StealthWatch: 배포 및 구성. 2 부

안녕하세요 동료들! StealthWatch를 배포하기 위한 최소 요구 사항을 결정했습니다. 마지막 부분, 제품 배포를 시작할 수 있습니다.

1. StealthWatch 배포 방법

StealthWatch를 "접촉"하는 방법에는 여러 가지가 있습니다.

• 디클라우드 – 실험실 작업을 위한 클라우드 서비스
• 클라우드 기반: Stealthwatch Cloud 무료 평가판 – 여기에서 장치의 Netflow가 클라우드로 흘러 들어가 StealthWatch 소프트웨어에 의해 분석됩니다.
• 온프레미스 POV(GVE 요청) – 제가 따랐던 방법을 따르면 회사 네트워크의 전용 서버에 배포할 수 있는 4일 동안 라이선스가 내장된 가상 머신의 OVF 파일 90개를 보내드립니다.

다운로드한 가상 머신이 풍부함에도 불구하고 최소한의 작업 구성에는 StealthWatch 관리 콘솔과 FlowCollector 2개만 있으면 충분합니다. 그러나 Netflow를 FlowCollector로 내보낼 수 있는 네트워크 장치가 없는 경우 FlowSensor를 배포해야 합니다. FlowSensor를 사용하면 SPAN/RSPAN 기술을 사용하여 Netflow를 수집할 수 있기 때문입니다.

앞서 말했듯이 StealthWatch에는 트래픽 복사본, 더 정확하게는 트래픽 복사본만 필요하기 때문에 실제 네트워크는 실험실 벤치 역할을 할 수 있습니다. 아래 그림은 보안 게이트웨이에서 Netflow 내보내기를 구성하고 결과적으로 Netflow를 수집기로 보내는 내 네트워크를 보여줍니다.

향후 VM에 액세스하려면 방화벽에 다음 포트가 허용되어야 합니다(있는 경우).

TCP 22ℓ TCP 25ℓ TCP 389ℓ TCP 443ℓ TCP 2393ℓ TCP 5222ℓ UDP 53ℓ UDP 123ℓ UDP 161ℓ UDP 162ℓ UDP 389ℓ UDP 514ℓ UDP 2055ℓ UDP 6343

그 중 일부는 잘 알려진 서비스이고 일부는 Cisco 서비스용으로 예약되어 있습니다.
제 경우에는 Check Point와 동일한 네트워크에 StelathWatch를 배포만 했고, 권한 규칙을 구성할 필요가 없었습니다.

2. VMware vSphere를 예로 들어 FlowCollector 설치

2.1. 찾아보기를 클릭하고 OVF file1을 선택합니다. 자원 가용성을 확인한 후 메뉴 보기, 인벤토리 → 네트워킹(Ctrl+Shift+N)으로 이동합니다.

2.2. 네트워킹 탭의 가상 스위치 설정에서 새 분산 포트 그룹을 선택합니다.

2.3. 이름을 설정하고 StealthWatchPortGroup으로 하고 나머지 설정은 스크린샷과 같이 하고 Next를 클릭합니다.

2.4. Finish 버튼을 눌러 포트 그룹 생성을 완료합니다.

2.5. 포트 그룹을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 선택하여 생성된 포트 그룹의 설정을 편집해 보겠습니다. 보안 탭에서 "무차별 모드"를 활성화하고 무차별 모드 → 수락 → 확인을 확인하십시오.

2.6. 예를 들어 GVE 요청 후 Cisco 엔지니어가 보낸 다운로드 링크인 OVF FlowCollector를 가져옵니다. VM을 배포하려는 호스트를 마우스 오른쪽 버튼으로 클릭하고 OVF 템플릿 배포를 선택합니다. 할당된 공간은 50GB에서 "시작"되지만 전투 조건에서는 200GB를 할당하는 것이 좋습니다.

2.7. OVF 파일이 있는 폴더를 선택합니다.

2.8. “다음”을 클릭하세요.

2.9. 배포할 이름과 서버를 표시합니다.

2.10. 결과적으로 다음 그림을 얻고 "마침"을 클릭합니다.

2.11. StealthWatch 관리 콘솔을 배포할 때도 동일한 단계를 따릅니다.

2.12. 이제 FlowCollector가 SMC와 Netflow를 내보낼 장치를 모두 볼 수 있도록 인터페이스에 필요한 네트워크를 지정해야 합니다.

3. StealthWatch 관리 콘솔 초기화

3.1. 설치된 SMCVE 시스템의 콘솔로 이동하면 기본적으로 로그인 및 비밀번호를 입력할 수 있는 위치가 표시됩니다. 시스템 관리자/lan1cope.

3.2. 관리 항목으로 이동하여 IP 주소 및 기타 네트워크 매개 변수를 설정한 다음 변경 사항을 확인합니다. 장치가 재부팅됩니다.

3.3. 웹 인터페이스로 이동하여(SMC에서 지정한 주소로 https를 통해) 콘솔, 기본 로그인/비밀번호를 초기화합니다. 관리자/lan411cope.

추신: Chrome에서 열리지 않는 경우 Explorer가 항상 도움을 드릴 것입니다.

3.4. 반드시 비밀번호 변경, DNS, NTP 서버, 도메인 등을 설정하세요. 설정은 직관적입니다.

3.5. “적용” 버튼을 클릭하면 장치가 다시 재부팅됩니다. 5~7분 후에 이 주소에 다시 연결할 수 있습니다. StealthWatch는 웹 인터페이스를 통해 관리됩니다.

4. FlowCollector 설정

4.1. 콜렉터도 마찬가지다. 먼저 CLI에서 IP 주소, 마스크, 도메인을 지정한 다음 FC를 재부팅합니다. 그런 다음 지정된 주소의 웹 인터페이스에 연결하고 동일한 기본 설정을 수행할 수 있습니다. 설정이 유사하기 때문에 자세한 스크린샷은 생략합니다. 신임장 들어가다 똑같다.

4.2. 두 번째 지점에서는 SMC의 IP 주소를 설정해야 합니다. 이 경우 콘솔에 장치가 표시되며 자격 증명을 입력하여 이 설정을 확인해야 합니다.

4.3. 앞서 설정한 StealthWatch용 도메인을 선택하고 포트는 2055 – 일반 Netflow(sFlow로 작업하는 경우 포트) 6343.

5. Netflow 내보내기 구성

5.1. Netflow 내보내기를 구성하려면 다음을 사용하는 것이 좋습니다. 자원 , Cisco, Check Point, Fortinet 등 다양한 장치에 대해 Netflow 내보내기를 구성하기 위한 주요 가이드는 다음과 같습니다.

5.2. 우리의 경우에는 Check Point 게이트웨이에서 Netflow를 내보내고 있음을 반복합니다. Netflow 내보내기는 웹 인터페이스(Gaia Portal)에서 동일한 이름의 탭에 구성됩니다. 이렇게 하려면 "추가"를 클릭하고 Netflow 버전과 필요한 포트를 지정하십시오.

6. StealthWatch 동작 분석

6.1. SMC 웹 인터페이스로 이동하면 대시보드 > 네트워크 보안의 첫 번째 페이지에서 트래픽이 시작된 것을 볼 수 있습니다!

6.2. 예를 들어 호스트를 그룹으로 나누기, 개별 인터페이스 모니터링, 로드 모니터링, 수집기 관리 등의 일부 설정은 StealthWatch Java 애플리케이션에서만 찾을 수 있습니다. 물론 Cisco는 모든 기능을 천천히 브라우저 버전으로 이전하고 있으며 곧 그러한 데스크톱 클라이언트를 포기할 것입니다.

애플리케이션을 설치하려면 먼저 설치해야 합니다. JRE (저는 버전 8을 설치했는데, 10까지 지원한다고 합니다) 오라클 공식 홈페이지에서 확인했습니다.

다운로드하려면 관리 콘솔 웹 인터페이스의 오른쪽 상단에서 "데스크톱 클라이언트" 버튼을 클릭해야 합니다.

클라이언트를 강제로 저장하고 설치하면 Java가 맹세할 가능성이 높으며 Java 예외에 호스트를 추가해야 할 수도 있습니다.

결과적으로 내보내기, 인터페이스, 공격 및 해당 흐름의 로딩을 쉽게 볼 수 있는 상당히 명확한 클라이언트가 드러납니다.

7. StealthWatch 중앙 관리

7.1. Central Management 탭에는 배포된 StealthWatch의 일부인 FlowCollector, FlowSensor, UDP-Director 및 Endpoint Concetrator와 같은 모든 장치가 포함되어 있습니다. 여기에서 네트워크 설정, 장치 서비스, 라이센스를 관리하고 장치를 수동으로 끌 수 있습니다.

오른쪽 상단의 "기어"를 클릭하고 중앙 관리를 선택하여 이동할 수 있습니다.

7.2. FlowCollector에서 기기 구성 편집으로 이동하면 앱 자체와 관련된 SSH, NTP 및 기타 네트워크 설정이 표시됩니다. 이동하려면 필요한 장치에 대해 작업 → 기기 구성 편집을 선택합니다.

7.3. 라이선스 관리는 중앙 관리 > 라이선스 관리 탭에서도 찾을 수 있습니다. GVE 요청 시 평가판 라이선스가 제공됩니다. 90 일.

제품이 준비되었습니다! 다음 부분에서는 StealthWatch가 공격을 인식하고 보고서를 생성하는 방법을 살펴보겠습니다.

출처 : habr.com