購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3319
閲覧回数
15
いいね!
1
コメント

Cisco DNA Center : Stealthwatch Security Analyticsについて

Yuta Minoura
Cisco Employee
Cisco Employee

‎2022-04-07 09:36 AM

 

はじめに

この記事では、Cisco DNA CenterのSSA(Stealthwatch Security Analytics)を使用したStealthwatchの展開方法を紹介致します。

 

 

概要

SSAはStealthwatchの初期展開時の作業負荷を軽減する機能で、Cisco DNA Centerから複数台のネットワーク機器に対して、Stealthwatchとの連携用の設定を一括投入可能です。

001.png

 

 

SSAを使用したStealthwatchの設定投入の流れ

手順1 : Cisco DNA CenterとSMCの連携

まず初めに、Cisco DNA CenterにSMC(Stealthwatch Management Console)を登録します。

「System ⇒ Settings」をクリックします。

002.png

「External Services ⇒ Stealthwatch」をクリック後、SMCのアドレス、ログイン用のユーザ名/パスワードを入力します。デジタル証明書の警告が表示された場合は「Allow Cisco DNA Center to access this IP address or FQDN and add the untrusted certificate to the turst pool」をチェックし、「Allow」をクリックします。

003.png

 

デジタル証明書の警告が消えたことを確認し、「Save」をクリックします。

004.png

 

 

手順2 : Area/Building/FloorへのFCの割り当て

次に、Stealthwatch連携用の設定投入対象のネットワーク機器が存在するArea/Building/Floorに対してFC(Flow Collector)を割り当てます。

「Design ⇒ Network Settings」をクリックします。

005.png

  

対象のArea/Building/Floorを指定後、右上の「Add Servers」をクリックします。

101.png

「Stealthwatch Flow Destination」をチェックし、「OK」をクリックします。 

102.png

 

 「Select from flow destinations configured in the Stealthwatch」を選択後、フロー情報の転送先のFCを指定します。最後に「Save」をクリックします。

103.png

 

手順3 : SSAによる設定投入

SSAを使用して、Cisco DNA Centerからネットワーク機器に対してStealthwatch連携用の設定を投入します。

「Provision ⇒ Stealthwatch Security Analyticas」をクリックします。

201.png

 

 対象のArea/Building/Floorを指定後、画面真ん中の円グラフをクリックします。

301.png

Cisco DNA Centerが実施したネットワーク機器の状態確認結果が表示されるので、「Get Started」をクリックします。

302.png

ネットワーク機器に投入されるFlow Collectorのアドレスとポート番号を確認し、「Next」をクリックします。

303.png

 

 ETA(Encrypted Traffic Analytics)を有効にする場合、ETA Telemetryを有効化し、「Enable」をクリックします。

304.png

 

 SSAによる設定投入のタスクがスケジュールされたことを確認し、「Close」をクリックします。

305.png

 

手順4 : SSA実施後の状態確認

画面中央の円グラフが青色(Enabled Devices)に変化したことを確認します。

401.png

SMC側でフロー情報が見えることを確認します。

111.png

 

 

補足1 : SSAによってCatalystに投入される設定(ETA無効)

flow record SSA-FNF-REC
 match ipv4 protocol
 match ipv4 source address
 match ipv4 destination address
 match transport source-port
 match transport destination-port
 collect timestamp absolute first
 collect timestamp absolute last
 collect counter bytes long
 collect counter packets long
!
flow exporter SSA-FNF-EXP
 destination 172.16.1.142
 transport udp 2055
 template data timeout 30
 option interface-table
 option application-table timeout 10
!
flow monitor SSA-FNF-MON
 exporter SSA-FNF-EXP
 cache timeout active 60
 record SSA-FNF-REC
!
interface GigabitEthernet1/0/1
 ip flow monitor SSA-FNF-MON input
 ip flow monitor SSA-FNF-MON output
.
<一部省略>

 

 

補足2 : SSAによってCatalystに投入される設定(ETA有効)

et-analytics
 ip flow-export destination 172.16.1.142 2055
!
interface GigabitEthernet1/0/1
 et-analytics enable
.
<一部省略>
ラベル:
コメント
cja56910tf
VIP
VIP
‎2022-04-23 10:25 PM

こんばんは。

非常に有益な投稿を大変興味深く拝見させていただきましたが、何点か疑問に思った事がありますので、もし可能であればご回答いただけると幸いです。

Catalystに投入されるip flow monitor ~の設定は全ポートに対して投入されるのでしょうか。それとも一部のポートでしょうか。

もし一部のポートである場合、どのような条件を満たしているポートに対して設定されるのでしょうか。

 

①と同様 et-analytics enableの設定が投入されるポートの条件に付いてご教授願います。

 

投入されるflow recordはtrunkポート、etherchannelポートでも使用可能なタイプのものでしょうか。

ETAにおいてもですが、フロー情報を採取するポートは trunkポートやetherchannelのメンバポートも対象としたいです。

 

投入される設定では、フロー情報をStealthwatch flow Collectorにしか転送していませんが、せっかくDNA Centerが存在する環境なのですから、フロー情報をDNACにも転送させたいと考えるのが自然だと思います。この両方に対してフロー情報を転送させたい場合は、CatalystのCLIで手動で設定するしかないのでしょうか。(具体的にはflow exporterをもう1つ作り、flow monitor配下で2つのexporterを設定するという事になると思いますが・・)

 

DNA CenterからSSAで設定を投入させるメリットは何でしょうか。Flexible NetFlowを理解してさえいれば、CLIによる手動設定の方が適切なflow recordのmatch/collect条件やexporter/monitorのオプションを設定できるのではないかと思うのですが・・・

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents