Cisco v7.5.3 Sare Seguruaren Analisia

Sarrera

• Erabili gida hau Cisco Secure Network Analytics (lehen Stealthwatch), v7.5.3 edo berriagoa, konfiguratzeko, Zeek telemetria harrapatzeko.
• Zeek telemetria Sare Seguruaren Analitikekin konfiguratzeko, ziurtatu Datuen Biltegia eta Analitika gaituta dituzula.

Amaituview

Zeek batez ere sareko trafikoaren analizatzaile pasibo gisa erabiltzen da, eta segurtasun-taldeei sareko trafikoa aztertzeko, jarduera susmagarriak detektatzeko eta mehatxu potentzialak ikertzeko aukera ematen die, sareko gertaeren erregistro zehatzak sortuz, aplikazio-mailako xehetasunak barne, protokolo-analisi gaitasunak erabiliz. Zeek-ek honako hau eskaintzen du:

• Mehatxuen Ehiza eta Intzidenteen ErantzunaZeek erregistroak aztertuz, segurtasun taldeek portaera anomaloak identifikatu, segurtasun gertakari potentzialak ikertu eta sarean zehar jarduera gaiztoak bilatu ditzakete.
• Modu pasiboa: Zeek modu pasiboan funtzionatzen duenez, sareko trafikoa behatzen du fluxuan oztopatu gabe, eta beraz, ez du hainbeste eragozten sareko eragiketetan.
• Erregistro zehatzak: Zeek-ek sareko konexioei buruzko informazio osoa jasotzen duten erregistro zehatzak sortzen ditu, denborak barne.amps, iturri/helmuga IP helbideak, portuak, protokoloak eta baita file edukia, analisi sakona erraztuz.
• Biltegiratzea: Zeek erregistroak honela gordetzen dira.
  • Erregistro gehienak Flow Collector-en gordetzen dira, baina conn.log fitxategia Data Store-n dago.
  • Flow Collector-ek 30 egun baino zaharragoak diren datu guztiak ezabatzen ditu. Xehetasun gehiago lortzeko, jo ezazu Virtual Edition gailuaren instalazio gidan "Baliabideen eskakizunak" atalera.

Baldintzak
Ziurtatu Analytics gaituta dagoela. Aukeratu Konfiguratu > Detekzioa > Analytics menu nagusitik, eta egin klik Analytics aktibatuta aukeran.

Baldintzak hauek dira.

• Sarearen analisi segurua v7.5.3.
• Datu-biltegia Analitika gaituta duela.
• Zeek telemetria da instalazio berrietarako lehenetsitako aukera Lehen Konfigurazioan. Aurreko bertsio batetik eguneratzen ari bazara, Zeek telemetria konfiguratu beharko duzu Ezarpen Aurreratuetan.
• Ez duzu Zeek telemetriarako lizentzia bereizirik erosi beharrik. Lizentzien inguruko informazio gehiago lortzeko, jo Smart Software Licensing Guide 7.5.3-ra.

Errendimenduaren estimazioa

• Hardware plataforma batean segundoko 100,000 gertaera (Syslog mezuak) onartzen ditugu. Baliabideen eskakizunei buruzko xehetasunak lortzeko, kontsultatu hardware instalazio gida. Telemetria konbinatuko baliabideen eskakizunei buruzko informazio gehiago lortzeko, kontsultatu Virtual Edition gailuaren instalazio gida.
• Hainbat faktorek eragina izan dezakete zure errendimenduan, hala nola gertaeren tasak eta barneratzen diren erregistro mota kopuruak. Datuak ahalik eta bidezkoen eta zehatzen irudikatzeko ahalegin guztiak egiten ditugun arren, zure inguruneak muga desberdinak izan ditzake.

Zeek Logs
Zeek-en erregistro guztiak Syslog bidez biltzen ari gara, baina une honetan honako hauetan bakarrik zentratzen gara:

• conn.log
• dns.log
• norbait_files.logor smb_mappings.log
• dce_rpc_erregistroa
• Kasu batzuetan, smb_-kfiles.log eta dce_rpc.log fitxategiak smb_mappings.log-era bidal daitezke.

Zeek erregistroak Syslog-ek JSON gisa eta formatu espezifiko batean esportatzeko konfiguratu behar dira.

• Garraioa: Zeek erregistroek JSON formatua erabiltzen dute Syslog bidez UDP bidez (9514 ataka lehenetsia).
• Formatua: Zeek erregistro-sortzaileak zeek_ gehitu behar dufileizena="xxx.erregistroa"tag Flow Collector-erako JSONL katearen aurretik.

Flow Collector-a Zeek Telemetria Ingestatzeko Konfiguratzea

Hauek dira Zeek telemetria Secure Network Analytics-en konfiguratzeko bi aukera:

• Lehen konfigurazioa: Zeek telemetria instalazio berrietarako lehenetsitako aukera da, baina Zeek telemetria berretsi dezakezu lehen aldiz konfigurazioan zehar (datu-biltegian bakarrik).
• Ezarpen aurreratuak: Aurreko bertsio batetik eguneratzen ari zarenean, Zeek Telemetria konfiguratu beharko duzu Ezarpen Aurreratuetan.

Sare Seguruaren Analitika konfiguratzeari buruzko informazio gehiago lortzeko, jo Sistemaren Konfigurazio Gidara.

Berretsi Zeek telemetria lehen aldiz konfigurazioan (datu biltegian bakarrik)
Zeek telemetria datu-biltegiratze duen Flow Collector berri batean ingesta gaitzeko, jarraitu urrats hauek:

1. Jarraitu zure Flow Collector-erako dagokion gailuaren instalazio-gidan agertzen diren argibideei. Ondoren, erabili Sistemaren Konfigurazio Gida hainbat telemetria motaren gailuen konfigurazioari buruzko argibide zehatzagoak lortzeko.
2. Sartu makina birtualaren kontsolara. Utzi gailu birtuala abiarazten amaitzen.
3. Hasi saioa kontsolaren bidez.
   • Saioa hasi: sistemaren administratzailea
   • Pasahitz lehenetsia: lan1cope
     Normalean pasahitz lehenetsia aldatuko duzu sistema lehen aldiz konfiguratzen duzunean.
4. Review Saioa hasteko huts egindako saiakeren informazioa. Hautatu Ados jarraitzeko.
5. Review Lehen Konfigurazioaren sarrera. Hautatu Ados jarraitzeko.
6. Hautatu Zeek Logs telemetria moten zerrendatik. Hautatu Ados jarraitzeko. Telemetria mota guztiak lehenespenez hautatzen dira inplementazio berri batean. Aurreko bertsio batetik v752ra eguneratzen ari bazara, jo ezazu Zeek Telemetria Konfiguratu atalera Ezarpen Aurreratuetan.
7. Berretsi Zeek Logs-en ataka 9514 dela eta, ondoren, hautatu Ados. 9514 portua erabiltzea gomendatzen dizugu. Ez erabili 2055, 514 edo 8514 portu.
   Ziurtatu zure telemetria atakak bakarrak direla. Telemetria ataka bikoiztuak konfiguratzen badituzu, atakak barneko lehenetsitako balioetara berrezarriko dira fluxu-datuak galtzea saihesteko. AdibidezampAdibidez, NetFlow eta Zeek telemetria portu berera esportatzen badira, Zeek datuak esportatzen dituen gailu bakoitzak esportatzaile bat sortuko du Flow Collector-en eta Flow Collector motorreko esportatzaile baliabideak agortuko ditu, eta ondorioz fluxu datuak galtzea eragingo du.
8. Sakatu Aplikatu aldaketak gordetzeko.
9. Jarraitu pantailan agertzen diren argibideei ingurune birtuala amaitzeko eta tresna berrabiarazteko.

Konfiguratu Zeek Telemetria Ezarpen Aurreratuetan

Prozedura hau hasi aurretik, ziurtatu azken Flow Collector NetFlow adabaki multzoa instalatzen duzula.

Konfiguratuta dagoen Flow Collector batean Zeek telemetria jasotzen hasteko, jarraitu urrats hauek:

1. Hasi saioa zure kudeatzailean.
2. Menu nagusian, hautatu Konfiguratu > Globala > Kudeaketa zentralizatua.
3. Inbentario orrian, egin klik zure Flow Collector-erako… (Elipsis) ikonoan, eta ondoren hautatu View Tresnaren estatistikak. Flow Collector Admin interfazea irekitzen da.
4. Hautatu Laguntza > Ezarpen aurreratuak.
   Eremu bat erakusten ez bada, egin klik Gehitu aukera berria eremuan. Flow Collector-en ezarpen aurreratuak editatzeari buruzko informazio gehiago lortzeko, jo Ezarpen aurreratuen laguntza gaira.
5. enable_zeek eremuan, ezarri balioa 1era Zeek telemetria jasotzeko. Ziurtatu Zeek konfiguratu duzula erregistroak JSON formatuan birbidaltzeko.
6. Berretsi balioa 9514 gisa ezarrita dagoela zeek_port eremuan.

Ziurtatu zure telemetria atakak bakarrak direla. Telemetria ataka bikoiztuak konfiguratzen badituzu, atakak barneko lehenetsitako balioetara berrezarriko dira fluxu-datuak galtzea saihesteko. AdibidezampAdibidez, NetFlow eta Zeek telemetria portu berera esportatzen badira, Zeek datuak esportatzen dituen gailu bakoitzak esportatzaile bat sortuko du Flow Collector-en eta Flow Collector motorreko esportatzaile baliabideak agortuko ditu, eta ondorioz fluxu datuak galtzea eragingo du.

Zeek Telemetria Egiaztatzea

Zeek telemetria jasotzen ari dela egiaztatzeko, berriroview Zeek Log bildumaren joera txostena:

1. Hasi saioa zure kudeatzailean.
2. Menu nagusian, hautatu Txostena > Txosten-sortzailea.
3. Egin klik Txosten berria sortu aukeran, eta ondoren hautatu Zeek Log Collection Trend.
4. Egin klik Exekutatu.
5. Egiaztatu txostenak Zeek telemetria erakusten duela.

Zeek Log bildumaren joera txostena
Hurrengo sampZeek Log Collection Trend Report-eko fitxategiek Zeek telemetria arrakastaz jasotzen ari dela erakusten dute.

S txostenaample 1
Txosten honekampordubete ematen du view.

S txostenaample 2

• Txosten honekamp12 orduko zerbitzua eskaintzen du view.
• Txostenei buruzko informazio gehiago lortzeko, egin klik (Laguntza) ikonoa Txosten sortzailearen laguntza gaia atzitzeko.

Zeek Gertaeren Ebaluazioa

Zeek gertaerak ebaluatzen laguntzeko bi txosten gehigarri daude eskuragarri:

• Zeek datu-basearen ingesta-joeren txostena
• Zeek Logs txostena
• Ziurtatu Datuen biltegia eta Analitika gaituta dituzula.
• Analytics gaitzeko, aukeratu Konfiguratu > Detekzioa > Analytics menu nagusian, eta egin klik Analytics aktibatuta aukeran.

Zeek datu-basearen ingesta-joeren txostena
Zure Datu-biltegian idazten ari diren Zeek conn.log gertaerak ebaluatzeko, egin hau:

1. Hasi saioa zure kudeatzailean.
2. Menu nagusian, hautatu Txostena > Txosten-sortzailea.
3. Egin klik Txosten berria sortu aukeran, eta ondoren hautatu Zeek datu-basearen ingesta joera.
4. Egin klik Exekutatu.
5. Review txostena:
   • Datu-biltegiak Zeek conn.log gertaerak jasotzen al ditu?
   • Etenik izan al zen?

S txostenaample

• Hau samp12 orduko zerbitzua eskaintzen du view.
• View Aldiko Gertaeren Byte edo Aldiko Gertaeren Kopuru gisa idatzitako erregistroak.

Zeek Logs txostena

• Ziurtatu zure Flow Collector Zeek-etik datuak jasotzeko konfiguratuta dagoela. Argibideak lortzeko, jo Sistemaren Konfigurazio Gidara.
• Berrizview Flow Collector baterako Zeek erregistro mota espezifiko baterako Zeek telemetria erregistro gertaerak ikusteko, egin hau:
• Gehienez lau Zeek erregistro-kontsulta exekutatu ditzakezu aldi berean, ilaran zain dauden beste kontsulta batzuekin.

1. Hasi saioa zure kudeatzailean.
2. Menu nagusian, hautatu Txostena > Txosten-sortzailea.
3. Egin klik Txosten berria sortu aukeran, eta ondoren hautatu Zeek erregistroak.
4. Zehaztu parametroak Orokorra eremuko beharrezko eremuetan. Parametroa Informazio gehiago
   • Denbora tartea Pertsonalizatua aukeratzen baduzu, hautatu denbora-tarte labur bat errendimendu maximoa lortzeko. Denbora-tarte luze bat sartzen baduzu, txostenak denbora asko behar izan dezake datuak kontsultatzeko.
   • Fluxu-biltzailea Hautatu Sarearen Analitika Fluxuen Biltzaile Seguru bat zure sarean.
   • Max Records Hautatu erregistro kopuru maximoa. Muga 10,000 erregistro da.
   • Zeek Log Mota Hautatu Zeek erregistro mota bat.
   • Zeek Log Type eremuan conn.log ez den beste erregistro bat hautatzeak txostena luzea izatea eragin dezake, baina amaitu arte exekutatu behar da.
5. Erabili Iragazki eremua parametro gehigarriak zehazteko, behar izanez gero.
6. Egin klik Exekutatu.

S txostenaample

• Txosten hau sortzerakoan aukerako parametroak hautatu zirenample.
• Txosten honetako datuak jasotzeko, Sare Seguruaren Analitika behar duzu Datu-biltegi baten hedapenarekin. Informazioa eta argibideak lortzeko, kontsultatu Tresnaren Instalazio Gida (Hardwarea edo Edizio Birtuala) eta Sistemaren Konfigurazio Gida.

Laguntzarekin harremanetan jartzea
Laguntza teknikoa behar baduzu, egin hauetako bat:

• Jarri harremanetan tokiko Cisco bazkidearekin
• Jarri harremanetan Cisco laguntzarekin
• Kasu bat irekitzeko web: http://www.cisco.com/c/en/us/support/index.html
• Telefono-laguntzarako: 1-800-553-2447 (AEB)
• Mundu osoko laguntza-zenbakietarako: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Historia aldatzea

Dokumentuaren bertsioa	Argitaratutako data	Deskribapena
1_0	6ko abuztuaren 2025a	Hasierako bertsioa.

Copyright informazioa
Cisco eta Ciscoren logotipoa Ciscoren eta/edo bere afiliatuen marka komertzial edo erregistratutako marka dira AEBetan eta beste herrialde batzuetan. To view Cisco marken zerrenda bat, joan hona URL: https://www.cisco.com/go/trademarks. Aipatutako hirugarrenen markak dagozkien jabeen jabetzakoak dira. Bazkide hitza erabiltzeak ez du Ciscoren eta beste edozein konpainiaren arteko lankidetza-harremanik suposatzen. (1721R)

Dokumentuak / Baliabideak

Cisco v7.5.3 Sare Seguruaren Analisia [pdfErabiltzailearen gida 7.5.3 bertsioa, 7.5.3 bertsioa Sarearen Analitika Segurua, 7.5.3 bertsioa, Sarearen Analitika Segurua, Sarearen Analitika, Analitika

Erreferentziak

• Erabiltzailearen eskuliburua