Konfigurer portspeiling
Gjelder for: Advanced Threat Analytics versjon 1.9
Obs!
Denne artikkelen er bare relevant hvis du distribuerer ATA Gateways i stedet for ATA Lightweight Gateways. Hvis du vil finne ut om du trenger å bruke ATA-gatewayer, kan du se Velge riktige gatewayer for distribusjonen.
Hoveddatakilden som brukes av ATA, er dyp pakkeinspeksjon av nettverkstrafikken til og fra domenekontrollerne. For at ATA skal kunne se nettverkstrafikken, må du konfigurere portspeiling eller bruke nettverks-TAP.
For portspeiling kan du konfigurere portspeiling for hver domenekontroller som skal overvåkes, som kilden til nettverkstrafikken. Vanligvis må du jobbe med nettverks- eller virtualiseringsteamet for å konfigurere portspeiling. Hvis du vil ha mer informasjon, kan du se leverandørens dokumentasjon.
Domenekontrollerne og ATA-gatewayene kan være fysiske eller virtuelle. Følgende er vanlige metoder for portspeiling og noen hensyn. Hvis du vil ha mer informasjon, kan du se produktdokumentasjonen for- eller virtualiseringsserveren. Bytt produsent kan bruke annen terminologi.
Byttet portanalyse (SPAN) – kopierer nettverkstrafikken fra én eller flere byttingsporter til en annen byttingsport på samme bryter. Både ATA Gateway og domenekontrollere må være koblet til samme fysiske bryter.
Remote Switch Port Analyzer (RSPAN) – lar deg overvåke nettverkstrafikk fra kildeporter distribuert over flere fysiske brytere. RSPAN kopierer kildetrafikken til en spesiell RSPAN-konfigurert VLAN. Denne VLAN må være trunked til de andre bryterne involvert. RSPAN fungerer på Lag 2.
Encapsulated Remote Switch Port Analyzer (ERSPAN) – er en Cisco proprietær teknologi som arbeider på Lag 3. MED ERSPAN kan du overvåke trafikken på tvers av brytere uten behov for VLAN-trunker. ERSPAN bruker generisk ruting-innkapsling (GRE) til å kopiere overvåket nettverkstrafikk. ATA kan for øyeblikket ikke motta FEILSPAN-trafikk direkte. For at ATA skal fungere med ERSPAN-trafikk, må en bryter eller ruter som kan innkapsle trafikken, konfigureres som målet for ERSPAN der trafikken er innkapslet. Konfigurer deretter bryteren eller ruteren for å videresende den innkapslede trafikken til ATA Gateway ved hjelp av ENTEN SPAN eller RSPAN.
Obs!
Hvis domenekontrolleren som blir portspeilet, er koblet til via en WAN-kobling, må du kontrollere at WAN-koblingen kan håndtere den ekstra belastningen av ERSPAN-trafikken. ATA støtter bare trafikkovervåking når trafikken når NIC og domenekontrolleren på samme måte. ATA støtter ikke trafikkovervåking når trafikken brytes ut til forskjellige porter.
Alternativer for portspeiling som støttes
| ATA Gateway | Domenekontroller | Hensyn |
|---|---|---|
| Virtuell | Virtuell på samme vert | Den virtuelle bryteren må støtte portspeiling. Hvis du flytter en av de virtuelle maskinene til en annen vert alene, kan portspeilingen brytes. |
| Virtuell | Virtuelt på ulike verter | Kontroller at den virtuelle bryteren støtter dette scenarioet. |
| Virtuell | Fysisk | Krever et dedikert nettverkskort, ellers ser ATA all trafikken som kommer inn og ut av verten, selv trafikken den sender til ATA-senteret. |
| Fysisk | Virtuell | Kontroller at den virtuelle bryteren støtter dette scenarioet – og konfigurasjon av portspeiling på de fysiske bryterne basert på scenarioet: Hvis den virtuelle verten har samme fysiske bryter, må du konfigurere et vekslenivåintervall. Hvis den virtuelle verten har en annen bryter, må du konfigurere RSPAN eller ERSPAN*. |
| Fysisk | Fysisk på samme bryter | Fysisk bryter må støtte SPAN/Port Mirroring. |
| Fysisk | Fysisk på en annen bryter | Krever fysiske brytere for å støtte RSPAN eller ERSPAN*. |
* ERSPAN støttes bare når dekapsling utføres før trafikken analyseres av ATA.
Obs!
Kontroller at domenekontrollere og ATA-gatewayene de kobler til, har tid synkronisert til innen fem minutter fra hverandre.
Hvis du arbeider med virtualiseringsklynger:
- Konfigurer affinitet mellom domenekontrolleren og ATA Gateway for hver domenekontroller som kjører på virtualiseringsklyngen i en virtuell maskin med ATA Gateway. På denne måten når domenekontrolleren flyttes til en annen vert i klyngen, følger ATA Gateway den. Dette fungerer bra når det er noen domenekontrollere.
Obs!
Hvis miljøet ditt støtter Virtual to Virtual på forskjellige verter (RSPAN), trenger du ikke å bekymre deg for affinitet.
- Hvis du vil forsikre deg om at ATA-gatewayene har riktig størrelse for å håndtere overvåking av alle DCene alene, kan du prøve dette alternativet: Installer en virtuell maskin på hver virtualiseringsvert, og installer en ATA Gateway på hver vert. Konfigurer hver ATA-gateway til å overvåke alle domenekontrollerne som kjører på klyngen. På denne måten overvåkes alle verter som domenekontrollerne kjører på.
Når du har konfigurert portspeiling, må du kontrollere at portspeiling fungerer før du installerer ATA Gateway.