सामग्री लपवा
1 सिस्को v7.5.3 सुरक्षित नेटवर्क विश्लेषण
2 परिचय
3 ओव्हरview
4 कामगिरी अंदाज
5 झीक टेलीमेट्री अंतर्ग्रहण करण्यासाठी फ्लो कलेक्टर कॉन्फिगर करणे
6 प्रगत सेटिंग्जमध्ये झीक टेलीमेट्री कॉन्फिगर करा
7 झीक टेलीमेट्रीची पडताळणी करत आहे
8 झीक इव्हेंट्सचे मूल्यांकन करणे
9 झीक लॉग रिपोर्ट
10 कागदपत्रे / संसाधने
10.1 संदर्भ

सिस्को-लोगो

सिस्को v7.5.3 सुरक्षित नेटवर्क विश्लेषण

सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-प्रोडक्ट-इमेज १

परिचय

  • झीक टेलीमेट्री कॅप्चर करण्यासाठी सिस्को सिक्योर नेटवर्क अॅनालिटिक्स (पूर्वीचे स्टील्थवॉच), v7.5.3 किंवा नंतरचे कॉन्फिगर करण्यासाठी या मार्गदर्शकाचा वापर करा.
  • सुरक्षित नेटवर्क अॅनालिटिक्ससह झीक टेलिमेट्री कॉन्फिगर करण्यासाठी, डेटा स्टोअर आणि अॅनालिटिक्स सक्षम असल्याची खात्री करा.

ओव्हरview

झीकचा वापर प्रामुख्याने निष्क्रिय नेटवर्क ट्रॅफिक विश्लेषक म्हणून केला जातो जो सुरक्षा पथकांना नेटवर्क ट्रॅफिकचे विश्लेषण करण्यास, संशयास्पद क्रियाकलाप शोधण्यास आणि त्याच्या प्रोटोकॉल पार्सिंग क्षमतांद्वारे अॅप्लिकेशन-स्तरीय तपशीलांसह नेटवर्क इव्हेंट्सचे तपशीलवार लॉग तयार करून संभाव्य धोक्यांचा शोध घेण्यास अनुमती देतो. झीक खालील गोष्टी प्रदान करते:

  • धमकी शिकार आणि घटनेचा प्रतिसाद: झीक लॉगचे विश्लेषण करून, सुरक्षा पथके असामान्य वर्तन ओळखू शकतात, संभाव्य सुरक्षा घटनांची तपासणी करू शकतात आणि नेटवर्कवरील दुर्भावनापूर्ण क्रियाकलापांचा शोध घेऊ शकतात.
  • निष्क्रिय मोड: झीक निष्क्रिय मोडमध्ये काम करत असल्याने, प्रवाहात व्यत्यय न आणता नेटवर्क ट्रॅफिकचे निरीक्षण करत असल्याने, ते नेटवर्क ऑपरेशन्समध्ये कमी व्यत्यय आणते.
  • तपशीलवार नोंदी: झीक तपशीलवार लॉग तयार करतो जे नेटवर्क कनेक्शनबद्दल व्यापक माहिती कॅप्चर करते, ज्यामध्ये वेळेचा समावेश आहेamps, स्रोत/गंतव्यस्थान IP पत्ते, पोर्ट, प्रोटोकॉल आणि अगदी file सामग्री, सखोल विश्लेषण सुलभ करते.
  • स्टोरेज: झीक लॉग खालीलप्रमाणे साठवले जातात.
    • बहुतेक लॉग फ्लो कोलेक्टरमध्ये साठवले जातात, परंतु conn.log डेटा स्टोअरमध्ये आहे.
    • फ्लो कलेक्टर ३० दिवसांपेक्षा जुना सर्व डेटा हटवतो. अधिक माहितीसाठी, व्हर्च्युअल एडिशन अप्लायन्स इंस्टॉलेशन गाइडमधील "रिसोर्स रिक्वायरमेंट्स" पहा.

आवश्यकता
Analytics सक्षम असल्याची खात्री करा. मुख्य मेनूमधून Configure > Detection > Analytics निवडा, नंतर Analytics On वर क्लिक करा.

आवश्यकता खालीलप्रमाणे आहेत.

  • सुरक्षित नेटवर्क विश्लेषण v7.5.3.
  • विश्लेषण सक्षम असलेले डेटा स्टोअर.
  • फर्स्ट टाइम सेटअप दरम्यान नवीन इंस्टॉलेशनसाठी Zeek टेलिमेट्री डीफॉल्ट आहे. जर तुम्ही मागील रिलीझवरून अपग्रेड करत असाल, तर तुम्हाला प्रगत सेटिंग्जमध्ये Zeek टेलिमेट्री कॉन्फिगर करावी लागेल.
  • झीक टेलिमेट्रीसाठी तुम्हाला वेगळा परवाना खरेदी करण्याची आवश्यकता नाही. परवाना देण्याबद्दल अधिक माहितीसाठी, स्मार्ट सॉफ्टवेअर परवाना मार्गदर्शक 7.5.3 पहा.

कामगिरी अंदाज

  • आम्ही हार्डवेअर प्लॅटफॉर्मवर प्रति सेकंद १००,००० इव्हेंट्स (सिसलॉग मेसेजेस) ला सपोर्ट करतो. रिसोर्स आवश्यकतांबद्दल अधिक माहितीसाठी, हार्डवेअर इंस्टॉलेशन गाइड पहा. एकत्रित टेलीमेट्री रिसोर्स आवश्यकतांबद्दल अधिक माहितीसाठी, व्हर्च्युअल एडिशन अप्लायन्स इंस्टॉलेशन गाइड पहा.
  • तुमच्या विशिष्ट कामगिरीवर परिणाम करणारे अनेक घटक आहेत, जसे की इव्हेंट रेट आणि इनजेस्टेड लॉग प्रकारांची संख्या. आम्ही शक्य तितक्या निष्पक्ष आणि अचूकपणे डेटा सादर करण्याचा सर्वोत्तम प्रयत्न करतो, तरीही तुमच्या वातावरणाला वेगवेगळ्या मर्यादा येऊ शकतात.

झीक लॉग्ज
आम्ही सर्व झीक लॉग सिस्लॉग द्वारे गोळा करत आहोत परंतु सध्या फक्त खालील गोष्टींवर लक्ष केंद्रित करत आहोत:

  • कनेक्ट.लॉग
  • dns.log
  • एसएमबी_files.logor smb_mappings.log
  • डीसीई_आरपीसी_लॉग
  • काही प्रकरणांमध्ये, smb_files.logand dce_rpc.log हे smb_mappings.log वर पाठवले जाऊ शकतात.

Zeek लॉग हे Syslog द्वारे JSON म्हणून विशिष्ट स्वरूपात निर्यात करण्यासाठी कॉन्फिगर केलेले असले पाहिजेत.

  • वाहतूक: Zeek लॉग UDP (डिफॉल्ट पोर्ट 9514) वर Syslog वर JSON फॉरमॅट वापरतात.
  • स्वरूप: झीक लॉग जनरेटरने झीक_ जोडणे आवश्यक आहे.fileनाव="xxx.log"tag फ्लो कलेक्टरसाठी JSONL स्ट्रिंगच्या आधी.

झीक टेलीमेट्री अंतर्ग्रहण करण्यासाठी फ्लो कलेक्टर कॉन्फिगर करणे

सिक्युअर नेटवर्क अॅनालिटिक्समध्ये झीक टेलिमेट्री कॉन्फिगर करण्यासाठी हे दोन पर्याय आहेत:

  • प्रथम वेळ सेटअप: नवीन इंस्टॉलेशनसाठी झीक टेलिमेट्री डीफॉल्ट आहे, परंतु तुम्ही पहिल्यांदा सेटअप दरम्यान झीक टेलिमेट्रीची पुष्टी करू शकता (केवळ डेटा स्टोअर).
  • प्रगत सेटिंग्ज: जेव्हा तुम्ही मागील आवृत्तीवरून अपग्रेड करत असाल, तेव्हा तुम्हाला प्रगत सेटिंग्जमध्ये Zeek टेलीमेट्री कॉन्फिगर करावी लागेल.

सुरक्षित नेटवर्क विश्लेषणे कॉन्फिगर करण्याबद्दल अधिक माहितीसाठी, सिस्टम कॉन्फिगरेशन मार्गदर्शक पहा.

पहिल्यांदा सेटअप करताना झीक टेलीमेट्रीची पुष्टी करा (फक्त डेटा स्टोअर)
डेटा स्टोअरसह नवीन फ्लो कलेक्टरवर झीक टेलिमेट्रीचे सेवन सक्षम करण्यासाठी, खालील चरण पूर्ण करा:

  1. तुमच्या फ्लो कलेक्टरसाठी लागू असलेल्या उपकरण स्थापना मार्गदर्शकातील सूचनांचे पालन करा. त्यानंतर, अनेक टेलीमेट्री प्रकारांच्या उपकरण कॉन्फिगरेशनबद्दल अधिक तपशीलवार सूचनांसाठी सिस्टम कॉन्फिगरेशन मार्गदर्शक वापरा.
  2. व्हर्च्युअल मशीन कन्सोलमध्ये प्रवेश करा. व्हर्च्युअल उपकरणाला बूट करणे पूर्ण करण्याची परवानगी द्या.
  3. कन्सोलद्वारे लॉग इन करा.
    • लॉगिन: sysadmin
    • डीफॉल्ट पासवर्ड: लॅन१कोप
      जेव्हा तुम्ही पहिल्यांदा सिस्टम कॉन्फिगर करता तेव्हा तुम्हाला सामान्यतः डीफॉल्ट पासवर्ड बदलावा लागतो.
  4. Review अयशस्वी लॉगिन प्रयत्नांची माहिती. पुढे जाण्यासाठी ओके निवडा.सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (1)
  5. Review पहिल्या वेळेच्या सेटअपची ओळख. पुढे जाण्यासाठी ओके निवडा.सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (2)
  6. टेलीमेट्री प्रकारांच्या यादीतून Zeek Logs निवडा. पुढे जाण्यासाठी OK निवडा.सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (3) नवीन डिप्लॉयमेंटमध्ये सर्व टेलीमेट्री प्रकार डीफॉल्टनुसार निवडले जातात. जर तुम्ही मागील रिलीझवरून v752 वर अपग्रेड करत असाल, तर प्रगत सेटिंग्जमध्ये "Zeek Telemetry कॉन्फिगर करा" पहा.
  7. Zeek Logs चा पोर्ट ९५१४ आहे याची खात्री करा, नंतर OK निवडा.सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (4) आम्ही तुम्हाला ९५१४ पोर्ट वापरण्याची शिफारस करतो. २०५५, ५१४ किंवा ८५१४ पोर्ट वापरू नका.
    तुमचे टेलिमेट्री पोर्ट अद्वितीय आहेत याची खात्री करा. जर तुम्ही डुप्लिकेट टेलिमेट्री पोर्ट कॉन्फिगर केले तर, फ्लो डेटाचे नुकसान टाळण्यासाठी पोर्ट त्यांच्या अंतर्गत डीफॉल्टवर रीसेट केले जातील. उदा.ampतसेच, जर नेटफ्लो आणि झीक एकाच टेलीमेट्री पोर्टवर निर्यात केले तर, झीक डेटा निर्यात करणारे प्रत्येक उपकरण फ्लो कलेक्टरवर एक निर्यातक तयार करेल आणि फ्लो कलेक्टर इंजिनमधील निर्यातक संसाधने संपवेल, परिणामी फ्लो डेटा नष्ट होईल.
  8. तुमचे बदल जतन करण्यासाठी लागू करा क्लिक करा.
  9. व्हर्च्युअल वातावरण पूर्ण करण्यासाठी आणि उपकरण रीस्टार्ट करण्यासाठी ऑन-स्क्रीन सूचनांचे अनुसरण करा.

प्रगत सेटिंग्जमध्ये झीक टेलीमेट्री कॉन्फिगर करा

ही प्रक्रिया सुरू करण्यापूर्वी नवीनतम फ्लो कलेक्टर नेटफ्लो रोलअप पॅच स्थापित करा.

आधीच कॉन्फिगर केलेल्या फ्लो कलेक्टरवर झीक टेलिमेट्री इंजेस्ट करणे सुरू करण्यासाठी, खालील चरण पूर्ण करा:

  1. तुमच्या मॅनेजरमध्ये लॉग इन करा.
  2. मुख्य मेनूमधून, कॉन्फिगर > ग्लोबल > सेंट्रल मॅनेजमेंट निवडा.
  3. इन्व्हेंटरी पेजवर, तुमच्या फ्लो कलेक्टरसाठी… (एलिप्सिस) आयकॉनवर क्लिक करा, नंतर निवडा View उपकरण सांख्यिकी. फ्लो कलेक्टर अॅडमिन इंटरफेस उघडेल.
  4. सपोर्ट > प्रगत सेटिंग्ज निवडा.
    जर एखादे फील्ड दाखवले नसेल, तर नवीन पर्याय जोडा फील्डवर क्लिक करा. फ्लो कलेक्टरवर प्रगत सेटिंग्ज संपादित करण्याबद्दल अधिक माहितीसाठी, प्रगत सेटिंग्ज मदत विषय पहा.
  5. enable_zeek फील्डमध्ये, Zeek टेलीमेट्री कॅप्चर करण्यासाठी मूल्य 1 वर सेट करा.सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (5) तुम्ही Zeek ला JSON फॉरमॅटमध्ये लॉग फॉरवर्ड करण्यासाठी कॉन्फिगर केले आहे याची खात्री करा.
  6. zeek_port फील्डमध्ये मूल्य 9514 वर सेट केले आहे याची खात्री करा.सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (5)

तुमचे टेलिमेट्री पोर्ट अद्वितीय आहेत याची खात्री करा. जर तुम्ही डुप्लिकेट टेलिमेट्री पोर्ट कॉन्फिगर केले तर, फ्लो डेटाचे नुकसान टाळण्यासाठी पोर्ट त्यांच्या अंतर्गत डीफॉल्टवर रीसेट केले जातील. उदा.ampतसेच, जर नेटफ्लो आणि झीक एकाच टेलीमेट्री पोर्टवर निर्यात केले तर, झीक डेटा निर्यात करणारे प्रत्येक उपकरण फ्लो कलेक्टरवर एक निर्यातक तयार करेल आणि फ्लो कलेक्टर इंजिनमधील निर्यातक संसाधने संपवेल, परिणामी फ्लो डेटा नष्ट होईल.

झीक टेलीमेट्रीची पडताळणी करत आहे

झीक टेलीमेट्री कॅप्चर केली जात आहे याची पडताळणी करण्यासाठी, पुन्हाview झीक लॉग कलेक्शन ट्रेंड रिपोर्ट:

  1. तुमच्या मॅनेजरमध्ये लॉग इन करा.
  2. मुख्य मेनूमधून, रिपोर्ट > रिपोर्ट बिल्डर निवडा.
  3. नवीन अहवाल तयार करा वर क्लिक करा, नंतर झीक लॉग कलेक्शन ट्रेंड निवडा.
  4. रन वर क्लिक करा.
  5. अहवालात झीक टेलीमेट्री दाखवली जात आहे का ते तपासा.

झीक लॉग कलेक्शन ट्रेंड रिपोर्ट
खालील एसampझीक लॉग कलेक्शन ट्रेंड रिपोर्टच्या काही भागात झीक टेलीमेट्री यशस्वीरित्या कॅप्चर होत असल्याचे दिसून आले आहे.

अहवाल एसampले १
हा अहवालampले एक तास देतो. view.सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (7)

अहवाल एसampले १

  • हा अहवालampले १२ तासांचा कालावधी देते view.सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (8)
  • अहवालांबद्दल अधिक माहितीसाठी, क्लिक करासिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (9) रिपोर्ट बिल्डर मदत विषयात प्रवेश करण्यासाठी (मदत) आयकॉन.

झीक इव्हेंट्सचे मूल्यांकन करणे

झीक इव्हेंट्सचे मूल्यांकन करण्यास मदत करण्यासाठी दोन अतिरिक्त अहवाल उपलब्ध आहेत:

  • झीक डेटाबेस इनजेस्ट ट्रेंड रिपोर्ट
  • झीक लॉग रिपोर्ट
  • डेटा स्टोअर आणि अॅनालिटिक्स सक्षम असल्याची खात्री करा.
  • Analytics सक्षम करण्यासाठी, मुख्य मेनूमधून Configure > Detection > Analytics निवडा, नंतर Analytics On वर क्लिक करा.

झीक डेटाबेस इनजेस्ट ट्रेंड रिपोर्ट
तुमच्या डेटा स्टोअरमध्ये लिहिल्या जाणाऱ्या Zeek conn.log इव्हेंट्सचे मूल्यांकन करण्यासाठी, खालील गोष्टी करा:

  1. तुमच्या मॅनेजरमध्ये लॉग इन करा.
  2. मुख्य मेनूमधून, रिपोर्ट > रिपोर्ट बिल्डर निवडा.
  3. नवीन अहवाल तयार करा वर क्लिक करा, नंतर Zeek डेटाबेस इंजेस्ट ट्रेंड निवडा.
  4. रन वर क्लिक करा.
  5. Review अहवाल:
    • डेटा स्टोअरमध्ये Zeek conn.log इव्हेंट्स येत आहेत का?
    • काही व्यत्यय आले का?

अहवाल एसample

  • या एसampले १२ तासांचा कालावधी देते view.सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (10)
  • View प्रति कालावधी इव्हेंट बाइट्स किंवा प्रति कालावधी इव्हेंट काउंट म्हणून लिहिलेले रेकॉर्ड.सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (11)

झीक लॉग रिपोर्ट

  • तुमचा फ्लो कलेक्टर Zeek कडून डेटा प्राप्त करण्यासाठी कॉन्फिगर केलेला आहे याची खात्री करा. सूचनांसाठी, सिस्टम कॉन्फिगरेशन मार्गदर्शक पहा.
  • पुन्हाview फ्लो कलेक्टरसाठी विशिष्ट झीक लॉग प्रकारासाठी झीक टेलिमेट्री लॉगिंग इव्हेंट्ससाठी, खालील गोष्टी करा:
  • तुम्ही एकाच वेळी चार झीक लॉग क्वेरी चालवू शकता आणि रांगेत अतिरिक्त क्वेरीज देखील ठेवू शकता.
  1. तुमच्या मॅनेजरमध्ये लॉग इन करा.
  2. मुख्य मेनूमधून, रिपोर्ट > रिपोर्ट बिल्डर निवडा.
  3. नवीन अहवाल तयार करा वर क्लिक करा, नंतर Zeek Logs निवडा.
  4. सामान्य क्षेत्रातील आवश्यक फील्डमध्ये पॅरामीटर्स निर्दिष्ट करा.सिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (12) पॅरामीटर अधिक माहिती
    • वेळ श्रेणी जर तुम्ही कस्टम निवडले तर जास्तीत जास्त कामगिरीसाठी कमी वेळ श्रेणी निवडा. जर तुम्ही जास्त वेळ श्रेणी प्रविष्ट केली तर अहवालात डेटा क्वेरी करण्यासाठी बराच वेळ लागू शकतो.
    • फ्लो कलेक्टर तुमच्या नेटवर्कमध्ये एक सुरक्षित नेटवर्क अॅनालिटिक्स फ्लो कलेक्टर निवडा.
    • कमाल रेकॉर्ड रेकॉर्डची कमाल संख्या निवडा. मर्यादा १०,००० रेकॉर्ड आहे.
    • झीक लॉग प्रकार झीक लॉग प्रकार निवडा.
    • Zeek Log Type फील्डमध्ये conn.log व्यतिरिक्त लॉग निवडल्याने अहवाल जास्त वेळ चालेल, परंतु तो पूर्ण होईपर्यंत चालवावा लागेल.
  5. आवश्यक असल्यास, अतिरिक्त पॅरामीटर्स निर्दिष्ट करण्यासाठी फिल्टर क्षेत्र वापरा.
  6. रन वर क्लिक करा.

अहवाल एसample

  • हा अहवाल तयार करताना पर्यायी पॅरामीटर्स निवडले गेले होतेampलेसिस्को-v7-5-3-सिक्योर-नेटवर्क-अ‍ॅनालिटिक्स-इमेज (13)
  • या अहवालावरील डेटा प्राप्त करण्यासाठी, तुम्हाला डेटा स्टोअर डिप्लॉयमेंटसह सुरक्षित नेटवर्क अॅनालिटिक्सची आवश्यकता आहे. माहिती आणि सूचनांसाठी, अप्लायन्स इंस्टॉलेशन गाइड (हार्डवेअर किंवा व्हर्च्युअल एडिशन) आणि सिस्टम कॉन्फिगरेशन गाइड पहा.

समर्थनाशी संपर्क साधत आहे
आपल्याला तांत्रिक समर्थनाची आवश्यकता असल्यास, कृपया खालीलपैकी एक करा:

इतिहास बदला

दस्तऐवज आवृत्ती प्रकाशित तारीख वर्णन
१३५३_१२३२७८ 6 ऑगस्ट 2025 प्रारंभिक आवृत्ती

कॉपीराइट माहिती
Cisco आणि Cisco लोगो हे सिस्कोचे ट्रेडमार्क किंवा नोंदणीकृत ट्रेडमार्क आहेत आणि/किंवा यूएस आणि इतर देशांमधील त्याच्या सहयोगी. ला view सिस्को ट्रेडमार्कची यादी, यावर जा URL: https://www.cisco.com/go/trademarks. उल्लेखित तृतीय-पक्ष ट्रेडमार्क ही त्यांच्या संबंधित मालकांची मालमत्ता आहे. भागीदार शब्दाचा वापर Cisco आणि इतर कोणत्याही कंपनीमधील भागीदारी संबंध सूचित करत नाही. (१७२१ आर)

कागदपत्रे / संसाधने

सिस्को v7.5.3 सुरक्षित नेटवर्क विश्लेषण [pdf] वापरकर्ता मार्गदर्शक
v7.5.3, v7.5.3 सुरक्षित नेटवर्क विश्लेषण, v7.5.3, सुरक्षित नेटवर्क विश्लेषण, नेटवर्क विश्लेषण, विश्लेषण

संदर्भ

एक टिप्पणी द्या

तुमचा ईमेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित आहेत *