Stellen Sie einen ExtraHop-Sensor auf AWS bereit
Die folgenden Verfahren erklären, wie Sie einen virtuellen ExtraHop bereitstellen. Sensor in einer Amazon Web Services (AWS) -Umgebung. Sie müssen Erfahrung mit der Bereitstellung virtueller Maschinen in AWS innerhalb Ihrer virtuellen Netzwerkinfrastruktur haben.
Ein virtueller ExtraHop Sensor kann Ihnen helfen , die Leistung Ihrer Anwendungen in internen Netzwerken, im öffentlichen Internet oder einer virtuellen Desktop-Schnittstelle (VDI), einschließlich Datenbank- und Speicherebenen, zu überwachen. Das ExtraHop-System kann die Anwendungsleistung in geografisch verteilten Umgebungen wie Zweigstellen oder virtualisierten Umgebungen über den Verkehr zwischen virtuellen Rechnern überwachen.
Mit dieser Installation können Sie Netzwerkleistungsüberwachung, Netzwerkerkennung und -reaktion sowie Einbruchserkennung auf einem einzigen Gerät ausführen Sensor.
Hinweis: | Wenn Sie das IDS-Modul auf diesem Sensor aktiviert haben und Ihr ExtraHop-System keinen direkten Zugang zum Internet und keinen Zugriff auf ExtraHop Cloud Services hat, müssen Sie IDS-Regeln manuell hochladen. Weitere Informationen finden Sie unter Laden Sie die IDS-Regeln über die REST-API in das ExtraHop-System hoch. |
Nachdem Sie das bereitgestellt haben Sensor in AWS konfigurieren Spiegelung des AWS-Datenverkehrs oder RPCAP (RPCAP), um den Verkehr von Remote-Geräten an Ihre weiterzuleiten Sensor. Die AWS-Datenverkehrsspiegelung ist für alle Instanzgrößen konfigurierbar und ist die bevorzugte Methode, um AWS-Verkehr an die EDA 6100v und 8200v zu senden Sensor.
Wichtig: | Um die beste Leistung bei der ersten Gerätesynchronisierung zu gewährleisten, schließen Sie alle Sensoren an die Konsole an und konfigurieren Sie dann die Weiterleitung des Netzwerkverkehrs zu den Sensoren. |
Anforderungen an das System
Ihre Umgebung muss die folgenden Anforderungen erfüllen, um einen virtuellen ExtraHop bereitzustellen Sensor in AWS:
- Sie müssen ein AWS-Konto haben.
- Sie müssen Zugriff auf das Amazon Machine Image (AMI) des ExtraHop haben Sensor.
- Du musst einen ExtraHop haben Sensor Produktschlüssel.
- Sie können optional eine Speicherfestplatte für Bereitstellungen konfigurieren, die eine präzise PCAP
beinhalten. Anweisungen zum Hinzufügen einer
Festplatte finden Sie in der AWS-Dokumentation.
- Fügen Sie für den EDA 1100v eine Festplatte mit einer Kapazität von bis zu 250 GB hinzu.
- Fügen Sie für die EDA 6100v und 8200v eine Festplatte mit einer Kapazität von bis zu 500 GB hinzu.
Anforderungen an virtuelle Maschinen
Sie müssen einen AWS-Instanztyp bereitstellen, der Ihrer virtuellen ExtraHop-Sensorgröße am ehesten entspricht und die folgenden Modulanforderungen erfüllt.
Fühler | Module | Empfohlener Instanztyp | Größe der Festplatte |
---|---|---|---|
Enthüllen (x) EDA 1100v | EDA | c5.xlarge (4 vCPUs und 8 GB RAM) | 61 GB |
Enthüllen (x) EDA 6320v | DA + Intrusion Detection System | m 5,8 x groß (32 vCPUs, 128 GB RAM) | 1400 GB |
EDA 6100 v | EDA | m5.4xlarge (16 vCPUs und 64 GB RAM) c5.9xlarge (36 vCPUs und 72 GB RAM) * |
1000 GB |
Enthüllen (x) EDA 8200v | EDA | c5n.9xlarge (36 vCPUs und 96 GB RAM) | 2000 GB |
* Empfohlen, wenn der EDA 6100v nicht in derselben Cluster-Platzierungsgruppe wie der überwachte Verkehr eingesetzt werden kann. Die c5.9xlarge Instance hat höhere Kosten, ist aber in Umgebungen, in denen die Genauigkeit des Datenfeeds entscheidend ist, robuster.
Hinweis: | Suchen Sie, wann immer möglich, nach dem Sensor innerhalb derselben Cluster-Platzierungsgruppe wie die Geräte, die den Datenverkehr weiterleiten. Diese bewährte Methode optimiert die Futterqualität, die Sensor erhält. |
Wichtig: | AWS setzt ein Limit von 10 Sitzungen für die Virtual Private Cloud (VPC) -Datenverkehrsspiegelung durch. Das Sitzungslimit kann jedoch erhöht werden für Sensoren läuft auf einem dedizierten c5-Host. Wir empfehlen den c5 Dedicated Host für EDA 8200v- und EDA 6100v-Instances, die ein höheres Sitzungslimit erfordern. Wenden Sie sich an den AWS-Support, um die Erhöhung des Sitzungslimits zu beantragen. |
Anforderungen an den Anschluss
Die folgenden Ports müssen für ExtraHop AWS-Instances geöffnet sein.
Hafen | Beschreibung |
---|---|
TCP-Ports 22, 80 und 443, die in das ExtraHop-System eingehen | Diese Ports werden benötigt, um das ExtraHop-System zu verwalten. |
TCP-Port 443 ausgehend zu ExtraHop Cloud Services | Fügen Sie die aktuelle IP-Adresse der ExtraHop Cloud Services hinzu. Weitere Informationen finden Sie unter Konfigurieren Sie Ihre Firewall-Regeln. |
UDP-Port 53 ausgehend zu Ihrem DNS-Server | Der UDP-Port 53 muss geöffnet sein, damit der Sensor eine Verbindung zum ExtraHop-Lizenzierungsserver herstellen kann. |
(Optional) TCP/UDP-Ports 2003-2034, die von der AWS VPC in das ExtraHop-System eingehen | Wenn Sie nicht konfigurieren Spiegelung des AWS-Datenverkehrs, müssen Sie einen Port (oder eine Reihe von Ports) für den Paketweiterleiter öffnen, um den RPCAP-Verkehr von Ihren AWS-VPC-Ressourcen weiterzuleiten. Weitere Informationen finden Sie unter Paketweiterleitung mit RPCAP. |
Erstellen Sie die ExtraHop-Instanz in AWS
Die nächsten Schritte
- Registrieren Sie Ihr ExtraHop-System.
- (Empfohlen) Konfigurieren Spiegelung des AWS-Datenverkehrs um den
Netzwerkverkehr von Ihren EC2-Instances auf eine leistungsstarke
ERSPAN/VXLAN/GENEVE-Schnittstelle auf Ihrem Sensor zu kopieren.
Hinweis: Wenn Ihre Bereitstellung einen Durchsatz von mehr als 15 Gbit/s erfordert, teilen Sie Ihre Datenverkehrsspiegelungsquellen auf zwei leistungsstarke ERSPAN/VXLAN/GENEVE-Schnittstellen auf dem EDA 8200v auf. - (Fakultativ) Weiterleiten von geneve-gekapseltem Datenverkehr von einem AWS Gateway Load Balancer.
- Den Sensor konfigurieren.
- Überprüfen Sie die Checkliste für Sensor und Konsole nach der Bereitstellung.
Erstellen Sie ein Traffic Mirror-Ziel
Führen Sie diese Schritte für jedes Elastic Netzwerk Interface (ENI) aus, das Sie erstellt haben.
- Klicken Sie in der AWS-Managementkonsole im oberen Menü auf Dienstleistungen.
- Klicken Sie .
- Klicken Sie im linken Bereich unter Traffic Mirroring auf Ziele spiegeln.
- Klicken Sie Verkehrsspiegelziel erstellen.
- Optional: Geben Sie im Feld Namens-Tag einen beschreibenden Namen für das Ziel ein.
- Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Ziel ein.
- Aus dem Typ des Ziels Wählen Sie in der Dropdownliste Netzwerkschnittstelle aus.
- Aus dem Ziel Wählen Sie in der Dropdownliste die ENI aus, die Sie zuvor erstellt haben.
- Klicken Sie Erstellen.
Erstellen Sie einen Verkehrsspiegelfilter
Sie müssen einen Filter erstellen, um den Verkehr von Ihren ENI-Traffic-Spiegelquellen zu Ihrem ExtraHop-System zuzulassen oder einzuschränken.
- Der gesamte ausgehender Datenverkehr wird gespiegelt auf Sensor, ob der Datenverkehr von einem Peer-Gerät zu einem anderen im Subnetz gesendet wird oder ob der Verkehr an ein Gerät außerhalb des Subnetzes gesendet wird.
- Eingehender Verkehr wird nur gespiegelt auf Sensor wenn der Verkehr von einem externen Gerät stammt. Diese Regel stellt beispielsweise sicher, dass eine App-Serveranfrage nicht zweimal gespiegelt wird: einmal vom sendenden App-Server und einmal von der Datenbank, die die Anfrage erhalten hat.
- Regelnummern bestimmen die Reihenfolge, in der die Filter angewendet werden. Regeln mit niedrigeren Zahlen, z. B. 100, werden zuerst angewendet.
Wichtig: | Diese Filter sollten nur angewendet werden, wenn alle Instanzen in einem CIDR-Block gespiegelt werden. |
- Klicken Sie in der AWS-Managementkonsole im linken Bereich unter Traffic Mirroring auf Spiegelfilter.
- klicken Verkehrsspiegelfilter erstellen.
- In der Namensschild Feld, geben Sie einen Namen für den Filter ein.
- In der Beschreibung Feld, geben Sie eine Beschreibung für den Filter ein.
- Unter Netzwerkdienste, wählen Sie Amazon-DNS Ankreuzfeld.
- In der Regeln für eingehenden Verkehr Abschnitt, klicken Regel hinzufügen.
-
Konfigurieren Sie eine Regel für eingehenden Verkehr:
- In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 100.
- Aus dem Regelaktion Dropdownliste, wählen ablehnen.
- Aus dem Protokoll Dropdownliste, wählen Alle Protokolle.
- In der Quell-CIDR-Block Feld, geben Sie den CIDR-Block für das Subnetz ein.
- In der Ziel-CIDR-Block Feld, geben Sie den CIDR-Block für das Subnetz ein.
- In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
- Klicken Sie in den Abschnitten „Regeln für eingehenden Verkehr" auf Regel hinzufügen.
-
Konfigurieren Sie eine zusätzliche Regel für eingehenden Datenverkehr:
- In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 200.
- Aus dem Regelaktion Dropdownliste, wählen akzeptieren.
- Aus dem Protokoll Dropdownliste, wählen Alle Protokolle.
- In der Quell-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Ziel-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
- Klicken Sie im Abschnitt Regeln für ausgehenden Datenverkehr auf Regel hinzufügen.
-
Konfigurieren Sie eine Regel für ausgehenden Datenverkehr:
- In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 100.
- Aus dem Regelaktion Dropdownliste, wählen akzeptieren.
- Aus dem Protokoll Dropdownliste, wählen Alle Protokolle.
- In der Quell-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Ziel-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
- Klicken Sie Erstellen.
Erstellen Sie eine Traffic Mirror-Sitzung
Sie müssen für jede AWS-Ressource, die Sie überwachen möchten, eine Sitzung erstellen. Sie können maximal 500 Traffic Mirror-Sitzungen pro Sitzung erstellen. Sensor.
Wichtig: | Um zu verhindern, dass Spiegelpakete gekürzt werden, legen Sie den MTU-Wert der Traffic Mirror-Quellschnittstelle auf 54 Byte unter dem Ziel-MTU-Wert für IPv4 und 74 Byte unter dem MTU des Traffic Mirror-Zielwerts für IPv6 fest. Weitere Informationen zur Konfiguration des Netzwerk-MTU-Werts finden Sie in der folgenden AWS-Dokumentation: Network Maximum Transmission Unit (MTU) für Ihre EC2-Instance . |
Den Sensor konfigurieren
Nächste Maßnahme
Nachdem das System lizenziert ist und Sie sich vergewissert haben, dass Datenverkehr erkannt wird, führen Sie die empfohlenen Verfahren in der Checkliste nach der Bereitstellung .
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?