同事们大家好! 确定了在以下地区部署 StealthWatch 的最低要求: ,我们就可以开始部署产品了。
1. StealthWatch的部署方法
“触摸”StealthWatch 的方法有多种:
- – 实验室工作云服务;
- 基于云: – 这里来自您设备的 Netflow 将流入云端,并由 StealthWatch 软件进行分析;
- 本地 POV () – 我遵循的方法,他们会向您发送 4 个带有内置许可证的虚拟机 OVF 文件,有效期为 90 天,可以部署在公司网络上的专用服务器上。
尽管下载的虚拟机数量众多,但对于最低工作配置来说,仅 2 个就足够了:StealthWatch 管理控制台和 FlowCollector。 但是,如果没有网络设备可以将Netflow导出到FlowCollector,那么还需要部署FlowSensor,因为后者允许您使用SPAN/RSPAN技术收集Netflow。
正如我之前所说,您的真实网络可以充当实验室工作台,因为 StealthWatch 只需要一个副本,或者更准确地说,需要压缩一份流量副本。 下图显示了我的网络,我将在安全网关上配置 Netflow Exporter,并将 Netflow 发送到收集器。
要访问未来的虚拟机,您的防火墙应允许以下端口(如果有):
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
其中一些是众所周知的服务,一些是为思科服务保留的。
就我而言,我只是将 StelathWatch 部署在与 Check Point 相同的网络上,并且无需配置任何权限规则。
2、以VMware vSphere安装FlowCollector为例
2.1. 单击浏览并选择 OVF file1。 检查资源的可用性后,转到菜单“视图”、“清单”→“网络”(Ctrl+Shift+N)。
2.2. 在“网络”选项卡中,在虚拟交换机设置中选择“新建分布式端口组”。
2.3. 设置名称,设为StealthWatchPortGroup,其余设置如截图所示即可,然后单击“下一步”。
2.4. 我们通过“完成”按钮完成端口组的创建。
2.5. 让我们通过右键单击端口组并选择编辑设置来编辑创建的端口组的设置。 在“安全”选项卡中,确保启用“混杂模式”,混杂模式→接受→确定。
2.6。 例如,让我们导入 OVF FlowCollector,其下载链接是由 Cisco 工程师在 GVE 请求后发送的。 右键单击要部署 VM 的主机,然后选择“部署 OVF 模板”。 关于分配的空间,它将以 50 GB“启动”,但对于战斗条件,建议分配 200 GB。
2.7. 选择 OVF 文件所在的文件夹。
2.8. 点击下一步”。
2.9. 我们指出部署它的名称和服务器。
2.10. 结果我们得到如下图,点击“完成”。
2.11. 我们按照相同的步骤来部署 StealthWatch 管理控制台。
2.12. 现在,您需要在接口中指定必要的网络,以便 FlowCollector 能够看到 SMC 和从中导出 Netflow 的设备。
3. 初始化 StealthWatch 管理控制台
3.1. 默认情况下,转到已安装的 SMCVE 计算机的控制台,您将看到一个输入登录名和密码的地方 系统管理员/lan1cope.
3.2. 我们进入管理项,设置IP地址和其他网络参数,然后确认它们的更改。 设备将重新启动。
3.3. 转到 Web 界面(通过 https 访问您在 SMC 中指定的地址)并初始化控制台,默认登录名/密码 - 管理员/lan411应对.
PS:碰巧它在谷歌浏览器中打不开,资源管理器总是会帮忙的。
3.4. 请务必更改密码、设置 DNS、NTP 服务器、域等。 设置很直观。
3.5. 单击“应用”按钮后,设备将再次重新启动。 5-7分钟后您可以再次连接到该地址; StealthWatch 将通过网络界面进行管理。
4. 设置 FlowCollector
4.1. 收藏家也是如此。 首先,在 CLI 中我们指定 IP 地址、掩码、域,然后 FC 重新启动。 然后,您可以连接到指定地址的 Web 界面并执行相同的基本设置。 由于设置相似,详细截图不再赘述。 证书 进入 同.
4.2. 在倒数第二点,您需要设置 SMC 的 IP 地址,在这种情况下,控制台将看到该设备,您必须通过输入凭据来确认此设置。
4.3. 选择 StealthWatch 的域(之前已设置)和端口 2055 – 常规 Netflow,如果您使用 sFlow、端口 6343.
5.Netflow导出器配置
5.1. 要配置 Netflow 导出器,我强烈建议转向此 ,以下是为许多设备配置 Netflow 导出器的主要指南:Cisco、Check Point、Fortinet。
5.2. 在我们的例子中,我重复一遍,我们从 Check Point 网关导出 Netflow。 Netflow 导出器在 Web 界面(Gaia Portal)中的同名选项卡中配置。 为此,请单击“添加”,指定 Netflow 版本和所需端口。
6.StealthWatch运行分析
6.1. 进入SMC Web界面,在仪表板>网络安全第一页可以看到流量已经开始了!
6.2. 一些设置,例如,将主机分组、监视各个接口及其负载、管理收集器等,只能在 StealthWatch Java 应用程序中找到。 当然,思科正在慢慢地将所有功能转移到浏览器版本,我们很快就会放弃这样的桌面客户端。
要安装该应用程序,您必须先安装 (我安装的是8版本,虽然说最多支持10)来自Oracle官网。
在管理控制台Web界面的右上角,必须单击“桌面客户端”按钮才能下载。
你强行保存并安装客户端,java很可能会骂它,你可能需要将主机添加到java例外中。
这样就展现了一个相当清晰的客户端,可以很容易地看到导出器的负载、接口、攻击及其流程。
7.StealthWatch中央管理
7.1. “中央管理”选项卡包含属于已部署 StealthWatch 一部分的所有设备,例如:FlowCollector、FlowSensor、UDP-Director 和 Endpoint Concetrator。 您可以在其中管理网络设置和设备服务、许可证,以及手动关闭设备。
您可以通过单击右上角的“齿轮”并选择“中央管理”来访问它。
7.2. 通过转到 FlowCollector 中的编辑设备配置,您将看到 SSH、NTP 以及与应用程序本身相关的其他网络设置。 为此,请为所需设备选择操作 → 编辑设备配置。
7.3. 还可以在“集中管理”>“管理许可证”选项卡中找到许可证管理。 如果 GVE 请求,则提供试用许可证 90дней.
产品已准备就绪! 在下一部分中,我们将了解 StealthWatch 如何识别攻击并生成报告。
来源: habr.com