Checkliste für Sensor und Konsole nach der Bereitstellung

Erforderliche Verfahren

DNS

DNS ermöglicht die Auflösung von Domänenname. Stellen Sie sicher, dass Sie DNS-Server eingerichtet haben. Greifen Sie auf die CLI verbinden Sie sich mit einem Terminal oder gehen Sie zum Admin > Konnektivität Seite zum Ändern oder Einstellen von DNS-IP-Adressen. Sie können DNS-IP-Adressen mit dem Frontplatte oder iDRAC Schnittstelle auf physischen Geräten.

Hostname des Systems

Legen Sie einen eindeutigen System-Hostnamen fest, damit die ExtraHop-Konsole die Konnektivität wiederherstellen kann, wenn sich die IP-Adresse ändert. Wenn der A-Record „hq-eda01.acme.org" lautet, sollte Ihr Hostname „hq-eda01" lauten.

Passwort

Sorgen Sie nach dem Testzeitraum für die Systemsicherheit. Ändern Sie das Standardkennwort. Weitere Informationen finden Sie in der Häufig gestellte Fragen zu Standardbenutzerkonten. Wir empfehlen, ein sekundäres Administratorkonto mit separaten Anmeldedaten als Backup für den Fall zu erstellen, dass die Anmeldedaten des primären Administrators verloren gehen.

NTP und Zeitzone

Zeit ist im ExtraHop-System von entscheidender Bedeutung, insbesondere bei der Ereigniskorrelation mit zeitbasierten Metriken und Protokollen. Stellen Sie sicher, dass die NTP-Einstellungen für Ihre Infrastruktur korrekt sind, testen Sie die Einstellungen und synchronisieren Sie NTP. Die richtige Zeitzone ist entscheidend, um geplante Berichte zur richtigen Zeit auszuführen. Stellen Sie sicher, dass das ExtraHop-System die richtige Zeitzone hat. Weitere Informationen finden Sie unter Konfigurieren Sie die Systemzeit.

Lizenz beantragen

Sie müssen einen Produktschlüssel anwenden, um ihn zu aktivieren und registrieren Ihr Gerät.

Cloud-Dienste

Stellen Sie eine Verbindung zu den ExtraHop Cloud Services her, um Erkennungen und Fernzugriff zu aktivieren. Weitere Informationen finden Sie unter Stellen Sie eine Verbindung zu ExtraHop Cloud Services her.

Firmware-Aktualisierung

Die ExtraHop-Firmware wird häufig mit Verbesserungen und behobenen Fehlern aktualisiert. Stellen Sie sicher , dass Sie die aktuelle Firmware haben. Weitere Informationen finden Sie unter Aktualisieren Sie die Firmware auf Ihrem ExtraHop-System.

Geräte verbinden

Verbinde die Konsole und Sensoren für alle Paket- und Plattenspeicher. Weitere Informationen finden Sie unter Verbinden Sie den EXA 5200 mit dem ExtraHop-System und Einen Packetstore mit RevealX Enterprise verbinden.

Empfohlene Verfahren

TLS-Zertifikat

Jedes ExtraHop-System wird mit einem selbstsignierten Zertifikat geliefert. Wenn Sie eine PKI-Bereitstellung haben, generieren Sie Ihr eigenes Zertifikat und laden Sie es auf jedes ExtraHop-System hoch. Weitere Informationen finden Sie in der TLS-Zertifikat Abschnitt.

DNS-A-Eintrag

Es ist einfacher, über den Hostnamen auf ein ExtraHop-System zuzugreifen als über die IP-Adresse. Erstellen Sie eine A Datensatz in Ihrem DNS-Root ("exa.yourdomain.local„) für jedes ExtraHop-System in Ihrer Bereitstellung. Schlagen Sie in Ihrem DNS-Administrationshandbuch nach.

Authentifizierung und Fernzugriff

Richten Sie die Fernauthentifizierung ein. Die ExtraHop-Appliance integriert sich in SAML (bevorzugt für die Konsole), LDAP, RADIUS, und TACACS+. Beschränken Sie den Fernzugriff aus dem öffentlichen Internet mit einem Unternehmens-VPN, einem Identity-Aware Proxy (IAP) oder einer anderen Methode.

Auditprotokollierung

Das ExtraHop-System kann Ereignisse an einen Remote-Syslog-Collector senden. Weitere Informationen finden Sie in der Audit-Log-Daten an einen Remote-Syslog-Server senden.

System-Benachrichtigungen

Das ExtraHop-System kann E-Mails senden, wenn es Probleme feststellt. Erstellen Sie eine E-Mail-Gruppe, um Benachrichtigungen zu erhalten. Weitere Informationen finden Sie unter Konfigurieren Sie eine E-Mail-Benachrichtigungsgruppe.

Festplattenverschlüsselung

Aktivieren Sie die Sicherheit auf Speicherlaufwerken, um die Verschlüsselung auf virtuellen Laufwerken bereitzustellen. Weitere Informationen finden Sie unter Konfigurieren Sie selbstverschlüsselnde Festplatten (SEDs).

Netzwerk-Lokalitäten

Klassifizieren Sie IP-Adressen, die nicht RFC1918 entsprechen, als Teil Ihres internen Netzwerk. Weitere Informationen finden Sie unter Geben Sie eine Netzwerklokalität an.

Tuning-Parameter

Verbessern Sie die Qualität und Genauigkeit regelbasierter Erkennungen, indem Sie Optimierungsparameter hinzufügen. Weitere Informationen finden Sie unter Geben Sie Optimierungsparameter für Erkennungen und Metriken an.

Erweiterte Analyse

Richten Sie die erweiterte Analyse je nach Bedarf auf bestimmte Gerätegruppen oder Aktivitätsgruppen aus, je nachdem, wie wichtig sie für Ihr Netzwerk sind. Weitere Informationen finden Sie unter Prioritäten der Analyse.

Konfiguration der Domänencontroller-Entschlüsselung

Das ExtraHop-System kann so konfiguriert werden, dass Domänenschlüssel von einem oder mehreren Domänencontrollern abgerufen und gespeichert werden. Wenn das System verschlüsselten Datenverkehr beobachtet, der den zwischengespeicherten Schlüsseln entspricht, wird der gesamte Kerberos-verschlüsselte Verkehr in der Domäne für unterstützte Protokolle entschlüsselt. Weitere Informationen finden Sie unter Entschlüsseln Sie den Domänenverkehr mit einem Windows-Domänencontroller .

Anpassungen und Datenspeicher-Backup

Erstellen Sie ein System-Backup, bevor Sie die Firmware aktualisieren oder bevor Sie eine größere Änderung an Ihrer Umgebung vornehmen. Weitere Informationen finden Sie unter Einen Sensor oder eine Konsole sichern.

iDRAC

Jede physische ExtraHop-Appliance hat eine iDRAC Port, ähnlich wie iLO oder KVM over Ethernet. Verbinden und konfigurieren Sie den iDRAC-Port. Weitere Informationen finden Sie unter Konfigurieren Sie die iDRAC Remote Access Console.

TLS-Verkehr mit Secret Sharing entschlüsseln

Entschlüsseln Sie den TLS-Verkehr von Ihren Linux- und Windows-Servern. Weitere Informationen finden Sie unter Installieren Sie den ExtraHop Session Key Forwarder auf einem Linux-Server und Installieren Sie den ExtraHOP Session Key Forwarder auf einem Windows-Server . Alternativ können Sie Sitzungsschlüssel über Ihr vorhandenes System mit Ihrem ExtraHop-System teilen F5-Loadbalancer mit Perfect Forward Secrecy (PFS).

Optionale Verfahren

Erwägen Sie, diese Verfahren durchzuführen, wenn Sie Ihr ExtraHop-System weiter anpassen möchten.

Precision Packet Capture (PPCAP) -Festplattenlaufwerk aktivieren

Mit der Paketerfassung können Sie Datenpakete aus Ihrem Netzwerkverkehr sammeln, speichern und abrufen. Wenn Sie über eine präzise Paketerfassungsdiskette verfügen, finden Sie unter Paketerfassung konfigurieren .

SMTP

Das ExtraHop-System kann Benachrichtigungen und Systemzustandsbenachrichtigungen per E-Mail versenden. Richten Sie Benachrichtigungen ein und testen Sie sie. Weitere Informationen finden Sie unter E-Mail-Einstellungen für Benachrichtigungen konfigurieren.

Precision Packet Capture (PPCAP) -Festplattenlaufwerk aktivieren

Mit der Paketerfassung können Sie Datenpakete aus Ihrem Netzwerkverkehr sammeln, speichern und abrufen. Wenn Sie über eine präzise Paketerfassungsdiskette verfügen, finden Sie unter Paketerfassung konfigurieren .

Bedrohungsinformationen

Konfigurieren Sie die Einstellungen für Bedrohungsinformationen, um Anzeichen für eine Gefährdung in Ihrem Netzwerk zu identifizieren. Weitere Informationen finden Sie unter Bedrohungsinformationen.

TLS-Verkehr mit privaten RSA-Schlüsseln entschlüsseln

Entschlüsseln Sie weitergeleiteten TLS-Verkehr, indem Sie den privaten Schlüssel und das Serverzertifikat hochladen, die diesem Verkehr zugeordnet sind. Weitere Informationen finden Sie unter Entschlüsseln Sie den TLS-Verkehr mit Zertifikaten und privaten Schlüsseln .

SNMP konfigurieren

Sie können SNMP-Traps einrichten und SNMP-Einstellungen konfigurieren um Sie über bestimmte Netzwerkereignisse zu informieren.