同事們大家好! 確定了在以下地區部署 StealthWatch 的最低要求: ,我們就可以開始部署產品了。
1. StealthWatch的部署方法
「觸摸」StealthWatch 的方法有多種:
- – 實驗室工作雲端服務;
- 基於雲端: – 這裡來自您裝置的 Netflow 將流入雲端,並由 StealthWatch 軟體進行分析;
- 本地 POV () – 我遵循的方法,他們會向您發送 4 個帶有內建許可證的虛擬機器 OVF 文件,有效期為 90 天,可以部署在公司網路上的專用伺服器上。
儘管下載的虛擬機器數量眾多,但對於最低工作配置來說,僅 2 個就足夠了:StealthWatch 管理控制台和 FlowCollector。 但是,如果沒有網路設備可以將Netflow匯出到FlowCollector,那麼還需要部署FlowSensor,因為後者允許您使用SPAN/RSPAN技術收集Netflow。
正如我之前所說,您的真實網路可以充當實驗室工作台,因為 StealthWatch 只需要一個副本,或者更準確地說,需要壓縮一份流量副本。 下圖顯示了我的網絡,我將在安全網關上設定 Netflow Exporter,並將 Netflow 傳送到收集器。
要存取未來的虛擬機,您的防火牆應允許以下連接埠(如果有):
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
其中一些是眾所周知的服務,有些是為思科服務保留的。
就我而言,我只是將 StelathWatch 部署在與 Check Point 相同的網路上,並且無需配置任何權限規則。
2.以VMware vSphere安裝FlowCollector為例
2.1. 按一下瀏覽並選擇 OVF file1。 檢查資源的可用性後,請前往選單「檢視」、「清單」→「網路」(Ctrl+Shift+N)。
2.2. 在「網路」標籤中,在虛擬交換器設定中選擇「新分散式連接埠群組」。
2.3. 設定名稱,設為StealthWatchPortGroup,其餘設定如截圖所示即可,然後按一下「下一步」。
2.4. 我們透過「完成」按鈕完成連接埠群組的建立。
2.5. 讓我們透過右鍵單擊連接埠群組並選擇編輯設定來編輯已建立的連接埠群組的設定。 在“安全性”標籤中,確保啟用“混雜模式”,混雜模式→接受→確定。
2.6。 例如,讓我們匯入 OVF FlowCollector,其下載連結是由 Cisco 工程師在 GVE 請求後發送的。 右鍵點選要部署 VM 的主機,然後選擇「部署 OVF 範本」。 關於分配的空間,它將以 50 GB“啟動”,但對於戰鬥條件,建議分配 200 GB。
2.7. 選擇 OVF 檔案所在的資料夾。
2.8. 點選下一步」。
2.9. 我們指出部署它的名稱和伺服器。
2.10. 結果我們得到如下圖,點選「完成」。
2.11. 我們按照相同的步驟部署 StealthWatch 管理控制台。
2.12. 現在,您需要在介面中指定必要的網絡,以便 FlowCollector 能夠看到 SMC 和從中匯出 Netflow 的設備。
3. 初始化 StealthWatch 管理控制台
3.1. 預設情況下,前往已安裝的 SMCVE 電腦的控制台,您將看到一個輸入登入名稱和密碼的地方 系統管理員/lan1cope.
3.2. 我們進入管理項,設定IP位址和其他網路參數,然後確認它們的變更。 設備將重新啟動。
3.3. 前往 Web 介面(透過 https 存取您在 SMC 中指定的位址)並初始化控制台,預設登入名稱/密碼 - 管理員/lan411應對.
PS:碰巧它在谷歌瀏覽器中打不開,資源管理器總是會幫忙的。
3.4. 請務必變更密碼、設定 DNS、NTP 伺服器、網域等。 設定很直覺。
3.5. 點擊“應用”按鈕後,裝置將再次重新啟動。 5-7分鐘後您可以再次連接到該地址; StealthWatch 將透過網路介面進行管理。
4. 設定 FlowCollector
4.1. 收藏家也是如此。 首先,在 CLI 中我們指定 IP 位址、遮罩、網域,然後 FC 重新啟動。 然後,您可以連接到指定位址的 Web 介面並執行相同的基本設定。 由於設定相似,詳細截圖不再贅述。 證書 進入 相同.
4.2. 在倒數第二點,您需要設定 SMC 的 IP 位址,在這種情況下,控制台將看到該設備,您必須透過輸入憑證來確認此設定。
4.3. 選擇 StealthWatch 的網域(先前已設定)和連接埠 2055 – 常規 Netflow,如果您使用 sFlow、端口 6343.
5.Netflow導出器配置
5.1. 要設定 Netflow 導出器,我強烈建議轉向此 ,以下是為許多裝置設定 Netflow 匯出器的主要指南:Cisco、Check Point、Fortinet。
5.2. 在我們的範例中,我重複一遍,我們從 Check Point 網關匯出 Netflow。 Netflow 匯出器在 Web 介面(Gaia Portal)中的同名標籤中配置。 為此,請按一下“新增”,指定 Netflow 版本和所需連接埠。
6.StealthWatch運行分析
6.1. 進入SMC Web介面,在儀表板>網路安全第一頁可以看到流量已經開始了!
6.2. 一些設置,例如,將主機分組、監視各個介面及其負載、管理收集器等,只能在 StealthWatch Java 應用程式中找到。 當然,思科正在慢慢地將所有功能轉移到瀏覽器版本,我們很快就會放棄這樣的桌面用戶端。
要安裝該應用程序,您必須先安裝 (我安裝的是8版本,雖然說最多支援10)來自Oracle官網。
在管理控制台Web介面的右上角,必須按一下「桌面用戶端」按鈕才能下載。
你強行儲存並安裝客戶端,java很可能會罵它,你可能需要將主機加入java例外。
這樣就展現了一個相當清晰的客戶端,可以輕鬆看到導出器的負載、介面、攻擊及其流程。
7.StealthWatch中央管理
7.1. 「中央管理」標籤包含屬於已部署 StealthWatch 一部分的所有設備,例如:FlowCollector、FlowSensor、UDP-Director 和 Endpoint Concetrator。 您可以在其中管理網路設定和設備服務、許可證,以及手動關閉設備。
您可以透過點擊右上角的“齒輪”並選擇“中央管理”來存取它。
7.2. 透過前往 FlowCollector 中的編輯設備配置,您將看到 SSH、NTP 以及與應用程式本身相關的其他網路設定。 為此,請為所需設備選擇操作 → 編輯設備配置。
7.3. 也可以在「集中管理」>「管理許可證」標籤中找到許可證管理。 如果 GVE 請求,則提供試用許可證 90天.
產品已準備就緒! 在下一部分中,我們將了解 StealthWatch 如何識別攻擊並產生報告。
來源: www.habr.com