Poortspiegeling configureren
Van toepassing op: Advanced Threat Analytics versie 1.9
Notitie
Dit artikel is alleen relevant als u ATA Gateways implementeert in plaats van ATA Lightweight-gateways. Zie De juiste gateways voor uw implementatie kiezen om te bepalen of u ATA Gateways moet gebruiken.
De belangrijkste gegevensbron die door ATA wordt gebruikt, is grondige pakketinspectie van het netwerkverkeer naar en van uw domeincontrollers. Voor ATA om het netwerkverkeer te kunnen zien, moet u poortspiegeling configureren of een netwerkTIK gebruiken.
Voor poortspiegeling configureert u poortspiegeling voor elke domeincontroller die moet worden bewaakt als de bron van het netwerkverkeer. Normaal gesproken moet u samenwerken met het netwerk- of virtualisatieteam om poortspiegeling te configureren. Zie de documentatie van uw leverancier voor meer informatie.
Uw domeincontrollers en ATA Gateways kunnen fysiek of virtueel zijn. Hier volgen veelvoorkomende methoden voor poortspiegeling en enkele overwegingen. Zie de productdocumentatie van uw switch- of virtualisatieserver voor meer informatie. De fabrikant van de switch kan verschillende terminologie gebruiken.
Switched Port Analyzer (SPAN): kopieert netwerkverkeer van een of meer switchpoorten naar een andere switchpoort op dezelfde switch. Zowel de ATA Gateway als de domeincontrollers moeten zijn verbonden met dezelfde fysieke switch.
Remote Switch Port Analyzer (RSPAN): hiermee kunt u netwerkverkeer bewaken vanaf bronpoorten die zijn gedistribueerd via meerdere fysieke switches. RSPAN kopieert het bronverkeer naar een speciaal geconfigureerd VLAN met RSPAN. Dit VLAN moet naar de andere betrokken switches worden gestameerd. RSPAN werkt op Laag 2.
Encapsulated Remote Switch Port Analyzer (ERSPAN) – Is een Eigen Cisco-technologie die werkt op Layer 3. MET ERSPAN kunt u verkeer tussen switches bewaken zonder VLAN-trunks nodig te hebben. ERSPAN maakt gebruik van algemene routerings-inkapseling (GRE) om bewaakt netwerkverkeer te kopiëren. ATA kan momenteel geen ERSPAN-verkeer rechtstreeks ontvangen. AtA werkt alleen met ERSPAN-verkeer, een switch of router die het verkeer kan ontkapseld worden, moet worden geconfigureerd als de bestemming van ERSPAN waar het verkeer wordt afgekapt. Configureer vervolgens de switch of router om het gedecapsuleerde verkeer naar de ATA-gateway door te sturen met behulp van SPAN of RSPAN.
Notitie
Als de domeincontroller die wordt gespiegeld via een WAN-koppeling is verbonden, controleert u of de WAN-koppeling de extra belasting van het ERSPAN-verkeer kan verwerken. ATA ondersteunt alleen verkeersbewaking wanneer het verkeer de NIC en de domeincontroller op dezelfde manier bereikt. ATA biedt geen ondersteuning voor verkeersbewaking wanneer het verkeer wordt verdeeld over verschillende poorten.
Ondersteunde opties voor poortspiegeling
| ATA Gateway | Domeincontroller | Overwegingen |
|---|---|---|
| Virtueel | Virtueel op dezelfde host | De virtuele switch moet poortspiegeling ondersteunen. Als u een van de virtuele machines naar een andere host verplaatst, kan de poortspiegeling worden verbroken. |
| Virtueel | Virtueel op verschillende hosts | Zorg ervoor dat uw virtuele switch dit scenario ondersteunt. |
| Virtueel | Fysiek | Hiervoor is een toegewezen netwerkadapter vereist, anders ziet ATA al het verkeer dat binnenkomt en uit de host komt, zelfs het verkeer dat wordt verzonden naar het ATA Center. |
| Fysiek | Virtueel | Zorg ervoor dat uw virtuele switch ondersteuning biedt voor dit scenario- en poortspiegelingsconfiguratie op uw fysieke switches op basis van het scenario: Als de virtuele host zich op dezelfde fysieke switch bevindt, moet u een bereik op switchniveau configureren. Als de virtuele host zich op een andere switch bevindt, moet u RSPAN of ERSPAN* configureren. |
| Fysiek | Fysiek op dezelfde switch | Fysieke switch moet span-/poortspiegeling ondersteunen. |
| Fysiek | Fysiek op een andere switch | Vereist fysieke switches ter ondersteuning van RSPAN of ERSPAN*. |
* ERSPAN wordt alleen ondersteund wanneer decapsulatie wordt uitgevoerd voordat het verkeer wordt geanalyseerd door ATA.
Notitie
Zorg ervoor dat domeincontrollers en de ATA-gateways waarmee ze verbinding maken, zijn gesynchroniseerd met binnen vijf minuten van elkaar.
Als u met virtualisatieclusters werkt:
- Voor elke domeincontroller die wordt uitgevoerd op het virtualisatiecluster in een virtuele machine met de ATA Gateway, configureert u affiniteit tussen de domeincontroller en de ATA Gateway. Op deze manier wordt de ATA Gateway gevolgd wanneer de domeincontroller naar een andere host in het cluster wordt verplaatst. Dit werkt goed wanneer er een paar domeincontrollers zijn.
Notitie
Als uw omgevingsondersteuning s Virtual to Virtual op verschillende hosts (RSPAN) hoeft u zich geen zorgen te maken over affiniteit.
- Probeer deze optie om ervoor te zorgen dat de ATA-gateways de juiste grootte hebben om alle DC's zelf te controleren: Een virtuele machine installeren op elke virtualisatiehost en een ATA Gateway op elke host installeren. Configureer elke ATA Gateway om alle domeincontrollers te bewaken die op het cluster worden uitgevoerd. Op deze manier wordt elke host waarop de domeincontrollers worden uitgevoerd, bewaakt.
Nadat u poortspiegeling hebt geconfigureerd, controleert u of poortspiegeling werkt voordat u de ATA Gateway installeert.