Konfigurieren der Portspiegelung
Gilt für: Advanced Threat Analytics Version 1.9
Hinweis
Dieser Artikel ist nur relevant, wenn Sie ATA-Gateways anstelle von ATA-Lightweight-Gateways bereitstellen. Informationen dazu, ob Sie ATA-Gateways verwenden müssen, finden Sie unter Auswählen der richtigen Gateways für Ihre Bereitstellung.
Die Standard Datenquelle, die von ATA verwendet wird, ist eine umfassende Paketüberprüfung des Netzwerkdatenverkehrs zu und von Ihren Domänencontrollern. Damit ATA den Netzwerkdatenverkehr sehen kann, müssen Sie entweder die Portspiegelung konfigurieren oder einen Netzwerk-TAP verwenden.
Konfigurieren Sie für die Portspiegelung die Portspiegelung für jeden zu überwachenden Domänencontroller als Quelle des Netzwerkdatenverkehrs. In der Regel müssen Sie mit dem Netzwerk- oder Virtualisierungsteam zusammenarbeiten, um die Portspiegelung zu konfigurieren. Weitere Informationen finden Sie in der Dokumentation Ihres Anbieters.
Ihre Domänencontroller und ATA-Gateways können entweder physisch oder virtuell sein. Im Folgenden finden Sie gängige Methoden für die Portspiegelung und einige Überlegungen. Weitere Informationen finden Sie in der Produktdokumentation zu Ihrem Switch- oder Virtualisierungsserver. Ihr Switchhersteller verwendet möglicherweise eine andere Terminologie.
Switched Port Analyzer (SPAN): Kopiert Netzwerkdatenverkehr von einem oder mehreren Switchports in einen anderen Switchport auf demselben Switch. Sowohl das ATA-Gateway als auch die Domänencontroller müssen mit demselben physischen Switch verbunden sein.
Remote Switch Port Analyzer (RSPAN): Ermöglicht die Überwachung des Netzwerkdatenverkehrs von Quellports, die über mehrere physische Switches verteilt sind. RSPAN kopiert den Quelldatenverkehr in ein spezielles, FÜR RSPAN konfiguriertes VLAN. Dieses VLAN muss mit den anderen beteiligten Switches trunked werden. RSPAN funktioniert auf Schicht 2.
Encapsulated Remote Switch Port Analyzer (ERSPAN): Eine proprietäre Cisco-Technologie, die auf Ebene 3 arbeitet. MIT ERSPAN können Sie den Datenverkehr über Switches hinweg überwachen, ohne DASS VLAN-Trunks erforderlich sind. ERSPAN verwendet die generische Routingkapselung (GENERIC Routing Encapsulation, GRE), um den überwachten Netzwerkdatenverkehr zu kopieren. ATA kann derzeit ERSPAN-Datenverkehr nicht direkt empfangen. Damit ATA mit ERSPAN-Datenverkehr funktioniert, muss ein Switch oder Router, der den Datenverkehr entkapseln kann, als Ziel von ERSPAN konfiguriert werden, wo der Datenverkehr gekapselt wird. Konfigurieren Sie dann den Switch oder Router, um den gekapselten Datenverkehr mithilfe von SPAN oder RSPAN an das ATA-Gateway weiterzuleiten.
Hinweis
Wenn der Domänencontroller, für den der Port gespiegelt wird, über eine WAN-Verbindung verbunden ist, stellen Sie sicher, dass die WAN-Verbindung die zusätzliche Last des ERSPAN-Datenverkehrs verarbeiten kann. ATA unterstützt die Datenverkehrsüberwachung nur, wenn der Datenverkehr die NIC und den Domänencontroller auf die gleiche Weise erreicht. ATA unterstützt keine Datenverkehrsüberwachung, wenn der Datenverkehr an verschiedene Ports aufgeteilt wird.
Unterstützte Portspiegelungsoptionen
ATA-Gateway | Domänencontroller | Überlegungen |
---|---|---|
Virtuell | Virtuell auf demselben Host | Der virtuelle Switch muss die Portspiegelung unterstützen. Durch das Verschieben einer der virtuellen Computer auf einen anderen Host kann die Portspiegelung unterbrochen werden. |
Virtuell | Virtuell auf verschiedenen Hosts | Stellen Sie sicher, dass Ihr virtueller Switch dieses Szenario unterstützt. |
Virtuell | Physisch | Erfordert einen dedizierten Netzwerkadapter, andernfalls sieht ATA den gesamten eingehenden und ausgehenden Datenverkehr auf dem Host, auch den Datenverkehr, den er an ATA Center sendet. |
Physisch | Virtuell | Stellen Sie sicher, dass Ihr virtueller Switch dieses Szenario und die Konfiguration der Portspiegelung auf Ihren physischen Switches basierend auf diesem Szenario unterstützt: Wenn sich der virtuelle Host auf demselben physischen Switch befindet, müssen Sie eine Switchebenenspanne konfigurieren. Wenn sich der virtuelle Host auf einem anderen Switch befindet, müssen Sie RSPAN oder ERSPAN* konfigurieren. |
Physisch | Physisch auf demselben Schalter | Der physische Switch muss SPAN/Portspiegelung unterstützen. |
Physisch | Physisch auf einem anderen Schalter | Erfordert physische Switches zur Unterstützung von RSPAN oder ERSPAN*. |
* ERSPAN wird nur unterstützt, wenn eine Entkapselung durchgeführt wird, bevor der Datenverkehr von ATA analysiert wird.
Hinweis
Stellen Sie sicher, dass Domänencontroller und die ATA-Gateways, mit denen sie eine Verbindung herstellen, innerhalb von fünf Minuten nacheinander synchronisiert wurden.
Wenn Sie mit Virtualisierungsclustern arbeiten:
- Konfigurieren Sie für jeden Domänencontroller, der im Virtualisierungscluster auf einem virtuellen Computer mit dem ATA-Gateway ausgeführt wird, die Affinität zwischen dem Domänencontroller und dem ATA-Gateway. Wenn der Domänencontroller auf einen anderen Host im Cluster verschoben wird, folgt das ATA-Gateway diesem. Dies funktioniert gut, wenn einige Domänencontroller vorhanden sind.
Hinweis
Wenn Ihre Umgebung Virtual to Virtual on different hosts (RSPAN) unterstützt, müssen Sie sich keine Gedanken über die Affinität machen.
- Um sicherzustellen, dass die ATA-Gateways ordnungsgemäß für die Überwachung aller DCs selbst dimensioniert sind, probieren Sie diese Option aus: Installieren Sie einen virtuellen Computer auf jedem Virtualisierungshost, und installieren Sie ein ATA-Gateway auf jedem Host. Konfigurieren Sie jedes ATA-Gateway, um alle Domänencontroller zu überwachen, die im Cluster ausgeführt werden. Auf diese Weise wird jeder Host überwacht, auf dem die Domänencontroller ausgeführt werden.
Überprüfen Sie nach dem Konfigurieren der Portspiegelung, ob die Portspiegelung funktioniert, bevor Sie das ATA-Gateway installieren.