🥇StealthWatch፡ ማሰማራት እና ማዋቀር። ክፍል 2

ሰላም ባልደረቦች! StealthWatchን ወደ ውስጥ ለማሰማራት ዝቅተኛውን መስፈርቶች ከወሰንን በኋላ የመጨረሻው ክፍልየምርቱን መልቀቅ መጀመር እንችላለን።

1. StealthWatchን ለማሰማራት መንገዶች

StealthWatchን "ለመንካት" ብዙ መንገዶች አሉ፡-

dcloud - የላብራቶሪ ስራዎች የደመና አገልግሎት;
ደመና ላይ የተመሠረተ: Stealthwatch Cloud ነፃ ሙከራ - እዚህ ከመሣሪያዎ የሚመጣው Netflow ወደ ደመናው ውስጥ ይወድቃል እና StealthWatch ሶፍትዌር እዚያ ይተነትናል;
በግቢው ላይ POVየ GVE ጥያቄ) - እኔ በሄድኩበት መንገድ ለ 4 ቀናት አብሮገነብ ፈቃድ ያላቸው ቨርቹዋል ማሽኖች 90 OVF ፋይሎች ይሰጥዎታል ፣ ይህም በድርጅት አውታረመረብ ውስጥ በልዩ አገልጋይ ላይ ሊሰማራ ይችላል ።

ብዙ የወረዱ ቨርችዋል ማሽኖች ቢኖሩትም ለዝቅተኛ የስራ ውቅረት 2 ብቻ በቂ ናቸው፡ StealthWatch Management Console እና FlowCollector። ሆኖም ፣ Netflowን ወደ FlowCollector መላክ የሚችል ምንም የአውታረ መረብ መሳሪያ ከሌለ ፣ ከዚያ የ FlowSensor ን ማሰማራት አስፈላጊ ነው ፣ ምክንያቱም የኋለኛው ፣ SPAN / RSPAN ቴክኖሎጂዎችን በመጠቀም ፣ Netflowን ለመሰብሰብ ያስችልዎታል።

እንደ ላቦራቶሪ ማቆሚያ፣ ቀደም ብዬ እንዳልኩት፣ StealthWatch ቅጂ ብቻ ወይም ይበልጥ በትክክል፣ የትራፊክ መጭመቂያ ቅጂ ብቻ ስለሆነ የእርስዎ እውነተኛ አውታረ መረብ እርምጃ መውሰድ ይችላል። ከታች ያለው ምስል የእኔን አውታረመረብ ያሳያል፣ በሴኪዩሪቲ ጌትዌይ ላይ የ Netflow ላኪን አዋቅር እና በውጤቱም ፣ Netflowን ወደ ሰብሳቢው እልካለሁ።

የወደፊት ቪኤምዎችን ለመድረስ ፋየርዎል ካለ፣ የሚከተሉትን ወደቦች መፍቀድ አለበት፡

TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343

አንዳንዶቹ የታወቁ አገልግሎቶች ናቸው, አንዳንዶቹ ለሲስኮ አገልግሎቶች የተጠበቁ ናቸው.
በእኔ ሁኔታ፣ ልክ እንደ Check Point በተመሳሳይ አውታረ መረብ ላይ StelathWatchን አሰማርቻለሁ እና ምንም አይነት የፍቃድ ደንቦችን ማዋቀር አላስፈለገኝም።

2. እንደ ምሳሌ VMware vSphere በመጠቀም FlowCollector ን መጫን

2.1. አስስ የሚለውን ጠቅ ያድርጉ እና OVF ፋይል1ን ይምረጡ። የሀብቶች መገኘትን ካረጋገጡ በኋላ ወደ ምናሌው ይሂዱ ይመልከቱ ፣ ኢንቬንቶሪ → አውታረ መረብ (Ctrl+Shift+N)።

2.2. በኔትዎርክቲንግ ትሩ ውስጥ በምናባዊ መቀየሪያ ቅንጅቶች ውስጥ አዲስ የተከፋፈለ የወደብ ቡድንን ይምረጡ።

2.3. ስሙን እናስቀምጣለን, StealthWatchPortGroup ይሁን, የተቀሩት መቼቶች በስክሪፕቱ ላይ እንደሚታየው ሊደረጉ ይችላሉ እና ቀጣይ የሚለውን ጠቅ ያድርጉ.

2.4. የማጠናቀቂያ ቁልፍን በመጠቀም የፖርት ቡድን መፍጠርን እናጠናቅቃለን።

2.5. የወደብ ቡድኑን በቀኝ ጠቅ በማድረግ ለተፈጠረው የፖርት ቡድን ቅንጅቶችን እናስተካክላለን፣ የአርትዕ ቅንብሮችን ይምረጡ። በሴኪዩሪቲ ትሩ ውስጥ "የዝሙት ሁነታ"፣ ዝሙት ሁነታ → ተቀበል → እሺን ማንቃትዎን ያረጋግጡ።

2.6. ለአብነት ያህል፣ ከ GVE ጥያቄ በኋላ በሲስኮ መሐንዲስ የተላከውን OVF FlowCollector እናስመጣለን። ቪኤም ለማሰማራት ባቀዱበት አስተናጋጅ ላይ በቀኝ ጠቅ በማድረግ የኦቪኤፍ አብነት አሰማር የሚለውን ይምረጡ። የተመደበውን ቦታ በተመለከተ በ 50 ጂቢ "ይጀመራል" ነገር ግን ለጦርነት ሁኔታዎች 200 ጊጋባይት ለመመደብ ይመከራል.

2.7. የኦቪኤፍ ፋይል የሚገኝበትን አቃፊ ይምረጡ።

2.8. "ቀጣይ" የሚለውን ይጫኑ.

2.9. የምናሰማራበትን ስም እና አገልጋይ ይግለጹ።

2.10. በውጤቱም, የሚከተለውን ስዕል እናገኛለን እና "ጨርስ" ን ጠቅ ያድርጉ.

2.11. የStealthWatch አስተዳደር ኮንሶልን ለማሰማራት ተመሳሳይ ደረጃዎችን ይከተሉ።

2.12. አሁን FlowCollector ሁለቱንም SMC እና Netflow ወደ ውጭ የሚላክባቸውን መሳሪያዎች ማየት እንዲችል በመገናኛዎች ውስጥ የሚፈለጉትን አውታረ መረቦች መግለጽ ያስፈልግዎታል።

3. የStealthWatch አስተዳደር መሥሪያን ማስጀመር

3.1. ወደ ተጫነው SMCVE ማሽን ኮንሶል በመሄድ በነባሪነት መግቢያ እና የይለፍ ቃል የሚያስገቡበት ቦታ ያያሉ። sysadmin/lan1መቋቋም.

3.2. ወደ አስተዳደር ንጥል እንሄዳለን, የአይፒ አድራሻውን እና ሌሎች የአውታረ መረብ መለኪያዎችን እናዘጋጃለን, ከዚያም ለውጣቸውን ያረጋግጡ. መሣሪያው ዳግም ይነሳል.

3.3. ወደ የድር በይነገጽ እንሄዳለን (በ https በኩል SMC ን ወደ ሚያቀናብሩት አድራሻ) እና ኮንሶሉን እናስጀምራለን ፣ ነባሪው የመግቢያ / ይለፍ ቃል ነው አስተዳዳሪ/lan411መቋቋም.

PS: በ Google Chrome ውስጥ የማይከፈት ከሆነ, ኤክስፕሎረር ሁልጊዜ ይረዳል.

3.4. የይለፍ ቃሎችን መቀየር፣ ዲ ኤን ኤስ፣ NTP አገልጋዮችን፣ ጎራዎችን እና ሌሎችንም ማቀናበርዎን እርግጠኛ ይሁኑ። ቅንብሮቹ የሚታወቁ ናቸው።

3.5. "ማመልከት" የሚለውን ቁልፍ ጠቅ ካደረጉ በኋላ መሳሪያው እንደገና ይነሳል. ከ5-7 ደቂቃዎች በኋላ, በዚህ አድራሻ እንደገና መገናኘት ይችላሉ; StealthWatch በድር በይነገጽ ነው የሚተዳደረው።

4. ወራጅ ሰብሳቢውን በማዘጋጀት ላይ

4.1. በሰብሳቢውም ያው ነው። በመጀመሪያ ፣ በ CLI ውስጥ የአይፒ አድራሻ ፣ ጭምብል ፣ ጎራ እንገልፃለን ፣ ከዚያ FC እንደገና ይነሳል። ከዚያ በኋላ በተጠቀሰው አድራሻ ከድር በይነገጽ ጋር መገናኘት እና ተመሳሳይ መሰረታዊ ውቅር ማከናወን ይችላሉ. በተመሳሳዩ ቅንብሮች ምክንያት ዝርዝር ቅጽበታዊ ገጽ እይታዎች ተትተዋል። ምስክርነቶች ለመግባት ተመሳሳይ.

4.2. በመጨረሻው ነጥብ ላይ የ SMC IP አድራሻን ማዘጋጀት አለብዎት, በዚህ ጊዜ ኮንሶሉ መሳሪያውን ያያል, ምስክርነቶችን በማስገባት ይህንን ቅንብር ማረጋገጥ አለብዎት.

4.3. ለ StealthWatch ጎራውን እንመርጣለን ፣ ቀደም ብሎ ተዘጋጅቷል እና ወደብ 2055 - መደበኛ Netflow ፣ ከ sFlow ፣ ወደብ ጋር አብረው የሚሰሩ ከሆነ 6343.

5. የተጣራ ፍሰት ላኪ ውቅር

5.1. የNetflow ላኪን ለማዋቀር፣ ይህንን እንዲያመለክቱ በጣም እመክራለሁ። ምንጭ , ለብዙ መሳሪያዎች የ Netflow ላኪን ለማዋቀር ዋና ዋና መመሪያዎች እዚህ አሉ: Cisco, Check Point, Fortinet.

5.2. በእኛ ሁኔታ፣ እደግመዋለሁ፣ Netflowን ከቼክ ፖይንት ጌትዌይ ወደ ውጭ እየላክን ነው። የNetflow ላኪ የተዋቀረው በድር በይነገጽ (Gaia Portal) ውስጥ በስም ተመሳሳይ በሆነ ትር ነው። ይህንን ለማድረግ "አክል" ን ጠቅ ያድርጉ, የ Netflow ስሪት እና አስፈላጊውን ወደብ ይግለጹ.

6. የ StealthWatch ሥራ ትንተና

6.1. ወደ የኤስኤምሲ ዌብ በይነገጽ፣ በዳሽቦርዶች > የአውታረ መረብ ደህንነት የመጀመሪያ ገጽ ላይ፣ ትራፊኩ እንደሄደ ማየት ትችላለህ!

6.2. እንደ አስተናጋጆችን በቡድን መከፋፈል፣ የግለሰቦችን መገናኛዎች መከታተል፣ የስራ ጫናአቸውን፣ ሰብሳቢዎችን ማስተዳደር እና ሌሎችንም የመሳሰሉ አንዳንድ መቼቶች በStealthWatch Java መተግበሪያ ውስጥ ይገኛሉ። እርግጥ ነው, Cisco ሁሉንም ተግባራት ወደ አሳሹ ስሪት ቀስ በቀስ እያስተላለፈ ነው, እና በቅርቡ እንዲህ ያለውን የዴስክቶፕ ደንበኛን እንተዋለን.

አፕሊኬሽኑን ለመጫን መጀመሪያ መጫን አለቦት ጄሬ (ስሪት 8ን ጫንኩ፣ ምንም እንኳን እስከ 10 ድረስ እንደሚደገፍ ቢናገርም) ከኦራክል ኦፊሴላዊ ድህረ ገጽ።

ለማውረድ በአስተዳደር ኮንሶል የድር በይነገጽ የላይኛው ቀኝ ጥግ ላይ "የዴስክቶፕ ደንበኛ" ቁልፍን ጠቅ ማድረግ አለብዎት።

ደንበኛውን በግዳጅ አስቀምጠው ጫንከው፣ጃቫ ምናልባት ሊሳደብበት ይችላል፣አስተናጋጁን ወደ ጃቫ የማይካተቱ ነገሮች ማከል ያስፈልግህ ይሆናል።

በውጤቱም, በትክክል ግልጽ የሆነ ደንበኛ ይከፈታል, በዚህ ውስጥ ላኪዎች, መገናኛዎች, ጥቃቶች እና ፍሰቶቻቸውን መጫን ቀላል ነው.

7. StealthWatch ማዕከላዊ አስተዳደር

7.1. የማዕከላዊ ማኔጅመንት ትሩ እንደ፡ FlowCollector፣ FlowSensor፣ UDP-Director እና Endpoint Concetrator ያሉ የStealthWatch አካል የሆኑትን ሁሉንም መሳሪያዎች ይዟል። እዚያ የአውታረ መረብ ቅንብሮችን እና የመሣሪያ አገልግሎቶችን ፣ ፈቃዶችን ማስተዳደር እና መሣሪያውን እራስዎ ማጥፋት ይችላሉ።

በላይኛው ቀኝ ጥግ ላይ ያለውን "ማርሽ" ጠቅ በማድረግ ማዕከላዊ አስተዳደርን በመምረጥ ወደ እሱ መሄድ ይችላሉ።

7.2. ወደ ፍሎው ሰብሳቢው ወደ ኤዲት አፕሊያንስ ውቅር በመሄድ ኤስኤስኤች፣ኤንቲፒ እና ሌሎች ከመሳሪያው ጋር የተያያዙ ሌሎች የአውታረ መረብ ቅንብሮችን ያያሉ። ለመሄድ፣ ለሚፈለገው መሳሪያ ድርጊቶች → የአፕሊያንስ ውቅረትን አርትዕ የሚለውን ይምረጡ።

7.3. የፍቃድ አስተዳደር በማዕከላዊ አስተዳደር > የፍቃድ አስተዳደር ትር ስር ሊገኝ ይችላል። የGVE ጥያቄ ከሆነ የሙከራ ፍቃዶች ተሰጥተዋል። 90 ቀናት.

ምርቱ ለመሄድ ዝግጁ ነው! በሚቀጥለው ክፍል StealthWatch ጥቃቶችን እንዴት እንደሚያውቅ እና ሪፖርቶችን እንደሚያመነጭ እንመለከታለን.

ምንጭ: hab.com

StealthWatch፡ ማሰማራት እና ማዋቀር። ክፍል 2