StealthWatch- ဖြန့်ကျက်ခြင်းနှင့် ဖွဲ့စည်းမှု။ အပိုင်း 2

မင်္ဂလာပါ လုပ်ဖော်ကိုင်ဖက်များ။ StealthWatch ကိုအသုံးပြုရန်အတွက် အနည်းဆုံးလိုအပ်ချက်များကို ဆုံးဖြတ်ပြီးဖြစ်သည်။ နောက်ဆုံးအပိုင်းထုတ်ကုန်ကို စတင်ဖြန့်ကျက်နိုင်ပါပြီ။

1. StealthWatch ကို အသုံးပြုခြင်းအတွက် နည်းလမ်းများ

StealthWatch ကို “ထိ” ရန် နည်းလမ်းများစွာ ရှိပါသည်။

• dcloud - ဓာတ်ခွဲခန်းအလုပ်အတွက် cloud ဝန်ဆောင်မှု၊
• တိမ်တိုက်အခြေခံ- Stealthwatch Cloud အခမဲ့စမ်းသပ်မှု - ဤနေရာတွင် သင့်စက်မှ Netflow သည် cloud သို့စီးဆင်းမည်ဖြစ်ပြီး StealthWatch ဆော့ဖ်ဝဲလ်ဖြင့် ထိုနေရာတွင် ခွဲခြမ်းစိတ်ဖြာမည်ဖြစ်သည်။
• ပြင်ပ POV (GVE တောင်းဆိုချက်) – ကျွန်ုပ်လိုက်နာခဲ့သောနည်းလမ်းမှာ၊ ၎င်းတို့သည် သင့်အား ကော်ပိုရိတ်ကွန်ရက်ပေါ်ရှိ သီးခြားဆာဗာတစ်ခုပေါ်တွင် တပ်ဆင်အသုံးပြုနိုင်သည့် လိုင်စင်သက်တမ်း 4 ကြာ တပ်ဆင်ထားသော လိုင်စင်များဖြင့် OVF ဖိုင် 90 ခုကို သင့်ထံ ပေးပို့မည်ဖြစ်သည်။

ဒေါင်းလုဒ်လုပ်ထားသော virtual machine များ များပြားနေသော်လည်း၊ အနည်းငယ်မျှသာ လုပ်ဆောင်နိုင်သော configuration တစ်ခုအတွက် StealthWatch Management Console နှင့် FlowCollector သည် လုံလောက်ပါသည်။ သို့သော်၊ Netflow ကို FlowCollector သို့ တင်ပို့နိုင်သည့် ကွန်ရက်စက်ပစ္စည်း မရှိပါက၊ နောက်ပိုင်းတွင် သင်သည် SPAN/RSPAN နည်းပညာများကို အသုံးပြု၍ Netflow ကို စုဆောင်းနိုင်သောကြောင့် FlowSensor ကို အသုံးပြုရန်လည်း လိုအပ်ပါသည်။

စောစောကပြောခဲ့သလိုပဲ၊ StealthWatch က မိတ္တူတစ်ခုပဲလိုတယ်၊ ဒါမှမဟုတ် ပိုမှန်အောင်ပြောရမယ်ဆိုရင် သင့်ကွန်ရက်ဟာ ဓာတ်ခွဲခန်းခုံတန်းလျားတစ်ခုအနေနဲ့ လုပ်ဆောင်နိုင်ပါတယ်။ အောက်ဖော်ပြပါပုံသည် လုံခြုံရေးတံခါးပေါက်တွင် ကျွန်ုပ်သည် Netflow Exporter ကို configure လုပ်မည်ဖြစ်ပြီး ရလဒ်အနေဖြင့် စုဆောင်းသူထံသို့ Netflow ကို ပေးပို့မည်ဖြစ်သည်။

အနာဂတ် VM များကို ဝင်ရောက်အသုံးပြုရန် သင့်တွင် တစ်ခုရှိလျှင် အောက်ပါ port များကို သင့် firewall တွင် ခွင့်ပြုသင့်သည်-

TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343

၎င်းတို့ထဲမှ အချို့သည် နာမည်ကြီး ဝန်ဆောင်မှုများဖြစ်ပြီး အချို့မှာ Cisco ဝန်ဆောင်မှုများအတွက် သီးသန့်ဖြစ်သည်။
ကျွန်ုပ်၏ကိစ္စတွင်၊ ကျွန်ုပ်သည် Check Point ကဲ့သို့တူညီသောကွန်ရက်ပေါ်တွင် StelathWatch ကိုရိုးရှင်းစွာချထားခဲ့ပြီး မည်သည့်ခွင့်ပြုချက်စည်းမျဉ်းများကိုမှ ပြင်ဆင်သတ်မှတ်ရန်မလိုအပ်ပါ။

2. နမူနာအဖြစ် VMware vSphere ကို အသုံးပြု၍ FlowCollector ကို ထည့်သွင်းခြင်း။

၂.၁။ Browse ကိုနှိပ်ပြီး OVF file2.1 ကိုရွေးချယ်ပါ။ အရင်းအမြစ်များ ရရှိနိုင်မှုကို စစ်ဆေးပြီးနောက်၊ မီနူး View၊ Inventory → Networking (Ctrl+Shift+N) သို့ သွားပါ။

၂.၂။ ကွန်ရက်ချိတ်ဆက်ခြင်းတက်ဘ်တွင်၊ ဖြန့်ဝေထားသော ပို့တ်အုပ်စုအသစ်ကို အတုအယောင်ပြောင်းခြင်း ဆက်တင်များတွင် ရွေးချယ်ပါ။

၂.၃။ အမည်သတ်မှတ်ပါ၊ ၎င်းကို StealthWatchPortGroup ဖြစ်ပါစေ၊ ကျန်ဆက်တင်များကို စခရင်ရှော့တွင်ရှိသည့်အတိုင်း ပြုလုပ်နိုင်ပြီး Next ကိုနှိပ်ပါ။

၂.၄။ ကျွန်ုပ်တို့သည် Finish ခလုတ်ဖြင့် Port Group ၏ဖန်တီးမှုကို အပြီးသတ်ပါသည်။

၂.၅။ ဆိပ်ကမ်းအုပ်စုတွင် ညာဘက်ကလစ်နှိပ်ပြီး တည်းဖြတ်ဆက်တင်များကို ရွေးချယ်ခြင်းဖြင့် ဖန်တီးထားသော ဆိပ်ကမ်းအဖွဲ့၏ ဆက်တင်များကို တည်းဖြတ်ကြပါစို့။ လုံခြုံရေးတက်ဘ်တွင်၊ “ညစ်ညမ်းသောမုဒ်”၊ Promiscuous Mode → လက်ခံ → OK ကိုဖွင့်ရန် သေချာပါစေ။

၂.၆။ ဥပမာအနေဖြင့်၊ GVE တောင်းဆိုမှုပြီးနောက် Cisco အင်ဂျင်နီယာမှ ပေးပို့ခဲ့သည့် ဒေါင်းလုဒ်လင့်ခ် OVF FlowCollector ကို တင်သွင်းကြပါစို့။ VM ကိုအသုံးပြုရန် သင်စီစဉ်ထားသည့် host ပေါ်တွင် right-click နှိပ်ပြီး Deploy OVF Template ကိုရွေးချယ်ပါ။ ခွဲဝေချထားပေးသည့်နေရာနှင့်ပတ်သက်၍ 2.6 GB တွင် "စတင်သည်" ဖြစ်သော်လည်း တိုက်ပွဲအခြေအနေများအတွက် 50 gigabytes ခွဲဝေရန် အကြံပြုထားသည်။

၂.၇။ OVF ဖိုင်တည်ရှိရာ ဖိုင်တွဲကို ရွေးပါ။

၂.၈။ “Next” ကိုနှိပ်ပါ။

၂.၉။ ကျွန်ုပ်တို့ ၎င်းကို အသုံးပြုသည့်နေရာတွင် အမည်နှင့် ဆာဗာကို ညွှန်ပြပါသည်။

၂.၁၀။ ရလဒ်အနေဖြင့်၊ ကျွန်ုပ်တို့သည် အောက်ပါပုံကိုရရှိပြီး “Finish” ကိုနှိပ်ပါ။

၂.၁၁။ StealthWatch Management Console ကိုအသုံးပြုရန် တူညီသောအဆင့်များအတိုင်း လုပ်ဆောင်ပါသည်။

၂.၁၂။ ယခု သင်သည် FlowCollector မှ SMC နှင့် Netflow ကို တင်ပို့မည့် စက်ပစ္စည်းများကို မြင်နိုင်စေရန် အင်တာဖေ့စ်များရှိ လိုအပ်သောကွန်ရက်များကို သတ်မှတ်ရန် လိုအပ်ပါသည်။

3. StealthWatch Management Console ကို စတင်ခြင်း။

၃.၁။ ထည့်သွင်းထားသော SMCVE စက်၏ ကွန်ဆိုးလ်သို့ သွားခြင်းဖြင့်၊ ပုံမှန်အားဖြင့် သင်၏ လော့ဂ်အင်နှင့် စကားဝှက်ကို ထည့်သွင်းရန် နေရာတစ်ခုကို သင်တွေ့မြင်ရလိမ့်မည်၊ sysadmin/lan1cope.

၃.၂။ ကျွန်ုပ်တို့သည် စီမံခန့်ခွဲမှုအရာသို့သွားကာ IP လိပ်စာနှင့် အခြားကွန်ရက်ကန့်သတ်ချက်များကို သတ်မှတ်ပြီးနောက် ၎င်းတို့၏ပြောင်းလဲမှုများကို အတည်ပြုပါ။ စက်ပစ္စည်းသည် ပြန်လည်စတင်ပါမည်။

၃.၃။ ဝဘ်အင်တာဖေ့စ်သို့သွားပါ (https မှတစ်ဆင့် SMC တွင် သင်သတ်မှတ်ထားသည့်လိပ်စာသို့) သွားပြီး ကွန်ဆိုးလ်ကို စတင်ပါ၊ ပုံသေဝင်ရောက်ခြင်း/စကားဝှက် - admin/lan411cope.

PS- Google Chrome တွင်မဖွင့်ပါက၊ Explorer သည် အမြဲတမ်းကူညီပေးပါမည်။

၃.၄။ စကားဝှက်များပြောင်းရန်၊ DNS၊ NTP ဆာဗာများ၊ ဒိုမိန်းစသည်တို့ကို သတ်မှတ်ရန် သေချာပါစေ။ ဆက်တင်များသည် အလိုလိုသိသည်။

၃.၅။ "Apply" ခလုတ်ကိုနှိပ်ပြီးနောက်၊ စက်သည်ပြန်လည်စတင်လိမ့်မည်။ 3.5-5 မိနစ်အကြာတွင် သင်သည် ဤလိပ်စာသို့ ထပ်မံချိတ်ဆက်နိုင်သည်။ StealthWatch ကို ဝဘ်အင်တာဖေ့စ်မှတဆင့် စီမံခန့်ခွဲပါမည်။

4. FlowCollector ကို သတ်မှတ်ခြင်း။

၄.၁။ စုဆောင်းသူနဲ့အတူတူပါပဲ။ ပထမဆုံး၊ CLI တွင် ကျွန်ုပ်တို့သည် IP လိပ်စာ၊ မျက်နှာဖုံး၊ ဒိုမိန်းကို သတ်မှတ်ပေးပြီးနောက် FC သည် ပြန်လည်စတင်သည်။ ထို့နောက် သင်သည် သတ်မှတ်ထားသော လိပ်စာတွင် ဝဘ်အင်တာဖေ့စ်သို့ ချိတ်ဆက်နိုင်ပြီး တူညီသော အခြေခံ စနစ်ထည့်သွင်းမှုကို လုပ်ဆောင်နိုင်သည်။ ဆက်တင်များသည် ဆင်တူသောကြောင့်၊ အသေးစိတ်ဖန်သားပြင်ဓာတ်ပုံများကို ချန်လှပ်ထားသည်။ အထောက်အထားများ ဝင်ရန် အတူတူ.

၄.၂။ အဆုံးစွန်သောအချိန်တွင်၊ သင်သည် SMC ၏ IP လိပ်စာကို သတ်မှတ်ရန်လိုအပ်သည်၊ ဤကိစ္စတွင် console သည် စက်ပစ္စည်းကိုမြင်ရမည်ဖြစ်ပြီး၊ သင်၏အထောက်အထားများကိုထည့်သွင်းခြင်းဖြင့် ဤဆက်တင်ကို အတည်ပြုရမည်ဖြစ်သည်။

၄.၃။ StealthWatch အတွက် ဒိုမိန်းကို ရွေးပါ၊ ၎င်းကို အစောပိုင်းတွင် သတ်မှတ်ပေးထားပြီး ဆိပ်ကမ်းကို ရွေးချယ်ပါ။ 2055 - သင် sFlow နှင့်အလုပ်လုပ်နေပါက၊ ပုံမှန် Netflow၊ port 6343.

5. Netflow Exporter ဖွဲ့စည်းမှုပုံစံ

၅.၁။ Netflow exporter ကို configure လုပ်ရန်၊ ၎င်းကို လှည့်ကြည့်ရန် အထူးအကြံပြုလိုပါသည်။ အရင်းအမြစ် ဤသည်မှာ စက်ပစ္စည်းများစွာအတွက် Netflow exporter ကို configure လုပ်ရန်အတွက် အဓိကလမ်းညွှန်များဖြစ်သည်- Cisco၊ Check Point၊ Fortinet။

၅.၂။ ကျွန်ုပ်တို့၏အခြေအနေတွင်၊ ကျွန်ုပ်တို့သည် Check Point gateway မှ Netflow ကို တင်ပို့နေပါသည်။ Netflow exporter ကို ဝဘ်အင်တာဖေ့စ် (Gaia Portal) တွင် အမည်တူ တဘ်တစ်ခုတွင် ပြင်ဆင်သတ်မှတ်ထားသည်။ ၎င်းကိုလုပ်ဆောင်ရန် "Add" ကိုနှိပ်ပါ၊ Netflow ဗားရှင်းနှင့် လိုအပ်သော port ကိုသတ်မှတ်ပါ။

6. StealthWatch လုပ်ဆောင်ချက်ကို လေ့လာခြင်း။

၆.၁။ SMC ဝဘ်အင်တာဖေ့စ်ကိုသွားပါ၊ Dashboards > Network Security ၏ပထမစာမျက်နှာတွင် ယာဉ်ကြောပိတ်ဆို့မှုစတင်ပြီဖြစ်ကြောင်း သင်တွေ့မြင်နိုင်ပါသည်။

၆.၂။ ဥပမာအားဖြင့်၊ အချို့သောဆက်တင်များသည် အိမ်ရှင်များကို အုပ်စုများခွဲခြင်း၊ တစ်ဦးချင်းအင်တာဖေ့စ်များကို စောင့်ကြည့်ခြင်း၊ ၎င်းတို့၏ဝန်၊ စုဆောင်းသူများကို စီမံခန့်ခွဲခြင်းနှင့် အခြားအရာများကို StealthWatch Java အပလီကေးရှင်းတွင်သာ တွေ့ရှိနိုင်သည်။ ဟုတ်ပါတယ်၊ Cisco သည် လုပ်ဆောင်နိုင်စွမ်းအားလုံးကို browser ဗားရှင်းသို့ ဖြည်းညှင်းစွာ လွှဲပြောင်းနေပြီး ထိုကဲ့သို့သော desktop client ကို မကြာမီ စွန့်လွှတ်လိုက်ပါမည်။

အပလီကေးရှင်းကို install လုပ်ဖို့၊ သင်အရင်ဆုံး install လုပ်ရပါမယ်။ JRE (ကျွန်ုပ်သည် ဗားရှင်း 8 ကို ထည့်သွင်းထားသော်လည်း ၎င်းကို 10 အထိ ထောက်ပံ့သည်ဟု ဆိုသော်လည်း) တရားဝင် Oracle ဝဘ်ဆိုဒ်မှ သိရသည်။

စီမံခန့်ခွဲမှု ကွန်ဆိုးလ်၏ ဝဘ်အင်တာဖေ့စ်၏ ညာဘက်အပေါ်ထောင့်တွင် ဒေါင်းလုဒ်လုပ်ရန်၊ သင်သည် “Desktop Client” ခလုတ်ကို နှိပ်ရပါမည်။

သင်သည် ကလိုင်းယင့်ကို အတင်းအကျပ် သိမ်းဆည်းပြီး ထည့်သွင်းပါက၊ java သည် ၎င်းကို ကျိန်ဆိုနိုင်ဖွယ်ရှိပြီး၊ သင်သည် java ခြွင်းချက်များတွင် host ကို ထည့်ရန် လိုအပ်နိုင်သည်။

ရလဒ်အနေဖြင့်၊ တင်ပို့သူများ၊ အင်တာဖေ့စ်များ၊ တိုက်ခိုက်မှုများနှင့် ၎င်းတို့၏စီးဆင်းမှုများကို လွယ်ကူစွာကြည့်ရှုနိုင်စေရန် မျှမျှတတရှင်းလင်းသောဖောက်သည်တစ်ဦးကို ထင်ရှားစေသည်။

7. StealthWatch ဗဟိုစီမံခန့်ခွဲမှု

၇.၁။ Central Management တက်ဘ်တွင် အသုံးပြုထားသည့် StealthWatch ၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည့် FlowCollector၊ FlowSensor၊ UDP-Director နှင့် Endpoint Concetrator ကဲ့သို့သော စက်ပစ္စည်းများအားလုံး ပါဝင်သည်။ ထိုနေရာတွင် သင်သည် ကွန်ရက်ဆက်တင်များနှင့် စက်ဝန်ဆောင်မှုများ၊ လိုင်စင်များကို စီမံခန့်ခွဲနိုင်ပြီး စက်ပစ္စည်းကို ကိုယ်တိုင်ပိတ်နိုင်သည်။

အပေါ်ညာဘက်ထောင့်ရှိ "ဂီယာ" ကိုနှိပ်ပြီး Central Management ကိုရွေးချယ်ခြင်းဖြင့်၎င်းကိုသင်သွားနိုင်သည်။

၇.၂။ FlowCollector ရှိ Appliance Configuration ကို တည်းဖြတ်ခြင်းသို့ သွားခြင်းဖြင့်၊ SSH၊ NTP နှင့် app ကိုယ်တိုင်နှင့် သက်ဆိုင်သည့် အခြားသော ကွန်ရက်ဆက်တင်များကို သင်တွေ့ရပါမည်။ သွားရန်၊ လိုအပ်သောစက်ပစ္စည်းအတွက် လုပ်ဆောင်ချက်များ → တည်းဖြတ်ရန် စက်ဖွဲ့စည်းမှုပုံစံကို ရွေးချယ်ပါ။

၇.၃။ လိုင်စင်စီမံခန့်ခွဲမှုကို Central Management > Manage Licenses tab တွင်လည်း တွေ့နိုင်သည်။ GVE တောင်းဆိုမှုအတွက် အစမ်းလိုင်စင်များကို ပေးအပ်သည်။ 90 ရက်ပေါင်း.

ထုတ်ကုန် အဆင်သင့်ဖြစ်ပါပြီ။ နောက်အပိုင်းတွင်၊ StealthWatch သည် တိုက်ခိုက်မှုများကို မှတ်မိနိုင်ပြီး အစီရင်ခံစာများကို မည်သို့ထုတ်လုပ်နိုင်သည်ကို ကြည့်ရှုပါမည်။

source: www.habr.com