ポート ミラーリングの構成
適用対象: Advanced Threat Analytics Version 1.9
Note
この記事は、ATA Lightweight Gateway ではなく ATA ゲートウェイをデプロイする場合にのみ関連します。 ATA ゲートウェイを使用する必要があるかどうかを判断するには、「デプロイに適したゲートウェイの選択」を参照してください。
ATA で使用されるメイン データ ソースは、ドメイン コントローラー間のネットワーク トラフィックの Deep Packet Inspection です。 ネットワーク トラフィックを確認する ATA の場合、ポート ミラーリングを構成するか、Network TAP を使用する必要があります。
ポート ミラーリングの場合、監視する各ドメイン コントローラーのポート ミラーリングをネットワーク トラフィックのソースとして構成します。 通常、ポート ミラーリングを構成するには、ネットワーク チームか仮想化チームと協力する必要があります。 詳細については、ご利用のベンダーのドキュメントを参照してください。
ドメイン コントローラーと ATA ゲートウェイは、物理ゲートウェイでも仮想ゲートウェイでもかまいません。 以下は、一般的なポート ミラーリングの方法と考慮事項の一部です。 詳細については、スイッチまたは仮想化サーバーに関する製品マニュアルを参照してください。 スイッチの製造元で使用される用語が異なる場合があります。
Switched Port Analyzer (SPAN) – 同じスイッチ上の 1 つ以上のスイッチ ポートから別のスイッチポートからネットワーク トラフィックをコピーします。 ATA ゲートウェイとドメイン コントローラーの両方を同じ物理スイッチに接続する必要があります。
Remote Switch Port Analyzer (RSPAN) – 複数の物理スイッチに分配されたソース ポートからネットワーク トラフィックを監視できるようにします。 RSPAN は、ソース トラフィックを特別な RSPAN 構成 VLAN にコピーします。 この VLAN は、関係する他のスイッチにトランキングする必要があります。 RSPAN はレイヤー 2 で動作します。
カプセル化された Remote Switch Port Analyzer (ERSPAN) – レイヤー 3 で動作するシスコ独自のテクノロジです。 ERSPAN を使用すると、VLAN トランクを必要とせずに、スイッチ間のトラフィックを監視できます。 ERSPAN は、監視対象のネットワーク トラフィックをコピーするために Generic Routing Encapsulation (GRE) を使用します。 ATA は現在、ERSPAN トラフィックを直接受信できません。 ATA が ERSPAN トラフィックを処理するには、トラフィックをカプセル化解除できるスイッチまたはルーターを、トラフィックがカプセル化解除される ERSPAN の宛先として構成する必要があります。 次に、SPAN または RSPAN を使用して、カプセル化解除されたトラフィックを ATA ゲートウェイに転送するようにスイッチまたはルーターを構成します。
Note
ポート ミラーされている ドメイン コントローラーが WAN リンク経由で接続されている場合は、WAN リンクが ERSPAN トラフィックの追加の負荷を処理できることを確認します。 ATA では、トラフィックが NIC と ドメイン コントローラーに同じように到達する場合のみ、トラフィック監視をサポートします。 ATA では、トラフィックが異なるポートに分割されている場合、トラフィック監視をサポートしません。
サポートされているポート ミラーリング オプション
ATA Gateway | ドメイン コントローラー | 考慮事項 |
---|---|---|
仮想 | 同じホスト上の仮想 | 仮想スイッチは、ポート ミラーリングをサポートする必要があります。 仮想マシンの 1 つを別のホストに単独で移動すると、ポート ミラーリングが壊れる場合があります。 |
仮想 | 異なるホスト上の仮想 | 仮想スイッチでこのシナリオがサポートされていることを確認します。 |
仮想 | 物理 | 専用のネットワーク アダプターが必要です。そうでない場合は、ATA はATA に送信されるトラフックを含めた、ホストに出入りするすべてのトラフィックを表示します。 |
物理 | 仮想 | 仮想スイッチでこのシナリオがサポートされていることを確認します。また、シナリオに基づいて、物理スイッチのポート ミラーリング構成がサポートされていることを確認します。 仮想ホストが同じ物理スイッチ上にある場合は、スイッチ レベル スパンを構成する必要があります。 仮想ホストが別のスイッチ上にある場合は、RSPAN または ERSPAN* を構成する必要があります。 |
物理 | 同じスイッチ上の物理 | 物理スイッチは SPAN/ポート ミラーリングをサポートする必要があります。 |
物理 | 別のスイッチの物理 | RSPAN または ERSPAN* をサポートするには、物理スイッチが必要です。 |
* ERSPAN は、トラフィックが ATA によって分析される前にカプセル化解除が実行された場合にのみサポートされます。
Note
ドメイン コントローラーと ATA ゲートウェイの接続先の時刻が 5 分以内に同期されていることを確認します。
仮想化クラスターを使用している場合:
- ATA ゲートウェイを使用する仮想マシン内の仮想化クラスターで実行されているドメイン コントローラーの場合、ドメイン コントローラーと ATA ゲートウェイ間にアフィニティを構成します。 これにより、ドメイン コントローラーがクラスターの別のホストに移動しても、ATA ゲートウェイはそれを追跡します。 これは、ドメイン コントローラーが複数ある場合に適切に機能します。
Note
お使いの環境が、異なるホスト (RSPAN) で Virtual to Virtual をサポートする場合、アフィニティの対応は不要です。
- ATA ゲートウェイ がすべての DC の監視を単独で処理できる適切なサイズにするには、各仮想化ホストの仮想マシンをインストールして、各ホストに ATA ゲートウェイをインストールするオプションを試行します。 クラスターで実行するすべてのドメイン コントローラーを監視するように ATA ゲートウェイを構成します。 この方法により、ドメイン コントローラーが実行されているホストが監視されます。
ポート ミラーリングの構成後、ATA ゲートウェイをインストールする前に、ポート ミラーリングが動作しているかを確認します。