Cisco v7.5.3 Sikker netværksanalyse

Indledning

• Brug denne vejledning til at konfigurere Cisco Secure Network Analytics (tidligere Stealthwatch), v7.5.3 eller nyere, til at registrere Zeek-telemetri.
• For at konfigurere Zeek-telemetri med Secure Network Analytics skal du sørge for at have Data Store og Analytics aktiveret.

Overview

Zeek bruges primært som en passiv netværkstrafikanalysator, der giver sikkerhedsteams mulighed for at analysere netværkstrafik, registrere mistænkelig aktivitet og undersøge potentielle trusler ved at generere detaljerede logfiler over netværkshændelser, herunder detaljer på applikationsniveau, gennem dens protokolparsingfunktioner. Zeek leverer følgende:

• Trusselsjagt og hændelsesresponsVed at analysere Zeek-logfiler kan sikkerhedsteams identificere unormal adfærd, undersøge potentielle sikkerhedshændelser og jage efter ondsindet aktivitet på tværs af netværket.
• Passiv tilstand: Fordi Zeek fungerer i passiv tilstand og observerer netværkstrafik uden at forstyrre flowet, er det mindre forstyrrende for netværksdriften.
• Detaljerede logfiler: Zeek genererer detaljerede logfiler, der indsamler omfattende oplysninger om netværksforbindelser, inklusive tidspunkteramps, kilde-/destinations-IP-adresser, porte, protokoller og endda file indhold, hvilket muliggør en grundig analyse.
• Opbevaring: Zeek-logfiler gemmes som følger.
  • De fleste logfiler gemmes i Flow Collector, men conn.loggen findes i Data Store.
  • Flow Collector sletter alle data, der er ældre end 30 dage. Du kan finde flere oplysninger i afsnittet "Ressourcekrav" i installationsvejledningen til Virtual Edition Appliance.

Krav
Sørg for, at Analytics er aktiveret. Vælg Konfigurer > Detektion > Analytics i hovedmenuen, og klik derefter på Analytics Til.

Kravene er som følger.

• Sikker netværksanalyse v7.5.3.
• Datalager med Analytics aktiveret.
• Zeek-telemetri er standardindstillingen for nye installationer under førstegangsopsætning. Hvis du opgraderer fra en tidligere version, skal du konfigurere Zeek-telemetri i Avancerede indstillinger.
• Du behøver ikke at købe en separat licens til Zeek-telemetri. For yderligere information om licensering, se Smart Software Licensing Guide 7.5.3.

Ydelsesestimat

• Vi understøtter 100,000 hændelser (Syslog-meddelelser) pr. sekund på en hardwareplatform. Du kan finde flere oplysninger om ressourcekrav til kombinerede telemetrisystemer i installationsvejledningen til Virtual Edition Appliance.
• Der er flere faktorer, såsom hændelsesfrekvens og antal logtyper, der indtages, som kan påvirke din specifikke ydeevne. Selvom vi gør vores bedste for at repræsentere dataene så retfærdigt og præcist som muligt, kan dit miljø opleve forskellige begrænsninger.

Zeek Logs
Vi indsamler alle Zeek-logs via Syslog, men fokuserer i øjeblikket kun på følgende:

• conn.log
• dns.log
• smb_files.logor smb_mappings.log
• dce_rpc_log
• I nogle tilfælde smb_files.log og dce_rpc.log kan muligvis sendes til smb_mappings.log.

Zeek-logfiler skal konfigureres til at blive eksporteret af Syslog som JSON i et bestemt format.

• Transportere: Zeek-logfiler bruger JSON-formatet i stedet for Syslog over UDP (standardport 9514).
• Format: Zeek-loggeneratoren skal tilføje zeek_filenavn="xxx.log"tag før JSONL-strengen for Flow Collector.

Konfiguration af Flow Collector til at indtage Zeek-telemetri

Disse er de to muligheder for at konfigurere Zeek-telemetri i Secure Network Analytics:

• Første gangs opsætning: Zeek-telemetri er standardindstillingen for nye installationer, men du kan bekræfte Zeek-telemetri under første opsætning (kun datalager).
• Avancerede indstillinger: Når du opgraderer fra en tidligere version, skal du konfigurere Zeek Telemetry i Avancerede indstillinger.

Du kan finde flere oplysninger om konfiguration af Secure Network Analytics i systemkonfigurationsvejledningen.

Bekræft Zeek-telemetri under første opsætning (kun datalager)
For at aktivere indtagelse af Zeek-telemetri på en ny Flow Collector med Data Store skal du udføre følgende trin:

1. Følg instruktionerne i den relevante installationsvejledning til din Flow Collector. Brug derefter systemkonfigurationsvejledningen for at få mere detaljerede instruktioner om konfiguration af flere telemetrityper.
2. Få adgang til den virtuelle maskinkonsol. Lad den virtuelle maskine færdiggøre opstarten.
3. Log ind via konsollen.
   • Login: sysadmin
   • Standard adgangskode: lan1cope
     Du ændrer typisk standardadgangskoden, når du konfigurerer systemet for første gang.
4. Review Oplysninger om mislykkede loginforsøg. Vælg OK for at fortsætte.
5. Review Introduktion til førstegangsopsætning. Vælg OK for at fortsætte.
6. Vælg Zeek Logs fra listen over telemetrityper. Vælg OK for at fortsætte. Alle telemetrityper er som standard valgt i en ny implementering. Hvis du opgraderer til v752 fra en tidligere version, skal du se Konfigurer Zeek Telemetri i Avancerede indstillinger.
7. Bekræft, at porten til Zeek Logs er 9514, og vælg derefter OK. Vi anbefaler, at du bruger port 9514. Brug ikke port 2055, 514 eller 8514.
   Sørg for, at dine telemetriporte er unikke. Hvis du konfigurerer dubletter af telemetriporte, nulstilles portene til deres interne standardindstillinger for at undgå tab af flowdata. F.eks.ampHvis NetFlow og Zeek eksporteres til den samme telemetriport, vil hver enhed, der eksporterer Zeek-data, oprette en eksportør på Flow Collector og opbruge eksportørressourcerne i Flow Collector-motoren, hvilket resulterer i tab af flowdata.
8. Klik på Anvend for at gemme dine ændringer.
9. Følg anvisningerne på skærmen for at afslutte det virtuelle miljø og genstarte apparatet.

Konfigurer Zeek Telemetri i Avancerede indstillinger

Sørg for at installere den nyeste Flow Collector NetFlow-opdateringsopdatering, før du starter denne procedure.

For at begynde at indtage Zeek-telemetri på en Flow Collector, der allerede er konfigureret, skal du udføre følgende trin:

1. Log ind på din leder.
2. Fra hovedmenuen skal du vælge Konfigurer > Global > Central administration.
3. På lagersiden skal du klikke på ikonet… (Ellipse) for din Flow Collector og derefter vælge View Apparatstatistik. Flow Collector-administratorgrænsefladen åbnes.
4. Vælg Support > Avancerede indstillinger.
   Hvis et felt ikke vises, skal du klikke på feltet Tilføj ny indstilling. Du kan finde flere oplysninger om redigering af avancerede indstillinger i Flow Collector i hjælpen til emnet Avancerede indstillinger.
5. I feltet enable_zeek skal du indstille værdien til 1 for at registrere Zeek-telemetri. Sørg for, at du har konfigureret Zeek til at videresende logs i JSON-format.
6. Bekræft at værdien er indstillet til 9514 i feltet zeek_port.

Sørg for, at dine telemetriporte er unikke. Hvis du konfigurerer dubletter af telemetriporte, nulstilles portene til deres interne standardindstillinger for at undgå tab af flowdata. F.eks.ampHvis NetFlow og Zeek eksporteres til den samme telemetriport, vil hver enhed, der eksporterer Zeek-data, oprette en eksportør på Flow Collector og opbruge eksportørressourcerne i Flow Collector-motoren, hvilket resulterer i tab af flowdata.

Bekræftelse af Zeek-telemetri

For at bekræfte, at Zeek-telemetri optages, review Zeek Log Collection Trend-rapporten:

1. Log ind på din leder.
2. Fra hovedmenuen skal du vælge Rapport > Rapportbygger.
3. Klik på Opret ny rapport, og vælg derefter Zeek Log Collection Trend.
4. Klik på Kør.
5. Bekræft, at rapporten viser Zeek-telemetri.

Zeek Log Collection Trendrapport
Følgende sampDelrapporten Zeek Log Collection Trend Report viser, at Zeek-telemetri er blevet registreret.

Rapport Sample 1
Denne rapportample giver en time view.

Rapport Sample 2

• Denne rapportample tilbyder en 12-timers view.
• For mere information om rapporter, klik på (Hjælp)-ikonet for at få adgang til hjælpeemnet i Rapportbyggeren.

Evaluering af Zeek Events

Der er to yderligere rapporter tilgængelige, der kan hjælpe dig med at evaluere Zeek-begivenheder:

• Zeek Database Ingest Trendrapport
• Zeek Logs-rapport
• Sørg for, at Data Store og Analytics er aktiveret.
• For at aktivere Analytics skal du vælge Konfigurer > Detektion > Analytics i hovedmenuen og derefter klikke på Analytics Til.

Zeek Database Ingest Trendrapport
For at evaluere Zeek conn.log-hændelserne, der skrives til dit datalager, skal du gøre følgende:

1. Log ind på din leder.
2. Fra hovedmenuen skal du vælge Rapport > Rapportbygger.
3. Klik på Opret ny rapport, og vælg derefter Zeek Database Ingest Trend.
4. Klik på Kør.
5. Review rapporten:
   • Modtager datalageret Zeek conn.log-hændelser?
   • Var der nogen afbrydelser?

Rapport Sample

• Dette sample tilbyder en 12-timers view.
• View Poster skrevet som hændelsesbytes pr. periode eller hændelsesantal pr. periode.

Zeek Logs-rapport

• Sørg for, at din Flow Collector er konfigureret til at modtage data fra Zeek. Se systemkonfigurationsvejledningen for instruktioner.
• Til review For at logge Zeek-telemetrihændelser for en specifik Zeek-logtype for en Flow Collector, skal du gøre følgende:
• Du kan køre op til fire Zeek-logforespørgsler samtidigt med yderligere forespørgsler, der venter i en kø.

1. Log ind på din leder.
2. Fra hovedmenuen skal du vælge Rapport > Rapportbygger.
3. Klik på Opret ny rapport, og vælg derefter Zeek-logfiler.
4. Angiv parametre i de obligatoriske felter i området Generelt. Parameter Mere information
   • Tidsområde Hvis du vælger Brugerdefineret, skal du vælge et kort tidsinterval for at opnå maksimal ydeevne. Hvis du indtaster et langt tidsinterval, kan det tage lang tid for rapporten at forespørge dataene.
   • Flowsamler Vælg en Secure Network Analytics Flow Collector i dit netværk.
   • Max Records Vælg det maksimale antal poster. Grænsen er 10,000 poster.
   • Zeek-logtype Vælg en Zeek-logtype.
   • Hvis du vælger en anden log end conn.log i feltet Zeek Log Type, kan rapporten blive lang, men den skal køres helt til den er færdig.
5. Brug filterområdet til at angive yderligere parametre, hvis det er nødvendigt.
6. Klik på Kør.

Rapport Sample

• Der blev valgt valgfrie parametre ved oprettelsen af ​​denne rapport.ample.
• For at modtage data i denne rapport skal du bruge Secure Network Analytics med en Data Store-implementering. Se installationsvejledningen til apparatet (hardware eller virtuel udgave) og systemkonfigurationsvejledningen for at få oplysninger og instruktioner.

Kontakt Support
Hvis du har brug for teknisk support, skal du gøre et af følgende:

• Kontakt din lokale Cisco-partner
• Kontakt Cisco Support
• At åbne en sag ved web: http://www.cisco.com/c/en/us/support/index.html
• For telefonsupport: 1-800-553-2447 (OS)
• For verdensomspændende supportnumre: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Ændringshistorik

Dokumentversion	Udgivet dato	Beskrivelse
1_0	6. august 2025	Oprindelig version.

Oplysninger om ophavsret
Cisco og Cisco-logoet er varemærker eller registrerede varemærker tilhørende Cisco og/eller dets datterselskaber i USA og andre lande. Til view en liste over Cisco-varemærker, gå til denne URL: https://www.cisco.com/go/trademarks. De nævnte tredjepartsvaremærker tilhører deres respektive ejere. Brugen af ​​ordet partner indebærer ikke et partnerskabsforhold mellem Cisco og nogen anden virksomhed. (1721R)

Dokumenter/ressourcer

Cisco v7.5.3 Sikker netværksanalyse [pdfBrugervejledning v7.5.3, v7.5.3 Sikker netværksanalyse, v7.5.3, Sikker netværksanalyse, Netværksanalyse, Analyse

Referencer

• Brugermanual