ポート ミラーリングの構成
適用対象: Advanced Threat Analytics バージョン 1.9
注:
この記事は、ATA ライトウェイト ゲートウェイではなく ATA ゲートウェイをデプロイする場合にのみ関連します。 ATA ゲートウェイを使用する必要があるかどうかを判断するには、「 デプロイに適したゲートウェイの選択」を参照してください。
ATA によって使用されるメイン データ ソースは、ドメイン コントローラーとの間のネットワーク トラフィックのディープ パケット検査です。 ATA でネットワーク トラフィックを確認するには、ポート ミラーリングを構成するか、ネットワーク TAP を使用する必要があります。
ポート ミラーリングの場合は、ネットワーク トラフィックのソースとして、監視するドメイン コントローラーごとにポート ミラーリングを構成します。 通常、ポート ミラーリングを構成するには、ネットワークまたは仮想化チームと連携する必要があります。 詳細については、ベンダーのドキュメントを参照してください。
ドメイン コントローラーと ATA ゲートウェイは、物理または仮想のいずれかです。 ポート ミラーリングの一般的な方法と、いくつかの考慮事項を次に示します。 詳細については、スイッチまたは仮想化サーバーの製品ドキュメントを参照してください。 スイッチの製造元は、さまざまな用語を使用する場合があります。
スイッチド ポート アナライザー (SPAN) – 同じスイッチ上の 1 つ以上のスイッチ ポートから別のスイッチ ポートにネットワーク トラフィックをコピーします。 ATA ゲートウェイとドメイン コントローラーの両方が同じ物理スイッチに接続されている必要があります。
リモート スイッチ ポート アナライザー (RSPAN) – 複数の物理スイッチに分散されたソース ポートからのネットワーク トラフィックを監視できます。 RSPAN は、ソース トラフィックを特別な RSPAN 構成 VLAN にコピーします。 この VLAN は、関係する他のスイッチにトランキングする必要があります。 RSPAN はレイヤー 2 で動作します。
カプセル化されたリモート スイッチ ポート アナライザー (ERSPAN) – レイヤ 3 で動作するシスコ独自のテクノロジです。 ERSPAN を使用すると、VLAN トランクを必要とせずに、スイッチ間のトラフィックを監視できます。 ERSPAN では、汎用ルーティング カプセル化 (GRE) を使用して、監視対象のネットワーク トラフィックをコピーします。 ATA は現在、ERSPAN トラフィックを直接受信できません。 ATA が ERSPAN トラフィックを処理するには、トラフィックをカプセル化解除できるスイッチまたはルーターを、トラフィックがカプセル化解除される ERSPAN の宛先として構成する必要があります。 次に、SPAN または RSPAN を使用して、カプセル化解除されたトラフィックを ATA ゲートウェイに転送するようにスイッチまたはルーターを構成します。
注:
ポート ミラーリングされているドメイン コントローラーが WAN リンク経由で接続されている場合は、WAN リンクが ERSPAN トラフィックの追加の負荷を処理できることを確認します。 ATA では、トラフィックが NIC とドメイン コントローラーに同じ方法で到達した場合にのみ、トラフィックの監視がサポートされます。 ATA では、トラフィックが異なるポートに分割された場合のトラフィック監視はサポートされません。
サポートされているポート ミラーリング オプション
| ATA ゲートウェイ | ドメイン コントローラー | 考慮事項 |
|---|---|---|
| 仮想 | 同じホスト上の仮想 | 仮想スイッチは、ポート ミラーリングをサポートする必要があります。 仮想マシンの 1 つを別のホストに単独で移動すると、ポート ミラーリングが中断される可能性があります。 |
| 仮想 | 異なるホスト上の仮想 | 仮想スイッチでこのシナリオがサポートされていることを確認します。 |
| 仮想 | 形而下 | それ以外の場合は、専用ネットワーク アダプターが必要な場合、ATA は、ATA センターに送信されるトラフィックであっても、ホストに出入りするすべてのトラフィックを確認します。 |
| 形而下 | 仮想 | 仮想スイッチでこのシナリオと、シナリオに基づく物理スイッチのポート ミラーリング構成がサポートされていることを確認します。 仮想ホストが同じ物理スイッチ上にある場合は、スイッチ レベルのスパンを構成する必要があります。 仮想ホストが別のスイッチ上にある場合は、RSPAN または ERSPAN* を構成する必要があります。 |
| 形而下 | 同じスイッチ上の物理 | 物理スイッチは SPAN/ポート ミラーリングをサポートする必要があります。 |
| 形而下 | 別のスイッチ上の物理 | RSPAN または ERSPAN* をサポートする物理スイッチが必要です。 |
* ERSPAN は、トラフィックが ATA によって分析される前にカプセル化解除が実行された場合にのみサポートされます。
注:
ドメイン コントローラーと接続先の ATA ゲートウェイが、互いに 5 分以内に同期されていることを確認します。
仮想化クラスターを使用している場合:
- ATA ゲートウェイを使用する仮想マシン内の仮想化クラスターで実行されているドメイン コントローラーごとに、ドメイン コントローラーと ATA ゲートウェイの間のアフィニティを構成します。 これにより、ドメイン コントローラーがクラスター内の別のホストに移動すると、ATA ゲートウェイがそれに従います。 これは、いくつかのドメイン コントローラーがある場合に適切に機能します。
注:
お使いの環境で異なるホスト (RSPAN) で Virtual to Virtual がサポートされている場合は、アフィニティについて心配する必要はありません。
- ATA ゲートウェイが、すべての DC の監視を単独で処理するように適切なサイズになるようにするには、次のオプションを試してください。各仮想化ホストに仮想マシンをインストールし、各ホストに ATA ゲートウェイをインストールします。 クラスターで実行されるすべてのドメイン コントローラーを監視するように各 ATA ゲートウェイを構成します。 これにより、ドメイン コントローラーが実行されるホストが監視されます。
ポート ミラーリングを構成した後、ATA ゲートウェイをインストールする前に、ポート ミラーリングが機能していることを確認します。