コンテンツ 隠れる
1 シスコ セキュア クラウド アナリティクス センサー
2 導入
3 センサーの展開に関する考慮事項
4 センサーの前提条件
5 物理アプライアンスの追加要件
6 センサーメディアのインストールと構成
7 センサーの取り付け
8 次に何をすべきか
9 センサーを取り付ける Web ポータル
10 フロー収集用のセンサーの設定
11 トラブルシューティング
12 追加リソース
13 変更履歴
14 よくある質問
15 ドキュメント / リソース
15.1 参考文献

CISCO-ロゴ

シスコ セキュア クラウド アナリティクス センサー

CISCO-Secure-Cloud-Analytics-Senso 製品

導入

Cisco Secure Cloud Analytics(現在はCisco XDRの一部)は、オンプレミスとクラウドの両方のIT環境における脅威を検知し、対応するSaaSベースのセキュリティサービスです。このガイドでは、プライベートネットワーク監視サービスの一部としてSecure Cloud Analyticsセンサーを導入し、エンタープライズネットワーク、プライベートデータセンター、ブランチオフィス、その他のオンプレミス環境で活用する方法について説明します。

  • Amazonなどのパブリッククラウド環境でのみSecure Cloud Analyticsを使用する予定の場合 Web Services、Microsoft Azure、またはGoogle Cloud Platformをご利用の場合は、センサーをインストールする必要はありません。詳細については、パブリッククラウド監視ガイドをご覧ください。
  • このガイドでは、Ubuntu Linuxへのセンサーのインストール手順を説明します。他のオペレーティングシステムへのインストール手順については、「Secure Cloud Analytics Sensor Advanced Configuration Guide」を参照してください。

センサーの展開に関する考慮事項

  • NetFlowなどのフローデータを収集したり、ネットワーク上のルーターやスイッチからミラーリングされたネットワークトラフィックを取り込んだりするためにセンサーを導入できます。また、フローデータの収集とミラーリングされたネットワークトラフィックの取り込みの両方を行うようにセンサーを設定することもできます。導入できるセンサーの数に制限はありません。
  • フロー データを収集するようにセンサーを構成する場合の詳細については、「フロー データを収集するためのセンサーの構成」を参照してください。
  • ミラーまたは SPAN ポートからトラフィックを取り込むようにセンサーを構成する場合は、トラフィックをミラーリングするようにネットワーク デバイスを構成する方法の詳細については、「ネットワーク デバイスの構成」を参照してください。
  • センサーバージョン4.0以降では、拡張NetFlowテレメトリを収集できます。これにより、Secure Cloud Analyticsは新しいタイプの観測とアラートを生成できるようになります。詳細については、Secure Cloud Analyticsの拡張NetFlow設定ガイドをご覧ください。
  • センサーは IPv6 をサポートしていません。

センサーの前提条件

次の要件を満たせば、物理アプライアンスまたは仮想マシンにセンサーをインストールできます。

成分 最低要件
ネットワークインターフェース Secure Cloud Analyticsサービスに情報を渡すための、制御インターフェースとして指定された少なくとも1つのネットワークインターフェース。オプションで、ミラーポートを介してネットワークトラフィックを複製するネットワークデバイスからネットワークトラフィックを取り込むようにセンサーを設定する場合は、ミラーインターフェースとして指定された1つ以上のネットワークインターフェースが必要です。
ラム 4ギガバイト
CPU 少なくとも2つのコア
収納スペース 60 GB のディスク領域は、レコードを Secure Cloud Analytics に送信する前に、運用 NetFlow データをキャッシュするために使用されます。
インターネットアクセス インストールプロセスに必要なパッケージをダウンロードする必要がある

指定されたミラー インターフェイスについては、次の点に注意してください。

  • ミラーインターフェースは、宛先へのすべての受信および送信元トラフィックのコピーを受信します。ピークトラフィックがセンサーのミラーインターフェースリンクの容量を下回っていることを確認してください。
  • ミラー ポートの宛先に過剰なトラフィックが設定されている場合、多くのスイッチでは送信元インターフェイスからのパケットがドロップされます。

物理アプライアンスの追加要件

成分 最低要件
インストール File アップロード インストール.isoをアップロードするには、次のいずれかを実行します。 file:
  • USBポート1つとUSBフラッシュドライブ
  • 光ディスクドライブ 1 台と書き込み可能な光ディスク (CD-R ディスクなど)

仮想マシンは.isoから直接起動できる file 追加の要件なし。

仮想マシンの追加要件
センサーが仮想マシンとして展開されている場合、ミラーまたは SPAN ポートからトラフィックを取り込む予定であれば、2 番目のネットワーク インターフェイスで仮想ホストとネットワークがプロミスキャス モードに設定されていることを確認してください。

  • VMWare 8環境にセンサーを導入する際、デフォルトのUEFIブート設定を使用するとセンサーの読み込みに失敗します。この問題を解決するには、「ハードウェアのカスタマイズ」手順で「VMオプション」>「ブートオプション」を選択し、「ファームウェア」ドロップダウンリストから「BIOS」を選択してください。

VMwareハイパーバイザー
VMware ハイパーバイザー上で仮想マシンを実行している場合は、仮想スイッチをプロミスキャス モードに設定します。

  1. インベントリでホストを選択します。
  2. [構成]タブを選択します。
  3. [ネットワーク]をクリックします。
  4. 仮想スイッチの「プロパティ」をクリックします。
  5. 仮想スイッチを選択し、「編集」をクリックします。
  6. [セキュリティ] タブを選択します。
  7. 「無差別モード」ドロップダウンから「承認」を選択します。

プロミスキャスモードの詳細については、VMware ナレッジベースをご覧ください。VLAN ID を 4095 に設定する必要がある場合があります。

バーチャルボックス
VirtualBox で仮想マシンを実行している場合は、アダプタをプロミスキャス モードに設定します。

  1.  ネットワーク設定からミラー インターフェイスのアダプターを選択します。
  2.  詳細オプションで無差別モードを「許可」に設定します。

詳細については、仮想ネットワークに関する VirtualBox のドキュメントを参照してください。

センサーの配置に関する提案
ネットワーク トポロジは大きく異なる可能性があるため、センサーを展開する際には、次の一般的なガイドラインに留意してください。

  1.  センサーを展開するかどうかを決定します。
    • フローデータを収集する
    • ミラーリングされたネットワークトラフィックを取り込む
    • 一部はフローデータを収集し、他の一部はミラーリングされたネットワークトラフィックを取り込む
    • フローデータを収集し、ミラーリングされたネットワークトラフィックを取り込む
  2.  フロー データを収集する場合は、NetFlow v5、NetFlow v9、IPFIX、sFlow など、ネットワーク デバイスがエクスポートできる形式を決定します。
    Cisco ASAファイアウォールやCisco Meraki MXアプライアンスなど、多くのファイアウォールがNetFlowをサポートしています。お使いのファイアウォールがNetFlowをサポートしているかどうかは、メーカーのサポートドキュメントをご確認ください。
  3. センサー上のネットワーク ポートがミラー ポートの容量をサポートできることを確認します。
    ネットワークに複数のセンサーを導入する際にサポートが必要な場合は、Cisco サポートにお問い合わせください。

センサーのバージョンを確認する
ネットワークに最新のセンサー(バージョン5.1.3)が展開されていることを確認するには、コマンドラインから既存のセンサーのバージョンを確認してください。アップグレードが必要な場合は、センサーを再インストールしてください。

  1.  展開されたセンサーに SSH で接続します。
  2. プロンプトで「cat /opt/obsrvbl-ona/version」と入力し、Enterキーを押します。コンソールに5.1.3が表示されない場合は、センサーのバージョンが古くなっています。最新のセンサーISOをダウンロードしてください。 web ポータル UI。

センサーアクセス要件
物理アプライアンスまたは仮想マシンは、インターネット経由で特定のサービスにアクセスできる必要があります。センサーと外部インターネット間の以下のトラフィックを許可するようにファイアウォールを設定してください。

トラフィックの種類 必須 IPアドレス、ドメイン、ポート、または構成
送信HTTPSトラフィック はい
  • ポート443、IPアドレスは
Amazonでホストされているセキュアクラウドアナリティクスサービスへのセンサーの制御インターフェース Web サービス ポータルのIPアドレス
  • Secure Cloud AnalyticsリージョンのAWS S3 IPアドレス。AWS IPアドレスは変更される可能性があるため、AWS
  • IPアドレス範囲のヘルプトピックと、提供されたJSONでS3サービスとAWSリージョンを検索します。 fileAWSリージョンを確認するには、Secure Cloud Analyticsダッシュボードにアクセスし、ページの下部までスクロールしてください。フッターのフィールドに、ポータルのリージョン名が表示されます。これは以下のAWSリージョンに対応しています。
    • 北アメリカ(バージニア州北部): us-east-1
    • ヨーロッパ (フランクフルト): eu-central-1
    • オーストラリア(シドニー):ap-southeast-2
1. 管理者としてセンサーに SSH 接続します。
2. コマンドプロンプトで次のコマンドを入力します。
センサーが既知のCiscoアドレスとのみ通信するように強制する いいえ sudo nano opt/obsrvbl- ona/config.local を押して 入力 設定を編集する file 3. OBSRVBL_SENSOR_ EXT_ONLY 設定を次のように更新します: OBSRVBL_SENSOR_ EXT_ONLY=true。
4. Ctrl + 0 を押して変更を保存します。

5. Ctrl + x を押して終了します。 6. コマンドプロンプトで「sudo service obsrvbl-ona restart」と入力してセンサーを再起動します。
Linux OSおよび関連アップデートをダウンロードするための、センサーの制御インターフェースからUbuntu Linuxサーバーへの送信トラフィック はい
センサーの制御インターフェースからホスト名解決のためのDNSサーバーへの送信トラフィック はい
  •  [ローカルDNSサーバー]:53/UDP
リモートトラブルシューティングアプライアンスからセンサーへの受信トラフィック いいえ
  • 54.83.42.41:22/TCP

プロキシ サービスを使用する場合は、センサー制御インターフェイスの IP アドレスに対してプロキシ例外を作成します。

ネットワークデバイスの構成
ネットワーク スイッチまたはルーターを構成して、トラフィックのコピーをミラーリングし、それをセンサーに渡すことができます。

  • センサーは通常の交通の流れの外に設置されるため、トラフィックに直接影響を与えることはできません。 web ポータルUIはアラートの生成に影響を与えますが、トラフィックの流れには影響を与えません。アラートに基づいてトラフィックを許可またはブロックしたい場合は、ファイアウォールの設定を更新してください。
  • ミラーリングされたトラフィックを構成するためのネットワーク スイッチの製造元とリソースについては、以下を参照してください。
メーカー デバイス名 ドキュメント
ネットオプティクス ネットワークタップ ドキュメントやその他の情報については、Ixiaのリソースページをご覧ください。
ギガモン ネットワークタップ ドキュメントやその他の情報については、Gigamon のリソースとナレッジ ページを参照してください。

アナライザー(SPAN)
ジュニパー ポートミラー 詳細はJuniperのTechLibraryドキュメントをご覧ください。ampEXシリーズスイッチにおける従業員のリソース使用状況をローカル監視するためのポートミラーリングの設定例
ネットギア ポートミラー Netgearのナレッジベースのドキュメントを参照してください。ampポートミラーリングの概要とマネージドスイッチでの動作
ジセル ポートミラー ZyXELスイッチでミラーリングを使用する方法については、ZyXELのナレッジベースのドキュメントを参照してください。
他の モニターポート、アナライザーポート、タップポート 複数のメーカーのスイッチリファレンスについては、WiresharkのWikiドキュメントを参照してください。

ネットワークテストアクセスポイント(タップ)デバイスを導入して、トラフィックのコピーをセンサーに渡すこともできます。ネットワークタップのメーカーと設定に必要なリソースについては、以下をご覧ください。

メーカー デバイス名 ドキュメント
ネットオプティクス ネットワークタップ ドキュメントやその他の情報については、Ixiaのリソースページをご覧ください。
ギガモン ネットワークタップ ドキュメントやその他の情報については、Gigamon のリソースとナレッジ ページを参照してください。

フロー構成
NetFlowデータを通過させるには、ネットワークデバイスを設定する必要があります。 https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco Cisco ネットワーク デバイスでの NetFlow の設定の詳細については、NetFlow_Configuration.pdf を参照してください。

センサーメディアのインストールと構成

インストールを開始する前に、view インストールと構成に必要なプロセス、準備、時間、リソースを理解するための手順。
このインストールには 2 つのオプションがあります。

  • 仮想マシンにセンサーをインストールする: 仮想マシンにセンサーをインストールする場合は、.isoから起動できます。 file 直接。
  •  物理アプライアンスへのセンサーのインストール: 物理アプライアンスにセンサーをインストールする場合は、.isoファイルを使用して起動可能なメディアを作成します。 fileその後、アプライアンスを再起動し、そのメディアから起動します。

インストールプロセスでは、センサーをインストールする前に、センサーがインストールされるディスクが消去されます。インストールを開始する前に、センサーをインストールする予定の物理アプライアンスまたは仮想マシンに保存したいデータが含まれていないことを確認してください。

ブートメディアの作成

  • 物理アプライアンスにセンサーを展開する場合は、.isoを展開します。 file Ubuntu Linux をベースにしたセンサーをインストールします。
  • .isoを書き込む場合 file CD や DVD などの光ディスクに保存する場合は、光ディスク ドライブに光ディスクが挿入された状態で物理アプライアンスを再起動し、光ディスクからの起動を選択できます。
  • .isoでUSBフラッシュドライブを作成する場合 file Rufus ユーティリティを使用すると、物理アプライアンスを再起動し、USB フラッシュ ドライブを USB ポートに挿入し、USB フラッシュ ドライブからの起動を選択できます。
  • ISOを使用せずにセンサーを展開する場合、トラフィックを許可するためにローカルアプライアンスのファイアウォール設定を更新する必要がある場合があります。提供されているISOを使用してセンサーを展開することを強くお勧めします。
  • 起動可能なUSBフラッシュドライブを作成すると、フラッシュドライブ内のすべての情報が削除されます。フラッシュドライブに他の情報が保存されていないことを確認してください。

センサーISOをダウンロードする file
センサーISOの最新バージョンを以下からダウンロードしてください。 web ポータル。これを使用して、インストール(新しいセンサーの場合)または再インストール(既存のセンサーのアップグレードの場合)を行います。

  1.  管理者として Secure Cloud Analytics にログインします。
  2.  [ヘルプ (?)] > [オンプレミス センサーのインストール] を選択します。
  3.  .iso ボタンをクリックして、最新の ISO バージョンをダウンロードします。
  4. 「起動可能な光ディスクを作成する」または「起動可能な USB フラッシュ ドライブを作成する」に進みます。

起動可能な光ディスクを作成する
製造元の指示に従って.isoをコピーします。 file 光ディスクに。

起動可能なUSBフラッシュドライブを作成する

  1. 起動可能な USB フラッシュ ドライブを作成するために使用するアプライアンスの USB ポートに空の USB フラッシュ ドライブを挿入します。
  2.  ワークステーションにログインします。
  3. あなたの web ブラウザの場合は、Rufusユーティリティにアクセスしてください webサイト。
  4.  Rufus ユーティリティの最新バージョンをダウンロードしてください。
  5. Rufus ユーティリティを開きます。
  6.  デバイス ドロップダウンで USB フラッシュ ドライブを選択します。
  7. ブート選択ドロップダウンからディスクまたは ISO イメージを選択します。
  8. 選択をクリックしてセンサーISOを選択します file.
  9. [スタート]をクリックします。

起動可能なUSBフラッシュドライブを作成すると、フラッシュドライブ内のすべての情報が削除されます。フラッシュドライブに他の情報が保存されていないことを確認してください。

センサーの取り付け

  1.  次のように .iso のブート方法を選択します。
    • 仮想マシン: 仮想マシンにインストールする場合は、.isoから起動します。 file.
    • 物理アプライアンス: 物理アプライアンスにインストールする場合は、起動可能なメディアを挿入し、アプライアンスを再起動して、起動可能なメディアから起動します。
  2. 最初のプロンプトで「ONA (静的 IP) のインストール」を選択し、Enter キーを押します。
  3. CISCO-セキュア-クラウド-アナリティクス-Senso- (2)矢印キーを使用して言語リストから言語を選択し、Enter キーを押します。 CISCO-セキュア-クラウド-アナリティクス-Senso- (3)
  4. キーボード設定には、次のオプションがあります。
    • レイアウトとバリアントを選択してキーボードを構成し、Enter キーを押します。
    • 「キーボードの識別」を選択し、Enter キーを押します。 CISCO-セキュア-クラウド-アナリティクス-Senso- (4)
  5. ネットワーク構成の場合は、「手動」を選択し、Enter キーを押します。 CISCO-セキュア-クラウド-アナリティクス-Senso- (5)他のすべてのネットワーク インターフェイスは、自動的にミラー インターフェイスとして構成されます。
  6.  アプライアンスのサブネットを入力し、矢印キーで [続行] を選択して、Enter キーを押します。
  7.  アプライアンスの IP アドレスを入力し、矢印キーで [続行] を選択して、Enter キーを押します。
  8. ゲートウェイ ルーターの IP アドレスを入力し、矢印キーで [続行] を選択して、Enter キーを押します。
  9.  (オプション) [検索ドメイン] では、IP アドレスを解決しようとするときにホスト名に自動的に追加されるドメインを入力し、矢印キーで [続行] を選択して、Enter キーを押します。
    デフォルトでは、インストールは自動的にDHCPを使用して続行されます。DHCP IPアドレスを上書きするには、インストール完了後にインターフェースを手動で編集する必要があります。
    ネットワーク内にローカル権限ネーム サーバーのアドレスが導入されている場合は、そのアドレスを入力することをお勧めします。 CISCO-セキュア-クラウド-アナリティクス-Senso- (6)
  10. 管理者権限を持つ非ルート アカウントに関連付けられた新しいユーザーのフル ネームを入力し、矢印キーで [続行] を選択して Enter キーを押します。
  11.  サーバー名を入力します。この名前は、センサーが他のコンピューターと通信するときに使用され、Secure Cloud Analytics ポータルに表示されます。次に、矢印キーで [続行] を選択し、Enter キーを押します。
  12.  管理者権限を持つ非ルート アカウントであるアカウントのユーザー名を入力し、矢印キーで [続行] を選択して Enter キーを押します。
  13.  新しいユーザーのパスワードを選択し、矢印キーで「続行」を選択して Enter キーを押します。
  14. 確認のためパスワードをもう一度入力し、矢印キーで「続行」を選択してEnterキーを押します。同じパスワードを2回入力していない場合は、もう一度お試しください。
    セットアップ中に作成したアカウントは、仮想マシンへのアクセスに使用できる唯一のアカウントです。このインストールでは、Secure Cloud Analyticsポータルのアカウントは別途作成されません。 CISCO-セキュア-クラウド-アナリティクス-Senso- (7)
  15. インストールプロセスを確認するには、[続行] を選択し、Enter キーを押します。
    この操作により、ドライブ上のすべてのデータが削除されます。続行する前に、ドライブが空であることを確認してください。CISCO-セキュア-クラウド-アナリティクス-Senso- (8)インストーラーが必要なものをインストールするまで数分間お待ちください。 files.
  16. インストーラに「インストール完了」と表示されたら、矢印キーで「今すぐ再起動」を選択し、Enter キーを押してアプライアンスを再起動します。CISCO-セキュア-クラウド-アナリティクス-Senso- (9)
  17. アプライアンスが再起動したら、作成したアカウントでログインし、資格情報が正しいことを確認します。

次に何をすべきか

  • プライベート環境へのアクセスを制限する場合は、関連するIPアドレスとの通信が許可されていることを確認してください。詳細については、センサーアクセス要件をご覧ください。
  • センサーを使用して NetFlow などのネットワーク フロー トラフィックを収集する場合は、センサーの設定の詳細については、「フロー データを収集するためのセンサーの設定」を参照してください。
  •  センサーを使用してSPANまたはミラーポートに接続し、ミラーリングされたトラフィックを収集する場合は、「センサーをSPANまたはミラーポートに接続する」を参照してください。 Web セキュアクラウドアナリティクスにセンサーを追加する方法の詳細については、ポータルをご覧ください。 web ポータル。
  •  Enhanced NetFlow テレメトリを渡すようにセンサーを設定する場合、詳細については、『Cisco Secure Cloud Analytics Configuration Guide for Enhanced NetFlow』を参照してください。

センサーを取り付ける Web ポータル

  • センサーを設置したら、ポータルにリンクする必要があります。これは、センサーのパブリックIPアドレスを特定し、ポータルに入力することで行われます。 web ポータル。センサーのパブリック IP アドレスを特定できない場合は、固有のサービス キーを使用してセンサーをポータルに手動でリンクできます。

センサーは次のポータルに接続できます。

複数のセンサーがsの場合tagMSSPなどの中央拠点で管理され、異なる顧客を対象としている場合は、新しい顧客が設定されるたびにパブリックIPアドレスを削除する必要があります。tag複数のセンサーに環境が使用されている場合、センサーが間違ったポータルに誤って接続される可能性があります。
プロキシサーバーを使用している場合は、プロキシの設定セクションの手順を完了して、センサーとSecure Cloud Analytics間の通信を有効にします。 web ポータル。

センサーのパブリック IP アドレスを見つけてポータルに追加する

  1. 管理者としてセンサーに SSH で接続します。
  2. コマンドプロンプトでcと入力しますurl https://sensor.ext.obsrvbl.comandpressEnter不明なIDのエラー値は、センサーがポータルに関連付けられていないことを意味します。次の画像を参照してください。ampル。CISCO-セキュア-クラウド-アナリティクス-Senso- (10)サービスホスト URL 場所によって異なる場合があります。Secure Cloud Analyticsポータルで「設定」>「センサー」に移動し、ページの一番下までスクロールしてサービスホストを見つけてください。 url.
  3.  アイデンティティ IP アドレスをコピーします。
  4.  センサーからログアウトします。
  5.  サイト管理者として Secure Cloud Analytics にログインします。
  6.  [設定] > [センサー] > [パブリック IP] を選択します。
  7. [新しい IP アドレスの追加]をクリックします。
  8. 「新しいアドレス」欄に識別IPアドレスを入力します。9. 「作成」をクリックします。ポータルとセンサーが鍵を交換すると、将来の
  9. CISCO-セキュア-クラウド-アナリティクス-Senso- (11) 「作成」をクリックします。ポータルとセンサーがキーを交換すると、パブリックIPアドレスではなく、そのキーを使用して今後の接続を確立します。
    新しいセンサーがポータルに反映されるまでに最大 20 分かかる場合があります。

ポータルのサービスキーをセンサーに手動で追加する
センサーのパブリックIPアドレスを web ポータル、または
複数のMSSPを管理する web ポータル、センサーのconfig.local構成を編集する file ポータルのサービス キーを手動で追加して、センサーをポータルに関連付けます。
このキー交換は、前のセクションでパブリック IP アドレスを使用すると自動的に実行されます。

  1. 管理者として Secure Cloud Analytics にログインします。
  2.  [設定] > [センサー] を選択します。
  3.  センサーリストの最後に移動し、サービスキーをコピーします。以下の画像を参照してください。ampル。
    サービスキー:(表示) サービスホスト:CISCO-セキュア-クラウド-アナリティクス-Senso- (12)
  4. 管理者としてセンサーに SSH で接続します。
  5. コマンドプロンプトで、次のコマンドを入力します: sudo nano /opt/obsrvbl-ona/config.localEnterキーを押して設定を編集します。 file.
  6. 次の行を追加して、ポータルのサービスキーとurl>地域のサービスホストと url: # サービスキー
    OBSRVBL_SERVICE_KEY=” ” OBSRVBL_HOST=”url>”
    Secure Cloud Analyticsポータルで、「設定」>「センサー」に移動し、ページの下部までスクロールしてサービスホストを見つけます。 url.
    例については次の画像を参照してくださいamp上:
  7. CISCO-セキュア-クラウド-アナリティクス-Senso- (13)変更を保存するには、Ctrl + 0 を押します。
  8.  終了するにはCtrl + x を押します。
  9.  コマンドプロンプトで「sudo service obsrvbl-ona restart」と入力して、Secure Cloud Analytics サービスを再起動します。

新しいセンサーがポータルに反映されるまでに最大 20 分かかる場合があります。

プロキシの設定
プロキシサーバーを使用している場合は、以下の手順に従ってセンサーとサーバー間の通信を有効にしてください。 web ポータル。

  1.  管理者としてセンサーに SSH で接続します。
  2.  コマンドプロンプトで、次のコマンドを入力します: sudo nano /opt/obsrvbl-ona/config. local Enterキーを押して設定を編集します。 file.
  3.  次の行を追加します。proxy. name. com をプロキシ サーバーのホスト名または IP アドレスに置き換え、Port をプロキシ サーバーのポート番号に置き換えます: HTTPS_PROXY=”proxy.name.com:ポート。」
  4. 変更を保存するには、Ctrl + 0 を押します。
  5.  終了するにはCtrl + x を押します。
  6. コマンドプロンプトで「sudo service obsrvbl-ona restart」と入力して、Secure Cloud Analytics サービスを再起動します。

新しいセンサーがポータルに反映されるまでに最大 20 分かかる場合があります。

センサーのポータル接続の確認
センサーをポータルに追加したら、Secure Cloud Analytics で接続を確認します。

センサーを手動でリンクした場合 web config.localを更新してポータル
構成 file サービスキーを使用する、cを使用するurlセンサーからの接続を確認するコマンドは、 web ポータル名。

  1. Secure Cloud Analytics にログインします。
  2. 「設定」>「センサー」を選択します。センサーがリストに表示されます。

CISCO-セキュア-クラウド-アナリティクス-Senso- (14)

「センサー」ページにセンサーが表示されない場合は、センサーにログインして接続を確認してください。

  1. 管理者としてセンサーに SSH で接続します。
  2. コマンドプロンプトでcと入力しますurl https://sensor.ext.obsrvbl.comandpressEnter. センサーはポータル名を返します。例については次の画像をご覧ください。ampル。CISCO-セキュア-クラウド-アナリティクス-Senso- (1)サービスホスト url 場所によって異なる場合があります。Secure Cloud Analyticsポータルで「設定」>「センサー」に移動し、ページの一番下までスクロールしてサービスホストを見つけてください。 url.
  3. センサーからログアウトします。

フローデータを収集するためのセンサーの設定

  • センサーは、デフォルトでイーサネットインターフェース上のトラフィックからフローレコードを作成します。このデフォルト設定では、センサーがSPANまたはミラーイーサネットポートに接続されていることを前提としています。ネットワーク上の他のデバイスがフローレコードを生成できる場合は、センサーを以下の方法で設定できます。 web ポータル UI を使用して、これらのソースからフロー レコードを収集し、クラウドに送信します。
  • ネットワークデバイスが異なる種類のフローを生成する場合は、各種類を異なるUDPポートで収集するようにセンサーを設定することをお勧めします。これにより、トラブルシューティングも容易になります。
    簡単です。デフォルトでは、ローカルセンサーファイアウォール(iptables)はポート2055/UDP、4739/UDP、9995/UDPを開いています。追加のUDPポートを使用する場合は、以下の設定を行う必要があります。
    の web ポータル。

以下のフロータイプの収集は、 web ポータルUI:

  • NetFlow v5 – ポート 2055/UDP (デフォルトでオープン)
  • NetFlow v9 – ポート 9995/UDP (デフォルトでオープン)
  • IPFIX – ポート 4739/UDP (デフォルトで開いている)
  •  sFlow – ポート6343/UDP

デフォルトのポートを用意していますが、これらは、 web ポータル UI。

特定のネットワークアプライアンスは、 web ポータル UI が正しく機能する前に:

  • Cisco Meraki – ポート 9998/UDP
  • Cisco ASA – ポート 9997/UDP
  • SonicWALL – ポート9999/UDP

Merakiファームウェア バージョン 14.50 では、Meraki ログのエクスポート形式が NetFlow 形式に準拠しています。Meraki デバイスのファームウェア バージョンが 14.50 以降の場合は、センサーのプローブ タイプを NetFlow v9、ソースを Standard に設定してください。Meraki デバイスのファームウェア バージョンが 14.50 より古い場合は、センサーのプローブ タイプを NetFlow v9、ソースを Meraki MX(バージョン 14.50 未満)に設定してください。

フロー収集用のセンサーの設定

  1. 管理者として Secure Cloud Analytics にログインします。
  2. [設定] > [センサー] を選択します。
  3. 追加したセンサーの [設定] ドロップダウン メニューをクリックします。
  4. NetFlow/IPFIX の設定を選択します。
    このオプションを使用するには、最新のセンサーバージョンが必要です。このオプションが表示されない場合は、「ヘルプ(?)」>「オンプレミスセンサーのインストール」を選択して、最新バージョンのセンサーISOをダウンロードしてください。
  5. [新しいプローブの追加]をクリックします。
  6.  「プローブ タイプ」ドロップダウン メニューからフロー タイプを選択します。
  7.  ポート番号を入力します。
    拡張NetFlowをセンサーに渡す場合は、設定するUDPポートが、センサー設定でFlexible NetFlowまたはIPFIX用に設定されているポートではないことを確認してください。例:ampleでは、Enhanced NetFlowの場合はポート2055/UDP、Flexible NetFlowの場合はポート9995/UDPを設定します。詳細については、『Enhanced NetFlow 設定ガイド』を参照してください。
  8. ドロップダウン メニューからプロトコルを選択します。
  9.  ドロップダウン メニューからソースを選択します。
  10.  [保存]をクリックします。

センサー構成の更新がポータルに反映されるまでに最大 30 分かかる場合があります。

トラブルシューティング

センサーからのパケットをキャプチャする
場合によっては、シスコサポートがセンサーで受信するフローデータを検証する必要があることがあります。フローのパケットキャプチャを生成することで検証することをお勧めします。また、Wiresharkでパケットキャプチャを開いて検証することもできます。view データ。

  1.  管理者としてセンサーに SSH で接続します。
  2.  プロンプトでsudo tcpdump -Dと入力し、Enterキーを押して view インターフェースのリスト。センサーのコントロールインターフェースの名前をメモしてください。
  3. プロンプトで、sudo tcpdump -iと入力します。 -n -c 100 “ポート” -w 、 交換するコントロールインターフェース名で、設定されたフローデータに対応するポート番号と生成されたpcapの名前 fileを押してEnterキーを押します。システムはpcapファイルを生成します。 file 指定されたポートを介して、そのインターフェースのトラフィックに指定された名前が付けられます。
  4. センサーからログアウトします。
  5. PuTTY SFTP (PSFTP) や WinSCP などの SFTP プログラムを使用して、センサーにログインします。
  6. プロンプトでgetと入力する、 交換する生成されたpcapで file 名前を入力し、Enterキーを押して転送します file ローカルワークステーションへ。

Wiresharkでパケットキャプチャを分析する

  1. Wireshark をダウンロードしてインストールし、Wireshark を開きます。
  2. 選択 File > 開いて、pcapを選択します file.
  3. [分析] > [デコード形式] を選択します。
  4. 新しいルールを追加するには、「+」をクリックします。
  5. 「現在」ドロップダウンから「CFLOW」を選択し、「OK」をクリックします。UIが更新され、NetFlow、IPFIX、またはsFlowに関連するパケットのみが表示されます。結果が表示されない場合は、pcapにNetFlow関連のパケットが含まれていず、センサーでフローデータ収集が正しく設定されていません。

追加リソース

Secure Cloud Analytics の詳細については、以下を参照してください。

サポートへのお問い合わせ
技術サポートが必要な場合は、次のいずれかを行ってください。

変更履歴

ドキュメントバージョン 公開日 説明
1_0 27,2022年XNUMX月 初期バージョン
1_1 1,2022年XNUMX月
  • Cisco サポート情報を更新しています。
  •  パブリック IP に関する注記を追加しました。
1_2 17年2023月XNUMX日
  •  プロキシ構成セクションを追加しました。
  •  Meraki センサーの設定を更新しました。
1_3 21,2023年XNUMX月
  •  タイプミスを修正しました。
  • 手順の番号を更新しました。
1_4 8年2024月XNUMX日
  •  紹介を更新しました センサーメディア インストールと 構成 セクション。書式を少し変更しました。
1_5 30年2024月XNUMX日 更新しました センサーアクセス要件 セクション。
2_0 4年2024月XNUMX日 センサーのバージョンを更新しました。 センサーを設置した セクション、 センサーのパブリック IP アドレスを見つけてポータルに追加する セクション、および センサーの前提条件 セクション。
2_1 21年2025月XNUMX日
  •  VMwareブートオプションの注記を追加しました 仮想マシンの追加要件 セクション。
  • 更新しました ポータルのサービスキーを手動で追加する センサー OBSRVBL_HOST 構成情報を含めるセクション。
2_2 17年2025月XNUMX日 センサーが既知の Cisco アドレスとのみ通信するように強制するための北米限定の制限を削除しました。

著作権情報

  • CiscoおよびCiscoのロゴは、米国およびその他の国におけるCiscoおよびその関連会社の商標または登録商標です。 view シスコの商標一覧については、こちらを参照してください URL: https://www.cisco.com/go/trademarks記載されているサードパーティの商標は、それぞれの所有者の財産です。パートナーという言葉の使用は、シスコと他の会社との間のパートナーシップ関係を意味するものではありません。(1721R)
  • © 2025 Cisco Systems, Inc. および/またはその関連会社。 無断転載を禁じます。

よくある質問

センサーは IPv6 トラフィックを収集できますか?

いいえ、センサーは IPv6 トラフィックをサポートしていません。

ドキュメント / リソース

シスコ セキュア クラウド アナリティクス センサー [pdf] ユーザーガイド
セキュアクラウド分析センサー、クラウド分析センサー、分析センサー、センサー

参考文献

コメントを残す

あなたのメールアドレスは公開されません。 必須項目はマークされています *