Cisco v7.5.3 turvaline võrguanalüüs

Sissejuhatus

• Selle juhendi abil saate seadistada Cisco Secure Network Analyticsi (endine Stealthwatch) versiooni 7.5.3 või uuema Zeeki telemeetria jäädvustamiseks.
• Zeeki telemeetria konfigureerimiseks turvalise võrguanalüüsiga veenduge, et teil oleks andmesalvestus ja analüüs lubatud.

Läbiview

Zeeki kasutatakse peamiselt passiivse võrguliikluse analüsaatorina, mis võimaldab turvameeskondadel analüüsida võrguliiklust, tuvastada kahtlast tegevust ja uurida potentsiaalseid ohte, genereerides protokolli parsimisvõimaluste abil üksikasjalikke logisid võrgusündmuste kohta, sealhulgas rakenduse tasemel üksikasju. Zeek pakub järgmist:

• Ohuotsingu ja intsidentidele reageerimineZeeki logide analüüsimise abil saavad turvameeskonnad tuvastada anomaalset käitumist, uurida võimalikke turvaintsidente ja otsida pahatahtlikku tegevust kogu võrgus.
• Passiivne režiim: Kuna Zeek töötab passiivses režiimis, jälgides võrguliiklust voogu segamata, häirib see võrgu toimimist vähem.
• Üksikasjalikud logid: Zeek genereerib üksikasjalikke logisid, mis jäädvustavad võrguühenduste kohta põhjalikku teavet, sealhulgas ajapiiranguid.amps, lähte-/sihtkoha IP-aadressid, pordid, protokollid ja isegi file sisu, mis hõlbustab põhjalikku analüüsi.
• Hoiustamine: Zeeki logisid salvestatakse järgmiselt.
  • Enamik logisid salvestatakse Flow Collectorisse, kuid conn.log asub andmesalvestuses.
  • Flow Collector kustutab kõik andmed, mis on vanemad kui 30 päeva. Lisateavet leiate virtuaalse versiooni seadme installijuhendi jaotisest „Ressursinõuded”.

Nõuded
Veenduge, et analüütika oleks lubatud. Valige peamenüüst Konfigureeri > Tuvastamine > Analüütika ja seejärel klõpsake nuppu Analüütika sees.

Nõuded on järgmised.

• Turvaline võrguanalüüs v7.5.3.
• Andmesalvestus, kus analüütika on lubatud.
• Zeeki telemeetria on uute installide puhul esmakordsel seadistamisel vaikeseade. Kui uuendate varasemalt versioonilt, peate Zeeki telemeetria konfigureerima täpsemates sätetes.
• Zeeki telemeetria jaoks ei ole vaja eraldi litsentsi osta. Lisateavet litsentsimise kohta leiate nutika tarkvara litsentsimisjuhendist 7.5.3.

Toimivuse hinnang

• Riistvaraplatvormil toetame 100 000 sündmust (süstlogisõnumeid) sekundis. Ressursinõuete kohta leiate lisateavet riistvara paigaldusjuhendist. Lisateavet kombineeritud telemeetria ressursinõuete kohta leiate virtuaalse versiooni seadme paigaldusjuhendist.
• Teie konkreetset jõudlust võivad mõjutada mitmed tegurid, näiteks sündmuste määr ja sisestatavate logitüüpide arv. Kuigi anname endast parima, et andmeid võimalikult õiglaselt ja täpselt esitada, võivad teie keskkonnas esineda erinevad piirangud.

Zeeki logid
Kogume kõiki Zeeki logisid Syslogi kaudu, kuid keskendume praegu ainult järgmisele:

• ühenduslog
• dns.log
• smb_files.log või smb_mappings.log
• dce_rpc_log
• Mõnel juhul smb_files.log ja dce_rpc.log võidakse saata smb_mappings.log faili.

Zeeki logid peaksid olema konfigureeritud nii, et Syslog eksportiks need JSON-vormingus kindlas vormingus.

• Transport: Zeeki logid kasutavad JSON-vormingut Syslogi kaudu UDP kaudu (vaikimisi port 9514).
• Vorming: Zeeki logigeneraator peab lisama zeek_filenimi = ”xxx.log”tag enne vookoguja JSONL-stringi.

Voolukoguja seadistamine Zeeki telemeetria vastuvõtmiseks

Need on kaks võimalust Zeeki telemeetria konfigureerimiseks Secure Network Analyticsis:

• Esmakordne seadistamine: Uute installide puhul on Zeeki telemeetria vaikeseade, kuid saate Zeeki telemeetria esmakordsel seadistamisel kinnitada (ainult andmesalvestus).
• Täpsemad seaded: Eelmisest versioonist uuendamisel peate Zeeki telemeetria konfigureerima täpsemates sätetes.

Lisateavet turvalise võrguanalüüsi seadistamise kohta leiate süsteemi konfigureerimise juhendist.

Zeeki telemeetria kinnitamine esmakordsel seadistamisel (ainult andmesalvestus)
Zeeki telemeetria vastuvõtmise lubamiseks uuel Flow Collectoril koos andmesalvestusega toimige järgmiselt.

1. Järgige oma Flow Collectori seadme paigaldusjuhendis olevaid juhiseid. Seejärel kasutage süsteemi konfiguratsioonijuhendit, et saada üksikasjalikumaid juhiseid mitut tüüpi telemeetriaseadmete konfigureerimise kohta.
2. Ava virtuaalmasina konsool. Lase virtuaalsel seadmel käivitus lõpule viia.
3. Logi sisse konsooli kaudu.
   • Logi sisse: sysadmin
   • Vaikeparool: lan1cope
     Tavaliselt muudate vaikeparooli süsteemi esmakordsel konfigureerimisel.
4. Review Ebaõnnestunud sisselogimiskatsete teave. Jätkamiseks valige OK.
5. Review Esimese seadistuse tutvustus. Jätkamiseks valige OK.
6. Valige telemeetria tüüpide loendist Zeek Logs. Jätkamiseks klõpsake nuppu OK. Uues juurutuses valitakse kõik telemeetriatüübid vaikimisi. Kui uuendate versioonilt v752 eelmisest versioonist, vaadake jaotist Zeeki telemeetria seadistamine jaotises Täpsemad sätted.
7. Veenduge, et Zeeki logide port on 9514, seejärel valige OK. Soovitame kasutada porti 9514. Ärge kasutage porte 2055, 514 ega 8514.
   Veenduge, et teie telemeetriapordid oleksid unikaalsed. Kui konfigureerite duplikaatseid telemeetriaporte, lähtestatakse pordid oma sisemistele vaikesätetele, et vältida vooandmete kadumist. NäiteksampNäiteks kui NetFlow ja Zeek eksporditakse samasse telemeetriaporti, loob iga Zeeki andmeid eksportiv seade Flow Collectoris eksportija ja ammendab Flow Collectori mootori eksportija ressursid, mille tulemuseks on vooandmete kadu.
8. Muudatuste salvestamiseks klõpsake nuppu Rakenda.
9. Virtuaalse keskkonna loomise lõpetamiseks ja seadme taaskäivitamiseks järgige ekraanil kuvatavaid juhiseid.

Zeeki telemeetria seadistamine lisasätetes

Enne selle protseduuri alustamist installige kindlasti uusim Flow Collector NetFlow koondvärskendus.

Zeeki telemeetria sisestamise alustamiseks juba konfigureeritud vookogujasse toimige järgmiselt.

1. Logi sisse oma haldurisse.
2. Valige peamenüüst Konfigureeri > Globaalne > Keskne haldus.
3. Klõpsake lehel Inventuur oma Flow Collectori juures ikooni… (kolmikpunkt) ja seejärel valige View Seadme statistika. Avaneb Flow Collectori administraatori liides.
4. Valige Tugi > Täpsemad seaded.
   Kui välja ei kuvata, klõpsake väljal „Lisa uus suvand“. Lisateavet Flow Collectori täpsemate sätete muutmise kohta leiate abiteemast „Täpsemad sätted“.
5. Zeeki telemeetria jäädvustamiseks määrake väljal enable_zeek väärtuseks 1. Veenduge, et olete Zeeki seadistanud logide edastamiseks JSON-vormingus.
6. Veenduge, et väljal zeek_port on väärtuseks seatud 9514.

Veenduge, et teie telemeetriapordid oleksid unikaalsed. Kui konfigureerite duplikaatseid telemeetriaporte, lähtestatakse pordid oma sisemistele vaikesätetele, et vältida vooandmete kadumist. NäiteksampNäiteks kui NetFlow ja Zeek eksporditakse samasse telemeetriaporti, loob iga Zeeki andmeid eksportiv seade Flow Collectoris eksportija ja ammendab Flow Collectori mootori eksportija ressursid, mille tulemuseks on vooandmete kadu.

Zeeki telemeetria kontrollimine

Zeeki telemeetria jäädvustamise kontrollimiseks tehke uuesti.view Zeeki logide kogumise trendiaruanne:

1. Logi sisse oma haldurisse.
2. Valige peamenüüst Aruanne > Aruande koostaja.
3. Klõpsake nuppu Loo uus aruanne ja seejärel valige Zeeki logide kogumise trend.
4. Klõpsake käsul Käivita.
5. Veenduge, et aruanne kuvab Zeeki telemeetriat.

Zeeki logide kogumise trendiaruanne
Järgmised sampZeeki logide kogumise trendiaruande andmed näitavad, et Zeeki telemeetria jäädvustamine on edukas.

Teata Sample 1
See aruanne onample annab tunni view.

Teata Sample 2

• See aruanne onample pakub 12-tunnist view.
• Aruannete kohta lisateabe saamiseks klõpsake nuppu (Abi) ikooni, et avada aruande koostaja abiteema.

Zeeki sündmuste hindamine

Zeeki sündmuste hindamiseks on saadaval kaks täiendavat aruannet:

• Zeeki andmebaasi sisestamise trendiaruanne
• Zeeki logide aruanne
• Veenduge, et andmesalvestus ja analüüs oleksid lubatud.
• Analüütika lubamiseks valige peamenüüst Konfigureeri > Tuvastamine > Analüüs ja seejärel klõpsake Analüüs sees .

Zeeki andmebaasi sisestamise trendiaruanne
Zeek conn.log sündmuste andmesalvestusse kirjutamise hindamiseks tehke järgmist.

1. Logi sisse oma haldurisse.
2. Valige peamenüüst Aruanne > Aruande koostaja.
3. Klõpsake nuppu Loo uus aruanne ja seejärel valige Zeeki andmebaasi sisestamise trend.
4. Klõpsake käsul Käivita.
5. Review aruanne:
   • Kas andmesalve saab Zeeki ühenduse logi sündmusi?
   • Kas esines mingeid katkestusi?

Teata Sample

• See sample pakub 12-tunnist view.
• View Kirjed, mis on kirjutatud sündmuste baitide arvuna perioodi kohta või sündmuste arvuna perioodi kohta.

Zeeki logide aruanne

• Veenduge, et teie Flow Collector oleks konfigureeritud Zeekilt andmeid vastu võtma. Juhiste saamiseks vaadake süsteemi seadistamise juhendit.
• Et uuestiview Zeeki telemeetria logimise sündmuste tuvastamiseks konkreetse Zeeki logitüübi jaoks voolukoguja jaoks tehke järgmist.
• Saate samaaegselt käivitada kuni neli Zeeki logipäringut, lisaks on järjekorras ootamas veel päringuid.

1. Logi sisse oma haldurisse.
2. Valige peamenüüst Aruanne > Aruande koostaja.
3. Klõpsake nuppu Loo uus aruanne ja seejärel valige Zeeki logid.
4. Määrake parameetrid nõutavatel väljadel jaotises Üldine. Parameeter Lisateave
   • Ajavahemik Kui valite suvandi „Kohandatud“, valige maksimaalse jõudluse saavutamiseks lühike ajavahemik. Pika ajavahemiku sisestamisel võib aruande andmete päringuks kuluda kaua aega.
   • Voolukollektor Valige oma võrgus turvalise võrguanalüüsi vookoguja.
   • Max Records Valige maksimaalne kirjete arv. Piirang on 10 000 kirjet.
   • Zeeki logi tüüp Valige Zeeki logi tüüp.
   • Kui valite Zeeki logi tüübi väljal logist muu logi kui conn.log, võib aruanne olla pikk, kuid see peab töötama lõpuni.
5. Vajadusel kasutage filtriala täiendavate parameetrite määramiseks.
6. Klõpsake käsul Käivita.

Teata Sample

• Selle aruande loomisel valiti valikulised parameetrid.ample.
• Selle aruande andmete saamiseks vajate turvalist võrguanalüüsi koos andmesalvestuse juurutamisega. Lisateavet ja juhiseid leiate seadme paigaldusjuhendist (riistvara või virtuaalne versioon) ja süsteemi konfigureerimise juhendist.

Toega ühenduse võtmine
Kui vajate tehnilist tuge, tehke ühte järgmistest.

• Võtke ühendust kohaliku Cisco partneriga
• Võtke ühendust Cisco toega
• Juhtumi avamiseks web: http://www.cisco.com/c/en/us/support/index.html
• Telefonitoe jaoks: 1-800-553-2447 (USA)
• Ülemaailmsed tuginumbrid: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Muudatuste ajalugu

Dokumendi versioon	Avaldamise kuupäev	Kirjeldus
1_0	6. august 2025	Esialgne versioon.

Autoriõiguse teave
Cisco ja Cisco logo on Cisco ja/või tema sidusettevõtete kaubamärgid või registreeritud kaubamärgid USA-s ja teistes riikides. To view Cisco kaubamärkide loend, avage see URL: https://www.cisco.com/go/trademarks. Mainitud kolmandate isikute kaubamärgid on nende vastavate omanike omand. Sõna partner kasutamine ei tähenda partnerlussuhet Cisco ja ühegi teise ettevõtte vahel. (1721R)

Dokumendid / Ressursid

Cisco v7.5.3 turvaline võrguanalüüs [pdfKasutusjuhend v7.5.3, v7.5.3 Turvaline võrguanalüüs, v7.5.3, Turvaline võrguanalüüs, Võrguanalüüs, Analüüs

Viited

• Kasutusjuhend