Contidos ocultar
1 Sensor de análise segura na nube de CISCO
2 Introdución
3 Consideracións sobre a implantación de sensores
4 Requisitos previos do sensor
5 Requisitos adicionais do dispositivo físico
6 Instalación e configuración de medios sensores
7 Instalación do sensor
8 Que facer a continuación
9 Conexión de sensores ao Web Portal
10 Configuración de sensores para a recollida de fluxo
11 Resolución de problemas
12 Recursos adicionais
13 Historial de cambios
14 Preguntas frecuentes
15 Documentos/Recursos
15.1 Referencias

Logotipo de CISCO

Sensor de análise segura na nube de CISCO

Produto Senso de CISCO-Secure-Cloud-Analytics

Introdución

Cisco Secure Cloud Analytics (agora parte de Cisco XDR) é un servizo de seguridade baseado en SaaS que detecta e responde ás ameazas en entornos de TI, tanto locais como na nube. Esta guía explica como implementar sensores de Secure Cloud Analytics como parte do seu servizo de monitorización de rede privada, para o seu uso en redes empresariais, centros de datos privados, sucursais e outros entornos locais.

  • Se pensas usar Secure Cloud Analytics só en entornos de nube pública, como Amazon Web Servizos, Microsoft Azure ou Google Cloud Platform, non precisa instalar un sensor. Consulte as guías de monitorización da nube pública para obter máis información.
  • Esta guía ofrece instrucións para instalar o sensor en Ubuntu Linux. Para obter instrucións de instalación noutros sistemas operativos, consulte a Guía de configuración avanzada do sensor de análise segura na nube.

Consideracións sobre a implantación de sensores

  • Podes despregar sensores para recoller datos de fluxo, como NetFlow, ou para inxerir tráfico de rede que se duplica desde un enrutador ou conmutador na túa rede. Tamén podes configurar un sensor para recoller datos de fluxo e inxerir tráfico de rede duplicado. Non hai límite no número de sensores despregados.
  • Se queres configurar un sensor para recoller datos de fluxo, consulta Configuración dun sensor para recoller datos de fluxo para obter máis información.
  • Se queres configurar un sensor para inxerir tráfico desde un porto espello ou SPAN, consulta Configuración de dispositivos de rede para obter máis información sobre a configuración dos teus dispositivos de rede para espellar o tráfico.
  • A versión 4.0 ou posterior do sensor pode recoller telemetría mellorada de NetFlow. Isto permite que Secure Cloud Analytics xere novos tipos de observacións e alertas. Para obter máis información, consulte a Guía de configuración de Secure Cloud Analytics para Enhanced NetFlow.
  • O sensor non admite IPv6.

Requisitos previos do sensor

Podes instalar un sensor nun dispositivo físico ou nunha máquina virtual, cos seguintes requisitos:

Compoñente Requisito mínimo
Interface de rede polo menos unha interface de rede, designada como interface de control, para pasar información ao servizo Secure Cloud Analytics. Opcionalmente, se queres configurar o sensor para inxerir tráfico de rede desde un dispositivo de rede que o replica a través dun porto espello, necesitas unha ou máis interfaces de rede designadas como interfaces espello.
RAM 4 GB
CPU polo menos dous núcleos
Espazo de almacenamento Úsanse 60 GB de espazo en disco para almacenar na caché os datos de produción de NetFlow antes de enviar rexistros a Secure Cloud Analytics.
Acceso a Internet necesario descargar paquetes para o proceso de instalación

Teña en conta o seguinte sobre as interfaces de espello designadas:

  • As interfaces espello reciben unha copia de todo o tráfico de orixe entrante e saínte cara ao destino. Asegúrate de que o tráfico máximo sexa inferior á capacidade da ligazón da interface espello do sensor.
  • Moitos conmutadores descartan paquetes das interfaces de orixe se un porto de destino de espello está configurado con demasiado tráfico.

Requisitos adicionais do dispositivo físico

Compoñente Requisito mínimo
Instalación File Cargar Unha das seguintes opcións para cargar o ficheiro .iso de instalación file:
  • 1 porto USB, máis unha unidade flash USB
  • 1 unidade de disco óptico, máis un disco óptico gravable (como un disco CD-R)

As máquinas virtuais poden arrincar directamente no ficheiro .iso file sen requisitos adicionais.

Requisitos adicionais da máquina virtual
Se o sensor está despregado como unha máquina virtual, asegúrese de que o host virtual e a rede estean configurados para o modo promiscuo na segunda interface de rede se pensa inxerir tráfico desde un porto espello ou SPAN.

  • Ao implementar o sensor nun entorno VMWare 8, o sensor non se cargará cando se use a configuración de arranque UEFI predeterminada. Para solucionar este problema, no paso Personalizar hardware, seleccione Opcións de máquina virtual > Opcións de arranque e, a seguir, escolla BIOS na lista despregable Firmware.

Hipervisor de VMware
Se estás a executar a máquina virtual nun hipervisor de VMware, configura o conmutador virtual para o modo promiscuo:

  1. Selecciona o anfitrión no inventario.
  2. Seleccione a pestana Configuración.
  3. Fai clic en Redes.
  4. Fai clic en Propiedades do teu conmutador virtual.
  5. Seleccione o interruptor virtual e faga clic en Editar.
  6. Seleccione a pestana Seguridade.
  7. Seleccione Aceptar no menú despregable Modo promiscuo.

Consulta a base de coñecementos de VMware para obter máis información sobre o modo promiscuo. É posible que teñas que configurar o ID de VLAN en 4095.

VirtualBox
Se estás a executar a máquina virtual en VirtualBox, configura o adaptador para o modo promiscuo:

  1.  Seleccione o adaptador para a interface Mirror na Configuración de rede.
  2.  Configura o modo promiscuo en Permitir nas Opcións avanzadas.

Consulta a documentación de VirtualBox sobre redes virtuais para obter máis información.

Suxestións de despregamento de sensores
Dado que as topoloxías de rede poden variar moito, teña en conta as seguintes pautas xerais ao despregar os seus sensores:

  1.  Determine se quere despregar sensores para:
    • recoller datos de fluxo
    • inxerir tráfico de rede duplicado
    • algúns recollen datos de fluxo e outros inxiren tráfico de rede duplicado
    • tanto recollen datos de fluxo como inxiren tráfico de rede duplicado
  2.  Se recompilas datos de fluxo, determina que formatos poden exportar os teus dispositivos de rede, como NetFlow v5, NetFlow v9, IPFIX ou sFlow.
    Moitos cortafuegos son compatibles con NetFlow, incluídos os cortafuegos Cisco ASA e os dispositivos Cisco Meraki MX. Consulta a documentación de soporte do fabricante para determinar se o teu cortafuegos tamén é compatible con NetFlow.
  3. Asegúrate de que o porto de rede do sensor admita a capacidade dos portos Mirror.
    Ponte en contacto co servizo de asistencia de Cisco se necesitas axuda para despregar varios sensores na túa rede.

Comprobación da versión do sensor
Para asegurarte de que tes o sensor máis recente implementado na túa rede (versión 5.1.3), podes comprobar a versión dun sensor existente desde a liña de comandos. Se necesitas actualizar, reinstala o sensor.

  1.  Conéctate por SSH ao sensor despregado.
  2. Na indicación, introduza cat /opt/obsrvbl-ona/version e prema Intro. Se a consola non mostra a versión 5.1.3, o sensor está desactualizado. Descargue a ISO do sensor máis recente desde web interface de usuario do portal.

Requisitos de acceso aos sensores
O dispositivo físico ou a máquina virtual debe ter acceso a certos servizos a través de Internet. Configura o teu cortafuegos para permitir o seguinte tráfico entre un sensor e Internet externa:

Tipo de tráfico Obrigatorio Enderezo IP, dominio e porto ou configuración
Tráfico HTTPS de saída de si
  • porto 443 e o enderezo IP é
A interface de control do sensor co servizo Secure Cloud Analytics aloxado en Amazon Web Servizos o teu enderezo IP do portal
  • Enderezos IP de AWS S3 para a súa rexión de Secure Cloud Analytics. Dado que os enderezos IP de AWS poden cambiar, consulte a guía de AWS
  • Tema de axuda sobre rangos de enderezos IP e busca do servizo S3 e da túa rexión de AWS no JSON proporcionado filePara atopar a túa rexión de AWS, vai ao teu panel de control de Secure Cloud Analytics e desprázate ata a parte inferior da páxina. Un campo no pé de páxina mostra o nome da rexión do teu portal, que corresponde ás seguintes rexións de AWS:
    • América do Norte (Norte de Virxinia): us-east-1
    • Europa (Frankfurt): eu- central-1
    • Australia (Sydney): ap- sueste-2
1. Conéctese ao sensor por SSH como administrador.
2. Na liña de comandos, introduza este comando:
Forzar o sensor para que só se comunique con enderezos Cisco coñecidos non sudo nano opt/obsrvbl-ona/config.local e prema Entra para editar a configuración file 3. Actualice a configuración OBSRVBL_SENSOR_EXT_ONLY para que sexa a seguinte: OBSRVBL_SENSOR_EXT_ONLY=true.
4. Prema Ctrl + 0 para gardar os cambios.

5. Prema Ctrl + x para saír. 6. Na liña de comandos, escriba sudo service obsrvbl-ona restart para reiniciar o sensor.
Tráfico de saída desde a interface de control do sensor ao servidor Ubuntu Linux para descargar o sistema operativo Linux e as actualizacións relacionadas si
Tráfico de saída desde a interface de control do sensor a un servidor DNS para a resolución do nome de host si
  •  [servidor DNS local]:53/UDP
Tráfico entrante desde un dispositivo remoto de resolución de problemas ao teu sensor non
  • 54.83.42.41:22/TCP

Se empregas un servizo proxy, crea unha excepción de proxy para os enderezos IP da interface de control do sensor.

Configuración de dispositivos de rede
Podes configurar o teu conmutador ou enrutador de rede para duplicar unha copia do tráfico e, a seguir, pasala ao sensor.

  • Dado que o sensor se atopa fóra do fluxo normal de tráfico, non pode influír directamente no tráfico. Os cambios de configuración que fagas no web A interface de usuario do portal inflúe na xeración de alertas, non no fluxo do tráfico. Se queres permitir ou bloquear o tráfico en función das alertas, actualiza a configuración do firewall.
  • Consulta o seguinte para obter información sobre os fabricantes de conmutadores de rede e os recursos para configurar o tráfico duplicado:
Fabricante Nome do dispositivo Documentación
NetOptics toque de rede Consulta a páxina de recursos de Ixia para obter documentación e outra información
Gigamon toque de rede Consulta as páxinas de recursos e coñecementos de Gigamon para obter documentación e outra información.

Analizador (SPAN)
Enebro espello de porto Consulta a documentación de TechLibrary de Juniper para obter un exemploampLección de configuración da creación de réplicas de portos para a monitorización local do uso dos recursos dos empregados nos conmutadores da serie EX
NETGEAR espello de porto Consulta a documentación da base de coñecementos de Netgear para obter un exemploampexemplo de creación de espellos de portos e como funciona cun conmutador xestionado
ZyXEL espello de porto Consulta a documentación da base de coñecementos de ZyXEL para obter información sobre como usar a creación de espellos nos conmutadores ZyXEL.
outro porto de monitor, porto de analizador, porto de conexión Consulta a documentación wiki de Wireshark para obter unha referencia de conmutadores para varios fabricantes.

Tamén podes despregar un dispositivo de punto de acceso (tap) de proba de rede para pasar unha copia do tráfico ao sensor. Consulta o seguinte para obter información sobre os fabricantes de taps de rede e os recursos para configurar o tap de rede.

Fabricante Nome do dispositivo Documentación
NetOptics toque de rede Consulta a páxina de recursos de Ixia para obter documentación e outra información
Gigamon toque de rede Consulta as páxinas de recursos e coñecementos de Gigamon para obter documentación e outra información.

Configuración de fluxo
Debe configurar o dispositivo de rede para pasar datos de NetFlow. Consulte https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco NetFlow_Configuration.pdf para obter máis información sobre a configuración de NetFlow en dispositivos de rede Cisco.

Instalación e configuración de medios sensores

Antes de comezar a instalación, review as instrucións para comprender o proceso, así como a preparación, o tempo e os recursos que precisarás para a instalación e a configuración.
Hai dúas opcións para esta instalación:

  • Instalación do sensor nunha máquina virtual: Se instalas un sensor nunha máquina virtual, podes arrincar desde o ficheiro .iso file directamente.
  •  Instalación do sensor nun dispositivo físico: Se instalas un sensor nun dispositivo físico, crearás un medio de arranque usando o ficheiro .iso filee, a seguir, reinicie o dispositivo e arrinque desde ese soporte.

O proceso de instalación borra o disco no que se instalará o sensor antes de instalalo. Antes de comezar a instalación, confirme que o dispositivo físico ou a máquina virtual onde planea instalar o sensor non contén ningún dato que desexe gardar.

Creación de medios de arranque

  • Se estás a implementar un sensor nun dispositivo físico, implementas un ficheiro .iso. file que instala o sensor, baseado en Ubuntu Linux.
  • Se escribes o ficheiro .iso file nun disco óptico, como un CD ou un DVD, pode reiniciar o dispositivo físico co disco óptico nunha unidade de disco óptico e escoller arrincar desde o disco óptico.
  • Se creas unha unidade flash USB co ficheiro .iso file e a utilitade Rufus, podes reiniciar o dispositivo físico, inserir a unidade flash USB nun porto USB e escoller arrincar desde a unidade flash USB.
  • Se implementas un sensor sen usar unha ISO, pode que teñas que actualizar a configuración do firewall do dispositivo local para permitir o tráfico. Recomendámosche encarecidamente que implementes o sensor usando a ISO proporcionada.
  • Ao crear unha unidade flash USB de arranque, elimínase toda a información da unidade flash. Asegúrate de que a unidade flash non conteña ningunha outra información.

Descarga a ISO do sensor file
Descarga a última versión do ISO do sensor desde web portal. Úseo para instalar (para un sensor novo) ou reinstalar (para actualizar un sensor existente).

  1.  Inicie sesión en Secure Cloud Analytics como administrador.
  2.  Seleccione Axuda (?) > Instalación do sensor local.
  3.  Fai clic no botón .iso para descargar a última versión da ISO.
  4. Vaia a Crear un disco óptico de arranque ou Crear unha unidade flash USB de arranque.

Crear un disco óptico de arranque
Siga as instrucións do fabricante para copiar o ficheiro .iso file a un disco óptico.

Crear unha unidade flash USB de arranque

  1. Insira unha unidade flash USB en branco nun porto USB do dispositivo que desexe usar para crear a unidade flash USB de arranque.
  2.  Inicie sesión na estación de traballo.
  3. No teu web navegador, vai á utilidade Rufus websitio.
  4.  Descarga a última versión da utilidade Rufus.
  5. Abre a utilitade Rufus.
  6.  Seleccione a unidade flash USB no menú despregable Dispositivo.
  7. Seleccione Disco ou imaxe ISO no menú despregable de selección de arranque.
  8. Fai clic en SELECCIONAR e selecciona o sensor ISO file.
  9. Fai clic en INICIO.

Ao crear unha unidade flash USB de arranque, elimínase toda a información da unidade flash. Asegúrate de que a unidade flash non conteña ningunha outra información.

Instalación do sensor

  1.  Escolle o método de arranque para o ficheiro .iso do seguinte xeito:
    • Máquina virtual: Se estás a instalar nunha máquina virtual, arrinca desde o ficheiro .iso file.
    • Dispositivo físico: Se estás a realizar a instalación nun dispositivo físico, insire o medio de arranque, reinicia o dispositivo e inicia desde o medio de arranque.
  2. Seleccione Instalar ONA (IP estático) na solicitude inicial e, a seguir, prema Intro.
  3. CISCO-Secure-Cloud-Analytics-Senso- (2)Seleccione un idioma da lista de idiomas coas teclas de frecha e, a seguir, prema Intro. CISCO-Secure-Cloud-Analytics-Senso- (3)
  4. Para a configuración do teclado, tes as seguintes opcións:
    • Seleccione unha disposición e unha variante para configurar o teclado e, a seguir, prema Intro.
    • Selecciona Identificar teclado e, a seguir, preme Intro. CISCO-Secure-Cloud-Analytics-Senso- (4)
  5. Para a configuración de rede, seleccione Manual e prema Intro. CISCO-Secure-Cloud-Analytics-Senso- (5)Todas as outras interfaces de rede configúranse automaticamente como interfaces de espello.
  6.  Introduza unha Subrede para o dispositivo, seleccione Continuar coas teclas de frecha e prema Intro.
  7.  Introduza un enderezo IP para o dispositivo, seleccione Continuar coas teclas de frecha e prema Intro.
  8. Introduza un enderezo IP do enrutador Gateway, seleccione Continuar coas teclas de frecha e prema Intro.
  9.  (Opcional) Para Dominios de busca, introduza o(s) dominio(s) que se engadirán automaticamente ao nome do host ao tentar resolver nun enderezo IP, seleccione Continuar coas teclas de frecha e prema Intro.
    Por defecto, a instalación usará automaticamente DHCP e continuará coa instalación. Para anular o enderezo IP DHCP, terás que editar manualmente a interface unha vez finalizada a instalación.
    Recomendámosche que introduzas un enderezo de servidor de nomes local autoritativo se tes un implementado na túa rede. CISCO-Secure-Cloud-Analytics-Senso- (6)
  10. Introduza o Nome completo do novo usuario, que está asociado a unha conta non root para os permisos administrativos e, a seguir, seleccione Continuar coas teclas de frecha e prema Intro.
  11.  Introduza o nome do seu servidor, que é o nome que o sensor usará ao comunicarse con outros ordenadores e que será visible no portal de análise de Secure Cloud e, a seguir, seleccione Continuar coas teclas de frecha e prema Intro.
  12.  Introduza o nome de usuario da súa conta, que é a conta non root con permisos administrativos e, a seguir, seleccione Continuar coas teclas de frecha e prema Intro.
  13.  Escolla un contrasinal para o novo usuario e, a seguir, seleccione Continuar coas teclas de frecha e prema Intro.
  14. Volva introducir o contrasinal para verificalo e, a seguir, seleccione Continuar coas teclas de frecha e prema Intro. Se non introduciu o mesmo contrasinal dúas veces, ténteo de novo.
    A conta que crees durante a configuración é a única conta que podes usar para acceder á máquina virtual. Esta instalación non crea unha conta de portal de Secure Cloud Analytics independente. CISCO-Secure-Cloud-Analytics-Senso- (7)
  15. Para confirmar o proceso de instalación, seleccione Continuar e, a seguir, prema Intro.
    Esta acción elimina todos os datos da unidade. Asegúrate de que estea baleira antes de continuar.CISCO-Secure-Cloud-Analytics-Senso- (8)Agarde uns minutos para que o instalador instale o elemento necesario files.
  16. Cando o instalador mostre Instalación completada, seleccione Reiniciar agora coas teclas de frecha e, a seguir, prema Intro para reiniciar o dispositivo.CISCO-Secure-Cloud-Analytics-Senso- (9)
  17. Despois de reiniciar o dispositivo, inicie sesión coa conta creada para garantir que as súas credenciais sexan correctas.

Que facer a continuación

  • Se restrinxe o acceso aos seus entornos privados, asegúrese de que se permita a comunicación cos enderezos IP relevantes. Consulte Requisitos de acceso aos sensores para obter máis información.
  • Se estás a usar o sensor para recoller o tráfico de fluxo de rede, como NetFlow, consulta Configuración dun sensor para recoller datos de fluxo para obter máis información sobre a configuración do sensor.
  •  Se estás a usar o sensor e o conectas a portos SPAN ou espello para recoller o tráfico espello, consulta Conexión de sensores ao Web Portal para obter máis información sobre como engadir sensores en Secure Cloud Analytics web portal.
  •  Se estás a configurar o sensor para transmitir telemetría de Enhanced NetFlow, consulta a Guía de configuración de Cisco Secure Cloud Analytics para Enhanced NetFlow para obter máis información.

Conexión de sensores ao Web Portal

  • Unha vez instalado un sensor, deberá vincularse co seu portal. Isto faise identificando o enderezo IP público do sensor e introducíndoo no web portal. Se non podes determinar o enderezo IP público do sensor, podes vinculalo manualmente ao teu portal usando a súa clave de servizo única.

O sensor pode conectarse aos seguintes portais:

Se hai varios sensorestagsituados nunha localización central, como un MSSP, e están destinados a diferentes clientes, o enderezo IP público debería eliminarse despois de configurar cada novo cliente. Se un enderezo IP público do stagSe o ambiente de configuración se usa para varios sensores, un sensor podería estar conectado incorrectamente ao portal incorrecto.
Se estás a usar un servidor proxy, completa os pasos da sección Configuración do proxy para activar a comunicación entre o sensor e Secure Cloud Analytics. web portal.

Atopar e engadir o enderezo IP público dun sensor a un portal

  1. Conéctate ao sensor por SSH como administrador.
  2. Na liña de comandos, introduza curl https://sensor.ext.obsrvbl.comandpressEnterO valor de erro de identidade descoñecida significa que o sensor non está asociado a un portal. Vexa a seguinte imaxe para un exemplo.ample.CISCO-Secure-Cloud-Analytics-Senso- (10)O teu anfitrión de servizos URL pode ser diferente segundo a túa localización. No teu portal de análise segura na nube, vai a Configuración > Sensores e desprázate ata a parte inferior da páxina para atopar o teu servidor de servizo. url.
  3.  Copiar o enderezo IP da identidade.
  4.  Pechar sesión no sensor.
  5.  Inicie sesión en Secure Cloud Analytics como administrador do sitio.
  6.  Selecciona Configuración > Sensores > IP pública.
  7. Fai clic en Engadir novo enderezo IP.
  8. Introduza o enderezo IP da identidade no campo Novo enderezo. 9. Faga clic en Crear. Despois de que o portal e o sensor intercambien as claves, establécense futuras
  9. CISCO-Secure-Cloud-Analytics-Senso- (11) Fai clic en Crear. Despois de que o portal e o sensor intercambien as claves, establecen conexións futuras usando as claves, non o enderezo IP público.
    Pode tardar ata 20 minutos en reflectirse un novo sensor no portal.

Engadir manualmente a clave de servizo dun portal a un sensor
Se non podes engadir o enderezo IP público dun sensor ao web portal, ou vostede é un
MSSP xestionando varios web portais, editar a configuración config.local dun sensor file para engadir manualmente a clave de servizo dun portal para asociar o sensor co portal.
Este intercambio de claves faise automaticamente ao usar o enderezo IP público da sección anterior.

  1. Inicie sesión en Secure Cloud Analytics como administrador.
  2.  Seleccione Configuración > Sensores.
  3.  Navega ata o final da lista de sensores e copia a clave de servizo. Consulta a seguinte imaxe para obter un exemplo.ample.
    Clave de servizo: (mostrar) Host de servizo:CISCO-Secure-Cloud-Analytics-Senso- (12)
  4. Conéctate ao sensor por SSH como administrador.
  5. Na liña de comandos, introduza este comando: sudo nano /opt/obsrvbl-ona/config.locale prema Intro para editar a configuración. file.
  6. Engade as seguintes liñas, substituíndo coa chave de servizo do portal eurl>co seu servidor de servizos rexional url# Clave de servizo
    CHAVE_DE_SERVIZO_OBSRVBL=" "OBSRVBL_HOST="url>"
    No teu portal de análise segura na nube, vai a Configuración > Sensores e desprázate ata a parte inferior da páxina para atopar o teu servidor de servizos. url.
    Vexa a seguinte imaxe para un exampLe:
  7. CISCO-Secure-Cloud-Analytics-Senso- (13)Prema Ctrl + 0 para gardar os cambios.
  8.  Prema Ctrl + x para saír.
  9.  Na liña de comandos, introduza sudo service obsrvbl-ona restart para reiniciar o servizo Secure Cloud Analytics.

Pode tardar ata 20 minutos en reflectirse un novo sensor no portal.

Configuración do proxy
Se estás a usar un servidor proxy, completa os seguintes pasos para activar a comunicación entre o sensor e o dispositivo web portal.

  1.  Conéctate ao sensor por SSH como administrador.
  2.  Na liña de comandos, introduza este comando: sudo nano /opt/obsrvbl-ona/config.local e prema Intro para editar a configuración. file.
  3.  Engade a seguinte liña, substituíndo proxy.name.com polo nome de host ou enderezo IP do teu servidor proxy e Port polo número de porto do teu servidor proxy: HTTPS_PROXY="proxy.nome.com:Porto”.
  4. Prema Ctrl + 0 para gardar os cambios.
  5.  Prema Ctrl + x para saír.
  6. Na liña de comandos, introduza sudo service obsrvbl-ona restart para reiniciar o servizo Secure Cloud Analytics.

Pode tardar ata 20 minutos en reflectirse un novo sensor no portal.

Confirmar a conexión do portal dun sensor
Despois de engadir un sensor ao portal, confirme a conexión en Secure Cloud Analytics.

Se ligou manualmente un sensor ao web portal actualizando o ficheiro config.local
configuración file usando unha clave de servizo, usando a curlO comando para confirmar a conexión do sensor pode non devolver o web nome do portal.

  1. Inicia sesión en Secure Cloud Analytics.
  2. Selecciona Configuración > Sensores. O sensor aparecerá na lista.

CISCO-Secure-Cloud-Analytics-Senso- (14)

Se non ves o sensor na páxina Sensores, inicia sesión nel para confirmar a conexión.

  1. Conéctate ao sensor por SSH como administrador.
  2. Na liña de comandos, introduza curl https://sensor.ext.obsrvbl.comandpressEnter. O sensor devolve o nome do portal. Consulta a seguinte imaxe para un exemplo.ample.CISCO-Secure-Cloud-Analytics-Senso- (1)O teu anfitrión de servizos url pode ser diferente segundo a túa localización. No teu portal de análise segura na nube, vai a Configuración > Sensores e desprázate ata a parte inferior da páxina para atopar o teu servidor de servizo. url.
  3. Pechar sesión no sensor.

Configuración dun sensor para recoller datos de fluxo

  • Un sensor crea rexistros de fluxo a partir do tráfico nas súas interfaces Ethernet por defecto. Esta configuración predeterminada asume que o sensor está conectado a un porto Ethernet SPAN ou espello. Se outros dispositivos da túa rede poden xerar rexistros de fluxo, podes configurar o sensor no web IU do portal para recoller rexistros de fluxo destas fontes e envialos á nube.
  • Se os dispositivos de rede xeran diferentes tipos de fluxos, recoméndase configurar o sensor para recoller cada tipo a través dun porto UDP diferente. Isto tamén facilita a resolución de problemas
    máis doado. Por defecto, o cortafuegos do sensor local (iptables) ten abertos os portos 2055/UDP, 4739/UDP e 9995/UDP. Se queres usar portos UDP adicionais, debes configuralos en
    o web portal.

Podes configurar a recompilación dos seguintes tipos de fluxo no web IU do portal:

  • NetFlow v5 – Porto 2055/UDP (aberto por defecto)
  • NetFlow v9 – Porto 9995/UDP (aberto por defecto)
  • IPFIX – Porto 4739/UDP (aberto por defecto)
  •  sFlow – Porto 6343/UDP

Fornecemos os portos predeterminados, pero pódense configurar cos portos que prefira no web interface de usuario do portal.

Débense seleccionar certos dispositivos de rede no web IU do portal antes de que funcionen correctamente:

  • Cisco Meraki – Porto 9998/UDP
  • Cisco ASA: Porto 9997/UDP
  • SonicWALL: Porto 9999/UDP

A versión 14.50 do firmware de Meraki aliña o formato de exportación de rexistros de Meraki co formato NetFlow. Se o teu dispositivo Meraki executa a versión de firmware 14.50 ou posterior, configura o sensor cun tipo de sonda de NetFlow v9 e unha orixe de Estándar. Se o teu dispositivo Meraki executa unha versión de firmware anterior á 14.50, configura o sensor cun tipo de sonda de NetFlow v9 e unha orixe de Meraki MX (por debaixo da versión 14.50).

Configuración de sensores para a recollida de fluxo

  1. Inicie sesión en Secure Cloud Analytics como administrador.
  2. Seleccione Configuración > Sensores.
  3. Fai clic no menú despregable Configuración do sensor que engadiches.
  4. Escolla configurar NetFlow/IPFIX.
    Esta opción require unha versión actualizada do sensor. Se non ves esta opción, selecciona Axuda (?) > Instalación do sensor local para descargar unha versión actual do ficheiro ISO do sensor.
  5. Fai clic en Engadir nova sonda.
  6.  Escolla un tipo de fluxo no menú despregable Tipo de sonda.
  7.  Introduza un número de porto.
    Se queres pasar Enhanced NetFlow ao teu sensor, asegúrate de que o porto UDP que configuras non estea configurado tamén para Flexible NetFlow ou IPFIX na configuración do teu sensor. Por exemplo,ample, configure o porto 2055/UDP para Enhanced NetFlow e o porto 9995/UDP para Flexible NetFlow. Consulte a Guía de configuración de Enhanced NetFlow para obter máis información.
  8. Escolla un Protocolo no menú despregable.
  9.  Escolla unha fonte no menú despregable.
  10.  Fai clic en Gardar.

As actualizacións da configuración do sensor poden tardar ata 30 minutos en reflectirse no portal.

Resolución de problemas

Capturar paquetes do sensor
Ocasionalmente, o servizo de asistencia de Cisco pode precisar verificar os datos de fluxo que recibe o sensor. Recomendámosche que o fagas xerando unha captura de paquetes dos fluxos. Tamén podes abrir a captura de paquetes en Wireshark para volver...view os datos.

  1.  Conéctate ao sensor por SSH como administrador.
  2.  Na indicación, introduza sudo tcpdump -D e prema Intro para view unha lista de interfaces. Anote o nome da interface de control do seu sensor.
  3. Na liña de comandos, introduza sudo tcpdump -i -n -c 100 “porto "-w" , substituír co nome da túa interface de control, co número de porto correspondente aos datos de fluxo configurados e cun nome para o pcap xerado filee, a seguir, prema Intro. O sistema xera un pcap file co nome especificado para o tráfico desa interface, a través do porto especificado.
  4. Pecha sesión no teu sensor.
  5. Inicie sesión no sensor cun programa SFTP, como PuTTY SFTP (PSFTP) ou WinSCP.
  6. Na indicación, introduza obter , substituír co teu pcap xerado file nome e prema Intro para transferir o file á súa estación de traballo local.

Analizar a captura de paquetes en Wireshark

  1. Descarga e instala Wireshark e, a continuación, abre Wireshark.
  2. Seleccione File > Abrir e, a seguir, seleccionar o teu PCAP file.
  3. Seleccione Analizar > Descodificar como.
  4. Fai clic en + para engadir unha nova regra.
  5. Seleccione CFLOW no menú despregable Actual e, a seguir, prema en Aceptar. A IU actualízase para mostrar só os paquetes relacionados con NetFlow, IPFIX ou sFlow. Se non aparecen resultados, o pcap non contén paquetes relacionados con NetFlow e a recollida de datos de fluxo está configurada incorrectamente no sensor.

Recursos adicionais

Para obter máis información sobre Secure Cloud Analytics, consulte o seguinte:

Contactando con Soporte
Se precisa asistencia técnica, faga unha das seguintes accións:

Historial de cambios

Versión do documento Data de publicación Descrición
1_0 Abril 27,2022 Versión inicial
1_1 Agosto 1,2022
  • Actualización da información de soporte de Cisco.
  •  Nota engadida para IPs públicas.
1_2 17 de febreiro de 2023
  •  Engadiuse a sección de Configuración do Proxy.
  •  Actualizouse a configuración do sensor Meraki.
1_3 Xuño 21,2023
  •  Corrixiuse unha errata.
  • Numeración actualizada dos procedementos.
1_4 8 de abril de 2024
  •  Actualizouse a introdución na Medios de sensores Instalación e Configuración sección. Cambios menores de formato.
1_5 30 de outubro de 2024 Actualizado o Requisitos de acceso aos sensores sección.
2_0 4 de decembro de 2024 Actualizouse a versión do sensor, instalado un sensor sección, Atopar e engadir o enderezo IP público dun sensor a un portal sección, e Requisitos previos do sensor sección.
2_1 21 de abril de 2025
  •  Engadiuse unha nota sobre a opción de arranque de VMware á Requisitos adicionais da máquina virtual sección.
  • Actualizado o Engadir manualmente a clave de servizo dun portal a un Sensor sección para incluír a información de configuración de OBSRVBL_HOST.
2_2 17 de outubro de 2025 Eliminouse a limitación só para América do Norte para obrigar o sensor a comunicarse só con enderezos Cisco coñecidos.

Información de copyright

  • Cisco e o logotipo de Cisco son marcas comerciais ou marcas rexistradas de Cisco e/ou das súas filiales nos EUA e noutros países. Para view unha lista de marcas comerciais de Cisco, vaia a esta URL: https://www.cisco.com/go/trademarks. As marcas rexistradas de terceiros mencionadas son propiedade dos seus respectivos propietarios. O uso da palabra socio non implica unha relación de colaboración entre Cisco e ningunha outra empresa. (1721R)
  • © 2025 Cisco Systems, Inc. e/ou as súas filiales. Todos os dereitos reservados.

Preguntas frecuentes

Pode o sensor recoller tráfico IPv6?

Non, o sensor non admite tráfico IPv6.

Documentos/Recursos

Sensor de análise segura na nube de CISCO [pdfGuía do usuario
Sensor de análise na nube segura, Sensor de análise na nube, Sensor de análise, Sensor

Referencias

Deixa un comentario

O teu enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados *