Konfigurieren der Portspiegelung
Gilt für: Advanced Threat Analytics, Version 1.9
Hinweis
Dieser Artikel ist nur relevant, wenn Sie ATA-Gateways anstelle von ATA Lightweight Gateways bereitstellen. Informationen dazu, ob Sie ATA-Gateways verwenden müssen, finden Sie unter Auswählen der richtigen Gateways für Ihre Bereitstellung.
Die von ATA verwendete Standard-Datenquelle ist eine umfassende Paketüberprüfung des Netzwerkdatenverkehrs an und von Ihren Domänencontrollern. Damit ATA den Netzwerkdatenverkehr anzeigen kann, müssen Sie entweder die Portspiegelung konfigurieren oder ein Netzwerk-TAP verwenden.
Konfigurieren Sie die Portspiegelung für jeden zu überwachenden Domänencontroller als Quelle des Netzwerkdatenverkehrs. In der Regel müssen Sie mit dem Netzwerk- oder Virtualisierungsteam arbeiten, um Portspiegelung zu konfigurieren. Weitere Informationen finden Sie in der Dokumentation Ihres Anbieters.
Ihre Domänencontroller und ATA-Gateways können entweder physisch oder virtuell sein. Im Folgenden finden Sie allgemeine Methoden für die Portspiegelung und einige Überlegungen. Weitere Informationen finden Sie in der Switch- oder Virtualisierungsserver-Dokumentation. Ihr Switch-Hersteller verwendet möglicherweise unterschiedliche Terminologie.
Switched Port Analyzer (SPAN) – Kopiert den Netzwerkdatenverkehr von einem oder mehreren Switchports in einen anderen Switchport auf demselben Switch. Sowohl das ATA-Gateway als auch die Domänencontroller müssen mit demselben physischen Switch verbunden sein.
Remote Switch Port Analyzer (RSPAN) – Ermöglicht es Ihnen, den Netzwerkdatenverkehr von Quellports zu überwachen, die über mehrere physische Switches verteilt sind. RSPAN kopiert den Quelldatenverkehr in ein spezielles RSPAN-konfiguriertes VLAN. Dieses VLAN muss zu den anderen beteiligten Switches gekoppelt werden. RSPAN arbeitet bei Layer 2.
Gekapselte Remote Switch Port Analyzer (ERSPAN) – Ist eine proprietäre Cisco-Technologie, die auf Layer 3 arbeitet. ERSPAN ermöglicht es Ihnen, den Datenverkehr über Switches zu überwachen, ohne DASS VLAN-Trunks erforderlich sind. ERSPAN verwendet die generische Routingkapselung (GRE), um überwachten Netzwerkdatenverkehr zu kopieren. ATA kann derzeit keinen ERSPAN-Datenverkehr direkt empfangen. Damit ATA mit ERSPAN-Datenverkehr arbeitet, muss ein Switch oder Router, der den Datenverkehr entkapselt, als Ziel von ERSPAN konfiguriert werden, in dem der Datenverkehr gekapselt ist. Konfigurieren Sie dann den Switch oder Router so, dass der gekapselte Datenverkehr über SPAN oder RSPAN an das ATA-Gateway weitergeleitet wird.
Hinweis
Wenn der Domänencontroller mit Portspiegelung über eine WAN-Verbindung verbunden ist, stellen Sie sicher, dass die WAN-Verbindung die zusätzliche Last des ERSPAN-Datenverkehrs verarbeiten kann. ATA unterstützt nur die Datenverkehrsüberwachung, wenn der Datenverkehr die NIC und den Domänencontroller auf die gleiche Weise erreicht. ATA unterstützt keine Datenverkehrsüberwachung, wenn der Datenverkehr in verschiedene Ports aufgeteilt wird.
Unterstützte Portspiegelungs-Optionen
ATA Gateway | Domänencontroller | Überlegungen |
---|---|---|
Virtuell | Virtuell auf demselben Host | Der virtuelle Switch muss Portspiegelung unterstützen. Das Verschieben eines der virtuellen Computer auf einen anderen Host selbst kann den Portspiegelung unterbrechen. |
Virtuell | Virtuell auf verschiedenen Hosts | Stellen Sie sicher, dass Ihr virtueller Switch dieses Szenario unterstützt. |
Virtuell | Physisch | Erfordert einen dedizierten Netzwerkadapter, andernfalls sieht ATA den gesamten Datenverkehr ein und aus dem Host, auch den Datenverkehr, den er an das ATA Center sendet. |
Physisch | Virtuell | Stellen Sie sicher, dass Ihr virtueller Switch dieses Szenario unterstützt – ebenso wie Portspiegelungs-Konfiguration auf Ihren physischen Switches basierend auf dem Szenario: Wenn sich der virtuelle Host auf demselben physischen Switch befindet, müssen Sie eine Switchebenenspanne konfigurieren. Wenn sich der virtuelle Host auf einem anderen Switch befindet, müssen Sie RSPAN oder ERSPAN* konfigurieren. |
Physisch | Physisch auf demselben Switch | Physischer Switch muss SPAN/Portspiegelung unterstützen. |
Physisch | Physisch auf einem anderen Switch | Erfordert physische Switches zur Unterstützung von RSPAN oder ERSPAN*. |
* ERSPAN wird nur unterstützt, wenn entkapselt wird, bevor der Datenverkehr von ATA analysiert wird.
Hinweis
Stellen Sie sicher, dass Domänencontroller und die ATA-Gateways, mit denen sie eine Verbindung herstellen, innerhalb von fünf Minuten miteinander synchronisiert wurden.
Wenn Sie mit Virtualisierungsclustern arbeiten:
- Konfigurieren Sie für jeden Domänencontroller, der auf dem Virtualisierungscluster auf einem virtuellen Computer mit dem ATA-Gateway ausgeführt wird, die Affinität zwischen dem Domänencontroller und dem ATA-Gateway. Auf diese Weise wechselt der Domänencontroller zu einem anderen Host im Cluster, dem das ATA-Gateway folgt. Dies funktioniert gut, wenn es ein paar Domänencontroller gibt.
Hinweis
Wenn Ihre Umgebung „Virtual to Virtual on different hosts“ (RSPAN) unterstützt, müssen Sie sich keine Gedanken über Affinität machen.
- Um sicherzustellen, dass die ATA-Gateways ordnungsgemäß angepasst werden, um die Überwachung aller DCs selbst zu verarbeiten, probieren Sie diese Option aus: Installieren Sie einen virtuellen Computer auf jedem Virtualisierungshost, und installieren Sie ein ATA-Gateway auf jedem Host. Konfigurieren Sie jedes ATA-Gateway, um alle Domänencontroller zu überwachen, die auf dem Cluster ausgeführt werden. Auf diese Weise wird jeder Host überwacht, auf dem die Domänencontroller ausgeführt werden.
Überprüfen Sie nach dem Konfigurieren der Port-Spiegel ing, dass der Portspiegelung funktioniert, bevor Sie das ATA-Gateway installieren.