Capteur d'analyse cloud sécurisé CISCO

Introduction

Cisco Secure Cloud Analytics (désormais intégré à Cisco XDR) est un service de sécurité SaaS qui détecte les menaces et y répond dans les environnements informatiques, sur site et dans le cloud. Ce guide explique comment déployer les capteurs Secure Cloud Analytics dans le cadre de votre service de surveillance de réseau privé, pour une utilisation dans les réseaux d'entreprise, les centres de données privés, les succursales et autres environnements sur site.

• Si vous prévoyez d'utiliser Secure Cloud Analytics uniquement dans des environnements de cloud public, tels qu'Amazon Web Pour utiliser les services Microsoft Azure ou Google Cloud Platform, vous n'avez pas besoin d'installer de capteur. Consultez les guides de surveillance du cloud public pour plus d'informations.
• Ce guide fournit les instructions d'installation du capteur sous Ubuntu Linux. Pour les instructions d'installation sur d'autres systèmes d'exploitation, veuillez consulter le Guide de configuration avancée du capteur Secure Cloud Analytics.

Considérations relatives au déploiement des capteurs

• Vous pouvez déployer des capteurs pour collecter des données de flux, comme NetFlow, ou pour ingérer le trafic réseau dupliqué depuis un routeur ou un commutateur de votre réseau. Vous pouvez également configurer un capteur pour collecter à la fois des données de flux et ingérer le trafic réseau dupliqué. Le nombre de capteurs déployables est illimité.
• Si vous souhaitez configurer un capteur pour collecter des données de débit, consultez la section « Configuration d'un capteur pour collecter des données de débit » pour plus d'informations.
• Si vous souhaitez configurer un capteur pour qu'il ingère le trafic provenant d'un port miroir ou SPAN, consultez la section Configuration des périphériques réseau pour plus d'informations sur la configuration de vos périphériques réseau pour la mise en miroir du trafic.
• Les capteurs de version 4.0 ou supérieure peuvent collecter des données de télémétrie NetFlow améliorées. Cela permet à Secure Cloud Analytics de générer de nouveaux types d'observations et d'alertes. Pour plus d'informations, consultez le Guide de configuration de Secure Cloud Analytics pour NetFlow amélioré.
• Le capteur ne prend pas en charge IPv6.

Prérequis du capteur

Vous pouvez installer un capteur sur un appareil physique ou une machine virtuelle, sous réserve des exigences suivantes :

Composant	Exigences minimales
Interface réseau	Au moins une interface réseau, désignée comme interface de contrôle, est nécessaire pour transmettre les informations au service Secure Cloud Analytics. En option, si vous souhaitez configurer le capteur pour qu'il ingère le trafic réseau provenant d'un périphérique réseau le répliquant sur un port miroir, vous aurez besoin d'une ou plusieurs interfaces réseau désignées comme interfaces miroir.
BÉLIER	4 Go
Processeur	au moins deux cœurs
Espace de stockage	60 Go d'espace disque sont utilisés pour mettre en cache les données NetFlow de production avant d'envoyer les enregistrements à Secure Cloud Analytics.
Accès Internet	nécessaire pour télécharger les paquets nécessaires au processus d'installation

Veuillez noter ce qui suit concernant les interfaces Mirror désignées :

• Les interfaces miroir reçoivent une copie de tout le trafic source entrant et sortant vers la destination. Assurez-vous que votre trafic de pointe est inférieur à la capacité de la liaison de l'interface miroir du capteur.
• De nombreux commutateurs abandonnent les paquets provenant des interfaces sources si le port miroir de destination est configuré avec un trafic trop important.

Exigences supplémentaires relatives aux appareils physiques

Composant	Exigences minimales
Installation File Télécharger	Veuillez utiliser l'un des fichiers suivants pour télécharger l'image ISO d'installation. file: 1 port USB, plus une clé USB 1 lecteur de disque optique, plus un disque optique inscriptible (tel qu'un disque CD-R)

Les machines virtuelles peuvent démarrer directement sur l'image ISO. file sans exigences supplémentaires.

Exigences supplémentaires pour les machines virtuelles
Si votre capteur est déployé en tant que machine virtuelle, assurez-vous que l'hôte virtuel et le réseau sont configurés en mode promiscuité sur la deuxième interface réseau si vous prévoyez d'ingérer du trafic provenant d'un port miroir ou SPAN.

• Lors du déploiement du capteur dans un environnement VMware 8, celui-ci ne se chargera pas avec les paramètres de démarrage UEFI par défaut. Pour résoudre ce problème, à l'étape « Personnaliser le matériel », sélectionnez « Options de la machine virtuelle » > « Options de démarrage », puis choisissez « BIOS » dans la liste déroulante « Micrologiciel ».

Hyperviseur VMware
Si vous exécutez la machine virtuelle sur un hyperviseur VMware, configurez le commutateur virtuel en mode promiscuité :

1. Sélectionnez l'hôte dans l'inventaire.
2. Sélectionnez l'onglet Configuration.
3. Cliquez sur Réseautage.
4. Cliquez sur Propriétés pour votre commutateur virtuel.
5. Sélectionnez le commutateur virtuel et cliquez sur Modifier.
6. Sélectionnez l’onglet Sécurité.
7. Sélectionnez Accepter dans le menu déroulant Mode promiscuité.

Consultez la base de connaissances VMware pour plus d'informations sur le mode promiscuité. Vous devrez peut-être définir l'ID du VLAN sur 4095.

VirtualBox
Si vous exécutez la machine virtuelle dans VirtualBox, configurez la carte réseau en mode promiscuité :

1.  Sélectionnez l'adaptateur pour l'interface Mirror dans les paramètres réseau.
2.  Activez le mode promiscuité dans les options avancées.

Consultez la documentation VirtualBox sur la mise en réseau virtuelle pour plus d'informations.

Suggestions de déploiement des capteurs
Étant donné que les topologies de réseau peuvent varier considérablement, gardez à l'esprit les directives générales suivantes lors du déploiement de vos capteurs :

1.  Déterminez si vous souhaitez déployer des capteurs pour :
   • collecter les données de débit
   • ingérer le trafic réseau mis en miroir
   • Certaines collectent des données de flux, tandis que d'autres ingèrent du trafic réseau mis en miroir.
   • Les deux collectent des données de flux et ingèrent le trafic réseau mis en miroir
2.  Si vous collectez des données de flux, déterminez les formats que vos périphériques réseau peuvent exporter, tels que NetFlow v5, NetFlow v9, IPFIX ou sFlow.
   De nombreux pare-feu prennent en charge NetFlow, notamment les pare-feu Cisco ASA et les appliances Cisco Meraki MX. Consultez la documentation d'assistance du fabricant pour déterminer si votre pare-feu prend également en charge NetFlow.
3. Vérifiez que le port réseau du capteur peut supporter la capacité des ports Mirror.
   Contactez l'assistance Cisco si vous avez besoin d'aide pour déployer plusieurs capteurs sur votre réseau.

Vérification de la version de votre capteur
Pour vous assurer que le capteur déployé sur votre réseau est bien la version 5.1.3, vous pouvez vérifier sa version en ligne de commande. Si une mise à jour est nécessaire, réinstallez le capteur.

1.  Se connecter en SSH au capteur déployé.
2. À l'invite, saisissez `cat /opt/obsrvbl-ona/version` et appuyez sur Entrée. Si la console n'affiche pas 5.1.3, votre capteur est obsolète. Téléchargez l'ISO du capteur le plus récent depuis le site web de l'administrateur. web Interface utilisateur du portail.

Exigences d'accès aux capteurs
L'appareil physique ou la machine virtuelle doit pouvoir accéder à certains services via Internet. Configurez votre pare-feu pour autoriser le trafic suivant entre un capteur et Internet :

Type de trafic	Requis	Adresse IP, domaine et port, ou configuration
Trafic HTTPS sortant depuis	Oui	Le port est le 443 et l'adresse IP est

L'interface de contrôle du capteur se connecte au service Secure Cloud Analytics hébergé sur Amazon. Web Services		votre adresse IP de portail Adresses IP AWS S3 pour votre région Secure Cloud Analytics. Les adresses IP AWS étant susceptibles de changer, veuillez consulter la documentation AWS. Consultez la rubrique d'aide relative aux plages d'adresses IP et recherchez le service S3 et votre région AWS dans le JSON fourni. filePour trouver votre région AWS, accédez à votre tableau de bord Secure Cloud Analytics et faites défiler la page jusqu'en bas. Un champ du pied de page affiche le nom de la région de votre portail, qui correspond aux régions AWS suivantes : Amérique du Nord (Virginie du Nord) : us-east-1 Europe (Francfort) : eu-central-1 Australie (Sydney) : ap- sud-est-2
		1. Connectez-vous au capteur via SSH en tant qu'administrateur.
		2. Dans l'invite de commandes, saisissez la commande suivante :
Configurez le capteur pour qu'il ne communique qu'avec des adresses Cisco connues.	Non	sudo nano opt/obsrvbl-ona/config.local et appuyez sur Entrer pour modifier la configuration file 3. Mettez à jour le paramètre OBSRVBL_SENSOR_EXT_ONLY comme suit : OBSRVBL_SENSOR_EXT_ONLY=true.
		4. Appuyez sur Ctrl + 0 pour enregistrer les modifications.

		5. Appuyez sur Ctrl + x pour quitter. 6. À l'invite de commande, entrez sudo service obsrvbl-ona restart pour redémarrer le capteur.
Trafic sortant de l'interface de contrôle du capteur vers le serveur Ubuntu Linux pour le téléchargement du système d'exploitation Linux et des mises à jour associées	Oui	us.archive.ubuntu.com:443/TCP us.archive.ubuntu.com:80/TCP
Trafic sortant de l'interface de contrôle du capteur vers un serveur DNS pour la résolution du nom d'hôte	Oui	[serveur DNS local]:53/UDP
Trafic entrant provenant d'un appareil de dépannage à distance vers votre capteur	Non	54.83.42.41:22/TCP

Si vous utilisez un service proxy, créez une exception de proxy pour les adresses IP de l'interface de contrôle du capteur.

Configuration des périphériques réseau
Vous pouvez configurer votre commutateur réseau ou votre routeur pour qu'il duplique le trafic, puis le transmette au capteur.

• Comme le capteur est situé en dehors du flux de circulation normal, il ne peut pas influencer directement votre trafic. Les modifications de configuration que vous effectuez dans le web L'interface utilisateur du portail influence la génération des alertes, mais pas le flux de trafic. Si vous souhaitez autoriser ou bloquer le trafic en fonction des alertes, modifiez les paramètres de votre pare-feu.
• Consultez les informations suivantes sur les fabricants de commutateurs réseau et les ressources permettant de configurer le trafic mis en miroir :

Fabricant	Nom de l'appareil	Documentation
NetOptics	robinet réseau	Consultez la page de ressources d'Ixia pour obtenir de la documentation et d'autres informations.
Gigamon	robinet réseau	Consultez les pages de ressources et de connaissances de Gigamon pour obtenir de la documentation et d'autres informations.

	Analyseur (SPAN)
Genévrier	miroir de port	Consultez la documentation TechLibrary de Juniper pour un exemple.ample de configuration de la duplication de ports pour la surveillance locale de l'utilisation des ressources des employés sur les commutateurs de la série EX
NETGEAR	miroir de port	Consultez la documentation de la base de connaissances de Netgear pour un exemple.ampLe principe de la mise en miroir des ports et son fonctionnement avec un commutateur géré
ZyXEL	miroir de port	Consultez la documentation de la base de connaissances de ZyXEL pour obtenir des informations sur l'utilisation de la mise en miroir sur les commutateurs ZyXEL.
autre	port de surveillance, port d'analyse, port de prélèvement	Consultez la documentation wiki de Wireshark pour obtenir une référence des commutateurs de plusieurs fabricants.

Vous pouvez également déployer un point d'accès réseau de test (TAP) pour transmettre une copie du trafic au capteur. Consultez les informations suivantes concernant les fabricants de TAP et les ressources nécessaires à leur configuration.

Fabricant	Nom de l'appareil	Documentation
NetOptics	robinet réseau	Consultez la page de ressources d'Ixia pour obtenir de la documentation et d'autres informations.
Gigamon	robinet réseau	Consultez les pages de ressources et de connaissances de Gigamon pour obtenir de la documentation et d'autres informations.

Configuration du flux
Vous devez configurer votre périphérique réseau pour transmettre les données NetFlow. Voir https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco Pour plus d'informations sur la configuration de NetFlow sur les périphériques réseau Cisco, consultez le fichier NetFlow_Configuration.pdf.

Installation et configuration des supports de capteurs

Avant de commencer l'installation, review les instructions pour comprendre le processus ainsi que la préparation, le temps et les ressources nécessaires à l'installation et à la configuration.
Deux options d'installation sont possibles :

• Installation du capteur sur une machine virtuelle : Si vous installez un capteur sur une machine virtuelle, vous pouvez démarrer à partir de l’image ISO. file directement.
•  Installation du capteur sur un appareil physique : Si vous installez un capteur sur un appareil physique, vous créerez un support de démarrage à l’aide du fichier .iso file, puis redémarrez l'appareil et démarrez à partir de ce support.

Avant d'installer le capteur, le processus efface le disque sur lequel il sera installé. Avant de commencer l'installation, assurez-vous que le périphérique physique ou la machine virtuelle sur lequel vous prévoyez d'installer le capteur ne contient aucune donnée que vous souhaitez conserver.

Création du support de démarrage

• Si vous déployez un capteur sur un appareil physique, vous déployez un fichier .iso file qui installe le capteur, sous Ubuntu Linux.
• Si vous écrivez le fichier .iso file Sur un disque optique, tel qu'un CD ou un DVD, vous pouvez redémarrer l'appareil physique en insérant le disque optique dans un lecteur de disque optique et choisir de démarrer à partir de ce disque.
• Si vous créez une clé USB avec le fichier .iso file et grâce à l'utilitaire Rufus, vous pouvez redémarrer l'appareil physique, insérer la clé USB dans un port USB et choisir de démarrer à partir de la clé USB.
• Si vous déployez un capteur sans utiliser d'ISO, vous devrez peut-être modifier les paramètres du pare-feu de l'appliance locale pour autoriser le trafic. Nous vous recommandons vivement de déployer le capteur à l'aide de l'ISO fournie.
• La création d'une clé USB bootable efface toutes les données qu'elle contient. Assurez-vous qu'elle ne contient aucune autre information.

Télécharger l'ISO du capteur file
Téléchargez la dernière version de l'ISO du capteur depuis le web portail. Utilisez-le pour installer (pour un nouveau capteur) ou réinstaller (pour mettre à niveau un capteur existant).

1.  Connectez-vous à Secure Cloud Analytics en tant qu'administrateur.
2.  Sélectionnez Aide (?) > Installation du capteur sur site.
3.  Cliquez sur le bouton .iso pour télécharger la dernière version ISO.
4. Accédez à la section Créer un disque optique amorçable ou Créer une clé USB amorçable.

Créer un disque optique amorçable
Suivez les instructions du fabricant pour copier le fichier .iso file sur un disque optique.

Créer une clé USB bootable

1. Insérez une clé USB vierge dans un port USB de l'appareil que vous souhaitez utiliser pour créer la clé USB amorçable.
2.  Connectez-vous au poste de travail.
3. Dans votre web Dans votre navigateur, accédez à l'utilitaire Rufus. website.
4.  Téléchargez la dernière version de l'utilitaire Rufus.
5. Ouvrez l'utilitaire Rufus.
6.  Sélectionnez la clé USB dans le menu déroulant Périphérique.
7. Sélectionnez « Disque ou image ISO » dans le menu déroulant de sélection de démarrage.
8. Cliquez sur SÉLECTIONNER et sélectionnez l'ISO du capteur file.
9. Cliquez sur DÉMARRER.

La création d'une clé USB bootable efface toutes les données qu'elle contient. Assurez-vous qu'elle ne contient aucune autre information.

Installation du capteur

1.  Choisissez la méthode de démarrage pour le fichier .iso comme suit :
   • Machine virtuelle : Si vous installez sur une machine virtuelle, démarrez à partir du fichier .iso file.
   • Appareil physique : Si vous effectuez l’installation sur un appareil physique, insérez le support de démarrage, redémarrez l’appareil et démarrez à partir du support de démarrage.
2. Sélectionnez Installer ONA (IP statique) à l'invite initiale, puis appuyez sur Entrée.
3. Sélectionnez une langue dans la liste des langues à l'aide des touches fléchées, puis appuyez sur Entrée.
4. Pour la configuration du clavier, vous avez les options suivantes :
   • Sélectionnez une disposition et une variante pour configurer le clavier, puis appuyez sur Entrée.
   • Sélectionnez « Identifier le clavier », puis appuyez sur Entrée.
5. Pour la configuration réseau, sélectionnez Manuel et appuyez sur Entrée. Toutes les autres interfaces réseau sont automatiquement configurées comme interfaces miroir.
6.  Saisissez un sous-réseau pour l'appliance, sélectionnez Continuer à l'aide des touches fléchées, puis appuyez sur Entrée.
7.  Saisissez l'adresse IP de l'appareil, sélectionnez Continuer à l'aide des touches fléchées, puis appuyez sur Entrée.
8. Saisissez l'adresse IP du routeur Gateway, sélectionnez Continuer à l'aide des touches fléchées, puis appuyez sur Entrée.
9.  (Facultatif) Pour les domaines de recherche, entrez le ou les domaines qui seront automatiquement ajoutés au nom d'hôte lors de la tentative de résolution en une adresse IP, sélectionnez Continuer avec les touches fléchées et appuyez sur Entrée.
   Par défaut, l'installation utilisera automatiquement le DHCP et se poursuivra. Pour modifier l'adresse IP attribuée par le DHCP, vous devrez configurer manuellement l'interface une fois l'installation terminée.
   Nous vous recommandons de saisir l'adresse d'un serveur de noms local faisant autorité si vous en avez un déployé sur votre réseau.
10. Saisissez le nom complet du nouvel utilisateur, associé à un compte non racine disposant des autorisations d'administration, puis sélectionnez Continuer à l'aide des touches fléchées et appuyez sur Entrée.
11.  Saisissez le nom de votre serveur, qui est le nom que le capteur utilisera lors de la communication avec d'autres ordinateurs et qui sera visible dans le portail Secure Cloud Analytics, puis sélectionnez Continuer avec les touches fléchées et appuyez sur Entrée.
12.  Saisissez le nom d'utilisateur de votre compte, c'est-à-dire le compte non racine disposant des autorisations d'administrateur, puis sélectionnez Continuer à l'aide des touches fléchées et appuyez sur Entrée.
13.  Choisissez un mot de passe pour le nouvel utilisateur, puis sélectionnez Continuer à l'aide des touches fléchées et appuyez sur Entrée.
14. Saisissez à nouveau votre mot de passe pour le confirmer, puis sélectionnez Continuer à l'aide des flèches directionnelles et appuyez sur Entrée. Si vous n'avez pas saisi deux fois le même mot de passe, réessayez.
    Le compte que vous créez lors de l'installation est le seul compte que vous pouvez utiliser pour accéder à la machine virtuelle. Cette installation ne crée pas de compte distinct pour le portail Secure Cloud Analytics.
15. Pour confirmer le processus d'installation, sélectionnez Continuer, puis appuyez sur Entrée.
    Cette action efface toutes les données du disque. Assurez-vous qu'il est vide avant de continuer.Veuillez patienter quelques minutes le temps que le programme d'installation installe les éléments requis. files.
16. Lorsque le programme d'installation affiche « Installation terminée », sélectionnez « Redémarrer maintenant » à l'aide des touches fléchées, puis appuyez sur Entrée pour redémarrer l'appareil.
17. Une fois l'appareil redémarré, connectez-vous avec le compte créé pour vérifier que vos identifiants sont corrects.

Que faire ensuite

• Si vous limitez l'accès à vos environnements privés, assurez-vous que la communication avec les adresses IP concernées est autorisée. Consultez la section « Exigences d'accès aux capteurs » pour plus d'informations.
• Si vous utilisez le capteur pour collecter le trafic réseau, tel que NetFlow, consultez la section Configuration d'un capteur pour la collecte de données de flux pour plus d'informations sur la configuration du capteur.
•  Si vous utilisez le capteur et le connectez à des ports SPAN ou miroirs pour collecter le trafic dupliqué, consultez la section Connexion des capteurs au Web Portail pour plus d'informations sur l'ajout de capteurs dans Secure Cloud Analytics web portail.
•  Si vous configurez le capteur pour transmettre la télémétrie Enhanced NetFlow, consultez le Guide de configuration de Cisco Secure Cloud Analytics pour Enhanced NetFlow pour plus d'informations.

Fixation des capteurs à Web Portail

• Une fois le capteur installé, il devra être connecté à votre portail. Pour ce faire, identifiez l'adresse IP publique du capteur et saisissez-la dans le champ prévu à cet effet. web Si vous ne parvenez pas à déterminer l'adresse IP publique du capteur, vous pouvez le connecter manuellement à votre portail à l'aide de sa clé de service unique.

Le capteur peut se connecter aux portails suivants :

• https://sensor.ext.obsrvbl.com (NOUS)
• https://sensor.ext.eu-prod.obsrvbl.com (UE)
• https://sensor.ext.anz-prod.obsrvbl.com (Australie)

Si plusieurs capteurs sont stagSi les comptes sont hébergés dans un emplacement central, tel qu'un fournisseur de services de sécurité gérés (MSSP), et qu'ils sont destinés à différents clients, l'adresse IP publique doit être supprimée après la configuration de chaque nouveau client. Si une adresse IP publique du compte est utilisée, l'adresse IP publique du compte est supprimée.tagDans un environnement où plusieurs capteurs sont utilisés, un capteur pourrait être fixé incorrectement au mauvais portail.
Si vous utilisez un serveur proxy, suivez les étapes décrites dans la section « Configuration du proxy » pour activer la communication entre le capteur et Secure Cloud Analytics. web portail.

Trouver et ajouter l'adresse IP publique d'un capteur à un portail

1. Connectez-vous au capteur via SSH en tant qu'administrateur.
2. À l'invite de commandes, saisissez curl https://sensor.ext.obsrvbl.comandpressEnterLa valeur d'erreur « identité inconnue » signifie que le capteur n'est associé à aucun portail. Voir l'image suivante pour un exemple.ample.Votre hébergeur de services URL Cela peut varier selon votre emplacement. Dans votre portail Secure Cloud Analytics, accédez à Paramètres > Capteurs et faites défiler la page jusqu'en bas pour trouver votre hôte de service. url.
3.  Copiez l'adresse IP d'identité.
4.  Déconnectez-vous du capteur.
5.  Connectez-vous à Secure Cloud Analytics en tant qu'administrateur du site.
6.  Sélectionnez Paramètres > Capteurs > Adresse IP publique.
7. Cliquez sur Ajouter une nouvelle adresse IP.
8. Saisissez l'adresse IP d'identification dans le champ Nouvelle adresse. Cliquez sur Créer. Une fois que le portail et le capteur auront échangé leurs clés, ils établiront la connexion future.
9. Cliquez sur Créer. Une fois que le portail et le capteur auront échangé leurs clés, ils établiront les connexions ultérieures à l'aide de ces clés, et non de l'adresse IP publique.
   Il peut s'écouler jusqu'à 20 minutes avant qu'un nouveau capteur ne soit pris en compte dans le portail.

Ajouter manuellement la clé de service d'un portail à un capteur
Si vous ne pouvez pas ajouter l'adresse IP publique d'un capteur à la web portail, ou vous êtes un
MSSP gérant plusieurs web portails, modifier la configuration locale d'un capteur file ajouter manuellement la clé de service d'un portail pour associer le capteur au portail.
Cet échange de clés s'effectue automatiquement lors de l'utilisation de l'adresse IP publique mentionnée dans la section précédente.

1. Connectez-vous à Secure Cloud Analytics en tant qu'administrateur.
2.  Sélectionnez Paramètres > Capteurs.
3.  Accédez à la fin de la liste des capteurs et copiez la clé de service. Voir l'image suivante pour un exemple.ample.
   Clé de service : (afficher) Hôte du service :
4. Connectez-vous au capteur via SSH en tant qu'administrateur.
5. À l'invite de commandes, saisissez la commande suivante : sudo nano /opt/obsrvbl-ona/config.local et appuyez sur Entrée pour modifier la configuration. file.
6. Ajoutez les lignes suivantes en remplaçant avec la clé de service du portail eturl>avec votre hôte de service régional url: # Clé de service
   OBSRVBL_SERVICE_KEY=" ” OBSRVBL_HOST=”url>”
   Dans votre portail Secure Cloud Analytics, accédez à Paramètres > Capteurs et faites défiler la page jusqu'en bas pour trouver votre hôte de service. url.
   Voir l'image suivante pour un exempleample:
7. Appuyez sur Ctrl + 0 pour enregistrer les modifications.
8.  Appuyez sur Ctrl + x pour quitter.
9.  À l'invite de commandes, saisissez sudo service obsrvbl-ona restart pour redémarrer le service Secure Cloud Analytics.

Il peut s'écouler jusqu'à 20 minutes avant qu'un nouveau capteur ne soit pris en compte dans le portail.

Configuration du proxy
Si vous utilisez un serveur proxy, suivez les étapes suivantes pour activer la communication entre le capteur et le web portail.

1.  Connectez-vous au capteur via SSH en tant qu'administrateur.
2.  À l'invite de commandes, saisissez la commande suivante : `sudo nano /opt/obsrvbl-ona/config.local` et appuyez sur Entrée pour modifier la configuration. file.
3.  Ajoutez la ligne suivante, en remplaçant proxy.nom.com par le nom d'hôte ou l'adresse IP de votre serveur proxy et Port par le numéro de port de votre serveur proxy : HTTPS_PROXY="proxy.name.com:Port.”
4. Appuyez sur Ctrl + 0 pour enregistrer les modifications.
5.  Appuyez sur Ctrl + x pour quitter.
6. À l'invite de commandes, saisissez sudo service obsrvbl-ona restart pour redémarrer le service Secure Cloud Analytics.

Il peut s'écouler jusqu'à 20 minutes avant qu'un nouveau capteur ne soit pris en compte dans le portail.

Confirmation de la connexion du portail d'un capteur
Une fois le capteur ajouté au portail, confirmez la connexion dans Secure Cloud Analytics.

Si vous avez connecté manuellement un capteur au web portail en mettant à jour le fichier config.local
configuration file en utilisant une clé de service, en utilisant le curlLa commande de confirmation de connexion du capteur peut ne pas renvoyer de résultat. web Nom du portail.

1. Connectez-vous à Secure Cloud Analytics.
2. Sélectionnez Paramètres > Capteurs. Le capteur apparaît dans la liste.

Si vous ne voyez pas le capteur sur la page Capteurs, connectez-vous au capteur pour confirmer la connexion.

1. Connectez-vous au capteur via SSH en tant qu'administrateur.
2. À l'invite de commandes, saisissez curl https://sensor.ext.obsrvbl.comandpressEnter. Le capteur renvoie le nom du portail. Voir l'image suivante pour un exemple.ample.Votre hébergeur de services url Cela peut varier selon votre emplacement. Dans votre portail Secure Cloud Analytics, accédez à Paramètres > Capteurs et faites défiler la page jusqu'en bas pour trouver votre hôte de service. url.
3. Déconnectez-vous du capteur.

Configuration d'un capteur pour la collecte de données de débit

• Par défaut, un capteur crée des enregistrements de flux à partir du trafic sur ses interfaces Ethernet. Cette configuration par défaut suppose que le capteur est connecté à un port Ethernet SPAN ou miroir. Si d'autres périphériques de votre réseau peuvent générer des enregistrements de flux, vous pouvez configurer le capteur dans les paramètres. web Interface utilisateur du portail permettant de collecter les enregistrements de flux provenant de ces sources et de les envoyer vers le cloud.
• Si les périphériques réseau génèrent différents types de flux, il est recommandé de configurer le capteur pour qu'il collecte chaque type sur un port UDP différent. Cela facilite également le dépannage.
  C'est plus simple. Par défaut, le pare-feu local (iptables) ouvre les ports UDP 2055, 4739 et 9995. Si vous souhaitez utiliser d'autres ports UDP, vous devez les configurer dans…
  le web portail.

Vous pouvez configurer une collection des types de flux suivants dans le web Interface utilisateur du portail :

• NetFlow v5 – Port 2055/UDP (ouvert par défaut)
• NetFlow v9 – Port 9995/UDP (ouvert par défaut)
• IPFIX – Port 4739/UDP (ouvert par défaut)
•  sFlow – Port 6343/UDP

Nous avons indiqué les ports par défaut, mais vous pouvez les configurer selon vos préférences dans le web Interface utilisateur du portail.

Certains périphériques réseau doivent être sélectionnés dans le web L'interface utilisateur du portail ne fonctionnera correctement qu'après cela :

• Cisco Meraki – Port 9998/UDP
• Cisco ASA – Port 9997/UDP
• SonicWALL – Port 9999/UDP

La version 14.50 du firmware Meraki aligne le format d'exportation des journaux Meraki sur le format NetFlow. Si votre appareil Meraki exécute la version 14.50 ou une version ultérieure, configurez votre capteur avec un type de sonde NetFlow v9 et une source Standard. Si votre appareil Meraki exécute une version antérieure à la version 14.50, configurez votre capteur avec un type de sonde NetFlow v9 et une source Meraki MX (version inférieure à 14.50).

Configuration des capteurs pour la collecte des flux

1. Connectez-vous à Secure Cloud Analytics en tant qu'administrateur.
2. Sélectionnez Paramètres > Capteurs.
3. Cliquez sur le menu déroulant Paramètres du capteur que vous avez ajouté.
4. Choisissez de configurer NetFlow/IPFIX.
   Cette option nécessite une version récente du capteur. Si vous ne voyez pas cette option, sélectionnez Aide (?) > Installation du capteur local pour télécharger une version récente de l'ISO du capteur.
5. Cliquez sur Ajouter une nouvelle sonde.
6.  Choisissez un type de flux dans le menu déroulant Type de sonde.
7.  Entrez un numéro de port.
   Si vous souhaitez transmettre Enhanced NetFlow à votre capteur, assurez-vous que le port UDP configuré n'est pas déjà configuré pour Flexible NetFlow ou IPFIX dans la configuration de votre capteur. Par exemple :ampConfigurez le port 2055/UDP pour Enhanced NetFlow et le port 9995/UDP pour Flexible NetFlow. Consultez le guide de configuration d'Enhanced NetFlow pour plus d'informations.
8. Choisissez un protocole dans le menu déroulant.
9.  Choisissez une source dans le menu déroulant.
10.  Cliquez sur Enregistrer.

La mise à jour de la configuration des capteurs peut prendre jusqu'à 30 minutes pour être prise en compte sur le portail.

Dépannage

Capture de paquets provenant du capteur
Il peut arriver que le support Cisco ait besoin de vérifier les données de flux reçues par le capteur. Nous vous recommandons de procéder en générant une capture de paquets. Vous pouvez également ouvrir cette capture dans Wireshark pour l'analyser.view les données.

1.  Connectez-vous au capteur via SSH en tant qu'administrateur.
2.  À l'invite, saisissez sudo tcpdump -D et appuyez sur Entrée pour view Liste des interfaces. Notez le nom de l'interface de contrôle de votre capteur.
3. À l'invite, saisissez sudo tcpdump -i -n -c 100 « port » -w , remplacer avec le nom de votre interface de contrôle, avec le numéro de port correspondant à vos données de flux configurées, et avec un nom pour le fichier pcap généré fileAppuyez ensuite sur Entrée. Le système génère un fichier pcap. file avec le nom spécifié pour le trafic de cette interface, sur le port spécifié.
4. Déconnectez-vous de votre capteur.
5. Utilisez un programme SFTP, tel que PuTTY SFTP (PSFTP) ou WinSCP, pour vous connecter au capteur.
6. À l'invite, saisissez get , remplacer avec votre fichier pcap généré file nom, puis appuyez sur Entrée pour transférer le file vers votre poste de travail local.

Analyser la capture de paquets dans Wireshark

1. Téléchargez et installez Wireshark, puis ouvrez Wireshark.
2. Sélectionner File Ouvrez le fichier, puis sélectionnez votre fichier pcap. file.
3. Sélectionnez Analyser > Décoder comme.
4. Cliquez sur + pour ajouter une nouvelle règle.
5. Sélectionnez CFLOW dans le menu déroulant Actuel, puis cliquez sur OK. L'interface utilisateur s'actualise pour n'afficher que les paquets liés à NetFlow, IPFIX ou sFlow. Si aucun résultat n'apparaît, le fichier pcap ne contient pas de paquets NetFlow et la collecte des données de flux est mal configurée sur le capteur.

Ressources supplémentaires

Pour plus d'informations sur Secure Cloud Analytics, veuillez consulter les ressources suivantes :

• https://www.cisco.com/c/en/us/products/security/stealthwatch-cloud/index.html pour un général au-dessusview
• https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/tsd-products-support-series-home.html ressources documentaires
• https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/products-installation-guides-list.html pour les guides d'installation et de configuration, y compris le Guide de déploiement initial de Secure Cloud Analytics

Contacter le support
Si vous avez besoin d'une assistance technique, veuillez effectuer l'une des opérations suivantes :

•  Contactez votre partenaire Cisco local
• Contacter l'assistance Cisco
• Pour ouvrir un dossier en web: http://www.cisco.com/c/en/us/support/index.html
• Pour ouvrir un dossier par e-mail : tac@cisco.com
•  Pour l'assistance téléphonique : 1-800-553-2447 (NOUS)
• Pour les numéros d'assistance dans le monde entier : https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Historique des changements

Version du document	Date de publication	Description
1_0	Avril 27,2022	Version initiale
1_1	1,2022er août	Mise à jour des informations de support Cisco.  Note ajoutée pour les adresses IP publiques.
1_2	17 février 2023	Ajout d'une section de configuration du proxy.  Paramètres du capteur Meraki mis à jour.
1_3	Juin 21,2023	Correction d'une faute de frappe. Numérotation mise à jour des procédures.
1_4	8 avril 2024	Mise à jour de l'introduction dans le Média de capteur Installation et Configuration section. Modifications mineures de mise en forme.
1_5	30 octobre 2024	Mise à jour du Exigences d'accès aux capteurs section.
2_0	4 décembre 2024	Version du capteur mise à jour, a installé un capteur section, Trouver et ajouter l'adresse IP publique d'un capteur à un portail section, et Prérequis du capteur section.
2_1	21 avril 2025	Ajout d'une note concernant l'option de démarrage VMware Exigences supplémentaires pour les machines virtuelles section. Mise à jour du Ajouter manuellement la clé de service d'un portail à un Capteur section à inclure dans les informations de configuration OBSRVBL_HOST.
2_2	17 octobre 2025	Suppression de la limitation à l'Amérique du Nord qui imposait au capteur de ne communiquer qu'avec des adresses Cisco connues.

Informations sur le droit d'auteur

• Cisco et le logo Cisco sont des marques commerciales ou des marques déposées de Cisco et/ou de ses filiales aux États-Unis et dans d'autres pays. view une liste des marques déposées de Cisco, allez ici URL: https://www.cisco.com/go/trademarks. Les marques commerciales de tiers mentionnées sont la propriété de leurs propriétaires respectifs. L'utilisation du mot partenaire n'implique pas de relation de partenariat entre Cisco et une autre société. (1721R)
• © 2025 Cisco Systems, Inc. et/ou ses filiales. Tous droits réservés.

FAQ

Le capteur peut-il collecter le trafic IPv6 ?

Non, le capteur ne prend pas en charge le trafic IPv6.

Documents / Ressources

Capteur d'analyse cloud sécurisé CISCO [pdf] Guide de l'utilisateur Capteur d'analyse cloud sécurisé, Capteur d'analyse cloud, Capteur d'analyse, Capteur

Références

• Manuel d'utilisation