Configurer la mise en miroir des ports
S’applique à : Advanced Threat Analytics version 1.9
Remarque
Cet article s’applique uniquement si vous déployez des passerelles ATA au lieu de passerelles légères ATA. Pour déterminer si vous devez utiliser des passerelles ATA, consultez Choisir les passerelles appropriées pour votre déploiement.
La source de données principale utilisée par ATA est l’inspection approfondie des paquets du trafic réseau vers et depuis vos contrôleurs de domaine. Pour qu’ATA affiche le trafic réseau, vous devez configurer la mise en miroir des ports ou utiliser un TAP Réseau.
Pour la mise en miroir des ports configurer mise en mémoire des ports pour chaque contrôleur de domaine à surveiller, comme source du trafic réseau. En règle générale, vous devez travailler avec l'équipe chargée de la mise en réseau ou de la virtualisation pour configurer la mise en miroir des ports. Pour plus d'informations, consultez la documentation du fournisseur.
Vos contrôleurs de domaine et passerelles ATA peuvent être physiques ou virtuels. Vous trouverez ci-dessous des méthodes courantes de mise en miroir des ports et quelques considérations à prendre en compte. Pour plus d'informations, consultez la documentation de votre commutateur ou de votre produit serveur virtuel. Votre fabricant de commutateurs peut utiliser une terminologie différente.
Analyseur de port commuté (SPAN) : copie le trafic réseau d’un ou de plusieurs ports de commutateur vers un autre port de commutateur sur le même commutateur. La passerelle ATA et les contrôleurs de domaine doivent être connectés au même commutateur physique.
Analyseur de port de commutateur distant (RSPAN) : vous permet de surveiller le trafic réseau à partir de ports sources distribués sur plusieurs commutateurs physiques. RSPAN copie le trafic source dans un réseau local virtuel configuré par RSPAN spécial. Ce réseau local virtuel doit être connecté aux autres commutateurs impliqués. RSPAN fonctionne au niveau de la couche 2.
Analyseur de port de commutateur distant encapsulé (ERSPAN) : technologie propriétaire Cisco fonctionnant au niveau de la couche 3. ERSPAN vous permet de surveiller le trafic entre les commutateurs sans avoir besoin de jonctions VLAN. ERSPAN utilise l’encapsulation de routage générique (GRE) pour copier le trafic réseau surveillé. ATA ne peut actuellement pas recevoir directement le trafic ERSPAN. Pour qu’ATA fonctionne avec le trafic ERSPAN, un commutateur ou un routeur capable de décapsuler le trafic doit être configuré comme destination d’ERSPAN où le trafic est décapsulé. Configurez ensuite le commutateur ou le routeur pour transférer le trafic décapsulé vers la passerelle ATA à l’aide de SPAN ou RSPAN.
Remarque
Si le contrôleur de domaine en cours de port miroir est connecté via une liaison WAN, assurez-vous que le lien WAN peut gérer la charge supplémentaire du trafic ERSPAN. ATA ne prend en charge la surveillance du trafic que lorsque le trafic atteint le NIC et le contrôleur de domaine de la même manière. ATA ne prend pas en charge la surveillance du trafic lorsque le trafic est décomposé vers différents ports.
Options de mise en miroir des ports prises en charge
| Passerelle ATA | Contrôleur de domaine | À propos de l’installation |
|---|---|---|
| Machines | Virtuel sur le même hôte | Le commutateur virtuel doit prendre en charge la mise en miroir des ports. Le déplacement de l'une des machines virtuelles vers un autre hôte risque d'interrompre la mise en miroir des ports. |
| Machines | Virtuelle sur différents hôtes | Vérifiez que votre commutateur virtuel prend en charge ce scénario. |
| Machines | Physique | Nécessite une carte réseau dédiée sinon ATA voit tout le trafic entrant et sortant de l’hôte, même le trafic qu’il envoie au Centre ATA. |
| Physique | Les machines | Assurez-vous que votre commutateur virtuel prend en charge ce scénario - et la configuration de la mise en miroir des ports sur vos commutateurs physiques en fonction du scénario : Si l’hôte virtuel se trouve sur le même commutateur physique, vous devez configurer une étendue de niveau de commutateur. Si l’hôte virtuel se trouve sur un autre commutateur, vous devez configurer RSPAN ou ERSPAN*. |
| Physique | Physique sur le même commutateur | Le commutateur physique doit prendre en charge la mise en miroir des ports/SPAN. |
| Physique | Physique sur un autre commutateur | Nécessite des commutateurs physiques pour prendre en charge RSPAN ou ERSPAN*. |
* ERSPAN n'est pris en charge que lorsque la décapsulation est effectuée avant que le trafic ne soit analysé par l'ATA.
Remarque
Assurez-vous que les contrôleurs de domaine et les passerelles ATA auxquels ils se connectent sont synchronisés dans les cinq minutes entre eux.
Si vous utilisez des clusters de virtualisation :
- Pour chaque contrôleur de domaine s’exécutant sur le cluster de virtualisation dans une machine virtuelle avec la passerelle ATA, configurez l’affinité entre le contrôleur de domaine et la passerelle ATA. De cette façon, lorsque le contrôleur de domaine se déplace vers un autre hôte dans le cluster, la passerelle ATA la suit. Cela fonctionne bien lorsqu’il existe quelques contrôleurs de domaine.
Remarque
Si votre environnement prend en charge Virtual to Virtual sur différents hôtes (RSPAN), vous n’avez pas besoin de vous soucier de l’affinité.
- Pour vous assurer que les passerelles ATA sont correctement dimensionnées pour gérer l’analyse de tous les contrôleurs de domaine eux-mêmes, essayez cette option : installez une machine virtuelle sur chaque hôte de virtualisation et installez une passerelle ATA sur chaque hôte. Configurez chaque passerelle ATA pour surveiller tous les contrôleurs de domaine qui s’exécutent sur le cluster. De cette façon, tout hôte sur lequel s’exécutent les contrôleurs de domaine est surveillé.
Après avoir configuré la mise en miroir des ports, vérifiez qu'elle fonctionne avant d'installer la passerelle ATA.