Stellen Sie einen ExtraHop-Sensor auf AWS bereit
Die folgenden Verfahren erklären, wie Sie einen virtuellen ExtraHop bereitstellen. Sensor in einer Amazon Web Services (AWS) -Umgebung. Sie müssen Erfahrung mit der Bereitstellung virtueller Maschinen in AWS innerhalb Ihrer virtuellen Netzwerkinfrastruktur haben.
Ein virtueller ExtraHop Sensor kann Ihnen helfen, die Leistung Ihrer Anwendungen in internen Netzwerken, im öffentlichen Internet oder einer virtuellen Desktop-Schnittstelle (VDI), einschließlich Datenbank- und Speicherebenen, zu überwachen. Das ExtraHop-System kann die Anwendungsleistung in geografisch verteilten Umgebungen wie Zweigstellen oder virtualisierten Umgebungen über den Verkehr zwischen virtuellen Rechnern überwachen.
Mit dieser Installation können Sie Netzwerkleistungsüberwachung, Netzwerkerkennung und -reaktion sowie Einbruchserkennung auf einem einzigen Gerät ausführen Sensor.
Wichtig: | Bevor Sie das IDS-Modul auf diesem Sensor aktivieren können, müssen Sie die Sensor-Firmware auf Version 9.6 oder höher aktualisieren. Wenn das Upgrade abgeschlossen ist, können Sie die neue Lizenz auf den Sensor anwenden. |
Hinweis: | Wenn Sie das IDS-Modul auf diesem Sensor aktiviert haben und Ihr ExtraHop-System keinen direkten Zugang zum Internet und keinen Zugriff auf ExtraHop Cloud Services hat, müssen Sie IDS-Regeln manuell hochladen. Weitere Informationen finden Sie unter Laden Sie die IDS-Regeln über die REST-API in das ExtraHop-System hoch. |
Nachdem Sie das bereitgestellt haben Sensor in AWS konfigurieren Spiegelung des AWS-Datenverkehrs oder RPCAP (RPCAP), um den Verkehr von Remote-Geräten an Ihre weiterzuleiten Sensor. Die AWS-Datenverkehrsspiegelung ist für alle Instanzgrößen konfigurierbar und ist die bevorzugte Methode, um AWS-Verkehr an die EDA 6100v und 8200v zu senden Sensor.
Wichtig: | Um die beste Leistung bei der ersten Gerätesynchronisierung zu gewährleisten, schließen Sie alle Sensoren an die Konsole an und konfigurieren Sie dann die Weiterleitung des Netzwerkverkehrs zu den Sensoren. |
Anforderungen an das System
Ihre Umgebung muss die folgenden Anforderungen erfüllen, um einen virtuellen ExtraHop bereitzustellen Sensor in AWS:
- Sie müssen ein AWS-Konto haben.
- Sie müssen Zugriff auf das Amazon Machine Image (AMI) des ExtraHop haben Sensor.
- Du musst einen ExtraHop haben Sensor Produktschlüssel.
- Sie können optional eine Speicherfestplatte für Bereitstellungen konfigurieren, die eine präzise PCAP
beinhalten. Anweisungen zum Hinzufügen einer
Festplatte finden Sie in der AWS-Dokumentation.
- Fügen Sie für den EDA 1100v eine Festplatte mit einer Kapazität von bis zu 250 GB hinzu.
- Fügen Sie für die EDA 6100v und 8200v eine Festplatte mit einer Kapazität von bis zu 500 GB hinzu.
Anforderungen an virtuelle Maschinen
Sie müssen einen AWS-Instanztyp bereitstellen, der Ihrer virtuellen ExtraHop-Sensorgröße am ehesten entspricht und die folgenden Modulanforderungen erfüllt.
Fühler | Module | Empfohlener Instanztyp | Größe der Festplatte |
---|---|---|---|
EDA 1100 V | NDR | c5.xlarge (4 vCPUs und 8 GB RAM) | 61 GB |
EDA 6320v | NDR + Intrusion Detection System | m 5,8 x groß (32 vCPUs, 128 GB RAM) | 1400 GB |
EDA 6100 v | NDR | m5.4xlarge (16 vCPUs und 64 GB RAM) c5.9xlarge (36 vCPUs und 72 GB RAM) * |
1000 GB |
EDA 8200 v | NDR | c5n.9xlarge (36 vCPUs und 96 GB RAM) | 2000 GB |
Hinweis: | Durchsatz kann beeinträchtigt werden, wenn mehr als ein Modul auf dem Sensor aktiviert ist. |
* Empfohlen, wenn der EDA 6100v nicht in derselben Cluster-Platzierungsgruppe wie der überwachte Verkehr eingesetzt werden kann. Die c5.9xlarge Instance hat höhere Kosten, ist aber in Umgebungen, in denen die Genauigkeit des Datenfeeds entscheidend ist, robuster.
Hinweis: | Suchen Sie, wann immer möglich, nach dem Sensor innerhalb derselben Cluster-Platzierungsgruppe wie die Geräte, die den Datenverkehr weiterleiten. Diese bewährte Methode optimiert die Futterqualität, die Sensor erhält. |
Wichtig: | AWS setzt ein Limit von 10 Sitzungen für die Virtual Private Cloud (VPC) -Datenverkehrsspiegelung durch. Das Sitzungslimit kann jedoch erhöht werden für Sensoren läuft auf einem dedizierten c5-Host. Wir empfehlen den c5 Dedicated Host für EDA 8200v- und EDA 6100v-Instances, die ein höheres Sitzungslimit erfordern. Wenden Sie sich an den AWS-Support, um die Erhöhung des Sitzungslimits zu beantragen. |
Anforderungen an den Anschluss
Die folgenden Ports müssen für ExtraHop AWS-Instances geöffnet sein.
Hafen | Beschreibung |
---|---|
TCP-Ports 22, 80 und 443, die in das ExtraHop-System eingehen | Diese Ports werden benötigt, um das ExtraHop-System zu verwalten. |
TCP-Port 443 ausgehend zu ExtraHop Cloud Services | Fügen Sie die aktuelle IP-Adresse der ExtraHop Cloud Services hinzu. Weitere Informationen finden Sie unter Konfigurieren Sie Ihre Firewall-Regeln. |
UDP-Port 53 ausgehend zu Ihrem DNS-Server | Der UDP-Port 53 muss geöffnet sein, damit der Sensor eine Verbindung zum ExtraHop-Lizenzierungsserver herstellen kann. |
(Optional) TCP/UDP-Ports 2003-2034, die von der AWS VPC in das ExtraHop-System eingehen | Wenn Sie nicht konfigurieren Spiegelung des AWS-Datenverkehrs, müssen Sie einen Port (oder eine Reihe von Ports) für den Paketweiterleiter öffnen, um den RPCAP-Verkehr von Ihren AWS-VPC-Ressourcen weiterzuleiten. Weitere Informationen finden Sie unter Paketweiterleitung mit RPCAP. |
Erstellen Sie die ExtraHop-Instanz in AWS
Die nächsten Schritte
- Registrieren Sie Ihr ExtraHop-System.
- (Empfohlen) Konfigurieren Spiegelung des AWS-Datenverkehrs um den
Netzwerkverkehr von Ihren EC2-Instances auf eine leistungsstarke
ERSPAN/VXLAN/GENEVE-Schnittstelle auf Ihrem Sensor zu kopieren.
Hinweis: Wenn Ihre Bereitstellung einen Durchsatz von mehr als 15 Gbit/s erfordert, teilen Sie Ihre Datenverkehrsspiegelungsquellen auf zwei leistungsstarke ERSPAN/VXLAN/GENEVE-Schnittstellen auf dem EDA 8200v auf. - (Fakultativ) Weiterleiten von geneve-gekapseltem Datenverkehr von einem AWS Gateway Load Balancer.
- Den Sensor konfigurieren.
- Überprüfen Sie die Checkliste für Sensor und Konsole nach der Bereitstellung.
Erstellen Sie ein Traffic Mirror-Ziel
Führen Sie diese Schritte für jedes Elastic Netzwerk Interface (ENI) aus, das Sie erstellt haben.
- Klicken Sie in der AWS-Managementkonsole im oberen Menü auf Dienstleistungen.
- Klicken Sie .
- Klicken Sie im linken Bereich unter Traffic Mirroring auf Ziele spiegeln.
- Klicken Sie Verkehrsspiegelziel erstellen.
- Optional: Geben Sie im Feld Namens-Tag einen beschreibenden Namen für das Ziel ein.
- Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Ziel ein.
- Aus dem Typ des Ziels Wählen Sie in der Dropdownliste Netzwerkschnittstelle aus.
- Aus dem Ziel Wählen Sie in der Dropdownliste die ENI aus, die Sie zuvor erstellt haben.
- Klicken Sie Erstellen.
Erstellen Sie einen Verkehrsspiegelfilter
Sie müssen einen Filter erstellen, um den Verkehr von Ihren ENI-Traffic-Spiegelquellen zu Ihrem ExtraHop-System zuzulassen oder einzuschränken.
- Der gesamte ausgehender Datenverkehr wird gespiegelt auf Sensor, ob der Datenverkehr von einem Peer-Gerät zu einem anderen im Subnetz gesendet wird oder ob der Verkehr an ein Gerät außerhalb des Subnetzes gesendet wird.
- Eingehender Verkehr wird nur gespiegelt auf Sensor wenn der Verkehr von einem externen Gerät stammt. Diese Regel stellt beispielsweise sicher, dass eine App-Serveranfrage nicht zweimal gespiegelt wird: einmal vom sendenden App-Server und einmal von der Datenbank, die die Anfrage erhalten hat.
- Regelnummern bestimmen die Reihenfolge, in der die Filter angewendet werden. Regeln mit niedrigeren Zahlen, z. B. 100, werden zuerst angewendet.
Wichtig: | Diese Filter sollten nur angewendet werden, wenn alle Instanzen in einem CIDR-Block gespiegelt werden. |
- Klicken Sie in der AWS-Managementkonsole im linken Bereich unter Traffic Mirroring auf Spiegelfilter.
- klicken Verkehrsspiegelfilter erstellen.
- In der Namensschild Feld, geben Sie einen Namen für den Filter ein.
- In der Beschreibung Feld, geben Sie eine Beschreibung für den Filter ein.
- Unter Netzwerkdienste, wählen Sie Amazon-DNS Ankreuzfeld.
- In der Regeln für eingehenden Verkehr Abschnitt, klicken Regel hinzufügen.
-
Konfigurieren Sie eine Regel für eingehenden Verkehr:
- In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 100.
- Aus dem Regelaktion Dropdownliste, wählen ablehnen.
- Aus dem Protokoll Dropdownliste, wählen Alle Protokolle.
- In der Quell-CIDR-Block Feld, geben Sie den CIDR-Block für das Subnetz ein.
- In der Ziel-CIDR-Block Feld, geben Sie den CIDR-Block für das Subnetz ein.
- In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
- Klicken Sie in den Abschnitten „Regeln für eingehenden Verkehr" auf Regel hinzufügen.
-
Konfigurieren Sie eine zusätzliche Regel für eingehenden Datenverkehr:
- In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 200.
- Aus dem Regelaktion Dropdownliste, wählen akzeptieren.
- Aus dem Protokoll Dropdownliste, wählen Alle Protokolle.
- In der Quell-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Ziel-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
- Klicken Sie im Abschnitt Regeln für ausgehenden Datenverkehr auf Regel hinzufügen.
-
Konfigurieren Sie eine Regel für ausgehenden Datenverkehr:
- In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 100.
- Aus dem Regelaktion Dropdownliste, wählen akzeptieren.
- Aus dem Protokoll Dropdownliste, wählen Alle Protokolle.
- In der Quell-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Ziel-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
- Klicken Sie Erstellen.
Erstellen Sie eine Traffic Mirror-Sitzung
Sie müssen für jede AWS-Ressource, die Sie überwachen möchten, eine Sitzung erstellen. Sie können maximal 500 Traffic Mirror-Sitzungen pro Sitzung erstellen. Sensor.
Wichtig: | Um zu verhindern, dass Spiegelpakete gekürzt werden, legen Sie den MTU-Wert der Traffic Mirror-Quellschnittstelle auf 54 Byte unter dem Ziel-MTU-Wert für IPv4 und 74 Byte unter dem MTU des Traffic Mirror-Zielwerts für IPv6 fest. Weitere Informationen zur Konfiguration des Netzwerk-MTU-Werts finden Sie in der folgenden AWS-Dokumentation: Network Maximum Transmission Unit (MTU) für Ihre EC2-Instance . |
Den Sensor konfigurieren
Nächste Maßnahme
Nachdem das System lizenziert ist und Sie sich vergewissert haben, dass Datenverkehr erkannt wird, führen Sie die empfohlenen Verfahren in der Checkliste nach der Bereitstellung .
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?