สวัสดีเพื่อนร่วมงาน! มีการกำหนดข้อกำหนดขั้นต่ำสำหรับการปรับใช้ StealthWatch ใน เราก็สามารถเริ่มปรับใช้ผลิตภัณฑ์ได้
1. วิธีการปรับใช้ StealthWatch
มีหลายวิธีในการ "สัมผัส" StealthWatch:
- – บริการคลาวด์สำหรับงานห้องปฏิบัติการ
- บนคลาวด์: – ที่นี่ Netflow จากอุปกรณ์ของคุณจะไหลเข้าสู่คลาวด์ และจะถูกวิเคราะห์ที่นั่นโดยซอฟต์แวร์ StealthWatch
- POV ภายในองค์กร () – วิธีที่ฉันติดตาม พวกเขาจะส่งไฟล์ OVF 4 ไฟล์ของเครื่องเสมือนพร้อมสิทธิ์การใช้งานในตัวเป็นเวลา 90 วัน ซึ่งสามารถใช้งานได้บนเซิร์ฟเวอร์เฉพาะบนเครือข่ายองค์กร
แม้จะมีเครื่องเสมือนที่ดาวน์โหลดมามากมาย แต่สำหรับการกำหนดค่าการทำงานขั้นต่ำ มีเพียง 2 เครื่องเท่านั้นที่เพียงพอ: StealthWatch Management Console และ FlowCollector อย่างไรก็ตาม หากไม่มีอุปกรณ์เครือข่ายที่สามารถส่งออก Netflow ไปยัง FlowCollector ได้ ก็จำเป็นต้องปรับใช้ FlowSensor ด้วย เนื่องจากอุปกรณ์หลังช่วยให้คุณสามารถรวบรวม Netflow โดยใช้เทคโนโลยี SPAN/RSPAN
ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ เครือข่ายจริงของคุณสามารถทำหน้าที่เป็นห้องปฏิบัติการได้ เนื่องจาก StealthWatch ต้องการเพียงสำเนาเท่านั้น หรือพูดให้ถูกกว่านั้นคือการบีบสำเนาการรับส่งข้อมูล รูปภาพด้านล่างแสดงเครือข่ายของฉัน โดยที่เกตเวย์ความปลอดภัย ฉันจะกำหนดค่า Netflow Exporter และด้วยเหตุนี้ จะส่ง Netflow ไปยังตัวรวบรวม
หากต้องการเข้าถึง VM ในอนาคต คุณควรอนุญาตพอร์ตต่อไปนี้บนไฟร์วอลล์ของคุณ หากคุณมี:
TCP 22 ลิตร TCP 25 ลิตร TCP 389 ลิตร TCP 443 ลิตร TCP 2393 ลิตร TCP 5222 ลิตร UDP 53 ลิตร UDP 123 ลิตร UDP 161 ลิตร UDP 162 ลิตร UDP 389 ลิตร UDP 514 ลิตร UDP 2055 ลิตร UDP 6343
บางส่วนเป็นบริการที่รู้จักกันดี บางส่วนสงวนไว้สำหรับบริการของ Cisco
ในกรณีของฉัน ฉันเพียงแค่ปรับใช้ StelathWatch บนเครือข่ายเดียวกันกับ Check Point และไม่จำเป็นต้องกำหนดค่ากฎการอนุญาตใดๆ
2. การติดตั้ง FlowCollector โดยใช้ VMware vSphere เป็นตัวอย่าง
2.1. คลิกเรียกดูและเลือกไฟล์ OVF1 หลังจากตรวจสอบความพร้อมของทรัพยากรแล้ว ให้ไปที่เมนู มุมมอง สินค้าคงคลัง → ระบบเครือข่าย (Ctrl+Shift+N)
2.2. ในแท็บเครือข่าย เลือกกลุ่มพอร์ตแบบกระจายใหม่ในการตั้งค่าสวิตช์เสมือน
2.3. ตั้งชื่อให้เป็น StealthWatchPortGroup การตั้งค่าที่เหลือสามารถทำได้ตามภาพหน้าจอแล้วคลิกถัดไป
2.4. เราสร้างกลุ่มพอร์ตให้เสร็จสิ้นด้วยปุ่มเสร็จสิ้น
2.5. มาแก้ไขการตั้งค่าของกลุ่มพอร์ตที่สร้างขึ้นโดยคลิกขวาที่กลุ่มพอร์ตแล้วเลือกแก้ไขการตั้งค่า ในแท็บความปลอดภัย อย่าลืมเปิดใช้งาน "โหมดสำส่อน" โหมดสำส่อน → ยอมรับ → ตกลง
2.6. ตามตัวอย่าง เราจะนำเข้า OVF FlowCollector ซึ่งเป็นลิงก์ดาวน์โหลดที่วิศวกรของ Cisco ส่งมาหลังจากคำขอ GVE คลิกขวาที่โฮสต์ที่คุณวางแผนจะปรับใช้ VM และเลือกปรับใช้เทมเพลต OVF ในส่วนของพื้นที่ที่จัดสรรนั้นจะ "เริ่มต้น" ที่ 50 GB แต่สำหรับเงื่อนไขการต่อสู้ขอแนะนำให้จัดสรร 200 กิกะไบต์
2.7. เลือกโฟลเดอร์ที่มีไฟล์ OVF อยู่
2.8. คลิก "ถัดไป"
2.9. เราระบุชื่อและเซิร์ฟเวอร์ที่เราปรับใช้
2.10. เป็นผลให้เราได้ภาพต่อไปนี้และคลิก "เสร็จสิ้น"
2.11. เราทำตามขั้นตอนเดียวกันเพื่อปรับใช้ StealthWatch Management Console
2.12. ตอนนี้คุณต้องระบุเครือข่ายที่จำเป็นในอินเทอร์เฟซเพื่อให้ FlowCollector เห็นทั้ง SMC และอุปกรณ์ที่จะใช้ส่งออก Netflow
3. การเริ่มต้นคอนโซลการจัดการ StealthWatch
3.1. เมื่อไปที่คอนโซลของเครื่อง SMCVE ที่ติดตั้ง คุณจะเห็นสถานที่สำหรับเข้าสู่ระบบและรหัสผ่านของคุณตามค่าเริ่มต้น ผู้ดูแลระบบ/lan1cope.
3.2. ไปที่รายการการจัดการตั้งค่าที่อยู่ IP และพารามิเตอร์เครือข่ายอื่น ๆ จากนั้นยืนยันการเปลี่ยนแปลง อุปกรณ์จะรีบูต
3.3. ไปที่เว็บอินเตอร์เฟส (ผ่าน https ไปยังที่อยู่ที่คุณระบุใน SMC) และเริ่มต้นคอนโซล การเข้าสู่ระบบ/รหัสผ่านเริ่มต้น - แอดมิน/lan411cope.
PS: มันเกิดขึ้นว่ามันไม่เปิดใน Google Chrome Explorer จะช่วยเสมอ
3.4. อย่าลืมเปลี่ยนรหัสผ่าน ตั้งค่า DNS เซิร์ฟเวอร์ NTP โดเมน ฯลฯ การตั้งค่านั้นใช้งานง่าย
3.5. หลังจากคลิกปุ่ม "นำไปใช้" อุปกรณ์จะรีบูตอีกครั้ง หลังจากผ่านไป 5-7 นาที คุณสามารถเชื่อมต่ออีกครั้งไปยังที่อยู่นี้ StealthWatch จะได้รับการจัดการผ่านทางเว็บอินเตอร์เฟส
4. การตั้งค่า FlowCollector
4.1. มันก็เหมือนกันกับนักสะสม ขั้นแรก ใน CLI เราระบุที่อยู่ IP, มาสก์, โดเมน จากนั้น FC จะรีบูต จากนั้นคุณสามารถเชื่อมต่อกับเว็บอินเตอร์เฟสตามที่อยู่ที่ระบุและดำเนินการตั้งค่าพื้นฐานเดียวกันได้ เนื่องจากการตั้งค่าคล้ายกัน จึงละเว้นภาพหน้าจอที่มีรายละเอียด ข้อมูลรับรอง เพื่อป้อน เหมือน.
4.2. ที่จุดสุดท้าย คุณต้องตั้งค่าที่อยู่ IP ของ SMC ในกรณีนี้คอนโซลจะเห็นอุปกรณ์ คุณจะต้องยืนยันการตั้งค่านี้โดยป้อนข้อมูลรับรองของคุณ
4.3. เลือกโดเมนสำหรับ StealthWatch ที่ตั้งไว้ก่อนหน้านี้ และพอร์ต 2055 – Netflow ปกติ หากคุณทำงานกับ sFlow ให้พอร์ต 6343.
5. การกำหนดค่า Netflow Exporter
5.1. หากต้องการกำหนดค่า Netflow ผู้ส่งออก ฉันขอแนะนำอย่างยิ่งให้เปลี่ยนมาใช้สิ่งนี้ ต่อไปนี้เป็นคำแนะนำหลักสำหรับการกำหนดค่า Netflow ผู้ส่งออกสำหรับอุปกรณ์จำนวนมาก: Cisco, Check Point, Fortinet
5.2. ในกรณีของเรา ฉันขอย้ำอีกครั้งว่าเรากำลังส่งออก Netflow จากเกตเวย์ Check Point ผู้ส่งออก Netflow ได้รับการกำหนดค่าในแท็บชื่อเดียวกันในเว็บอินเทอร์เฟซ (Gaia Portal) ในการดำเนินการนี้คลิก "เพิ่ม" ระบุเวอร์ชัน Netflow และพอร์ตที่ต้องการ
6. การวิเคราะห์การดำเนินงาน StealthWatch
6.1. ไปที่เว็บอินเตอร์เฟสของ SMC บนหน้าแรกของแดชบอร์ด > ความปลอดภัยเครือข่าย คุณจะเห็นว่าการรับส่งข้อมูลได้เริ่มต้นแล้ว!
6.2. การตั้งค่าบางอย่าง เช่น การแบ่งโฮสต์ออกเป็นกลุ่ม การตรวจสอบแต่ละอินเทอร์เฟซ โหลด การจัดการตัวรวบรวม และอื่นๆ สามารถพบได้ในแอปพลิเคชัน StealthWatch Java เท่านั้น แน่นอนว่า Cisco กำลังถ่ายโอนฟังก์ชันการทำงานทั้งหมดไปยังเวอร์ชันเบราว์เซอร์อย่างช้าๆ และในไม่ช้าเราจะละทิ้งไคลเอ็นต์เดสก์ท็อปดังกล่าว
หากต้องการติดตั้งแอปพลิเคชัน คุณต้องติดตั้งก่อน (ฉันติดตั้งเวอร์ชัน 8 แม้ว่าจะมีการบอกว่ารองรับสูงสุด 10) จากเว็บไซต์อย่างเป็นทางการของ Oracle
ที่มุมขวาบนของเว็บอินเทอร์เฟซของคอนโซลการจัดการ หากต้องการดาวน์โหลด คุณต้องคลิกปุ่ม "ไคลเอ็นต์เดสก์ท็อป"
คุณบันทึกและติดตั้งไคลเอนต์โดยใช้กำลัง java มักจะสาบาน คุณอาจต้องเพิ่มโฮสต์ในข้อยกเว้นของ java
เป็นผลให้มีการเปิดเผยไคลเอนต์ที่ชัดเจนซึ่งทำให้ง่ายต่อการดูการโหลดของผู้ส่งออก อินเทอร์เฟซ การโจมตี และโฟลว์ของพวกเขา
7. การจัดการส่วนกลาง StealthWatch
7.1. แท็บการจัดการจากส่วนกลางประกอบด้วยอุปกรณ์ทั้งหมดที่เป็นส่วนหนึ่งของ StealthWatch ที่ปรับใช้ เช่น FlowCollector, FlowSensor, UDP-Director และ Endpoint Concetrator คุณสามารถจัดการการตั้งค่าเครือข่ายและบริการอุปกรณ์ ใบอนุญาต และปิดอุปกรณ์ด้วยตนเองได้จากที่นั่น
คุณสามารถเข้าไปได้โดยคลิกที่ "เฟือง" ที่มุมขวาบนแล้วเลือกการจัดการจากส่วนกลาง
7.2. เมื่อไปที่แก้ไขการกำหนดค่าอุปกรณ์ใน FlowCollector คุณจะเห็น SSH, NTP และการตั้งค่าเครือข่ายอื่นๆ ที่เกี่ยวข้องกับตัวแอป หากต้องการไป ให้เลือกการดำเนินการ → แก้ไขการกำหนดค่าอุปกรณ์สำหรับอุปกรณ์ที่ต้องการ
7.3. การจัดการใบอนุญาตยังสามารถพบได้ในการจัดการจากส่วนกลาง > แท็บจัดการใบอนุญาต ใบอนุญาตทดลองใช้ในกรณีที่ได้รับคำขอ GVE วัน 90.
สินค้าพร้อมส่ง! ในส่วนถัดไป เราจะดูว่า StealthWatch สามารถจดจำการโจมตีและสร้างรายงานได้อย่างไร
ที่มา: will.com