Poortspiegeling configureren
Van toepassing op: Advanced Threat Analytics versie 1.9
Opmerking
Dit artikel is alleen relevant als u ATA-gateways implementeert in plaats van ATA Lightweight-gateways. Zie De juiste gateways voor uw implementatie kiezen om te bepalen of u ATA-gateways moet gebruiken.
De belangrijkste gegevensbron die door ATA wordt gebruikt, is grondige pakketinspectie van het netwerkverkeer van en naar uw domeincontrollers. Ata kan het netwerkverkeer alleen zien als u poortspiegeling configureert of een netwerk TAP gebruikt.
Voor poortspiegeling configureert u poortspiegeling voor elke te bewaken domeincontroller als bron van het netwerkverkeer. Normaal gesproken moet u samenwerken met het netwerk- of virtualisatieteam om poortspiegeling te configureren. Zie de documentatie van uw leverancier voor meer informatie.
Uw domeincontrollers en ATA-gateways kunnen fysiek of virtueel zijn. Hier volgen veelvoorkomende methoden voor poortspiegeling en enkele overwegingen. Raadpleeg de productdocumentatie voor uw switch- of virtualisatieserver voor meer informatie. De fabrikant van de switch kan andere terminologie gebruiken.
Switched Port Analyzer (SPAN): kopieert netwerkverkeer van een of meer switchpoorten naar een andere switchpoort op dezelfde switch. Zowel de ATA Gateway als de domeincontrollers moeten zijn verbonden met dezelfde fysieke switch.
Remote Switch Port Analyzer (RSPAN): hiermee kunt u netwerkverkeer bewaken vanaf bronpoorten verdeeld over meerdere fysieke switches. RSPAN kopieert het bronverkeer naar een speciaal met RSPAN geconfigureerd VLAN. Dit VLAN moet worden gekoppeld aan de andere betrokken switches. RSPAN werkt op laag 2.
Encapsulated Remote Switch Port Analyzer (ERSPAN): is een eigen Cisco-technologie die werkt op Laag 3. MET ERSPAN kunt u verkeer tussen switches bewaken zonder dat U VLAN-trunks nodig hebt. ERSPAN maakt gebruik van generic routing encapsulation (GRE) om bewaakt netwerkverkeer te kopiƫren. ATA kan momenteel geen ERSPAN-verkeer rechtstreeks ontvangen. ATA werkt alleen met ERSPAN-verkeer als een switch of router die het verkeer kan decapsuleren, is geconfigureerd als de bestemming van ERSPAN waar het verkeer wordt afgekapt. Configureer vervolgens de switch of router om het gedecapsuleerde verkeer door te sturen naar de ATA-gateway met behulp van SPAN of RSPAN.
Opmerking
Als de domeincontroller die wordt gespiegeld via een WAN-koppeling is verbonden, controleert u of de WAN-koppeling de extra belasting van het ERSPAN-verkeer kan verwerken. ATA ondersteunt alleen verkeersbewaking wanneer het verkeer op dezelfde manier de NIC en de domeincontroller bereikt. ATA biedt geen ondersteuning voor verkeersbewaking wanneer het verkeer wordt uitgesplitsd naar verschillende poorten.
Ondersteunde opties voor poortspiegeling
| ATA Gateway | Domeincontroller | Overwegingen |
|---|---|---|
| Virtueel | Virtueel op dezelfde host | De virtuele switch moet poortspiegeling ondersteunen. Het verplaatsen van een van de virtuele machines naar een andere host kan de poortspiegeling onderbreken. |
| Virtueel | Virtueel op verschillende hosts | Zorg ervoor dat uw virtuele switch dit scenario ondersteunt. |
| Virtueel | Lichamelijk | Vereist een toegewezen netwerkadapter, anders ziet ATA al het verkeer dat van en naar de host komt, zelfs het verkeer dat naar het ATA Center wordt verzonden. |
| Lichamelijk | Virtueel | Zorg ervoor dat uw virtuele switch dit scenario en de configuratie voor poortspiegeling op uw fysieke switches ondersteunt op basis van het scenario: Als de virtuele host zich op dezelfde fysieke switch bevindt, moet u een bereik op switchniveau configureren. Als de virtuele host zich op een andere switch bevindt, moet u RSPAN of ERSPAN* configureren. |
| Lichamelijk | Fysiek op dezelfde switch | Fysieke switch moet ondersteuning bieden voor SPAN/Poortspiegeling. |
| Lichamelijk | Fysiek op een andere schakelaar | Vereist fysieke switches ter ondersteuning van RSPAN of ERSPAN*. |
* ERSPAN wordt alleen ondersteund wanneer decapsulatie wordt uitgevoerd voordat het verkeer wordt geanalyseerd door ATA.
Opmerking
Zorg ervoor dat domeincontrollers en de ATA-gateways waarmee ze verbinding maken, de tijd binnen vijf minuten van elkaar hebben gesynchroniseerd.
Als u met virtualisatieclusters werkt:
- Configureer voor elke domeincontroller die wordt uitgevoerd op het virtualisatiecluster in een virtuele machine met de ATA Gateway affiniteit tussen de domeincontroller en de ATA-gateway. Op deze manier wordt de ATA-gateway gevolgd wanneer de domeincontroller naar een andere host in het cluster wordt verplaatst. Dit werkt goed wanneer er een paar domeincontrollers zijn.
Opmerking
Als uw omgeving Virtual to Virtual op verschillende hosts (RSPAN) ondersteunt, hoeft u zich geen zorgen te maken over affiniteit.
- Als u wilt controleren of de ATA-gateways de juiste grootte hebben om alle DC's afzonderlijk te kunnen bewaken, probeert u deze optie: Installeer een virtuele machine op elke virtualisatiehost en installeer een ATA-gateway op elke host. Configureer elke ATA-gateway om alle domeincontrollers te bewaken die op het cluster worden uitgevoerd. Op deze manier wordt elke host waarop de domeincontrollers worden uitgevoerd, bewaakt.
Nadat u poortspiegeling hebt geconfigureerd, controleert u of poortspiegeling werkt voordat u de ATA-gateway installeert.