De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt de procedure beschreven om NVM-telemetrie (Network Visibility Module) te implementeren in Secure Network Analytics (SNA).
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Zorg ervoor dat de Smart Licensing Virtual-account waarop SNA Manager is geregistreerd, de Endpoint Licenties heeft.
Om te bevestigen of de SNA Flow Collector NVM-telemetrie van de eindpunten ontvangt en plaatst, gaat u als volgt te werk:
1. Meld u aan bij de Flow Collector via SSH of console met basisreferenties.
2. Start de grop 'NVM registreert deze periode:' /lancope/var/sw/today/logs/sw.log opdracht.
3. bevestig of de Flow Collector NVM records inneemt en deze in de database plaatst.
ao-fc01-cds:~# grep 'NVM records this period:' /lancope/var/sw/today/logs/sw.log
04:00:01 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
04:05:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
04:10:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
04:15:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
Uit deze output blijkt dat de Flow Collector helemaal geen NVM-bestanden heeft ontvangen, maar u moet wel bevestigen of het is ingesteld om te luisteren voor NVM-telemetrie.
1. Meld u aan bij de Flow Collector Admin User Interface (UI).
2. Navigeer naar Ondersteuning > Geavanceerde instellingen.
3. Zorg ervoor dat de vereiste eigenschappen correct zijn geconfigureerd:
SNA versie 7.3.2 of 7.4.0
================================================================================================================================================================================================================================================================
Opmerking: Zorg ervoor dat de geconfigureerde poort een niet-gereserveerde poort is en niet 2055, 514 of 8514. Als de ingestelde waarde "0" is, wordt de optie uitgeschakeld.
N.B.: Als een veld niet wordt weergegeven, scrollen we naar de onderkant van de pagina. Klik op het veld Nieuwe optie toevoegen. Raadpleeg voor meer informatie over geavanceerde instellingen in de Flow Collector het online Help-onderwerp Geavanceerde instellingen.
SNA versie 7.4.1
================================================================================================================================================================================================================================================================
Opmerking: Zorg ervoor dat de geconfigureerde poort een niet-gereserveerde poort is en niet 2055, 514 of 8514.
N.B.: Als een veld niet wordt weergegeven, scrollen we naar de onderkant van de pagina. Klik op het veld Nieuwe optie toevoegen. Raadpleeg voor meer informatie over geavanceerde instellingen in de Flow Collector het online Help-onderwerp Geavanceerde instellingen.
4. Controleer, zodra de geavanceerde instellingen op de Flow Collector correct zijn geconfigureerd, of de telemetrie nu wordt opgenomen, met dezelfde procedure als in het gedeelte Controleer NVM Telemetry Ingest.
5. Als de configuratie van het eindpunt met AnyConnect NVM en de instellingen op de Flow Collector juist zijn, moet het sw.log-bestand het volgende weergeven:
ao-fc01-cds:~# grep 'NVM records this period:' /lancope/var/sw/today/logs/sw.log
04:35:00 I-pro-t: NVM records this period: received 78 at 0 rps, inserted 78 at 0 rps, discarded 0
04:40:00 I-pro-t: NVM records this period: received 66 at 0 rps, inserted 66 at 0 rps, discarded 0
04:45:00 I-pro-t: NVM records this period: received 91 at 0 rps, inserted 91 at 0 rps, discarded 0
04:50:00 I-pro-t: NVM records this period: received 80 at 0 rps, inserted 80 at 0 rps, discarded 0
6. Als de Flow Collector nog steeds geen NVM-gegevens inneemt, controleert u of de verzamelaar de pakketten op de interface ontvangt en in ieder geval of de configuratie van de eindpunten juist is.
U kunt AnyConnect NVM op twee manieren implementeren: a) wmet het AnyConnect-pakket of b)Met het Standalone NVM-pakket (alleen op AnyConnect-desktop).
De gewenste configuratie is hetzelfde voor beide implementaties, het verschil is aanwezig in de configuratie van Trusted Network Detectie.
Zoek het NVM Profile dat door het eindpunt wordt gebruikt en bevestig de Collector Configuration-instellingen.
NVM-profiel:
Opmerking: De naam van het NVM-profiel moet NVM_ServiceProfile zijn, anders worden er geen gegevens verzameld en verzonden door Network Visibility Module.
De inhoud van het NVM-profiel hangt af van uw configuratie, maar de elementen van het profiel die relevant zijn voor SNA worden vet weergegeven. Zorg ervoor dat de opmerkingen na het voorbeeld van het NVM-profiel worden bekeken:
2
10.1.0.250
2030
false
5
5
500
all
false
false
Opmerking: Zorg ervoor dat de geconfigureerde poort een niet-gereserveerde poort is en niet 2055, 514 of 8514. De geconfigureerde poort in dit profiel moet dezelfde zijn als de poort die in de Flow Collector is ingesteld.
Opmerking: Zorg ervoor dat als het NVM Profile het Secure XML-element heeft, het op vals is ingesteld, anders worden de stromen versleuteld met DTLS en kan de Flow Collector ze niet verwerken.
De Network Visibility Module stuurt alleen stroominformatie als deze op het vertrouwde netwerk is aanwezig. Standaard worden geen gegevens verzameld. Er worden alleen gegevens verzameld wanneer deze als zodanig in het profiel zijn geconfigureerd en de gegevens blijven verzameld worden wanneer het eindpunt is verbonden. Als de collectie op een onbetrouwbaar netwerk wordt gedaan, wordt het gecached en naar de verzamelaar gestuurd wanneer het eindpunt op een vertrouwd netwerk is. De Secure Network Analytics Flow Collector moet beschikken over een extra configuratie voor het verwerken van gecacheerde stromen (zie het configureren van de Flow Collector voor buiten het netwerk gecompileerde stromen voor de benodigde configuratie).
De vertrouwde netwerkstatus kan worden bepaald door de TND-functie van VPN (geconfigureerd in het VPN-profiel) of door de TND-configuratie in het NVM-profiel:
Opmerking: Dit is geen optie voor standalone NVM-implementaties.
1. Pak het VPN-profiel vast dat door het eindpunt wordt gebruikt en bevestig de geconfigureerde automatische VPN-beleidsinstellingen
VPN-profiellocatie:
In dit voorbeeld wordt het VPN-profiel ACSNAProfile genoemd.
2. Bewerk het profiel met een teksteditor en plaats het beleidselement Automatisch uitvoeren. Zorg ervoor dat het geconfigureerde beleid correct is voor het met succes detecteren van het Trusted Network. In dat geval:
...
true *.cisco.local
DoNothing Connect false
Opmerking: Voor NVM-relevantie: Als zowel het Trusted Network Policy als het Onvertrouwde netwerkbeleid zijn ingesteld op Niets doen, wordt de vertrouwde netwerkdetectie van het VPN-profiel uitgeschakeld.
Zoek het NVM profiel dat door het eindpunt wordt gebruikt en bevestig dat de geconfigureerde Trusted Server List instellingen correct zijn.
NVM-profiel:
...
10.64.0.32 443 C6EF32AAAAAAAAAA26C4BB6829AD2809B5175C9437A7D085A31FA60000000000
</NVMProfile>
Opmerking: Een SSL sonde wordt naar het gevormde vertrouwde head-end verzonden, dat met een certificaat reageert indien bereikbaar. De thumbprint (SHA-256 shash) wordt dan geëxtraheerd en afgesloten tegen de hash die in de profieleditor is ingesteld. Een succesvolle match betekent dat het eindpunt in een betrouwbaar netwerk ligt. als het head-end echter onbereikbaar is of als de certificaathash niet overeenkomt, wordt het eindpunt geacht in een onbetrouwbaar netwerk te liggen.
Opmerking: Trusted servers achter proxy's worden niet ondersteund.
U kunt een pakketvastlegging op de netwerkadapter van Endpoint verzamelen om te controleren of de stromen naar de Flow Collector worden verzonden.
a. Als het Endpoint op een Trusted Network is aangesloten maar NIET op VPN is aangesloten, moet de opname op de fysieke netwerkadapter zijn ingeschakeld.
In dit geval geeft de AnyConnect-client aan dat het eindpunt op een betrouwbaar netwerk is gelegen, wat betekent dat de stromen naar de geconfigureerde Flow Collector via de geconfigureerde poort worden verzonden door de Physical Network Adapter van het eindpunt, zoals we in het AnyConnect-venster en het venster Wireshark hierna kunnen zien.
b. Als het Endpoint is verbonden met AnyConnect VPN wordt het automatisch geacht op het Trusted Network te zijn geïnstalleerd en moet de opname daarom op de Virtual Network Adapter zijn ingeschakeld.
Opmerking: Als de VPN-module is geïnstalleerd en TND is geconfigureerd in het profiel van Netwerkzichtbaarheidsmodule, dan voert de netwerkzichtbaarheidsmodule een betrouwbare netwerkdetectie uit, zelfs in het VPN-netwerk.
De AnyConnect-client geeft aan dat het eindpunt met VPN is verbonden, wat betekent dat de stromen naar de geconfigureerde Flow Collector via de geconfigureerde poort worden verzonden door de Virtual Network Adapter of the Endpoint (VPN-tunnelheid), zoals we in het AnyConnect-venster en het Wireshark-venster hieronder kunnen zien.
Opmerking: De configuratie van de Split-tunnelconfiguratie van het VPN-profiel dat het Endpoint is verbonden met inbegrip van het IP-adres van de Flow Collector, anders worden de stromen niet over de VPN-tunnel verzonden.
c. Als het Endpoint niet op een betrouwbaar netwerk is, worden er geen stromen naar de Flow Collector verzonden.
Er zijn momenteel twee bekende defecten die van invloed kunnen zijn op het ingeslikte NVM-telemetrie-proces bij Secure Network Analytics:
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
22-Jun-2022 |
Eerste vrijgave |