары ар кандай болушу мүмкүн болгондуктан, сенсорлоруңузду жайгаштырууда төмөнкү жалпы көрсөтмөлөрдү эске алыңыз:

  1.  Сенсорлорду төмөнкүлөргө жайгаштыргыңыз келеби же жокпу, аныктаңыз:
    • агым маалыматтарын чогултуу
    • күзгүгө айланган тармак трафигин кабыл алуу
    • кээ бирлери агым маалыматтарын чогултат, ал эми башкалары күзгүдөгү тармактык трафикти кабыл алат
    • агым маалыматтарын чогултат жана күзгүдөгү тармактык трафикти кабыл алат
  2.  Эгерде агым маалыматтарын чогултуп жатсаңыз, тармак түзмөктөрүңүз NetFlow v5, NetFlow v9, IPFIX же sFlow сыяктуу кандай форматтарды экспорттой аларын аныктаңыз.
    Көптөгөн брандмауэрлер, анын ичинде Cisco ASA брандмауэрлери жана Cisco Meraki MX Appliances, NetFlowду колдойт. Брандмауэриңиз NetFlowду да колдойбу же жокпу, аныктоо үчүн өндүрүүчүңүздүн колдоо документтерин карап чыгыңыз.
  3. Сенсордогу тармак порту Күзгү портторунун сыйымдуулугун колдой алаарын текшериңиз.
    Эгер сизге тармагыңызга бир нече сенсорлорду жайгаштыруу боюнча жардам керек болсо, Cisco колдоо кызматына кайрылыңыз.

Сенсор версияңызды текшерүү
Тармагыңызда эң акыркы сенсор орнотулганын текшерүү үчүн (5.1.3 версиясы), буйрук сабынан учурдагы сенсордун версиясын текшере аласыз. Эгерде жаңыртуу керек болсо, сенсорду кайра орнотуңуз.

  1.  SSH орнотулган сенсорго.
  2. Сурам боюнча cat /opt/obsrvbl-ona/version деп терип, Enter баскычын басыңыз. Эгерде консол 5.1.3 версиясын көрсөтпөсө, анда сенсоруңуз эскирип калган. Эң акыркы сенсордун ISO файлын төмөнкүдөн жүктөп алыңыз. web порталдын колдонуучу интерфейси.

Сенсорго кирүү талаптары
Физикалык түзмөк же виртуалдык машина интернет аркылуу белгилүү бир кызматтарга кире алышы керек. Сенсор менен тышкы интернеттин ортосундагы төмөнкү трафикке уруксат берүү үчүн брандмауэриңизди конфигурациялаңыз:

Трафик түрү Талап кылынат IP дареги, домен жана порт, же конфигурация
Чыгуучу HTTPS трафиги ооба
  • 443-порт жана IP дареги
Сенсордун башкаруу интерфейси Amazon сайтында жайгаштырылган Secure Cloud Analytics кызматына Web Кызматтар порталыңыздын IP дареги
  • Коопсуз булут аналитикасы аймагыңыз үчүн AWS S3 IP даректери. AWS IP даректери өзгөрүшү мүмкүн болгондуктан, AWS караңыз
  • IP даректеринин диапазондору боюнча жардам темасы жана берилген JSON форматында S3 кызматын жана AWS аймагыңызды издөө fileAWS аймагыңызды табуу үчүн, Secure Cloud Analytics башкаруу панелине өтүп, барактын ылдый жагына жылдырыңыз. Төмөнкү колонтитулдагы талаада порталыңыз үчүн төмөнкү AWS аймактарына туура келген аймактын аталышы көрсөтүлөт:
    • Түндүк Америка (Түндүк Вирджиния): us-east-1
    • Европа (Франкфурт): eu-center-1
    • Австралия (Сидней): ap- түштүк-чыгыш-2
1. Администратор катары сенсорго SSH колдонуңуз.
2. Буйрук сабына төмөнкү буйрукту киргизиңиз:
Сенсорду белгилүү Cisco даректери менен гана байланышууга мажбурлоо жок sudo nano opt/obsrvbl-ona/config.local баскычын басып, Кириңиз конфигурацияны түзөтүү үчүн file 3. OBSRVBL_SENSOR_ EXT_ONLY жөндөөсүн төмөнкүгө жаңыртыңыз: OBSRVBL_SENSOR_ EXT_ONLY=true.
4. Өзгөртүүлөрдү сактоо үчүн Ctrl + 0 баскычтарын басыңыз.

5. 6-командадан чыгуу үчүн Ctrl + x баскычтарын басыңыз. Сенсорду өчүрүп-күйгүзүү үчүн буйрук сабына sudo service obsrvbl-ona restart деп киргизиңиз.
Linux OS жана ага байланыштуу жаңыртууларды жүктөп алуу үчүн сенсордун башкаруу интерфейсинен Ubuntu Linux серверине чыгуучу трафик ооба
Хост атын чечүү үчүн сенсордун башкаруу интерфейсинен DNS серверине чыгуучу трафик ооба
  •  [жергиликтүү DNS сервер]: 53/UDP
Алыстан көйгөйлөрдү чечүүчү түзүлүштөн сенсоруңузга кирүүчү трафик жок
  • 54.83.42.41:22/TCP

Эгер сиз прокси кызматын колдонсоңуз, сенсордук башкаруу интерфейсинин IP даректери үчүн прокси өзгөчөлүгүн түзүңүз.

Тармак түзмөгүнүн конфигурациясы
Тармак коммутаторуңузду же роутериңизди трафиктин көчүрмөсүн чагылдырууга конфигурациялап, андан кийин аны сенсорго өткөрө аласыз.

  • Сенсор кадимки жол кыймылынын агымынан тышкары жайгашкандыктан, ал сиздин жол кыймылыңызга түздөн-түз таасир эте албайт. Сиз киргизген конфигурация өзгөртүүлөрү web порталдын интерфейси трафиктин кандайча агып жатканына эмес, эскертүүлөрдүн түзүлүшүнө таасир этет. Эгер сиз эскертүүлөрдүн негизинде трафикке уруксат бергиңиз же бөгөттөгүңүз келсе, брандмауэр жөндөөлөрүңүздү жаңыртыңыз.
  • Тармактык коммутаторлорду өндүрүүчүлөр жана чагылдырылган трафикти конфигурациялоо үчүн ресурстар жөнүндө маалымат алуу үчүн төмөнкүлөрдү караңыз:
Өндүрүүчү Түзмөктүн аталышы Документация
NetOptics тармактык кранд Документация жана башка маалымат алуу үчүн Ixia'нын ресурстар барагын караңыз
Гигамон тармактык кранд Документация жана башка маалымат алуу үчүн Gigamonдун ресурстарын жана билим баракчаларын караңыз

Анализатор (SPAN)
Арча порт күзгүсү Мурунку маалымат үчүн Juniper's TechLibrary документтерин караңызampEX сериялык коммутаторлорунда кызматкерлердин ресурстарын колдонууну жергиликтүү мониторингдөө үчүн портторду чагылдырууну конфигурациялоо боюнча окуу
NETGEAR порт күзгүсү Мурунку колдонуучу үчүн Netgear билим базасынын документтерин караңызampпортту чагылдыруунун мааниси жана ал башкарылуучу которгуч менен кантип иштээри
ZyXEL порт күзгүсү ZyXEL коммутаторлорунда күзгүгө айландыруу функциясын кантип колдонуу керектиги жөнүндө маалымат алуу үчүн ZyXEL билим базасынын документтерин караңыз.
башка монитор порту, анализатор порту, таптоо порту Бир нече өндүрүүчүлөр үчүн коммутатордун шилтемеси үчүн Wiresharkтын вики документтерин караңыз

Ошондой эле, трафиктин көчүрмөсүн сенсорго өткөрүү үчүн тармактык сыноо кирүү чекитинин (кранын) түзмөгүн жайгаштырсаңыз болот. Тармактык крандын өндүрүүчүлөрү жана тармактык крандын конфигурациялоо үчүн ресурстар жөнүндө маалымат алуу үчүн төмөнкүлөрдү караңыз.

Өндүрүүчү Түзмөктүн аталышы Документация
NetOptics тармактык кранд Документация жана башка маалымат алуу үчүн Ixia'нын ресурстар барагын караңыз
Гигамон тармактык кранд Документация жана башка маалымат алуу үчүн Gigamonдун ресурстарын жана билим баракчаларын караңыз

Агымды конфигурациялоо
NetFlow маалыматтарын өткөрүү үчүн тармак түзмөгүңүздү конфигурациялашыңыз керек. Караңыз https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco Cisco тармак түзмөктөрүндө NetFlow'ду конфигурациялоо боюнча көбүрөөк маалымат алуу үчүн NetFlow_Configuration.pdf файлын караңыз.

Сенсордук медианы орнотуу жана конфигурациялоо

Орнотууну баштоодон мурун, кайраview орнотуу жана конфигурациялоо үчүн керектүү даярдык, убакыт жана ресурстар менен катар процессти түшүнүү үчүн көрсөтмөлөр.
Бул орнотуу үчүн эки вариант бар:

  • Виртуалдык машинага сенсорду орнотуу: Эгер сиз виртуалдык машинага сенсор орнотсоңуз, анда .iso файлынан жүктөй аласыз. file түздөн-түз.
  •  Сенсорду физикалык шайманга орнотуу: Эгер сиз сенсорду физикалык шайманга орнотсоңуз, .iso файлын колдонуп жүктөлүүчү медианы түзөсүз file, андан кийин шайманды өчүрүп-күйгүзүп, ошол медиадан жүктөңүз.

Орнотуу процесси сенсорду орнотуудан мурун, сенсор орнотула турган дискти тазалайт. Орнотууну баштоодон мурун, сенсорду орното турган физикалык түзмөктө же виртуалдык машинада сактагыңыз келген эч кандай маалымат жок экенин текшериңиз.

Жүктөө медиасын түзүү

  • Эгер сиз сенсорду физикалык шайманга орнотуп жатсаңыз, анда сиз .iso орнотосуз. file ал Ubuntu Linux негизинде сенсорду орнотот.
  • Эгер сиз .iso жазсаңыз file CD же DVD сыяктуу оптикалык дискке көчүрүү үчүн, сиз оптикалык диск түзмөгүндөгү оптикалык диск менен физикалык түзмөктү өчүрүп-күйгүзүп, оптикалык дисктен жүктөөнү тандай аласыз.
  • Эгер сиз .iso файлы менен USB флеш-диск түзсөңүз file жана Rufus утилитасын колдонуп, сиз физикалык түзмөктү өчүрүп-күйгүзүп, USB флэш-дискти USB портуна салып, USB флэш-дисктен жүктөөнү тандай аласыз.
  • Эгер сиз ISO колдонбостон сенсорду жайгаштырсаңыз, трафикке уруксат берүү үчүн жергиликтүү шаймандын брандмауэр жөндөөлөрүн жаңыртышыңыз керек болушу мүмкүн. Берилген ISOну колдонуп, сенсорду жайгаштырууну сунуштайбыз.
  • Жүктөлүүчү USB флеш-дискти түзүү флеш-дисктеги бардык маалыматты жок кылат. Флеш-дискте башка эч кандай маалымат жок экенин текшериңиз.

Сенсордун ISO файлын жүктөп алыңыз file
Сенсордун ISO акыркы версиясын төмөнкүдөн жүктөп алыңыз: web портал. Муну орнотуу (жаңы сенсор үчүн) же кайра орнотуу (бар болгон сенсорду жаңыртуу үчүн) үчүн колдонуңуз.

  1.  Secure Cloud Analytics кызматына администратор катары кириңиз.
  2.  Жардам (?) > Жергиликтүү сенсорду орнотууну тандаңыз.
  3.  Эң акыркы ISO версиясын жүктөп алуу үчүн .iso баскычын басыңыз.
  4. Жүктөлүүчү оптикалык диск түзүү же Жүктөлүүчү USB флэш-диск түзүү бөлүмүнө өтүңүз.

Жүктөлүүчү оптикалык диск түзүү
.iso көчүрүү үчүн өндүрүүчүңүздүн көрсөтмөлөрүн аткарыңыз file оптикалык дискке.

Жүктөлүүчү USB флэш-дискти түзүү

  1. Жүктөлүүчү USB флэш-дискти түзүү үчүн колдонгуңуз келген түзмөктүн USB портуна бош USB флэш-дискти салыңыз.
  2.  Жумуш станциясына кириңиз.
  3. Сиздин web браузерде Rufus утилитасын ачыңыз webсайт.
  4.  Rufus утилитасын акыркы версиясын жүктөп алыңыз.
  5. Rufus утилитасын ачыңыз.
  6.  "Түзмөк" ачылуучу тизмесинен USB флэш-дискти тандаңыз.
  7. Жүктөөнү тандоо ачылуучу тизмесинен Диск же ISO сүрөтүн тандаңыз.
  8. "ТАНДОО" баскычын чыкылдатып, сенсордун ISO маанисин тандаңыз file.
  9. START басыңыз.

Жүктөлүүчү USB флеш-дискти түзүү флеш-дисктеги бардык маалыматты жок кылат. Флеш-дискте башка эч кандай маалымат жок экенин текшериңиз.

Сенсорду орнотуу

  1.  .iso үчүн жүктөө ыкмасын төмөнкүдөй тандаңыз:
    • Виртуалдык машина: Эгер сиз виртуалдык машинага орнотуп жатсаңыз, .iso файлынан жүктөңүз file.
    • Физикалык шайман: Эгер сиз физикалык шайманга орнотуп жатсаңыз, жүктөлүүчү медианы салып, шайманды өчүрүп-күйгүзүп, жүктөлүүчү медиадан жүктөңүз.
  2. Баштапкы сурамда "ONA (Статикалык IP) орнотуу" дегенди тандап, андан кийин Enter баскычын басыңыз.
  3. CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (2)Жебе баскычтарын колдонуп, тилдер тизмесинен тилди тандап, андан кийин Enter баскычын басыңыз. CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (3)
  4. Клавиатураны конфигурациялоо үчүн сизде төмөнкү параметрлер бар:
    • Баскычтопту конфигурациялоо үчүн Макетти жана Вариантты тандап, андан кийин Enter баскычын басыңыз.
    • "Клавиатураны аныктоо" тандап, андан кийин Enter баскычын басыңыз. CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (4)
  5. Тармакты конфигурациялоо үчүн, Кол менен тандап, Enter баскычын басыңыз. CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (5)Башка бардык тармак интерфейстери автоматтык түрдө Күзгү интерфейстери катары конфигурацияланат.
  6.  Түзмөк үчүн кошумча тармакты киргизип, жебе баскычтары менен "Улантуу" дегенди тандап, Enter баскычын басыңыз.
  7.  Түзмөктүн IP дарегин киргизип, "Жебе баскычтары менен улантуу" дегенди тандап, Enter баскычын басыңыз.
  8. Gateway роутеринин IP дарегин киргизип, жебе баскычтары менен улантууну тандап, Enter баскычын басыңыз.
  9.  (Милдеттүү эмес) Домендерди издөө үчүн, IP дарегин аныктоого аракет кылганда хосттун аталышына автоматтык түрдө кошула турган доменди(лерди) киргизиңиз, "Жебе баскычтары менен улантуу" дегенди тандап, Enter баскычын басыңыз.
    Демейки боюнча, орнотуу автоматтык түрдө DHCPди колдонот жана орнотууну улантат. DHCP IP дарегин өзгөртүү үчүн, орнотуу аяктагандан кийин интерфейсти кол менен түзөтүшүңүз керек болот.
    Эгер тармагыңызда жергиликтүү ыйгарым укуктуу аталыш серверинин дареги жайгаштырылган болсо, анда аны киргизүүнү сунуштайбыз. CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (6)
  10. Административдик уруксаттар үчүн түпкү эмес аккаунт менен байланышкан жаңы колдонуучунун толук атын киргизиңиз, андан кийин жебе баскычтары менен улантууну тандап, Enter баскычын басыңыз.
  11.  Сервериңиздин атын киргизиңиз, бул сенсор башка компьютерлер менен байланышканда колдоно турган жана Secure Cloud Analytics порталында көрүнүп турган аталыш, андан кийин жебе баскычтары менен улантууну тандап, Enter баскычын басыңыз.
  12.  Административдик уруксаттары бар түпкү эмес аккаунт болгон аккаунтуңуздун колдонуучу атын киргизиңиз, андан кийин жебе баскычтары менен "Улантуу" дегенди тандап, Enter баскычын басыңыз.
  13.  Жаңы колдонуучу үчүн сырсөз тандаңыз, андан кийин "Жебе баскычтары менен улантуу" дегенди тандап, Enter баскычын басыңыз.
  14. Текшерүү үчүн сырсөздү кайра киргизиңиз, андан кийин "Жебе баскычтары менен улантуу" дегенди тандап, Enter баскычын басыңыз. Эгер сиз бир эле сырсөздү эки жолу киргизбеген болсоңуз, кайра аракет кылыңыз.
    Орнотуу учурунда түзүлгөн аккаунт - бул виртуалдык машинага кирүү үчүн колдоно турган жалгыз аккаунт. Бул орнотуу өзүнчө Secure Cloud Analytics порталынын аккаунтун түзбөйт. CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (7)
  15. Орнотуу процессин ырастоо үчүн, "Улантуу" баскычын тандап, андан кийин Enter баскычын басыңыз.
    Бул аракет дисктеги бардык маалыматтарды жок кылат. Улантуудан мурун анын бош экенин текшериңиз.CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (8)Орнотуучу керектүү файлды орнотушу үчүн бир нече мүнөт күтө туруңуз files.
  16. Орноткуч "Орнотуу аяктады" дегенди көрсөткөндө, жебе баскычтары менен "Азыр кайра жүктөө" дегенди тандап, андан кийин шайманды өчүрүп-күйгүзүү үчүн Enter баскычын басыңыз.CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (9)
  17. Түзмөк кайра жүктөлгөндөн кийин, маалыматыңыздын туура экенине ынануу үчүн түзүлгөн аккаунт менен кириңиз.

Эмне кылуу керек

  • Эгер жеке чөйрөңүзгө кирүүнү чектеп жатсаңыз, тиешелүү IP даректер менен байланышууга уруксат берилгенин текшериңиз. Көбүрөөк маалымат алуу үчүн Сенсорго кирүү талаптарын караңыз.
  • Эгер сиз NetFlow сыяктуу тармактык агым трафигин чогултуу үчүн сенсорду колдонуп жатсаңыз, сенсорду конфигурациялоо боюнча көбүрөөк маалымат алуу үчүн Агым маалыматтарын чогултуу үчүн сенсорду конфигурациялоо бөлүмүн караңыз.
  •  Эгер сиз сенсорду колдонуп, аны SPAN же күзгү портторуна туташтырып, күзгү трафигин чогултуп жатсаңыз, "Сенсорлорду туташтыруу" бөлүмүн караңыз Web Коопсуз булут аналитикасына сенсорлорду кошуу боюнча көбүрөөк маалымат алуу үчүн портал web порталы.
  •  Эгер сиз сенсорду Enhanced NetFlow телеметриясын өткөрүү үчүн конфигурациялап жатсаңыз, көбүрөөк маалымат алуу үчүн Enhanced NetFlow үчүн Cisco Secure Cloud Analytics конфигурациялоо боюнча колдонмосун караңыз.

Сенсорлорду туташтыруу Web Портал

  • Сенсор орнотулгандан кийин, аны порталыңыз менен байланыштыруу керек болот. Бул сенсордун жалпыга ачык IP дарегин аныктоо жана аны киргизүү аркылуу жасалат web портал. Эгер сиз сенсордун жалпыга ачык IP дарегин аныктай албасаңыз, сенсорду анын уникалдуу тейлөө ачкычын колдонуп, порталыңызга кол менен туташтыра аласыз.

Сенсор төмөнкү порталдарга туташа алат:

Эгерде бир нече сенсорлор s болсоtagMSSP сыяктуу борбордук жерде жайгаштырылган жана алар ар кандай кардарлар үчүн арналган, ар бир жаңы кардар конфигурациялангандан кийин коомдук IP дареги алынып салынышы керек. Эгерде s'тин коомдук IP дарегиtagЭгерде чөйрө бир нече сенсорлор үчүн колдонулса, сенсор туура эмес порталга туура эмес туташып калышы мүмкүн.
Эгер сиз прокси-серверди колдонуп жатсаңыз, сенсор менен Коопсуз булут аналитикасынын ортосундагы байланышты иштетүү үчүн "Проксиди конфигурациялоо" бөлүмүндөгү кадамдарды аткарыңыз. web порталы.

Сенсордун жалпыга ачык IP дарегин табуу жана порталга кошуу

  1. Администратор катары сенсорго SSH жөнөтүңүз.
  2. Буйрук сабына c киргизиңизurl https://sensor.ext.obsrvbl.comandpressEnterБелгисиз идентификация катасынын мааниси сенсор портал менен байланышы жок экенин билдирет. Мисалы, төмөнкү сүрөттү караңызample.CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (10)Сиздин кызмат көрсөтүүчүңүз URL жайгашкан жериңизге жараша ар кандай болушу мүмкүн. Коопсуз булут аналитикасы порталыңызда, Орнотуулар > Сенсорлор бөлүмүнө өтүп, кызмат хостун табуу үчүн барактын ылдый жагына жылдырыңыз. url.
  3.  Идентификациялык IP дарегин көчүрүңүз.
  4.  Сенсордон чыгыңыз.
  5.  Secure Cloud Analytics кызматына сайттын администратору катары кириңиз.
  6.  Орнотуулар > Сенсорлор > Коомдук IP дарегин тандаңыз.
  7. "Жаңы IP дарегин кошуу" баскычын чыкылдатыңыз.
  8. Жаңы дарек талаасына идентификациялык IP дарегин киргизиңиз.9. Түзүү баскычын басыңыз. Портал жана сенсордук алмашуу ачкычтарынан кийин, алар келечекти орнотот
  9. CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (11) "Түзүү" баскычын басыңыз. Портал жана сенсор ачкычтарды алмаштыргандан кийин, алар келечектеги байланыштарды коомдук IP дарегин эмес, ачкычтарды колдонуп түзүшөт.
    Жаңы сенсор порталда чагылдырылганга чейин 20 мүнөткө чейин убакыт кетиши мүмкүн.

Порталдын тейлөө ачкычын сенсорго кол менен кошуу
Эгер сиз сенсордун жалпыга ачык IP дарегин кошо албасаңыз web портал, же сиз
MSSP бир нечесин башкарат web порталдарда, сенсордун config.local конфигурациясын түзөтүңүз file сенсорду портал менен байланыштыруу үчүн порталдын тейлөө ачкычын кол менен кошуу.
Бул ачкыч алмашуу мурунку бөлүмдөгү жалпыга ачык IP дарегин колдонууда автоматтык түрдө жүргүзүлөт.

  1. Secure Cloud Analytics кызматына администратор катары кириңиз.
  2.  Орнотуулар > Сенсорлор тандаңыз.
  3.  Сенсорлор тизмесинин аягына өтүп, Тейлөө ачкычын көчүрүңүз. Мисалы, төмөнкү сүрөттү караңызample.
    Кызмат ачкычы:(көрсөтүү) Кызмат хосту:CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (12)
  4. Администратор катары сенсорго SSH жөнөтүңүз.
  5. Буйрук сабына төмөнкү буйрукту киргизиңиз: sudo nano /opt/obsrvbl-ona/config.locale жана конфигурацияны түзөтүү үчүн Enter баскычын басыңыз file.
  6. Анын ордуна төмөнкү саптарды кошуңуз порталдын тейлөө ачкычы менен жанаurl>аймактык тейлөө хостуңуз менен url: # Кызмат ачкычы
    OBSRVBL_SERVICE_KEY=” "OBSRVBL_HOST ="url>”
    Коопсуз булут аналитикасы порталыңызда, Орнотуулар > Сенсорлор бөлүмүнө өтүп, кызмат хостун табуу үчүн барактын ылдый жагына жылдырыңыз. url.
    Мурунку сүйгөнүңүз үчүн төмөнкү сүрөттү караңызampле:
  7. CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (13)Өзгөртүүлөрдү сактоо үчүн Ctrl + 0 баскычтарын басыңыз.
  8.  Чыгуу үчүн Ctrl + x баскычтарын басыңыз.
  9.  Secure Cloud Analytics кызматын кайра иштетүү үчүн буйрук сабына sudo service obsrvbl-ona restart деп киргизиңиз.

Жаңы сенсор порталда чагылдырылганга чейин 20 мүнөткө чейин убакыт кетиши мүмкүн.

Прокси конфигурацияланууда
Эгер сиз прокси-серверди колдонуп жатсаңыз, сенсор менен түзмөктүн ортосундагы байланышты иштетүү үчүн төмөнкү кадамдарды аткарыңыз web порталы.

  1.  Администратор катары сенсорго SSH жөнөтүңүз.
  2.  Буйрук сабына төмөнкү буйрукту киргизиңиз: sudo nano /opt/obsrvbl-ona/config.local жана конфигурацияны түзөтүү үчүн Enter баскычын басыңыз file.
  3.  proxy.name.com дегендин ордуна прокси сервериңиздин хост аты же IP дарегин, ал эми Port дегендин ордуна прокси сервериңиздин порт номерин кошуңуз: HTTPS_PROXY=”proxy.name.com:Порт.”
  4. Өзгөртүүлөрдү сактоо үчүн Ctrl + 0 баскычтарын басыңыз.
  5.  Чыгуу үчүн Ctrl + x баскычтарын басыңыз.
  6. Secure Cloud Analytics кызматын кайра иштетүү үчүн буйрук сабына sudo service obsrvbl-ona restart деп киргизиңиз.

Жаңы сенсор порталда чагылдырылганга чейин 20 мүнөткө чейин убакыт кетиши мүмкүн.

Сенсордун порталдык туташуусун ырастоо
Порталга сенсор кошулгандан кийин, Secure Cloud Analytics'те туташууну ырастаңыз.

Эгер сиз сенсорду кол менен туташтырсаңыз web config.local файлын жаңыртуу менен порталды
конфигурация file кызмат ачкычын колдонуп, c колдонупurlсенсордон туташууну ырастоо буйругу кайтарылбашы мүмкүн web порталдын аталышы.

  1. Secure Cloud Analytics кызматына кириңиз.
  2. Орнотуулар > Сенсорлор тандаңыз. Сенсор тизмеде пайда болот.

CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (14)

Эгер сиз сенсорду Сенсорлор барагында көрбөсөңүз, туташууну ырастоо үчүн сенсорго кириңиз.

  1. Администратор катары сенсорго SSH жөнөтүңүз.
  2. Буйрук сабына c киргизиңизurl https://sensor.ext.obsrvbl.comandpressEnter. Сенсор порталдын атын кайтарып берет. Мис. үчүн төмөнкү сүрөттү караңызample.CISCO-Коопсуз-Булут-Аналитикасы-Сенсо- (1)Сиздин кызмат көрсөтүүчүңүз url жайгашкан жериңизге жараша ар кандай болушу мүмкүн. Коопсуз булут аналитикасы порталыңызда, Орнотуулар > Сенсорлор бөлүмүнө өтүп, кызмат хостун табуу үчүн барактын ылдый жагына жылдырыңыз. url.
  3. Сенсордон чыгыңыз.

Агым маалыматтарын чогултуу үчүн сенсорду конфигурациялоо

  • Сенсор демейки шартта Ethernet интерфейстериндеги трафиктен агым жазууларын түзөт. Бул демейки конфигурация сенсордун SPAN же күзгү Ethernet портуна туташтырылганын болжолдойт. Эгерде тармагыңыздагы башка түзмөктөр агым жазууларын түзө алса, сиз сенсорду конфигурациялай аласыз web бул булактардан агым жазууларын чогултуп, аларды булутка жөнөтүү үчүн порталдык колдонуучу интерфейси.
  • Эгерде тармактык түзмөктөр ар кандай агымдарды жаратса, сенсорду ар бир түрдү ар башка UDP порту аркылуу чогултуу үчүн конфигурациялоо сунушталат. Бул ошондой эле көйгөйлөрдү чечүүгө жардам берет.
    жеңилирээк. Демейки шартта, жергиликтүү сенсордук брандмауэрдин (iptables) 2055/UDP, 4739/UDP жана 9995/UDP порттору ачык. Эгер сиз кошумча UDP портторун колдонгуңуз келсе, аларды конфигурациялашыңыз керек
    the web порталы.

Төмөнкү агым түрлөрүнүн жыйнагын конфигурациялай аласыз web порталдын колдонуучу интерфейси:

  • NetFlow v5 – 2055/UDP порту (демейки шартта ачык)
  • NetFlow v9 – 9995/UDP порту (демейки шартта ачык)
  • IPFIX – 4739/UDP порту (демейки шартта ачык)
  •  sFlow – 6343/UDP порту

Биз демейки портторду бердик, бирок аларды сиз каалаган портторго конфигурациялоого болот web порталдын колдонуучу интерфейси.

Айрым тармактык шаймандар тандалышы керек web порталдын колдонуучу интерфейси туура иштеши үчүн:

  • Cisco Meraki – Порт 9998/UDP
  • Cisco ASA – 9997/UDP порту
  • SonicWALL – 9999/UDP порту

Meraki микропрограммасынын 14.50 версиясы Meraki журналынын экспорт форматын NetFlow форматы менен шайкеш келтирет. Эгер Meraki түзмөгүңүздө микропрограмманын 14.50 же андан жогорку версиясы иштетилсе, сенсоруңузду NetFlow v9 зондунун түрү жана стандарттык булак менен конфигурациялаңыз. Эгер Meraki түзмөгүңүздө 14.50дөн эски микропрограмманын версиясы иштетилсе, сенсоруңузду NetFlow v9 зондунун түрү жана Meraki MX булагы менен конфигурациялаңыз (14.50 версиясынан төмөн).

Агымды чогултуу үчүн сенсорлорду конфигурациялоо

  1. Secure Cloud Analytics кызматына администратор катары кириңиз.
  2. Орнотуулар > Сенсорлор тандаңыз.
  3. Кошкон сенсор үчүн "Орнотуулар" ачылуучу менюсун чыкылдатыңыз.
  4. NetFlow/IPFIX конфигурациясын тандаңыз.
    Бул параметр сенсордун жаңыртылган версиясын талап кылат. Эгер сиз бул параметрди көрбөсөңүз, сенсордун ISO'сунун учурдагы версиясын жүктөп алуу үчүн Жардам (?) > Жергиликтүү сенсорду орнотууну тандаңыз.
  5. "Жаңы зонд кошуу" баскычын чыкылдатыңыз.
  6.  "Зонддун түрү" ачылуучу менюсунан агым түрүн тандаңыз.
  7.  Порт номерин киргизиңиз.
    Эгер сиз Enhanced NetFlow'ду сенсоруңузга өткөргүңүз келсе, конфигурациялаган UDP порту сенсор конфигурацияңызда Flexible NetFlow же IPFIX үчүн да конфигурацияланган эмес экенин текшериңиз. Мисалы,ample, Enhanced NetFlow үчүн 2055/UDP портун жана Flexible NetFlow үчүн 9995/UDP портун конфигурациялаңыз. Көбүрөөк маалымат алуу үчүн Enhanced NetFlow үчүн конфигурациялоо көрсөтмөсүн караңыз.
  8. Ачылуучу менюдан протоколду тандаңыз.
  9.  Ачылуучу менюдан булак тандаңыз.
  10.  Сактоо баскычын басыңыз.

Сенсордун конфигурациясынын жаңыртуулары порталда чагылдырылышы үчүн 30 мүнөткө чейин убакыт талап кылынышы мүмкүн.

Проблемаларды чечүү

Сенсордон пакеттерди алуу
Кээде Cisco колдоо кызматы сенсор тарабынан кабыл алынып жаткан агым маалыматтарын текшериши керек болушу мүмкүн. Муну агымдардын пакеттик кармоосун түзүү менен жасоону сунуштайбыз. Ошондой эле, пакеттик кармоону Wireshark'та ачып, кайра иштете аласыз.view маалыматтар.

  1.  Администратор катары сенсорго SSH жөнөтүңүз.
  2.  Сурамга sudo tcpdump -D деп киргизип, Enter баскычын басыңыз view интерфейстердин тизмеси. Сенсоруңуздун башкаруу интерфейсинин аталышына көңүл буруңуз.
  3. Сурамга sudo tcpdump -i буйругун киргизиңиз -n -c 100 "порту "-w" , алмаштыруу башкаруу интерфейсиңиздин аталышы менен, конфигурацияланган агым маалыматтарыңызга туура келген порт номери менен жана түзүлгөн pcap үчүн аталыш менен file, андан кийин Enter баскычын басыңыз. Система pcap түзөт file көрсөтүлгөн порт аркылуу ошол интерфейстин трафиги үчүн көрсөтүлгөн аталыш менен.
  4. Сенсоруңуздан чыгыңыз.
  5. PuTTY SFTP (PSFTP) же WinSCP сыяктуу SFTP программасын колдонуп, сенсорго кириңиз.
  6. Сурамга get деп киргизиңиз , алмаштыруу сиз түзгөн pcap менен file атын киргизип, которуу үчүн Enter баскычын басыңыз file жергиликтүү жумуш станцияңызга.

Wireshark программасында пакеттерди кармоону талдоо

  1. Wireshark программасын жүктөп алып, орнотуңуз, андан кийин Wireshark программасын ачыңыз.
  2. Тандоо File > Ачыңыз, андан кийин капкагыңызды тандаңыз file.
  3. Талдоо > Декоддоону тандаңыз.
  4. Жаңы эреже кошуу үчүн + белгисин басыңыз.
  5. "Учурдагы" ачылуучу тизмеден CFLOW тандап, андан кийин OK баскычын басыңыз. Интерфейс NetFlow, IPFIX же sFlow менен байланышкан пакеттерди гана көрсөтүү үчүн жаңыртылат. Эгерде эч кандай жыйынтык чыкпаса, анда pcap NetFlow менен байланышкан пакеттерди камтыбайт жана агым маалыматтарын чогултуу сенсордо туура эмес конфигурацияланган.

Кошумча ресурстар

Коопсуз булут аналитикасы жөнүндө көбүрөөк маалымат алуу үчүн төмөнкүлөрдү караңыз:

Колдоо кызматы менен байланышуу
Эгер сизге техникалык колдоо керек болсо, төмөнкүлөрдүн бирин аткарыңыз:

Өзгөртүү тарыхы

Документтин версиясы Жарыяланган датасы Description
1_0 апрель 27,2022 Баштапкы версия
1_1 1,2022-жылдын августу
  • Cisco колдоо маалыматын жаңыртуу.
  •  Коомдук IP даректер үчүн эскертүү кошулду.
1_2 17-февраль, 2023-жыл
  •  "Прокси конфигурациясы" бөлүмү кошулду.
  •  Meraki сенсорунун жөндөөлөрү жаңыртылды.
1_3 июнь 21,2023
  •  Орфографиялык ката оңдолду.
  • Процедуралар үчүн номерлөө жаңыртылды.
1_4 8-апрель, 2024-жыл
  •  Кириш сөз жаңыртылды Сенсордук медиа Орнотуу жана Конфигурация бөлүм. Форматтоодогу анча чоң эмес өзгөрүүлөр.
1_5 30-октябрь, 2024-жыл жаңыртылган Сенсорго кирүү талаптары бөлүм.
2_0 4-декабрь, 2024-жыл Сенсор версиясы жаңыртылды, сенсор орнотулган бөлүм, Сенсордун жалпыга ачык IP дарегин табуу жана порталга кошуу бөлүм, жана Сенсордун алдын ала талаптары бөлүм.
2_1 21-апрель, 2025-жыл
  •  VMware жүктөө опциясы жөнүндө эскертүү кошулду Виртуалдык машинанын кошумча талаптары бөлүм.
  • жаңыртылган Порталдын тейлөө ачкычын кол менен кошуу Сенсор OBSRVBL_HOST конфигурация маалыматын камтуу үчүн бөлүм.
2_2 17-октябрь, 2025-жыл Сенсорду белгилүү Cisco даректери менен гана байланышууга мажбурлоо боюнча Түндүк Америкага гана тиешелүү чектөө алынып салынды.

Автордук укук жөнүндө маалымат

  • Cisco жана Cisco логотиби Cisco жана/же анын АКШдагы жана башка өлкөлөрдөгү филиалдарынын соода белгилери же катталган соода белгилери. үчүн view Cisco соода белгилеринин тизмеси, буга өтүңүз URL: https://www.cisco.com/go/trademarks. Үчүнчү тараптын аталган соода белгилери тиешелүү ээлеринин менчиги болуп саналат. Өнөктөш деген сөздүн колдонулушу Cisco менен башка компаниянын ортосундагы өнөктөштүк мамилелерди билдирбейт. (1721R)
  • © 2025 Cisco Systems, Inc. жана/же анын филиалдары. Бардык укуктар корголгон.

Көп берилүүчү суроолор

Сенсор IPv6 трафигин чогулта алабы?

Жок, сенсор IPv6 трафигин колдобойт.

Документтер / Ресурстар

CISCO Коопсуз Булут Аналитика Сенсору [pdf] Колдонуучунун колдонмосу
Коопсуз булут аналитика сенсору, булут аналитика сенсору, аналитика сенсору, сенсор

Шилтемелер

Комментарий калтырыңыз

Сиздин электрондук почта дарегиңиз жарыяланбайт. Талап кылынган талаалар белгиленген *