StealthWatch: 導入と構成。 パート2

こんにちは、同僚です！ StealthWatch を導入するための最小要件を決定しました。 最後の部分をクリックすると、製品のデプロイを開始できます。

1. StealthWatch の導入方法

StealthWatch に「触れる」方法はいくつかあります。

• クラウド – 研究室作業用のクラウド サービス。
• クラウドベース: Stealthwatch クラウドの無料トライアル – ここで、デバイスからの Netflow がクラウドに流れ、そこで StealthWatch ソフトウェアによって分析されます。
• オンプレミスの POV (GVEリクエスト) – 私が従った方法では、4 日間ライセンスが組み込まれた仮想マシンの 90 つの OVF ファイルが送信され、企業ネットワーク上の専用サーバーにデプロイできます。

ダウンロードされた仮想マシンが豊富であるにもかかわらず、最小限の動作構成には、StealthWatch 管理コンソールと FlowCollector の 2 つだけで十分です。 ただし、Netflow を FlowCollector にエクスポートできるネットワーク デバイスがない場合は、FlowSensor を導入することも必要です。これは、FlowSensor を使用すると、SPAN/RSPAN テクノロジーを使用して Netflow を収集できるためです。

前に述べたように、StealthWatch が必要とするのはトラフィックのコピー、より正確にはトラフィックのコピーの絞り込みだけであるため、実際のネットワークは実験台として機能します。 下の図は私のネットワークを示しています。セキュリティ ゲートウェイ上で Netflow エクスポーターを構成し、その結果として Netflow をコレクターに送信します。

将来の VM にアクセスするには、ファイアウォールがある場合は、次のポートを許可する必要があります。

TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343

それらの中には、よく知られたサービスもあれば、Cisco サービス用に予約されているものもあります。
私の場合、StelathWatch を Check Point と同じネットワーク上に展開しただけで、権限ルールを構成する必要はありませんでした。

2. VMware vSphere を例として使用した FlowCollector のインストール

2.1. 「参照」をクリックして、OVF file1 を選択します。 リソースの可用性を確認した後、メニューの [表示]、[インベントリ] → [ネットワーク] (Ctrl+Shift+N) に移動します。

2.2. [ネットワーク] タブの仮想スイッチ設定で [新しい分散ポート グループ] を選択します。

2.3. 名前を設定し、StealthWatchPortGroup にします。残りの設定はスクリーンショットのように行って、「次へ」をクリックします。

2.4. [完了] ボタンをクリックしてポート グループの作成を完了します。

2.5. 作成したポートグループを右クリックし、[設定の編集]を選択して、ポートグループの設定を編集しましょう。 [セキュリティ] タブで、必ず「プロミスキャス モード」を有効にしてください (プロミスキャス モード → 同意する → OK)。

2.6. 例として、GVE リクエスト後に Cisco エンジニアによって送信されたダウンロード リンクである OVF FlowCollector をインポートしてみましょう。 VM をデプロイする予定のホストを右クリックし、[OVF テンプレートのデプロイ] を選択します。 割り当てられたスペースに関しては、50 GB で「起動」しますが、戦闘状況では 200 GB を割り当てることをお勧めします。

2.7. OVF ファイルが存在するフォルダーを選択します。

2.8. 「次へ」をクリックします。

2.9. デプロイ先の名前とサーバーを示します。

2.10. その結果、次の画像が表示されるので、「完了」をクリックします。

2.11。 同じ手順に従って、StealthWatch 管理コンソールを展開します。

2.12. 次に、FlowCollector が SMC と Netflow のエクスポート元のデバイスの両方を認識できるように、インターフェイスで必要なネットワークを指定する必要があります。

3. StealthWatch管理コンソールの初期化

3.1. インストールされた SMCVE マシンのコンソールに移動すると、デフォルトでログインとパスワードを入力する場所が表示されます。 システム管理者/lan1cope.

3.2. 「管理」項目に移動し、IP アドレスとその他のネットワークパラメータを設定し、それらの変更を確認します。 デバイスが再起動します。

3.3. Web インターフェイスに移動し (SMC で指定したアドレスへの https 経由)、コンソールを初期化します (デフォルトのログイン/パスワード)。 管理者/lan411cope.

PS: Google Chrome で開かない場合がありますが、Explorer が常に役に立ちます。

3.4. パスワードの変更、DNS、NTPサーバー、ドメインなどの設定は必ず行ってください。 設定は直感的に行えます。

3.5. 「適用」ボタンをクリックすると、デバイスが再度再起動します。 5 ～ 7 分後、このアドレスに再度接続できるようになります。 StealthWatch は Web インターフェイス経由で管理されます。

4. FlowCollectorのセットアップ

4.1. コレクターも同様です。 まず、CLI で IP アドレス、マスク、ドメインを指定し、FC が再起動します。 その後、指定したアドレスで Web インターフェイスに接続し、同じ基本セットアップを実行できます。 設定内容が似ているため、詳細なスクリーンショットは省略します。 資格 入る 同じ.

4.2. 最後から XNUMX 番目のポイントで、SMC の IP アドレスを設定する必要があります。この場合、コンソールにデバイスが表示され、資格情報を入力してこの設定を確認する必要があります。

4.3. 前に設定した StealthWatch のドメインとポートを選択します 2055 – 通常の Netflow、sFlow を使用している場合、ポート 6343.

5. Netflow エクスポーターの構成

5.1. Netflow エクスポータを設定するには、これを使用することを強くお勧めします。 リソース 、Cisco、Check Point、Fortinet など、多くのデバイス向けに Netflow エクスポータを設定するための主なガイドを次に示します。

5.2. 私たちの場合、繰り返しますが、Check Point ゲートウェイから Netflow をエクスポートしています。 Netflow エクスポータは、Web インターフェイス (Gaia Portal) の同じ名前のタブで設定されます。 これを行うには、「追加」をクリックし、Netflow バージョンと必要なポートを指定します。

6. StealthWatch動作の分析

6.1. SMC Web インターフェイスに移動し、[ダッシュボード] > [ネットワーク セキュリティ] の最初のページで、トラフィックが開始されていることがわかります。

6.2. 一部の設定（ホストのグループへの分割、個々のインターフェイスとその負荷の監視、コレクターの管理など）は、StealthWatch Java アプリケーションでのみ見つけることができます。 もちろん、シスコはすべての機能をブラウザ バージョンに徐々に移行しており、そのようなデスクトップ クライアントは間もなく廃止される予定です。

アプリケーションをインストールするには、まずインストールする必要があります JRE （バージョン8まで対応とのことですが、私はバージョン10をインストールしました） Oracle公式サイトより。

ダウンロードするには、管理コンソールの Web インターフェースの右上隅にある「デスクトップ クライアント」ボタンをクリックする必要があります。

クライアントを強制的に保存してインストールすると、Java がそれを悪用する可能性が高く、ホストを Java 例外に追加する必要がある場合があります。

その結果、かなり明確なクライアントが明らかになり、エクスポータ、インターフェイス、攻撃、およびそれらのフローの読み込みが簡単に確認できます。

7. StealthWatch の一元管理

7.1. [Central Management] タブには、FlowCollector、FlowSensor、UDP-Director、Endpoint Concetrator など、展開された StealthWatch の一部であるすべてのデバイスが含まれています。 そこでは、ネットワーク設定、デバイス サービス、ライセンスを管理し、デバイスを手動でオフにすることができます。

右上隅にある「歯車」をクリックし、[集中管理] を選択すると、それにアクセスできます。

7.2. FlowCollector で [アプライアンス構成の編集] に移動すると、アプリ自体に関連する SSH、NTP、およびその他のネットワーク設定が表示されます。 次に、必要なデバイスの「アクション」→「アプライアンス構成の編集」を選択します。

7.3. ライセンス管理は、[集中管理] > [ライセンスの管理] タブにもあります。 GVE リクエストの場合の試用ライセンスは、 90日.

製品の準備は完了です。 次のパートでは、StealthWatch がどのように攻撃を認識し、レポートを生成できるかを見ていきます。

出所： habr.com