Hallå kollegor! Efter att ha beslutat om minimikraven för att distribuera StealthWatch i , kan vi starta produktlanseringen.
1. Sätt att distribuera StealthWatch
Det finns flera sätt att "röra" StealthWatch:
- – Molntjänst för laboratoriearbeten.
- molnbaserad: - här kommer Netflow från din enhet att falla in i molnet och StealthWatch-mjukvaran kommer att analysera det där;
- POV på plats) - som jag gick kommer du att få 4 OVF-filer av virtuella maskiner med inbyggda licenser i 90 dagar, som kan distribueras på en dedikerad server i företagsnätverket.
Trots överflöd av nedladdade virtuella maskiner räcker bara två för en minsta fungerande konfiguration: StealthWatch Management Console och FlowCollector. Men om det inte finns någon nätverksenhet som kan exportera Netflow till FlowCollector, är det också nödvändigt att distribuera FlowSensor, eftersom den senare, med hjälp av SPAN / RSPAN-teknologier, låter dig samla in Netflow.
Som ett laboratorieställ, som jag sa tidigare, kan ditt riktiga nätverk agera, eftersom StealthWatch bara behöver en kopia, eller, mer korrekt, en squeeze-kopia av trafiken. Bilden nedan visar mitt nätverk, där jag på Security Gateway kommer att konfigurera Netflow Exporter och som ett resultat skickar jag Netflow till insamlaren.
För att komma åt framtida virtuella datorer bör din brandvägg, om någon, tillåta följande portar:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Vissa av dem är välkända tjänster, andra är reserverade för Cisco-tjänster.
I mitt fall distribuerade jag bara StelathWatch på samma nätverk som Check Point och behövde inte konfigurera några behörighetsregler.
2. Installera FlowCollector med VMware vSphere som exempel
2.1. Klicka på Bläddra och välj OVF-fil1. Efter att ha kontrollerat tillgången på resurser, gå till menyn Visa, Inventering → Nätverk (Ctrl+Skift+N).
2.2. På fliken Nätverk väljer du Ny distribuerad portgrupp i inställningarna för virtuell switch.
2.3. Vi anger namnet, låt det vara StealthWatchPortGroup, resten av inställningarna kan göras som på skärmdumpen och klicka på Nästa.
2.4. Vi slutför skapandet av hamngruppen med knappen Slutför.
2.5. Vi kommer att redigera inställningarna för den skapade portgruppen genom att högerklicka på portgruppen, välj Redigera inställningar. På fliken Säkerhet, se till att aktivera "promiskuöst läge", Promiskuöst läge → Acceptera → OK.
2.6. Som ett exempel, låt oss importera OVF FlowCollector, vars nedladdningslänk skickades av en Cisco-ingenjör efter GVE-förfrågan. Genom att högerklicka på den värd där du planerar att distribuera den virtuella datorn, välj Deploy OVF Template. När det gäller det tilldelade utrymmet kommer den att "starta" vid 50 GB, men för stridsförhållanden rekommenderas det att tilldela 200 gigabyte.
2.7. Välj mappen där OVF-filen finns.
2.8. Klicka på "Nästa".
2.9. Ange namnet och servern där vi distribuerar den.
2.10. Som ett resultat får vi följande bild och klicka på "Slutför".
2.11. Följ samma steg för att distribuera StealthWatch Management Console.
2.12. Nu måste du specificera de nödvändiga nätverken i gränssnitten så att FlowCollector kan se både SMC och enheterna från vilka Netflow kommer att exporteras.
3. Initiera StealthWatch Management Console
3.1. När du går till konsolen på den installerade SMCVE-maskinen ser du en plats där du kan ange inloggning och lösenord, som standard sysadmin/lan1cope.
3.2. Vi går till hanteringsobjektet, ställer in IP-adressen och andra nätverksparametrar och bekräftar sedan deras ändring. Enheten kommer att starta om.
3.3. Vi går till webbgränssnittet (via https till adressen som du ställer in SMC) och initierar konsolen, standardinloggningen / lösenordet är admin/lan411cope.
PS: det händer att det inte öppnas i Google Chrome, Explorer hjälper alltid till.
3.4. Se till att ändra lösenord, ställa in DNS, NTP-servrar, domän och mer. Inställningarna är intuitiva.
3.5. Efter att ha klickat på "Apply"-knappen kommer enheten att starta om igen. Efter 5-7 minuter kan du ansluta igen på den här adressen; StealthWatch kommer att hanteras via ett webbgränssnitt.
4. Ställa in FlowCollector
4.1. Det är samma sak med samlaren. Först, i CLI, anger vi IP-adress, mask, domän, sedan startas FC om. Därefter kan du ansluta till webbgränssnittet på den angivna adressen och utföra samma grundläggande konfiguration. På grund av att inställningarna är liknande utelämnas detaljerade skärmdumpar. Referenser att gå in det samma.
4.2. På den näst sista punkten måste du ställa in SMC IP-adressen, i vilket fall konsolen kommer att se enheten, du måste bekräfta denna inställning genom att ange referenser.
4.3. Vi väljer domänen för StealthWatch, den ställdes in tidigare, och porten 2055 - vanligt Netflow, om du arbetar med sFlow, port 6343.
5. Konfiguration av Netflow-exportör
5.1. För att konfigurera Netflow-exportören rekommenderar jag starkt att du hänvisar till detta , här är huvudguiderna för att konfigurera Netflow-exportören för många enheter: Cisco, Check Point, Fortinet.
5.2. I vårt fall, jag upprepar, exporterar vi Netflow från Check Point-gatewayen. Netflow-exportören konfigureras i en flik som liknar namnet i webbgränssnittet (Gaia Portal). För att göra detta, klicka på "Lägg till", ange Netflow-versionen och önskad port.
6. Analys av StealthWatchs arbete
6.1. Om du går till SMC-webbgränssnittet, på den allra första sidan av Dashboards > Nätverkssäkerhet, kan du se att trafiken har försvunnit!
6.2. Vissa inställningar, som att dela upp värdar i grupper, övervaka individuella gränssnitt, deras arbetsbelastning, hantera samlare och mer kan bara hittas i StealthWatch Java-applikationen. Givetvis överför Cisco långsamt all funktionalitet till webbläsarversionen, och vi kommer snart att överge en sådan stationär klient.
För att installera programmet måste du först installera (Jag installerade version 8, även om det står att det stöds upp till 10) från den officiella Oracle-webbplatsen.
I det övre högra hörnet av hanteringskonsolens webbgränssnitt för nedladdning måste du klicka på knappen "Desktop Client".
Du sparar och installerar klienten med tvång, java kommer med största sannolikhet att svära på det, du kan behöva lägga till värden till java-undantag.
Som ett resultat öppnar sig en ganska tydlig klient, där det är lätt att se laddningen av exportörer, gränssnitt, attacker och deras flöden.
7. StealthWatch Central Management
7.1. Fliken Central Management innehåller alla enheter som är en del av den utplacerade StealthWatch, såsom: FlowCollector, FlowSensor, UDP-Director och Endpoint Concetrator. Där kan du hantera nätverksinställningar och enhetstjänster, licenser och manuellt stänga av enheten.
Du kan gå till den genom att klicka på "kugghjulet" i det övre högra hörnet och välja Central Management.
7.2. Genom att gå till Redigera enhetskonfiguration för FlowCollector kommer du att se SSH, NTP och andra nätverksinställningar relaterade till själva enheten. För att gå, välj Åtgärder → Redigera enhetskonfiguration för den önskade enheten.
7.3. Licenshantering finns även under fliken Central hantering > Hantera licenser. Provlicenser vid GVE-begäran ges den 90 dagar.
Produkten är redo att användas! I nästa del ska vi titta på hur StealthWatch kan känna igen attacker och generera rapporter.
Källa: will.com