Зміст приховати
1 Датчик безпечної хмарної аналітики CISCO
2 вступ
3 Міркування щодо розгортання датчиків
4 Необхідні умови для датчика
5 Додаткові вимоги до фізичного обладнання
6 Встановлення та налаштування сенсорних носіїв
7 Установка датчика
8 Що робити далі
9 Підключення датчиків до Web Портал
10 Налаштування датчиків для збору даних про витрату
11 Усунення несправностей
12 Додаткові ресурси
13 Історія змін
14 поширені запитання
15 Документи / Ресурси
15.1 Список літератури

CISCO-логотип

Датчик безпечної хмарної аналітики CISCO

Продукт CISCO Secure Cloud Analytics Senso

вступ

Cisco Secure Cloud Analytics (тепер частина Cisco XDR) – це служба безпеки на основі SaaS, яка виявляє загрози та реагує на них в ІТ-середовищі, як локально, так і в хмарі. У цьому посібнику пояснюється, як розгорнути датчики Secure Cloud Analytics як частину служби моніторингу приватної мережі для використання в корпоративних мережах, приватних центрах обробки даних, філіях та інших локальних середовищах.

  • Якщо ви плануєте використовувати Secure Cloud Analytics лише в публічних хмарних середовищах, таких як Amazon Web Сервіси, Microsoft Azure або Google Cloud Platform, вам не потрібно встановлювати датчик. Щоб отримати докладнішу інформацію, перегляньте посібники з моніторингу публічної хмари.
  • У цьому посібнику наведено інструкції щодо встановлення датчика в Ubuntu Linux. Інструкції щодо встановлення в інших операційних системах див. у Посібнику з розширеного налаштування датчика Secure Cloud Analytics.

Міркування щодо розгортання датчиків

  • Ви можете розгортати датчики для збору даних про потік, таких як NetFlow, або для отримання мережевого трафіку, що відображається з маршрутизатора чи комутатора у вашій мережі. Ви також можете налаштувати датчик як для збору даних про потік, так і для отримання дзеркального мережевого трафіку. Кількість розгорнутих датчиків не обмежена.
  • Якщо ви хочете налаштувати датчик для збору даних про витрату, див. розділ Налаштування датчика для збору даних про витрату для отримання додаткової інформації.
  • Якщо ви хочете налаштувати датчик для отримання трафіку з дзеркала або порту SPAN, див. розділ «Налаштування мережевого пристрою» для отримання додаткової інформації про налаштування мережевих пристроїв для дзеркалювання трафіку.
  • Датчик версії 4.0 або вище може збирати розширену телеметрію NetFlow. Це дозволяє Secure Cloud Analytics генерувати нові типи спостережень і сповіщень. Для отримання додаткової інформації див. Посібник з налаштування Secure Cloud Analytics для розширеного NetFlow.
  • Датчик не підтримує IPv6.

Необхідні умови для датчика

Ви можете встановити датчик на фізичному пристрої або віртуальній машині, маючи такі вимоги:

компонент Мінімальні вимоги
Мережевий інтерфейс принаймні один мережевий інтерфейс, позначений як інтерфейс керування, для передачі інформації до служби Secure Cloud Analytics. За потреби, якщо ви хочете налаштувати датчик для отримання мережевого трафіку з мережевого пристрою, який реплікує його через дзеркальний порт, вам потрібен один або кілька мережевих інтерфейсів, позначених як інтерфейси дзеркала.
ОЗУ 4 ГБ
ЦП щонайменше два ядра
Місце для зберігання 60 ГБ дискового простору використовується для кешування виробничих даних NetFlow перед надсиланням записів до Secure Cloud Analytics.
Доступ в Інтернет необхідні для завантаження пакетів для процесу встановлення

Зверніть увагу на наступне щодо призначених інтерфейсів Mirror:

  • Дзеркальні інтерфейси отримують копію всього вхідного та вихідного трафіку джерела до пункту призначення. Переконайтеся, що ваш піковий трафік менший за пропускну здатність з'єднання дзеркального інтерфейсу датчика.
  • Багато комутаторів скидають пакети з інтерфейсів джерел, якщо порт призначення дзеркала налаштовано на занадто великий обсяг трафіку.

Додаткові вимоги до фізичного обладнання

компонент Мінімальні вимоги
монтаж File Завантажити Один із наведених нижче способів завантаження інсталяційного файлу .iso file:
  • 1 USB-порт, а також USB-флеш-накопичувач
  • 1 оптичний дисковод, а також оптичний диск з можливістю запису (наприклад, диск CD-R)

Віртуальні машини можуть завантажуватися безпосередньо з .iso file без додаткових вимог.

Додаткові вимоги до віртуальної машини
Якщо ваш датчик розгорнуто як віртуальна машина, переконайтеся, що віртуальний хост і мережа налаштовані на незв'язний режим на другому мережевому інтерфейсі, якщо ви плануєте отримувати трафік з дзеркала або порту SPAN.

  • Під час розгортання датчика в середовищі VMWare 8, він не завантажиться, якщо використовуються налаштування завантаження UEFI за замовчуванням. Щоб вирішити цю проблему, на кроці «Налаштування обладнання» виберіть «Параметри віртуальної машини» > «Параметри завантаження», а потім виберіть «BIOS» у розкривному списку «Прошивка».

Гіпервізор VMware
Якщо ви запускаєте віртуальну машину на гіпервізорі VMware, налаштуйте віртуальний комутатор для нерозбірливого режиму:

  1. Виберіть хоста в інвентарі.
  2. Виберіть вкладку Конфігурація.
  3. Натисніть «Мережа».
  4. Натисніть «Властивості» для вашого віртуального комутатора.
  5. Виберіть віртуальний комутатор і натисніть «Редагувати».
  6. Виберіть вкладку Безпека.
  7. Виберіть «Прийняти» у розкривному списку «Безрозбірливий режим».

Див. базу знань VMware для отримання додаткової інформації про безрозбірливий режим. Можливо, вам знадобиться встановити ідентифікатор VLAN на 4095.

VirtualBox
Якщо ви запускаєте віртуальну машину у VirtualBox, налаштуйте адаптер для нерозбірливого режиму:

  1.  Виберіть адаптер для інтерфейсу дзеркала в налаштуваннях мережі.
  2.  У розширених параметрах встановіть для режиму безладного зв'язку значення «Дозволити».

Дивіться документацію VirtualBox щодо віртуальних мереж для отримання додаткової інформації.

Рекомендації щодо розгортання датчиків
Оскільки топології мережі можуть суттєво відрізнятися, під час розгортання датчиків пам’ятайте про такі загальні рекомендації:

  1.  Визначте, чи хочете ви розгорнути датчики для:
    • збирати дані про потік
    • приймати дзеркальний мережевий трафік
    • деякі збирають дані про потоки, а інші засвоюють дзеркальний мережевий трафік
    • збирають дані про потоки та завантажують дзеркальний мережевий трафік
  2.  Якщо ви збираєте дані про потоки, визначте, які формати можуть експортувати ваші мережеві пристрої, такі як NetFlow v5, NetFlow v9, IPFIX або sFlow.
    Багато брандмауерів підтримують NetFlow, зокрема брандмауери Cisco ASA та пристрої Cisco Meraki MX. Зверніться до документації виробника, щоб дізнатися, чи підтримує ваш брандмауер також NetFlow.
  3. Переконайтеся, що мережевий порт на датчику може підтримувати ємність портів дзеркала.
    Зверніться до служби підтримки Cisco, якщо вам потрібна допомога з розгортанням кількох датчиків у вашій мережі.

Перевірка версії вашого датчика
Щоб переконатися, що у вашій мережі встановлено найновіший датчик (версія 5.1.3), ви можете перевірити версію існуючого датчика за допомогою командного рядка. Якщо потрібно оновити, перевстановіть датчик.

  1.  SSH-підключення до розгорнутого датчика.
  2. У запиті введіть cat /opt/obsrvbl-ona/version і натисніть Enter. Якщо консоль не відображає версію 5.1.3, ваш датчик застарів. Завантажте найновіший ISO-образ датчика з web інтерфейс порталу.

Вимоги до доступу до датчиків
Фізичний пристрій або віртуальна машина повинні мати доступ до певних служб через Інтернет. Налаштуйте брандмауер, щоб дозволити наступний трафік між датчиком та зовнішнім Інтернетом:

Тип трафіку Обов'язковий IP-адреса, домен і порт або конфігурація
Вихідний HTTPS-трафік від так
  • порт 443, а IP-адреса
Інтерфейс керування датчиком для служби Secure Cloud Analytics, розміщеної на Amazon Web Послуги IP-адреса вашого порталу
  • IP-адреси AWS S3 для вашого регіону Secure Cloud Analytics. Оскільки IP-адреси AWS можуть змінюватися, зверніться до AWS.
  • Довідка з діапазонів IP-адрес та пошук сервісу S3 і вашого регіону AWS у наданому JSON fileЩоб знайти свій регіон AWS, перейдіть на панель інструментів Secure Cloud Analytics і прокрутіть сторінку донизу. У полі внизу відображається назва регіону для вашого порталу, яка відповідає таким регіонам AWS:
    • Північна Америка (Північна Вірджинія): схід США-1
    • Європа (Франкфурт): eu-central-1
    • Австралія (Сідней): ap- південний схід-2
1. Увійдіть до датчика через SSH як адміністратор.
2. У командному рядку введіть таку команду:
Примусово налаштувати датчик на зв'язок лише з відомими адресами Cisco немає sudo nano opt/obsrvbl-ona/config.local та натисніть Введіть редагувати конфігурацію file 3. Оновіть параметр OBSRVBL_SENSOR_EXT_ONLY таким чином: OBSRVBL_SENSOR_EXT_ONLY=true.
4. Натисніть Ctrl + 0, щоб зберегти зміни.

5. Натисніть Ctrl + x для виходу. 6. У командному рядку введіть sudo service obsrvbl-ona restart, щоб перезапустити датчик.
Вихідний трафік з інтерфейсу керування датчика на сервер Ubuntu Linux для завантаження ОС Linux та пов'язаних оновлень так
Вихідний трафік з інтерфейсу керування датчика на DNS-сервер для розпізнавання імен хостів так
  •  [локальний DNS-сервер]: 53/UDP
Вхідний трафік від віддаленого пристрою для усунення несправностей до вашого датчика немає
  • 54.83.42.41:22/TCP

Якщо ви використовуєте проксі-сервіс, створіть виняток проксі-сервера для IP-адрес інтерфейсу керування сенсором.

Конфігурація мережевого пристрою
Ви можете налаштувати мережевий комутатор або маршрутизатор на дзеркальне відображення копії трафіку, а потім передавати його на датчик.

  • Оскільки датчик розташований поза межами звичайного потоку дорожнього руху, він не може безпосередньо впливати на ваш трафік. Зміни конфігурації, які ви вносите в web Інтерфейс користувача порталу впливає на створення сповіщень, а не на те, як проходить ваш трафік. Якщо ви хочете дозволити або заблокувати трафік на основі сповіщень, оновіть налаштування брандмауера.
  • Див. наступну інформацію про виробників мережевих комутаторів та ресурси для налаштування дзеркального трафіку:
Виробник Назва пристрою Документація
NetOptics мережевий відвідний канал Дивіться сторінку ресурсів Ixia для отримання документації та іншої інформації
Гігамон мережевий відвідний канал Дивіться сторінки ресурсів та знань Gigamon для отримання документації та іншої інформації

Аналізатор (SPAN)
Ялівець портове дзеркало Див. документацію TechLibrary від Juniper для прикладу.ampНалаштування дзеркалювання портів для локального моніторингу використання ресурсів співробітниками на комутаторах серії EX
NETGEAR портове дзеркало Див. документацію бази знань Netgear для отримання прикладу.ampдзеркалювання портів та як воно працює з керованим комутатором
ZyXEL портове дзеркало Див. документацію бази знань ZyXEL для отримання інформації про використання дзеркалювання на комутаторах ZyXEL.
інші порт монітора, порт аналізатора, порт відведення Дивіться вікі-документацію Wireshark для отримання довідки щодо перемикачів для кількох виробників.

Ви також можете розгорнути пристрій точки доступу (tap) для тестування мережі, щоб передати копію трафіку на датчик. Див. нижче інформацію про виробників мережевих відгалужувачів та ресурси для їх налаштування.

Виробник Назва пристрою Документація
NetOptics мережевий відвідний канал Дивіться сторінку ресурсів Ixia для отримання документації та іншої інформації
Гігамон мережевий відвідний канал Дивіться сторінки ресурсів та знань Gigamon для отримання документації та іншої інформації

Конфігурація потоку
Ви повинні налаштувати свій мережевий пристрій для передачі даних NetFlow. Див. https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco NetFlow_Configuration.pdf для отримання додаткової інформації про налаштування NetFlow на мережевих пристроях Cisco.

Встановлення та налаштування сенсорних носіїв

Перед початком інсталяції повторітьview інструкції для розуміння процесу, а також підготовки, часу та ресурсів, необхідних для встановлення та налаштування.
Існує два варіанти цієї установки:

  • Встановлення датчика на віртуальну машину: Якщо ви встановлюєте датчик на віртуальну машину, ви можете завантажитися з файлу .iso file безпосередньо.
  •  Встановлення датчика на фізичний пристрій: Якщо ви встановлюєте датчик на фізичний пристрій, ви створите завантажувальний носій за допомогою файлу .iso. file, потім перезавантажте пристрій і завантажтеся з цього носія.

Процес встановлення очищає диск, на який буде встановлено датчик, перед його встановленням. Перш ніж розпочати встановлення, переконайтеся, що фізичний пристрій або віртуальна машина, на якій ви плануєте встановити датчик, не містить жодних даних, які ви хочете зберегти.

Створення завантажувального носія

  • Якщо ви розгортаєте датчик на фізичному пристрої, ви розгортаєте файл .iso. file який встановлює датчик на базі Ubuntu Linux.
  • Якщо ви напишете .iso file на оптичний диск, такий як CD або DVD, ви можете перезавантажити фізичний пристрій з оптичним диском у дисководі оптичних дисків та вибрати завантаження з оптичного диска.
  • Якщо ви створюєте USB-флешку з файлом .iso file та утилітою Rufus, ви можете перезавантажити фізичний пристрій, вставити флеш-накопичувач USB у порт USB та вибрати завантаження з флеш-накопичувача USB.
  • Якщо ви розгортаєте датчик без використання ISO-образу, вам може знадобитися оновити налаштування брандмауера локального пристрою, щоб дозволити трафік. Ми наполегливо рекомендуємо розгортати датчик, використовуючи наданий ISO-образ.
  • Створення завантажувальної USB-флешки видаляє всю інформацію на флешці. Переконайтеся, що на флешці немає жодної іншої інформації.

Завантажте ISO-образ датчика file
Завантажте останню версію ISO-образу датчика з web портал. Використовуйте це або для встановлення (для нового датчика), або для перевстановлення (для оновлення існуючого датчика).

  1.  Увійдіть до Secure Cloud Analytics як адміністратор.
  2.  Виберіть Довідка (?) > Встановлення локального датчика.
  3.  Натисніть кнопку .iso, щоб завантажити останню версію ISO.
  4. Перейдіть до розділу «Створення завантажувального оптичного диска» або «Створення завантажувального USB-флеш-накопичувача».

Створення завантажувального оптичного диска
Дотримуйтесь інструкцій виробника, щоб скопіювати файл .iso file на оптичний диск.

Створення завантажувальної USB-флешки

  1. Вставте порожній USB-накопичувач у USB-порт пристрою, який ви хочете використовувати для створення завантажувального USB-накопичувача.
  2.  Увійдіть на робочу станцію.
  3. У вашому web браузері, перейдіть до утиліти Rufus webсайт.
  4.  Завантажте останню версію утиліти Rufus.
  5. Відкрийте утиліту Rufus.
  6.  Виберіть USB-флешку у випадаючому списку «Пристрій».
  7. Виберіть Диск або ISO-образ у розкривному списку вибору завантаження.
  8. Натисніть ВИБРАТИ та виберіть ISO датчика file.
  9. Натисніть START.

Створення завантажувальної USB-флешки видаляє всю інформацію на флешці. Переконайтеся, що на флешці немає жодної іншої інформації.

Установка датчика

  1.  Виберіть метод завантаження для .iso наступним чином:
    • Віртуальна машина: Якщо ви встановлюєте на віртуальну машину, завантажтеся з файлу .iso file.
    • Фізичний пристрій: Якщо ви встановлюєте систему на фізичний пристрій, вставте завантажувальний носій, перезавантажте пристрій і завантажтеся з нього.
  2. Виберіть «Встановити ONA (Статична IP-адреса)» у початковому запиті, а потім натисніть Enter.
  3. CISCO-Secure-Cloud-Analytics-Senso- (2)Виберіть мову зі списку мов за допомогою клавіш зі стрілками, а потім натисніть клавішу Enter. CISCO-Secure-Cloud-Analytics-Senso- (3)
  4. Щодо конфігурації клавіатури, у вас є такі опції:
    • Виберіть розкладку та варіант для налаштування клавіатури, а потім натисніть клавішу Enter.
    • Виберіть «Визначити клавіатуру» та натисніть Enter. CISCO-Secure-Cloud-Analytics-Senso- (4)
  5. Для конфігурації мережі виберіть «Вручну» та натисніть Enter. CISCO-Secure-Cloud-Analytics-Senso- (5)Усі інші мережеві інтерфейси автоматично налаштовуються як інтерфейси дзеркала.
  6.  Введіть підмережу для пристрою, виберіть «Продовжити» за допомогою клавіш зі стрілками та натисніть Enter.
  7.  Введіть IP-адресу пристрою, виберіть «Продовжити» за допомогою клавіш зі стрілками та натисніть Enter.
  8. Введіть IP-адресу маршрутизатора шлюзу, виберіть «Продовжити» за допомогою клавіш зі стрілками та натисніть Enter.
  9.  (Необов’язково) Для пошуку доменів введіть домен(и), який(і) буде автоматично додано до імені хоста під час спроби визначення IP-адреси, виберіть «Продовжити» за допомогою клавіш зі стрілками та натисніть Enter.
    За замовчуванням інсталяція автоматично використовуватиме DHCP та продовжить її. Щоб змінити IP-адресу DHCP, вам потрібно буде вручну відредагувати інтерфейс після завершення інсталяції.
    Ми рекомендуємо вам ввести адресу локального авторитетного сервера імен, якщо він розгорнутий у вашій мережі. CISCO-Secure-Cloud-Analytics-Senso- (6)
  10. Введіть повне ім’я нового користувача, яке пов’язане з обліковим записом без прав root для отримання прав адміністратора, потім виберіть «Продовжити» за допомогою клавіш зі стрілками та натисніть Enter.
  11.  Введіть ім’я вашого сервера, яке датчик використовуватиме під час зв’язку з іншими комп’ютерами та буде видимим на порталі Secure Cloud Analytics, потім виберіть «Продовжити» за допомогою клавіш зі стрілками та натисніть Enter.
  12.  Введіть ім’я користувача для свого облікового запису, тобто облікового запису без прав root з правами адміністратора, потім виберіть «Продовжити» за допомогою клавіш зі стрілками та натисніть Enter.
  13.  Виберіть пароль для нового користувача, потім виберіть «Продовжити» за допомогою клавіш зі стрілками та натисніть Enter.
  14. Введіть пароль ще раз для підтвердження, потім виберіть «Продовжити» за допомогою клавіш зі стрілками та натисніть Enter. Якщо ви не ввели той самий пароль двічі, спробуйте ще раз.
    Обліковий запис, який ви створюєте під час налаштування, – це єдиний обліковий запис, який ви можете використовувати для доступу до віртуальної машини. Ця інсталяція не створює окремий обліковий запис порталу Secure Cloud Analytics. CISCO-Secure-Cloud-Analytics-Senso- (7)
  15. Щоб підтвердити процес встановлення, виберіть «Продовжити» та натисніть Enter.
    Ця дія видаляє всі дані на диску. Перш ніж продовжити, переконайтеся, що він порожній.CISCO-Secure-Cloud-Analytics-Senso- (8)Зачекайте кілька хвилин, поки інсталятор встановить потрібне files.
  16. Коли інсталятор відобразить «Інсталяція завершена», виберіть «Перезавантажити зараз» за допомогою клавіш зі стрілками, а потім натисніть Enter, щоб перезапустити пристрій.CISCO-Secure-Cloud-Analytics-Senso- (9)
  17. Після перезавантаження пристрою увійдіть у систему, використовуючи створений обліковий запис, щоб переконатися, що ваші облікові дані правильні.

Що робити далі

  • Якщо ви обмежуєте доступ до своїх приватних середовищ, переконайтеся, що дозволено зв’язок з відповідними IP-адресами. Див. Вимоги до доступу до датчиків для отримання додаткової інформації.
  • Якщо ви використовуєте датчик для збору даних мережевого потоку, наприклад, NetFlow, див. розділ Налаштування датчика для збору даних потоку, щоб отримати додаткові відомості про налаштування датчика.
  •  Якщо ви використовуєте датчик і підключаєте його до портів SPAN або дзеркальних портів для збору дзеркального трафіку, див. розділ Підключення датчиків до Web Портал для отримання додаткової інформації про додавання датчиків у Secure Cloud Analytics web портал.
  •  Якщо ви налаштовуєте датчик для передачі телеметрії Enhanced NetFlow, див. Посібник з налаштування Cisco Secure Cloud Analytics для Enhanced NetFlow для отримання додаткової інформації.

Підключення датчиків до Web Портал

  • Після встановлення датчика його потрібно буде підключити до вашого порталу. Це робиться шляхом визначення публічної IP-адреси датчика та введення її в web портал. Якщо ви не можете визначити публічну IP-адресу датчика, ви можете вручну підключити датчик до порталу за допомогою його унікального сервісного ключа.

Датчик може підключатися до таких порталів:

Якщо підключено кілька датчиківtagрозміщені в центральному місці, такому як постачальник послуг з управління мережею (MSSP), і призначені для різних клієнтів, публічну IP-адресу слід видаляти після налаштування кожного нового клієнта. Якщо публічну IP-адресуtagЯкщо середовище використовується для кількох датчиків, датчик може бути неправильно підключений до неправильного порталу.
Якщо ви використовуєте проксі-сервер, виконайте кроки в розділі «Налаштування проксі-сервера», щоб увімкнути зв’язок між датчиком і Secure Cloud Analytics. web портал.

Пошук та додавання публічної IP-адреси датчика до порталу

  1. SSH-підключення до датчика від імені адміністратора.
  2. У командному рядку введіть curl https://sensor.ext.obsrvbl.comandpressEnterЗначення помилки «невідома ідентичність» означає, що датчик не пов’язаний із порталом. Див. приклад на наступному зображенні.ample.CISCO-Secure-Cloud-Analytics-Senso- (10)Ваш хост послуг URL може відрізнятися залежно від вашого місцезнаходження. На порталі Secure Cloud Analytics перейдіть до розділу Налаштування > Датчики та прокрутіть сторінку донизу, щоб знайти хоста вашої служби. url.
  3.  Скопіюйте IP-адресу ідентифікації.
  4.  Вийдіть із сенсора.
  5.  Увійдіть до Secure Cloud Analytics як адміністратор сайту.
  6.  Виберіть Налаштування > Датчики > Публічна IP-адреса.
  7. Натисніть кнопку «Додати нову IP-адресу».
  8. Введіть IP-адресу ідентифікації в поле «Нова адреса». 9. Натисніть «Створити». Після обміну ключами портал і датчик встановлять майбутні
  9. CISCO-Secure-Cloud-Analytics-Senso- (11) Натисніть «Створити». Після обміну ключами між порталом і датчиком, вони встановлюватимуть майбутні з’єднання, використовуючи ці ключі, а не публічну IP-адресу.
    Може пройти до 20 хвилин, перш ніж новий датчик відобразиться на порталі.

Додавання сервісного ключа порталу до датчика вручну
Якщо ви не можете додати публічну IP-адресу датчика до web портал, або ви є
MSSP керує кількома web портали, редагування конфігурації датчика config.local file щоб вручну додати сервісний ключ порталу для пов’язування датчика з порталом.
Цей обмін ключами здійснюється автоматично під час використання публічної IP-адреси, як зазначено в попередньому розділі.

  1. Увійдіть до Secure Cloud Analytics як адміністратор.
  2.  Виберіть Налаштування > Датчики.
  3.  Перейдіть до кінця списку датчиків і скопіюйте сервісний ключ. Див. приклад на наступному зображенні.ample.
    Ключ служби:(показати) Хост служби:CISCO-Secure-Cloud-Analytics-Senso- (12)
  4. SSH-підключення до датчика від імені адміністратора.
  5. У командному рядку введіть таку команду: sudo nano /opt/obsrvbl-ona/config.local і натисніть Enter, щоб редагувати конфігурацію. file.
  6. Додайте наступні рядки, замінивши з сервісним ключем порталу таurl>з вашим регіональним хостом послуг url: # Сервісний ключ
    OBSRVBL_SERVICE_KEY="КЛЮЧ_СЕРВІСУ_ОБСЛУГОВУВАННЯ" «OBSRVBL_HOST="url>”
    На порталі Secure Cloud Analytics перейдіть до розділу Налаштування > Датчики та прокрутіть сторінку донизу, щоб знайти хоста вашої служби. url.
    Дивіться наступне зображення для прикладуampле:
  7. CISCO-Secure-Cloud-Analytics-Senso- (13)Натисніть Ctrl + 0, щоб зберегти зміни.
  8.  Натисніть Ctrl + x для виходу.
  9.  У командному рядку введіть sudo service obsrvbl-ona restart, щоб перезапустити службу Secure Cloud Analytics.

Може пройти до 20 хвилин, перш ніж новий датчик відобразиться на порталі.

Налаштування проксі-сервера
Якщо ви використовуєте проксі-сервер, виконайте такі дії, щоб увімкнути зв'язок між датчиком та web портал.

  1.  SSH-підключення до датчика від імені адміністратора.
  2.  У командному рядку введіть таку команду: sudo nano /opt/obsrvbl-ona/config.local і натисніть Enter, щоб редагувати конфігурацію. file.
  3.  Додайте наступний рядок, замінивши proxy.name.com на ім’я хоста або IP-адресу вашого проксі-сервера, а Port на номер порту вашого проксі-сервера: HTTPS_PROXY="proxy.name.com:Порт.”
  4. Натисніть Ctrl + 0, щоб зберегти зміни.
  5.  Натисніть Ctrl + x для виходу.
  6. У командному рядку введіть sudo service obsrvbl-ona restart, щоб перезапустити службу Secure Cloud Analytics.

Може пройти до 20 хвилин, перш ніж новий датчик відобразиться на порталі.

Підтвердження підключення датчика до порталу
Після додавання датчика до порталу підтвердьте підключення в Secure Cloud Analytics.

Якщо ви вручну підключили датчик до web портал шляхом оновлення config.local
конфігурація file за допомогою сервісного ключа, за допомогою curlкоманда для підтвердження з'єднання від датчика може не повернути web назва порталу.

  1. Увійдіть до безпечної хмарної аналітики.
  2. Виберіть Налаштування > Датчики. Датчик з’явиться у списку.

CISCO-Secure-Cloud-Analytics-Senso- (14)

Якщо ви не бачите датчик на сторінці «Датчики», увійдіть у систему датчика, щоб підтвердити підключення.

  1. SSH-підключення до датчика від імені адміністратора.
  2. У командному рядку введіть curl https://sensor.ext.obsrvbl.comandpressEnter. Датчик повертає назву порталу. Дивіться приклад на наступному зображенні.ample.CISCO-Secure-Cloud-Analytics-Senso- (1)Ваш хост послуг url може відрізнятися залежно від вашого місцезнаходження. На порталі Secure Cloud Analytics перейдіть до розділу Налаштування > Датчики та прокрутіть сторінку донизу, щоб знайти хоста вашої служби. url.
  3. Вийдіть із сенсора.

Налаштування датчика для збору даних про витрату

  • Датчик за замовчуванням створює записи потоку з трафіку на своїх інтерфейсах Ethernet. Ця конфігурація за замовчуванням передбачає, що датчик підключено до порту SPAN або дзеркального Ethernet. Якщо інші пристрої у вашій мережі можуть генерувати записи потоку, ви можете налаштувати датчик у web інтерфейс користувача порталу для збору записів потоків з цих джерел та їх надсилання до хмари.
  • Якщо мережеві пристрої генерують різні типи потоків, рекомендується налаштувати датчик для збору кожного типу через окремий UDP-порт. Це також спрощує усунення несправностей.
    простіше. За замовчуванням локальний брандмауер датчиків (iptables) має відкриті порти 2055/UDP, 4739/UDP та 9995/UDP. Якщо ви хочете використовувати додаткові порти UDP, ви повинні налаштувати їх у
    в web портал.

Ви можете налаштувати збір наступних типів потоків у web інтерфейс порталу:

  • NetFlow v5 – Порт 2055/UDP (відкритий за замовчуванням)
  • NetFlow v9 – Порт 9995/UDP (відкритий за замовчуванням)
  • IPFIX – Порт 4739/UDP (відкритий за замовчуванням)
  •  sFlow – Порт 6343/UDP

Ми надали порти за замовчуванням, але їх можна налаштувати на потрібні вам порти в web інтерфейс порталу.

Певні мережеві пристрої необхідно вибрати в web інтерфейс користувача порталу, перш ніж вони працюватимуть належним чином:

  • Cisco Meraki – порт 9998/UDP
  • Cisco ASA – Порт 9997/UDP
  • SonicWALL – Порт 9999/UDP

Версія прошивки Meraki 14.50 узгоджує формат експорту журналів Meraki з форматом NetFlow. Якщо ваш пристрій Meraki використовує прошивку версії 14.50 або новішої, налаштуйте датчик з типом зонда NetFlow версії 9 та джерелом Standard. Якщо ваш пристрій Meraki використовує прошивку версії 14.50, налаштуйте датчик з типом зонда NetFlow версії 9 та джерелом Meraki MX (версії нижче 14.50).

Налаштування датчиків для збору даних про витрату

  1. Увійдіть до Secure Cloud Analytics як адміністратор.
  2. Виберіть Налаштування > Датчики.
  3. Клацніть розкривне меню «Налаштування» для доданого вами датчика.
  4. Виберіть налаштування NetFlow/IPFIX.
    Для цієї опції потрібна актуальна версія датчика. Якщо ви не бачите цієї опції, виберіть «Довідка (?)» > «Локальна інсталяція датчика», щоб завантажити актуальну версію ISO-образу датчика.
  5. Натисніть кнопку «Додати новий зонд».
  6.  Виберіть тип потоку з випадаючого меню «Тип зонда».
  7.  Введіть номер порту.
    Якщо ви хочете передати розширений NetFlow до вашого датчика, переконайтеся, що налаштований вами UDP-порт не є тим, який також налаштовано для Flexible NetFlow або IPFIX у конфігурації вашого датчика. Наприкладampле, налаштуйте порт 2055/UDP для розширеного NetFlow та порт 9995/UDP для гнучкого NetFlow. Див. Посібник з налаштування для розширеного NetFlow для отримання додаткової інформації.
  8. Виберіть протокол з випадаючого меню.
  9.  Виберіть Джерело з випадаючого меню.
  10.  Натисніть Зберегти.

Відображення оновлень конфігурації датчиків на порталі може зайняти до 30 хвилин.

Усунення несправностей

Захоплення пакетів від датчика
Інколи службі підтримки Cisco може знадобитися перевірити дані потоку, що отримуються датчиком. Ми рекомендуємо зробити це, створивши захоплення пакетів потоків. Ви також можете відкрити захоплення пакетів у Wireshark, щоб...view дані.

  1.  SSH-підключення до датчика від імені адміністратора.
  2.  У запиті введіть sudo tcpdump -Dі натисніть Enter, щоб view список інтерфейсів. Зверніть увагу на назву інтерфейсу керування вашого датчика.
  3. У командному рядку введіть sudo tcpdump -i -n -c 100 “порт "-в" , замінити з назвою вашого інтерфейсу керування, з номером порту, що відповідає вашим налаштованим даним потоку, та з назвою для згенерованого pcap file, а потім натисніть Enter. Система генерує pcap file із зазначеним ім'ям для трафіку цього інтерфейсу через зазначений порт.
  4. Вийдіть із сенсора.
  5. За допомогою програми SFTP, такої як PuTTY SFTP (PSFTP) або WinSCP, увійдіть у систему датчика.
  6. У запиті введіть get , замінити з вашим згенерованим pcap file ім'я та натисніть Enter, щоб перенести file до вашої локальної робочої станції.

Аналіз захоплення пакетів у Wireshark

  1. Завантажте та встановіть Wireshark, а потім відкрийте Wireshark.
  2. Виберіть File > Відкрийте, а потім виберіть свій pcap file.
  3. Виберіть «Аналізувати» > «Декодувати як».
  4. Натисніть +, щоб додати нове правило.
  5. Виберіть CFLOW у розкривному списку «Поточний», а потім натисніть кнопку «ОК». Інтерфейс користувача оновлюється, щоб відображати лише пакети, пов’язані з NetFlow, IPFIX або sFlow. Якщо результати не відображаються, pcap не містить пакетів, пов’язаних з NetFlow, а збір даних потоку налаштовано на датчику неправильно.

Додаткові ресурси

Щоб отримати додаткові відомості про безпечну хмарну аналітику, зверніться до наступних джерел:

Звернення в службу підтримки
Якщо вам потрібна технічна підтримка, виконайте одну з таких дій:

Історія змін

Версія документа Дата публікації опис
1_0 квітень 27,2022 р Початкова версія
1_1 Серпень 1,2022
  • Оновлення інформації служби підтримки Cisco.
  •  Додано примітку щодо публічних IP-адрес.
1_2 17 лютого 2023 р
  •  Додано розділ налаштувань проксі-сервера.
  •  Оновлено налаштування датчика Meraki.
1_3 червень 21,2023 р
  •  Виправлено друкарську помилку.
  • Оновлено нумерацію процедур.
1_4 8 квітня 2024 р
  •  Оновлено вступ у Сенсорні медіа Монтаж і Конфігурація розділ. Незначні зміни форматування.
1_5 30 жовтня 2024 р Оновлено Вимоги до доступу до датчиків розділ.
2_0 4 грудня 2024 р Оновлено версію датчика, встановив датчик розділ, Пошук та додавання публічної IP-адреси датчика до порталу розділ, і Необхідні умови для датчика розділ.
2_1 21 квітня 2025 р
  •  Додано примітку щодо опції завантаження VMware. Додаткові вимоги до віртуальної машини розділ.
  • Оновлено Додавання сервісного ключа порталу вручну до датчик розділ, щоб включити інформацію про конфігурацію OBSRVBL_HOST.
2_2 17 жовтня 2025 р Видалено обмеження лише для Північної Америки, яке забезпечувало зв'язок датчика лише з відомими адресами Cisco.

Інформація про авторські права

  • Cisco та логотип Cisco є торговими марками або зареєстрованими торговими марками Cisco та/або її філій у США та інших країнах. до view список торгових марок Cisco, перейдіть до цього URL: https://www.cisco.com/go/trademarks. Згадані торгові марки третіх сторін є власністю відповідних власників. Використання слова «партнер» не означає партнерські відносини між Cisco та будь-якою іншою компанією. (1721R)
  • © 2025 Cisco Systems, Inc. та/або її філії. Всі права захищені.

поширені запитання

Чи може датчик збирати IPv6-трафік?

Ні, датчик не підтримує трафік IPv6.

Документи / Ресурси

Датчик безпечної хмарної аналітики CISCO [pdfПосібник користувача
Датчик безпечної хмарної аналітики, датчик хмарної аналітики, датчик аналітики, датчик

Список літератури

Залиште коментар

Ваша електронна адреса не буде опублікована. Обов'язкові поля позначені *