Konfigurer portspejling
Gælder for: Advanced Threat Analytics version 1.9
Bemærk!
Denne artikel er kun relevant, hvis du installerer ATA Gateways i stedet for ATA Lightweight Gateways. Hvis du vil finde ud af, om du har brug for at bruge ATA Gateways, skal du se Valg af de rette gateways til din udrulning.
Den primære datakilde, der bruges af ATA, er detaljeret pakkekontrol af netværkstrafikken til og fra dine domænecontrollere. Hvis ATA skal se netværkstrafikken, skal du enten konfigurere portspejling eller bruge en Netværkstap.
I forbindelse med portspejling skal du konfigurere portspejling for hver domænecontroller, der skal overvåges, som kilden til netværkstrafikken. Du skal typisk arbejde med netværks- eller virtualiseringsteamet for at konfigurere portspejling. Du kan få flere oplysninger i din leverandørs dokumentation.
Dine domænecontrollere og ATA Gateways kan enten være fysiske eller virtuelle. Følgende er almindelige metoder til portspejling og nogle overvejelser. Du kan få flere oplysninger i produktdokumentationen til parameteren eller virtualiseringsserveren. Switchproducenten bruger muligvis en anden terminologi.
Span (Switched Port Analyzer) – kopierer netværkstrafik fra en eller flere skift porte til en anden switchport på den samme switch. Både ATA Gateway og domænecontrollere skal have forbindelse til den samme fysiske switch.
RSPAN (Remote Switch Port Analyzer) – giver dig mulighed for at overvåge netværkstrafik fra kildeporte, der distribueres via flere fysiske parametre. RSPAN kopierer kildetrafikken til en særlig RSPAN-konfigureret VLAN. Denne VLAN skal overføres til de andre parametre. RSPAN fungerer på Lag 2.
Encapsulated Remote Switch Port Analyzer (ERSPAN) – Er en Cisco-teknologi, der er beskyttet af ejendomsret, og som arbejder på Layer 3. ERSPAN giver dig mulighed for at overvåge trafik på tværs af kontakter uden behov for VLAN-trunke. ERSPAN bruger gresulation (generic routing encapsulation) til at kopiere overvåget netværkstrafik. ATA kan i øjeblikket ikke modtage ERSPAN-trafik direkte. Hvis ATA skal arbejde med ERSPAN-trafik, skal en switch eller router, der kan indkapsle trafikken, konfigureres som destinationen for ERSPAN, hvor trafikken er decapsulateret. Konfigurer derefter kontakten eller routeren for at videresende den indkapslede trafik til ATA Gateway ved hjælp af enten SPAN eller RSPAN.
Bemærk!
Hvis den domænecontroller, der er portspejlet, har forbindelse via et WAN-link, skal du sørge for, at WAN-linket kan håndtere den ekstra belastning af ERSPAN-trafikken. ATA understøtter kun trafikovervågning, når trafikken når NIC'et og domænecontrolleren på samme måde. ATA understøtter ikke trafikovervågning, når trafikken brydes ud til forskellige porte.
Understøttede indstillinger for portspejling
| ATA Gateway | Domænecontroller | Overvejelser |
|---|---|---|
| Virtuel | Virtuel på samme vært | Den virtuelle switch skal understøtte portspejling. Hvis du flytter en af de virtuelle maskiner til en anden vært alene, kan portens spejling blive brudt. |
| Virtuel | Virtuel på forskellige værter | Sørg for, at den virtuelle switch understøtter dette scenarie. |
| Virtuel | Fysisk | Kræver et dedikeret netværkskort, ellers kan ATA se al den trafik, der kommer ind og ud af værten, selv den trafik, den sender til ATA Center. |
| Fysisk | Virtuel | Sørg for, at den virtuelle switch understøtter dette scenarie – og portspejlingskonfigurationen på dine fysiske parametre baseret på scenariet: Hvis den virtuelle vært er på den samme fysiske switch, skal du konfigurere et skiftniveau. Hvis den virtuelle vært er på en anden switch, skal du konfigurere RSPAN eller ERSPAN*. |
| Fysisk | Fysisk på samme kontakt | Den fysiske kontakt skal understøtte SPAN/Port Mirroring. |
| Fysisk | Fysisk på en anden kontakt | Kræver fysiske parametre for at understøtte RSPAN eller ERSPAN*. |
* ERSPAN understøttes kun, når decapsulation udføres, før trafikken analyseres af ATA.
Bemærk!
Sørg for, at domænecontrollere og de ATA-gateways, de opretter forbindelse til, har tid synkroniseret til inden for fem minutter fra hinanden.
Hvis du arbejder med virtualiseringsklynger:
- For hver domænecontroller, der kører på virtualiseringsklyngen i en virtuel maskine med ATA Gateway, skal du konfigurere tilhørsforhold mellem domænecontrolleren og ATA Gateway. På denne måde følger ATA Gateway den, når domænecontrolleren flytter til en anden vært i klyngen. Dette fungerer godt, når der er nogle få domænecontrollere.
Bemærk!
Hvis dit miljø understøtter Virtual to Virtual på forskellige værter (RSPAN), behøver du ikke at bekymre dig om tilhørsforhold.
- Hvis du vil sikre dig, at ATA Gateways har en korrekt størrelse, så de selv håndterer overvågning af alle DCs, kan du prøve denne indstilling: Installer en virtuel maskine på hver virtualiseringsvært, og installér en ATA Gateway på hver vært. Konfigurer hver ATA Gateway for at overvåge alle de domænecontrollere, der kører på klyngen. På denne måde overvåges alle værter, som domænecontrollerne kører på.
Når du har konfigureret portspejling, skal du validere, at portspejling fungerer, før DU installerer ATA Gateway.