Moien Kollegen! Nodeems d'Mindestfuerderunge fir d'Deployment StealthWatch an , kënne mir ufänken de Produit z'installéieren.
1. Methode fir deploy StealthWatch
Et gi verschidde Weeër fir de StealthWatch ze "beréieren":
- - Cloud Service fir Labo Aarbecht;
- Cloud baséiert: - hei wäert Netflow vun Ärem Apparat an d'Wollek fléissen a gëtt do duerch StealthWatch Software analyséiert;
- On-premise POV () - d'Method déi ech gefollegt hunn, si schécken Iech 4 OVF Dateien vu virtuelle Maschinnen mat agebaute Lizenzen fir 90 Deeg, déi op engem dedizéierten Server am Firmennetz agesat kënne ginn.
Trotz der Heefegkeet vun erofgeluede virtuelle Maschinnen, fir eng minimal Aarbechtskonfiguratioun sinn nëmmen 2 genuch: StealthWatch Management Console a FlowCollector. Wéi och ëmmer, wann et keen Netzwierkapparat ass deen Netflow op FlowCollector exportéiere kann, dann ass et och néideg FlowSensor z'installéieren, well dee leschte erlaabt Iech Netflow mat SPAN / RSPAN Technologien ze sammelen.
Wéi ech virdru gesot hunn, kann Äert richtegt Netzwierk als Laborbank handelen, well StealthWatch brauch nëmmen eng Kopie, oder méi korrekt, e Squeeze vun enger Kopie vum Traffic. D'Bild hei drënner weist mäi Netz, wou op der Sécherheetspaart ech den Netflow Exporter konfiguréieren an, als Resultat, Netflow un de Sammler schécken.
Fir Zougang zu zukünfteg VMs ze kréien, sollten déi folgend Ports op Ärer Firewall erlaabt sinn, wann Dir eng hutt:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
E puer vun hinnen sinn bekannt Servicer, e puer sinn fir Cisco Servicer reservéiert.
A mengem Fall hunn ech StelathWatch einfach am selwechte Netz wéi Check Point ofgesat, an hu keng Erlaabnisregelen konfiguréiert.
2. Installatioun FlowCollector benotzt VMware vSphere als Beispill
2.1. Klickt op Browsen a wielt OVF Datei1. Nodeems Dir d'Disponibilitéit vu Ressourcen iwwerpréift hutt, gitt op de Menü View, Inventar → Networking (Ctrl + Shift + N).
2.2. An der Networking Tab, wielt New Distributed Port Group an de virtuelle Schalter Astellungen.
2.3. Setzt den Numm, loosst et StealthWatchPortGroup sinn, de Rescht vun den Astellunge kënne gemaach ginn wéi am Screenshot a klickt Next.
2.4. Mir fäerdeg d'Schafung vun der Port Group mat der Finish Knäppchen.
2.5. Loosst eis d'Astellunge vun der erstallt Port Group änneren andeems Dir op d'Portgrupp klickt a wielt Änneren Astellungen. Am Sécherheetstab, gitt sécher "promiskuéis Modus" z'aktivéieren, Promiskuéis Modus → Akzeptéieren → OK.
2.6. Als Beispill, loosst eis OVF FlowCollector importéieren, den Downloadlink fir deen vun engem Cisco Ingenieur no enger GVE Ufro geschéckt gouf. Riets-klickt op den Host op deem Dir plangt de VM z'installéieren a wielt OVF Template Deploy. Wat den zougewisenen Raum ugeet, wäert et op 50 GB "ufänken", awer fir Kampfbedéngungen ass et recommandéiert 200 Gigabytes ze verdeelen.
2.7. Wielt den Dossier wou d'OVF-Datei läit.
2.8. Klickt op "Nächst".
2.9. Mir uginn den Numm an de Server wou mir et ofsetzen.
2.10. Als Resultat kréien mir déi folgend Bild a klickt op "Finish".
2.11. Mir verfollegen déiselwecht Schrëtt fir d'StealthWatch Management Console z'installéieren.
2.12. Elo musst Dir déi néideg Netzwierker an den Interfaces spezifizéieren, sou datt FlowCollector souwuel de SMC an d'Apparater gesäit, aus deenen Netflow exportéiert gëtt.
3. Initialiséieren StealthWatch Management Konsol
3.1. Andeems Dir op d'Konsole vun der installéierter SMCVE Maschinn gitt, gesitt Dir eng Plaz fir Äert Login a Passwuert anzeginn, par défaut sysadmin/lan1cope.
3.2. Mir ginn op de Management Element, setzen d'IP Adress an aner Netzwierkparameter, bestätegen dann hir Ännerungen. Den Apparat wäert nei starten.
3.3. Gitt op d'Webinterface (iwwer https op d'Adress déi Dir an SMC uginn hutt) an initialiséiert d'Konsole, Standard Login / Passwuert - admin/lan411cope.
PS: et geschitt datt et net am Google Chrome opmaacht, Explorer wäert ëmmer hëllefen.
3.4. Gitt sécher Passwierder z'änneren, DNS, NTP Server, Domain, etc. D'Astellunge sinn intuitiv.
3.5. Nodeems Dir op de "Uwenden" Knäppchen klickt, wäert den Apparat erëm nei starten. No 5-7 Minutten kënnt Dir erëm op dës Adress verbannen; StealthWatch gëtt iwwer e Web Interface geréiert.
4. Ariichten FlowCollector
4.1. Et ass d'selwecht mam Sammler. Als éischt spezifizéiere mir am CLI d'IP Adress, d'Mask, d'Domain, dann de FC reboots. Dir kënnt dann un d'Web-Interface op der spezifizéierter Adress verbannen an déiselwecht Basiskonfiguratioun ausféieren. Wéinst der Tatsaach, datt d'Astellunge ähnlech sinn, ginn detailléiert Screenshots ausgelooss. Umeldungsinformatioune anzeginn datselwecht.
4.2. Um nächste Punkt musst Dir d'IP Adress vum SMC setzen, an dësem Fall wäert d'Konsol den Apparat gesinn, Dir musst dës Astellung bestätegen andeems Dir Är Umeldungsinformatiounen aginn.
4.3. Wielt d'Domain fir StealthWatch, et war virdru gesat, an den Hafen 2055 - regelméisseg Netflow, wann Dir mat sFlow schafft, port 6343.
5. Netflow Exporter Configuratioun
5.1. Fir den Netflow Exporter ze konfiguréieren, empfeelen ech Iech op dësem ze wenden , Hei sinn d'Haaptleit fir den Netflow Exporter fir vill Apparater ze konfiguréieren: Cisco, Check Point, Fortinet.
5.2. An eisem Fall, widderhuelen ech, mir exportéieren Netflow vum Check Point Gateway. Netflow Exporter ass an engem Tab mam selwechten Numm an der Webinterface (Gaia Portal) konfiguréiert. Fir dëst ze maachen, klickt op "Add", spezifizéiert d'Netflow Versioun an den erfuerderlechen Hafen.
6. Analyse vun StealthWatch Operatioun
6.1. Gitt op d'SMC Webinterface, op der éischter Säit vun Dashboards> Network Security kënnt Dir gesinn datt de Traffic ugefaang huet!
6.2. E puer Astellungen, zum Beispill, Hosten a Gruppen opzedeelen, individuell Interfaces iwwerwaachen, hir Belaaschtung, Sammler managen, a méi, kënnen nëmmen an der StealthWatch Java Applikatioun fonnt ginn. Natierlech gëtt Cisco lues a lues all d'Funktionalitéit an d'Browserversioun iwwerdroen a mir wäerte geschwënn esou en Desktop Client opginn.
Fir d'Applikatioun z'installéieren, musst Dir als éischt installéieren (Ech hunn d'Versioun 8 installéiert, obwuel et gesot gëtt datt et bis zu 10 ënnerstëtzt gëtt) vun der offizieller Oracle Websäit.
An der ieweschter rechter Ecke vun der Webinterface vun der Gestiounskonsole, fir erofzelueden, musst Dir op de "Desktop Client" Knäppchen klickt.
Dir späichert an installéiert de Client zwangsleefeg, Java wäert héchstwahrscheinlech schwieren, Dir musst vläicht den Host op Java Ausnahmen addéieren.
Als Resultat gëtt e relativ kloere Client opgedeckt, an deem et einfach ass d'Luede vun Exporter, Interfaces, Attacken an hir Fluxen ze gesinn.
7. StealthWatch Central Management
7.1. Den Zentralverwaltungstab enthält all Geräter déi Deel vun der ofgebauter StealthWatch sinn, wéi: FlowCollector, FlowSensor, UDP-Director an Endpoint Concetrator. Do kënnt Dir Netzwierkastellungen an Apparatservicer, Lizenzen verwalten an den Apparat manuell ausschalten.
Dir kënnt dohinner goen andeems Dir op de "Gear" an der oberer rechter Ecke klickt a Central Management auswielen.
7.2. Andeems Dir op Edit Appliance Configuration am FlowCollector gitt, gesitt Dir SSH, NTP an aner Netzwierkastellungen am Zesummenhang mat der App selwer. Fir ze goen, wielt Aktiounen → Änneren Apparat Konfiguratioun fir den erfuerderlechen Apparat.
7.3. Lizenzverwaltung kann och an der Zentralverwaltung > Verwalte Lizenzen Tab fonnt ginn. Prozess Lizenzen am Fall vun GVE Ufro gi fir 90 Deeg.
De Produit ass prett fir ze goen! Am nächsten Deel wäerte mir kucken wéi StealthWatch Attacke erkennen kann a Berichter generéieren.
Source: will.com