Leitfaden für die Admin-Benutzeroberfläche
Einführung in die ExtraHop Admin-Benutzeroberfläche
Der Admin-UI-Leitfaden enthält detaillierte Informationen zu den Administratorfunktionen und -funktionen von ExtraHop. Sensoren und Konsolen. Dieses Handbuch bietet einen Überblick über die globale Navigation und Informationen zu den Steuerelementen, Feldern und Optionen, die in der gesamten Benutzeroberfläche verfügbar sind.
Video: | Sehen Sie sich die entsprechende Schulung an: Reveal (x) Benutzeroberfläche für Unternehmensadministration |
Wir schätzen Ihr Feedback. Bitte teilen Sie uns mit, wie wir dieses Dokument verbessern können. Senden Sie Ihre Kommentare oder Vorschläge an documentation@extrahop.com.
Unterstützte Browser
Die folgenden Browser sind mit allen ExtraHop-Systemen kompatibel. Wenden Sie die von Ihrem Browser bereitgestellten Barrierefreiheits- und Kompatibilitätsfunktionen an, um über technische Hilfsmittel auf Inhalte zuzugreifen.
- Firefox
- Google Chrome
- Microsoft Edge
- Safari
Wichtig: | Internet Explorer 11 wird nicht mehr unterstützt. Wir empfehlen Ihnen, die neueste Version aller unterstützten Browser zu installieren. |
Status und Diagnose
Der Bereich Status und Diagnose enthält Kennzahlen zum allgemeinen Zustand Ihres ExtraHop-Systems.
Gesundheit
Die Seite Health enthält eine Sammlung von Metriken, die Ihnen helfen, den Betrieb Ihres ExtraHop-Systems zu überwachen, und ermöglicht es dem ExtraHop-Support, bei Bedarf Systemfehler zu beheben.
- System
- Meldet die folgenden Informationen zur CPU-Auslastung und zur Festplatte des Systems.
- CPU-Benutzer
- Der Prozentsatz der CPU-Auslastung, der dem ExtraHop-Systembenutzer zugeordnet ist.
- CPU-System
- Der Prozentsatz der CPU-Auslastung im Zusammenhang mit dem ExtraHop-System.
- CPU im Leerlauf
- Der Prozentsatz der CPU-Leerlaufzeit, der dem ExtraHop-System zugeordnet ist.
- CPU-IO
- Der Prozentsatz der CPU-Auslastung, der mit den I/O-Funktionen des ExtraHop-Systems verbunden ist.
- Status der Brücke
- Meldet die folgenden Informationen über die ExtraHop-System-Bridge-Komponente.
- VM RSS
- Der verwendete physische Speicher des Bridge-Prozesses.
- VM-Daten
- Der Bridge-Prozess speichert virtuellen Speicher, der gerade verwendet wird.
- VM-Größe
- Der Bridge-Prozess verarbeitet den gesamten verwendeten virtuellen Speicher.
- Startzeit
- Gibt die Startzeit für die ExtraHop-System-Bridge-Komponente an.
- Status erfassen
- Meldet die folgenden Informationen zum Netzwerkaufzeichnungsstatus des ExtraHop-Systems.
- VM RSS
- Der verwendete physische Speicher des Netzwerkaufzeichnungsprozesses.
- VM-Daten
- Der Netzwerkaufzeichnungsprozess heapt den verwendeten virtuellen Speicher.
- VM-Größe
- Der gesamte verwendete virtuelle Speicher des Netzwerkaufzeichnungsprozesses.
- Startzeit
- Die Startzeit für die ExtraHop-Netzwerkerfassung.
- Status des Dienstes
- Meldet den Status der ExtraHop-Systemdienste.
- Exalarme
- Die Zeitdauer, in der der ExtraHop-Systemwarnungsdienst ausgeführt wurde.
- ausdehnen
- Die Zeitdauer, in der der ExtraHop-Systemtrend-Service ausgeführt wurde.
- exconfig
- Die Zeit, in der der ExtraHop-Systemkonfigurationsdienst ausgeführt wurde.
- exportale
- Die Zeit, in der der Webportaldienst des ExtraHop-Systems ausgeführt wurde.
- Exshell
- Die Zeitdauer, in der der ExtraHop-System-Shell-Service ausgeführt wurde.
- Schnittstellen
- Meldet den Status der ExtraHop-Systemschnittstellen.
- RX-Pakete
- Die Anzahl der Pakete, die von der angegebenen Schnittstelle empfangen wurden das ExtraHop-System.
- RX-Fehler
- Die Anzahl der empfangenen Paketfehler auf dem angegebenen Schnittstelle.
- RX Drops
- Die Anzahl der empfangenen Pakete, die durch den angegebenen Wert gelöscht wurden Schnittstelle.
- TX-Pakete
- Die Anzahl der Pakete, die von der angegebenen Schnittstelle übertragen werden auf dem ExtraHop-System.
- TX-Fehler
- Die Anzahl der übertragenen Paketfehler auf dem angegebenen Schnittstelle.
- TX Drops
- Die Anzahl der übertragenen Pakete, die durch den angegebenen Wert gelöscht wurden Schnittstelle.
- RX-Bytes
- Die Anzahl der Byte, die von der angegebenen Schnittstelle auf dem ExtraHop-System.
- TX-Bytes
- Die Anzahl der Byte, die von der angegebenen Schnittstelle übertragen werden das ExtraHop-System.
- Partitionen
- Meldet den Speicher, der Systemkomponenten für das ExtraHop-System zugewiesen wurde.
- Name
- Die Systemkomponenten, die eine Speicherpartition im NVRAM haben.
- Optionen
- Die Lese- und Schreiboptionen für die Systemkomponenten.
- Größe
- Die Partitionsgröße in Gigabyte, die der Systemkomponente zugewiesen ist.
- Auslastung
- Die Menge an Arbeitsspeicher, die derzeit von den Systemkomponenten verbraucht wird, als Menge und als Prozentsatz der gesamten Partition.
Anzahl und Limit der aktiven Gerät
Anhand des Diagramms Anzahl und Limit der aktiven Gerät können Sie überwachen, ob die Anzahl Ihrer aktiven Geräte das lizenzierte Limit überschritten hat. Beispielsweise sind für ein ExtraHop-System mit einem Frequenzband von 20.000 bis 50.000 Geräten bis zu 50.000 Geräte zulässig.
Klicken Sie Systemeinstellungen und klicken Sie dann Die gesamte Verwaltung. Aus dem Status und Diagnose Abschnitt, klicken Sie Anzahl und Limit der aktiven Geräte um das Diagramm anzusehen.
Das Diagramm „Anzahl und Limit aktiver Geräte" zeigt die folgenden Metriken an:
- Die gestrichelte rote Linie steht für Limit für lizenzierte Gerät.
- Die durchgezogene schwarze Linie steht für das 95. Perzentil der aktiven Geräte, die in den letzten 30 Tagen täglich beobachtet wurden.
- Die blauen Balken stellen die maximale Anzahl aktiver Geräte dar, die in den letzten 30 Tagen täglich beobachtet wurden.
Auf dieser Seite werden auch die folgenden Metriken angezeigt:
- Das lizenzierte Gerätelimit für den Vortag und die letzten 30 Tage.
- Die Anzahl der am Vortag beobachteten aktiven Geräte.
- Das 95. Perzentil der in den letzten 30 Tagen beobachteten aktiven Geräte.
- Der Nutzungsprozentsatz des lizenzierten Gerätelimits für den Vortag und die letzten 30 Tage. Die Nutzung ist die Anzahl der aktiven Gerät geteilt durch das lizenzierte Limit.
Sie können eine Systembenachrichtigungsregel erstellen, die Sie warnt, wenn sich die Auslastung der lizenzierten Geräte dem Limit nähert (über 80%) or over (exceeds 100%). Die prozentualen Grenzwerte können bei der Erstellung einer Regel angepasst werden. Wenn Sie feststellen, dass Sie sich ständig dem lizenzierten Limit nähern oder es überschreiten, empfehlen wir Ihnen, mit Ihrem Vertriebsteam zusammenzuarbeiten, um in den nächsten verfügbaren Kapazitätsbereich zu wechseln.
Audit-Protokoll
Das Audit-Log enthält Daten über den Betrieb Ihres ExtraHop-Systems, aufgeschlüsselt nach Komponenten. Das Audit-Log listet alle bekannten Ereignisse nach Zeitstempel in umgekehrter chronologischer Reihenfolge auf.
Audit-Log-Daten an einen Remote-Syslog-Server senden
Das Audit-Log sammelt Daten über den Betrieb des ExtraHop-Systems, aufgeschlüsselt nach Komponenten. Das im System gespeicherte Protokoll hat eine Kapazität von 10.000 Einträgen, und Einträge, die älter als 90 Tage sind, werden automatisch entfernt. Sie können diese Einträge in den Administrationseinstellungen anzeigen oder die Audit-Log-Ereignisse zur Langzeitspeicherung, Überwachung und erweiterten Analyse an einen Syslog-Server senden. Alle protokollierten Ereignisse sind in der folgenden Tabelle aufgeführt.
Die folgenden Schritte zeigen Ihnen, wie Sie das ExtraHop-System so konfigurieren, dass Audit-Log-Daten an einen Remote-Syslog-Server gesendet werden.
Nächste Maßnahme
Nachdem Sie bestätigt haben, dass Ihre neuen Einstellungen erwartungsgemäß funktionieren, behalten Sie Ihre Konfigurationsänderungen bei, indem Sie die laufende Konfigurationsdatei speichern.Audit-Log-Ereignisse
Die folgenden Ereignisse auf einem ExtraHop-System generieren einen Eintrag im Audit-Log.
Kategorie | Ereignis |
---|---|
Vereinbarungen |
|
API |
|
Sensormigration |
|
Browsersitzungen |
|
Cloud-Dienste |
|
Konsole |
|
Armaturenbretter |
|
Datenspeicher |
|
Erkennungen |
|
Ausnahmedateien |
|
ExtraHop Recordstore Records |
|
ExtraHop-Recordstore-Cluster |
|
ExtraHop Aktualisierungsservice |
|
Firmware |
|
Globale Richtlinien |
|
Integrationen |
|
Lizenz |
|
Loggen Sie sich in das ExtraHop-System ein |
|
Loggen Sie sich über SSH oder REST API ein |
|
Module |
|
Netzwerk |
|
Offline-Erfassung |
|
PCAP |
|
Fernzugriff |
|
RPCAP |
|
Config ausführen |
|
SAML-Identitätsanbieter |
|
SAML-Anmeldung |
|
SAML-Privilegien |
|
SSL-Entschlüsselung |
|
SSL-Sitzungsschlüssel |
|
Kundendienst-Konto |
|
Unterstützungsskript |
|
Syslog |
|
System- und Servicestatus |
|
Systemzeit |
|
Systembenutzer |
|
TAXII-Feeds |
|
Informationsgespräche über Bedrohungen |
|
ExtraHop Packetstore |
|
Tendenzen |
|
Trigger |
|
Benutzergruppen |
|
Fingerabdruck
Fingerabdrücke helfen dabei, Appliances vor Machine-in-the-Middle-Angriffen zu schützen, indem sie eine eindeutige Kennung bereitstellen, die beim Verbinden von ExtraHop-Appliances verifiziert werden kann.
Wenn Sie einen ExtraHop-Recordstore oder Packetstore mit einem Paketsensor oder einer Konsole verbinden, stellen Sie sicher, dass der angezeigte Fingerabdruck genau dem Fingerabdruck entspricht, der auf der Join- oder Pairing-Seite angezeigt wird.
Wenn die Fingerabdrücke nicht übereinstimmen, wurde die Kommunikation zwischen den Geräten möglicherweise abgefangen und verändert.
Ausnahmedateien
Ausnahmedateien sind eine Kerndatei der im Speicher gespeicherten Daten. Wenn Sie die Einstellung Ausnahmedatei aktivieren, wird die Kerndatei auf die Festplatte geschrieben, wenn das System unerwartet stoppt oder neu gestartet wird. Diese Datei kann dem ExtraHop Support helfen, das Problem zu diagnostizieren.
- Klicken Sie Ausnahmedateien aktivieren oder Ausnahmedateien deaktivieren um das Speichern von Ausnahmedateien zu aktivieren oder zu deaktivieren.
Unterstützungsskripte
ExtraHop Support stellt möglicherweise ein Support-Skript bereit, das eine spezielle Einstellung anwenden, eine kleine Anpassung am ExtraHop-System vornehmen oder Hilfe beim Fernsupport oder bei erweiterten Einstellungen bieten kann. Die Administrationseinstellungen ermöglichen es Ihnen, Support-Skripte hochzuladen und auszuführen.
Netzwerk-Einstellungen
Die Netzwerk-Einstellungen Dieser Abschnitt enthält Konfigurationseinstellungen für Ihr ExtraHop-System. Mit diesen Einstellungen können Sie einen Hostnamen festlegen, Benachrichtigungen konfigurieren und Verbindungen zu Ihrem System verwalten.
Stellen Sie eine Verbindung zu ExtraHop Cloud Services her
ExtraHop Cloud Services bietet Zugriff auf die Cloud-basierten Dienste von ExtraHop über eine verschlüsselte Verbindung. Die Dienste, mit denen Sie verbunden sind, werden durch Ihre Systemlizenz bestimmt.
- Durch das Teilen von Daten mit dem ExtraHop Machine Learning Service können Sie Funktionen aktivieren
, die das ExtraHop-System und Ihre Benutzererfahrung verbessern.
- Aktivieren Sie den AI-Suchassistenten, um Geräte mit
Benutzeraufforderungen in natürlicher Sprache zu finden, die zur
Produktverbesserung mit ExtraHop Cloud Services geteilt werden. Sehen Sie die Häufig gestellte Fragen zum
AI-Suchassistenten für weitere Informationen. AI Search Assistant
kann derzeit nicht für die folgenden Regionen aktiviert werden:
- Asien-Pazifik (Singapur, Sydney, Tokio)
- Europa (Frankfurt, Paris)
- Melden Sie sich für Expanded Threat Intelligence an, damit der Machine Learning Service Daten wie IP-Adressen und Hostnamen anhand der von CrowdStrike bereitgestellten Bedrohungsinformationen, gutartigen Endpunkten und anderen Informationen zum Netzwerkverkehr überprüfen kann. Sehen Sie die Häufig gestellte Fragen zu erweiterten Bedrohungsinformationen für weitere Informationen.
- Tragen Sie Daten wie Datei-Hashes und externe IP-Adressen zur Collective Threat Analysis bei, um die Erkennungsgenauigkeit zu verbessern. Sehen Sie die Häufig gestellte Fragen zur kollektiven Gefahrenanalyse für weitere Informationen.
- Aktivieren Sie den AI-Suchassistenten, um Geräte mit
Benutzeraufforderungen in natürlicher Sprache zu finden, die zur
Produktverbesserung mit ExtraHop Cloud Services geteilt werden. Sehen Sie die Häufig gestellte Fragen zum
AI-Suchassistenten für weitere Informationen. AI Search Assistant
kann derzeit nicht für die folgenden Regionen aktiviert werden:
- Der ExtraHop Update Service ermöglicht automatische Aktualisierungen von Ressourcen auf dem ExtraHop-System, wie z. B. Ransomware-Paketen.
- Mit ExtraHop Remote Access können Sie Mitgliedern des ExtraHop-Account-Teams und dem ExtraHop-Support erlauben, sich mit Ihrem ExtraHop-System zu verbinden, um Hilfe bei der Konfiguration zu erhalten. Sehen Sie die Häufig gestellte Fragen zum Fernzugriff für weitere Informationen über Benutzer mit Fernzugriff.
Video: | Sehen Sie sich die entsprechende Schulung an: Stellen Sie eine Verbindung zu ExtraHop Cloud Services her |
Before you begin
- Reveal (x) 360-Systeme werden automatisch mit den ExtraHop Cloud Services verbunden. Möglicherweise müssen Sie jedoch Zugriff über Netzwerkfirewalls zulassen.
- Sie müssen die entsprechende Lizenz auf dem ExtraHop-System anwenden, bevor Sie eine Verbindung zu ExtraHop Cloud Services herstellen können. Sehen Sie die Häufig gestellte Fragen zur Lizenz für weitere Informationen.
- Sie müssen eingerichtet haben oder System- und Zugriffsadministrationsrechte um auf die Administrationseinstellungen zuzugreifen.
Konfigurieren Sie Ihre Firewall-Regeln
Wenn Ihr ExtraHop-System in einer Umgebung mit einer Firewall eingesetzt wird, müssen Sie den Zugriff auf ExtraHop Cloud Services öffnen. Für Reveal (x) 360-Systeme, die mit selbstverwalteten Systemen verbunden sind Sensoren, müssen Sie auch den Zugang zum ExtraHop Cloud Recordstore öffnen.
Offener Zugang zu Cloud-Diensten
Für den Zugriff auf ExtraHop Cloud Services benötigen Sie Sensoren muss in der Lage sein, DNS-Abfragen für *.extrahop.com aufzulösen und über die IP-Adresse, die Ihrer entspricht, auf TCP 443 (HTTPS) zuzugreifen Sensor Lizenz:
- 35.161.154.247 (Portland, Vereinigte Staaten von Amerika)
- 54.66.242.25 (Sydney, Australien)
- 52.59.110.168 (Frankfurt, Deutschland)
Offener Zugang zu Cloud Recordstore
Für den Zugriff auf den ExtraHop Cloud Recordstore benötigen Sie Sensoren muss in der Lage sein, auf ausgehendes TCP 443 (HTTPS) zu diesen vollqualifizierten Domainnamen zuzugreifen:
- bigquery.googleapis.com
- bigquerystorage.googleapis.com
- oauth2.googleapis.com
- www.googleapis.com
- www.mtls.googleapis.com
- iamcredentials.googleapis.com
Sie können auch die öffentlichen Leitlinien von Google zu folgenden Themen lesen Berechnung möglicher IP-Adressbereiche für googleapis.com.
Zusätzlich zur Konfiguration des Zugriffs auf diese Domänen müssen Sie auch die globale Proxyserver-Einstellungen.
Stellen Sie über einen Proxy eine Verbindung zu ExtraHop Cloud Services her
Wenn Sie keine direkte Internetverbindung haben, können Sie versuchen, über einen expliziten Proxy eine Verbindung zu ExtraHop Cloud Services herzustellen.
Before you begin
Überprüfen Sie, ob Ihr Proxyanbieter so konfiguriert ist, dass er Machine-in-the-Middle (MITM) ausführt, wenn SSH über HTTP CONNECT zu localhost:22 getunnelt wird. ExtraHop Cloud Services stellt einen verschlüsselten inneren SSH-Tunnel bereit, sodass der Datenverkehr für die MITM-Inspektion nicht sichtbar ist. Es wird empfohlen, eine Sicherheitsausnahme zu erstellen und die MITM-Prüfung für diesen Datenverkehr zu deaktivieren.Wichtig: | Wenn Sie MITM auf Ihrem Proxy nicht deaktivieren können, müssen Sie die Zertifikatsvalidierung in der Konfigurationsdatei des ExtraHop-Systems deaktivieren, in der das ExtraHop-System ausgeführt wird. Weitere Informationen finden Sie unter Zertifikatsvalidierung umgehen. |
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Netzwerk-Einstellungen Abschnitt, klicken Konnektivität.
- Klicken ExtraHop Cloud-Proxy aktivieren.
- Geben Sie den Hostnamen für Ihren Proxyserver ein, z. B. Proxyhost.
- Geben Sie den Port für Ihren Proxyserver ein, z. B. 8080.
- Optional: Geben Sie bei Bedarf einen Benutzernamen und ein Passwort für Ihren Proxyserver ein.
- Klicken Speichern.
Zertifikatsvalidierung umgehen
Einige Umgebungen sind so konfiguriert, dass verschlüsselter Datenverkehr das Netzwerk nicht ohne Überprüfung durch ein Gerät eines Drittanbieters verlassen kann. Dieses Gerät kann als SSL/TLS-Endpunkt fungieren, der den Datenverkehr entschlüsselt und erneut verschlüsselt, bevor die Pakete an ExtraHop Cloud Services gesendet werden.
Hinweis: | Das folgende Verfahren setzt Vertrautheit mit der Änderung der laufenden ExtraHop-Konfigurationsdatei voraus. |
Konnektivität
Die Seite Konnektivität enthält Steuerelemente für Ihre Appliance-Verbindungen und Netzwerkeinstellungen.
- Status der Schnittstelle
- Auf physischen Appliances wird ein Diagramm der Schnittstellenverbindungen angezeigt, das basierend auf dem Portstatus
dynamisch aktualisiert wird.
- Der blaue Ethernet-Port dient der Verwaltung
- Ein schwarzer Ethernet-Port weist auf einen lizenzierten und aktivierten Port hin, der derzeit ausgefallen ist
- Ein grüner Ethernet-Port zeigt einen aktiven, verbundenen Port an
- Ein grauer Ethernet-Port weist auf einen deaktivierten oder nicht lizenzierten Port hin
- Netzwerkeinstellungen
-
- Klicken Sie Einstellungen ändern um einen Hostnamen für Ihre ExtraHop-Appliance hinzuzufügen oder DNS-Server hinzuzufügen.
- Proxy-Einstellungen
-
- Aktiviere eine globaler Proxy um eine Verbindung zu einer ExtraHop-Konsole herzustellen
- Aktiviere eine Cloud-Proxy um eine Verbindung zu ExtraHop Cloud Services herzustellen
- Einstellungen für die Bond-Schnittstelle
-
- Erstellen Sie eine Bond-Schnittstelle um mehrere Schnittstellen zu einer logischen Schnittstelle mit einer einzigen IP-Adresse zu verbinden.
- Schnittstellen
- Sehen Sie sich Ihre Verwaltungs- und Überwachungsschnittstellen an und konfigurieren Sie sie. Klicken Sie auf eine beliebige Schnittstelle, um die Einstellungsoptionen anzuzeigen.
- Netskope-Einstellungen
-
- Netskope-Paketaufnahme aktivieren auf Ihrem Sensor, um Geräte über eine Netskope-Integration zu erkennen und zu überwachen.
Eine Schnittstelle konfigurieren
Stellen Sie eine statische Route ein
Before you begin
Sie müssen DHCPv4 deaktivieren, bevor Sie eine statische Route hinzufügen können.- Auf dem Oberfläche bearbeiten Seite, stellen Sie sicher, dass IPv4-Adresse und Netzmaske Felder sind vollständig und gespeichert, und klicken Sie auf Routen bearbeiten.
- In der Route hinzufügen Abschnitt, geben Sie einen Netzwerkadressbereich in CIDR-Notation in das Netzwerk Feld und IPv4-Adresse in der Über IP Feld und dann klicken Hinzufügen.
- Wiederholen Sie den vorherigen Schritt für jede Route, die Sie hinzufügen möchten.
- klicken Speichern.
Schnittstellendurchsatz
Extra Hopfen Sensor Die Modelle EDA 6100, EDA 8100 und EDA 9100 sind für die Erfassung des Datenverkehrs ausschließlich an 10-GbE-Ports optimiert.
Die Aktivierung der 1-GbE-Schnittstellen für die Überwachung des Datenverkehrs kann sich je nach ExtraHop auf die Leistung auswirken Sensor. Sie können diese zwar optimieren Sensoren Um den Datenverkehr gleichzeitig an den 10-GbE-Anschlüssen und den drei nicht verwaltbaren 1-GbE-Ports zu erfassen, empfehlen wir Ihnen, sich an den ExtraHop-Support zu wenden, um Unterstützung zu erhalten, um einen verringerten Durchsatz zu vermeiden.
Hinweis: | Die Sensoren EDA 6200, EDA 8200, EDA 9200 und EDA 10200 sind nicht anfällig für einen reduzierten Durchsatz, wenn Sie 1-GbE-Schnittstellen für die Überwachung des Datenverkehrs aktivieren. |
ExtraHop-Sensor | Durchsatz | Einzelheiten |
---|---|---|
SEIT 1900 | Standarddurchsatz von 40 Gbit/s | Wenn die nicht verwaltbaren 1-GbE-Schnittstellen deaktiviert sind, können Sie bis zu vier der 10-GbE-Schnittstellen für einen kombinierten Durchsatz von bis zu 40 Gbit/s verwenden. |
SEIT 1800 | Standarddurchsatz von 20 Gbit/s | Wenn die nicht verwaltbaren 1-GbE-Schnittstellen deaktiviert sind, können Sie entweder eine oder beide der 10-GbE-Schnittstellen für einen kombinierten Durchsatz von bis zu 20 Gbit/s verwenden. |
AB 6100 | Standarddurchsatz von 10 Gbit/s | Wenn die nicht verwaltbaren 1-GbE-Schnittstellen deaktiviert sind, beträgt der maximale kombinierte Gesamtdurchsatz 10 Gbit/s. |
SEIT 3100 | Standarddurchsatz von 3 Gbit/s | Keine 10GbE-Schnittstelle |
SEIT 1100 | Standarddurchsatz von 1 Gbit/s | Keine 10GbE-Schnittstelle |
Sensordurchsatz für mehrere Module
Etwas ExtraHop Sensor Modelle unterstützen die Aktivierung des IDS-Moduls, sofern der Sensor für das NDR-Modul lizenziert ist. Die Aktivierung von Intrusion Detection System auf diesen Sensoren kann sich auf den Sensordurchsatz auswirken.
ExtraHop Sensormodell | IDS-Unterstützung | Durchsatz ohne Intrusion Detection System (Gbit/s) | Durchsatz mit Intrusion Detection System (Gbit/s) |
---|---|---|---|
1200 | Nein | 1 | N/A |
4200 | Nein | 5 | N/A |
6200 | Ja | 10 | 4 |
8200 | Ja | 25 | 10 |
8320 | Ja | 25 | 25 |
9200 | Ja | 50 | 20 |
9300 | Ja | 50 | 30 |
10200 | Ja | 100 | 40 |
10300 | Ja | 100 | TBD |
Globaler Proxyserver
Wenn Ihre Netzwerktopologie einen Proxyserver benötigt, damit Ihr ExtraHop-System entweder mit einem Konsole oder mit anderen Geräten außerhalb des lokalen Netzwerks können Sie Ihr ExtraHop-System so einrichten, dass es eine Verbindung zu einem Proxyserver herstellt, den Sie bereits in Ihrem Netzwerk haben. Für den globalen Proxyserver ist keine Internetverbindung erforderlich.
Hinweis: | Pro ExtraHop-System kann nur ein globaler Proxyserver konfiguriert werden. |
Füllen Sie die folgenden Felder aus und klicken Sie auf Speichern um einen globalen Proxy zu aktivieren.
Hostname : Der Hostname oder die IP-Adresse für Ihren globalen Proxyserver.
Hafen : Die Portnummer für Ihren globalen Proxyserver.
Nutzername : Der Name eines Benutzers, der privilegierten Zugriff auf Ihren globalen Proxyserver hat.
Passwort : Das Passwort für den oben angegebenen Benutzer.
ExtraHop Cloud-Proxy
Wenn Ihr ExtraHop-System nicht über eine direkte Internetverbindung verfügt, können Sie über einen Proxy-Server, der speziell für die Konnektivität von ExtraHop-Cloud-Diensten vorgesehen ist, eine Verbindung zum Internet herstellen . Pro System kann nur ein Proxy konfiguriert werden.
Füllen Sie die folgenden Felder aus und klicken Sie auf Speichern um einen Cloud-Proxy zu aktivieren.
Hostname : Der Hostname oder die IP-Adresse für Ihren Cloud-Proxyserver.
Hafen : Die Portnummer für Ihren Cloud-Proxyserver.
Nutzername : Der Name eines Benutzers, der Zugriff auf Ihren Cloud-Proxyserver hat.
Passwort : Das Passwort für den oben angegebenen Benutzer.
Bond-Schnittstellen
Sie können mehrere Schnittstellen auf Ihrem ExtraHop-System zu einer einzigen logischen Schnittstelle verbinden, die eine IP-Adresse für die kombinierte Bandbreite der Mitgliedsschnittstellen hat. Verbindungsschnittstellen ermöglichen einen größeren Durchsatz mit einer einzigen IP-Adresse. Diese Konfiguration wird auch als Link-Aggregation, Port-Channeling, Linkbündelung, Ethernet-/Netzwerk-/NIC-Bonding oder NIC-Teaming bezeichnet. Bond-Schnittstellen können nicht in den Überwachungsmodus versetzt werden.
Hinweis: | Wenn Sie die Einstellungen der Bond-Schnittstelle ändern, verlieren Sie die Konnektivität zu Ihrem ExtraHop-System. Sie müssen Änderungen an Ihrer Netzwerk-Switch-Konfiguration vornehmen, um die Konnektivität wiederherzustellen. Die erforderlichen Änderungen hängen von Ihrem Switch ab. Wenden Sie sich an den ExtraHop-Support, um Unterstützung zu erhalten, bevor Sie eine Bond-Schnittstelle erstellen. |
- Bonding ist nur auf Management- oder Management +-Schnittstellen konfigurierbar.
- Port-Channeling auf den ExtraHop-Sensoren werden keine Anschlüsse zur Verkehrsüberwachung unterstützt.
Schnittstellen, die als Mitglieder einer Bond-Schnittstelle ausgewählt wurden, sind nicht mehr unabhängig konfigurierbar und werden angezeigt als Deaktiviert (Bond-Mitglied) im Abschnitt Schnittstellen der Seite Konnektivität. Nachdem eine Bond-Schnittstelle erstellt wurde, können Sie keine weiteren Mitglieder hinzufügen oder vorhandene Mitglieder löschen. Die Bond-Schnittstelle muss zerstört und neu erstellt werden.
Erstellen Sie eine Bond-Schnittstelle
Sie können eine Bond-Schnittstelle mit mindestens einem Schnittstellenmitglied und bis zu der Anzahl von Mitgliedern erstellen, die für die Bindung verfügbar sind.
Einstellungen der Bond-Schnittstelle ändern
Nachdem eine Bond-Schnittstelle erstellt wurde, können Sie die meisten Einstellungen so ändern, als ob es sich bei der Bond-Schnittstelle um eine einzelne Schnittstelle handeln würde.
Zerstöre eine Bond-Schnittstelle
Wenn eine Bond-Schnittstelle zerstört wird, kehren die einzelnen Schnittstellenmitglieder der Bond-Schnittstelle zur unabhängigen Schnittstellenfunktionalität zurück. Eine Mitgliedsschnittstelle wird ausgewählt, um die Schnittstelleneinstellungen für die Bond-Schnittstelle beizubehalten, und alle anderen Mitgliedsschnittstellen sind deaktiviert. Wenn keine Mitgliedsschnittstelle ausgewählt wurde, um die Einstellungen beizubehalten, gehen die Einstellungen verloren und alle Mitgliedsschnittstellen sind deaktiviert.
- In der Netzwerk-Einstellungen Abschnitt, klicken Konnektivität.
- In der Bereich Bond-Schnittstellen, klicken Sie auf das Rote X neben der Schnittstelle, die Sie zerstören möchten.
- Auf dem Zerstöre die Bond-Schnittstelle <interface number>Seite, wählen Sie die Mitgliederschnittstelle aus, auf die Sie die Einstellungen der Bond-Schnittstelle verschieben möchten. Nur die Mitgliedsschnittstelle, die ausgewählt wurde, um die Bond-Schnittstelleneinstellungen beizubehalten, bleibt aktiv, und alle anderen Mitgliedsschnittstellen sind deaktiviert.
- klicken Zerstören.
Netskope-Einstellungen
Diese Integration ermöglicht es Ihnen, ExtraHop-Sensoren so zu konfigurieren, dass sie Pakete aus Ihrer Netskope-Lösung aufnehmen, um Bedrohungen zu erkennen, Geräte zu erkennen und zu überwachen und Einblicke in den Datenverkehr zu erhalten.
Before you begin
Wichtig: | Die Reveal (x) -Integration mit Netskope Intelligent Security Service Edge (SSE) ist derzeit nur für Teilnehmer des Netskope Cloud TAP Early Access-Programms verfügbar. Wenn Sie mehr über diese Integration erfahren und benachrichtigt werden möchten, sobald sie öffentlich verfügbar ist, wenden Sie sich an Ihr ExtraHop-Account-Team. |
- Ihr Benutzerkonto muss volle Schreibrechte oder höher auf Reveal (x) Enterprise oder System- und Zugriffsadministrationsrechte auf Reveal (x) 360.
- Ihr Reveal (x) -System muss an einen ExtraHop-Sensor mit Firmware-Version 9.4 oder höher angeschlossen sein.
- Ihr ExtraHop-Sensor muss ausschließlich für die Aufnahme von Netskope-Paketen vorgesehen sein.
- Du musst mindestens eine Schnittstelle konfigurieren auf Ihrem ExtraHop-Sensor; alle Schnittstellen müssen einen Modus angeben , der GENEVE-Kapselung beinhaltet.
- Du musst TAP-Modus konfigurieren in Ihrer Netskope-Umgebung.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Netzwerkeinstellungen auf Konnektivität.
- Wählen Sie im Abschnitt Netskope-Einstellungen Netskope-Paketaufnahme aktivieren .
- Klicken Sie Speichern.
Nächste Maßnahme
- Auf der Seite „Assets" können Sie suche nach diesem Sensor um den Verkehr und die anhand der Netskope-Daten beobachteten Erkennungen anzuzeigen.
- Loggen Sie sich in die Administrationseinstellungen auf dem verbundenen Enthülle (x) Enterprise oder Zeige (x) 360 Konsole zur Überprüfung des Status der in Netskope integrierten Sensoren.
Flow-Netzwerke
Sie müssen die Netzwerkschnittstelle und die Porteinstellungen auf dem ExtraHop-System konfigurieren, bevor Sie NetFlow- oder sFlow-Daten aus Remote-Flow-Netzwerken (Flow-Exportern) sammeln können. Flow-Netzwerke können auf Reveal (x) Enterprise-Systemen nicht konfiguriert werden. Das ExtraHop-System unterstützt die folgenden Flow-Technologien: Cisco NetFlow Version 5 (v5) und Version 9 (v9), AppFlow, IPFIX und sFlow.
Zusätzlich zur Konfiguration des ExtraHop-Systems müssen Sie Ihre Netzwerkgeräte so konfigurieren, dass sie sFlow- oder NetFlow-Verkehr senden. Schlagen Sie in der Dokumentation Ihres Anbieters nach oder sehen Sie sich ein Beispiel an Cisco-Konfigurationen im Anhang.
Erfassen Sie den Datenverkehr von NetFlow- und sFlow-Geräten
Sie müssen die Netzwerkschnittstellen- und Porteinstellungen auf dem ExtraHop-System konfigurieren, bevor Sie NetFlow- oder sFlow-Daten aus Remote-Flow-Netzwerken (Flow-Exportern) sammeln können. Flow-Netzwerke können auf Reveal (x) Enterprise-Systemen nicht konfiguriert werden. Das ExtraHop-System unterstützt die folgenden Flow-Technologien: Cisco NetFlow v5 und v9, AppFlow, IPFIX und sFlow.
Hinweis: | Informationen zur virtuellen NetFlow-Sensor-Appliance EFC 1292v finden Sie unter Stellen Sie den ExtraHop EFC 1292v NetFlow Sensor bereit. |
Sie müssen sich als Benutzer anmelden mit Rechte für die System- und Zugriffsverwaltung um die folgenden Schritte abzuschließen.
Konfigurieren Sie die Schnittstelle auf Ihrem ExtraHop-System
Fügen Sie die ausstehenden Flow-Netzwerke hinzu
Sie können jetzt ausstehende Flow-Netzwerke hinzufügen.
Before you begin
Sie müssen sich als Benutzer anmelden mit Rechte für die System- und Zugriffsadministration um die folgenden Schritte abzuschließen.- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- In der Netzwerkeinstellungen Abschnitt, klicken Sie Flow-Netzwerke.
- Klicken Sie im Abschnitt Pending Flow Networks auf Flow-Netzwerk hinzufügen.
- Geben Sie im Feld Flussnetz ID einen Namen zur Identifizierung dieses Flow-Netzwerks ein.
- Wählen Sie den Automatische Aufzeichnungen Checkbox, um Datensätze aus diesem Flussnetz an einen verbundenen Recordstore zu senden.
- Wählen Sie den SNMP-Polling aktivieren Kontrollkästchen, um SNMP-Polling zu aktivieren.
-
Wenn Sie SNMP-Polling aktivieren, wählen Sie im Dropdownmenü
SNMP-Anmeldeinformationen eine der folgenden Optionen aus:
- Von CIDR erben. Wenn Sie diese Option auswählen, werden die SNMP-Anmeldeinformationen auf der Grundlage der Einstellungen für gemeinsame SNMP-Anmeldeinformationen angewendet.
- Benutzerdefinierte Anmeldedaten. Wählen Sie v1, v2 oder v3 aus der Dropdownliste SNMP-Version aus, und konfigurieren Sie dann die verbleibenden Einstellungen für den jeweiligen Abfragetyp.
- Klicken Sie Speichern.
Cisco NetFlow-Geräte konfigurieren
Die folgenden Beispiele für die grundlegende Cisco-Router-Konfiguration für NetFlow. NetFlow wird pro Schnittstelle konfiguriert. Wenn NetFlow auf der Schnittstelle konfiguriert ist, werden IP-Paketflussinformationen in das ExtraHop-System exportiert.
Wichtig: | NetFlow nutzt den SNMP ifIndex-Wert, um Eingangs- und Ausgangsschnittstelleninformationen in Flow-Datensätzen darzustellen. Um die Konsistenz der Schnittstellenberichte zu gewährleisten, aktivieren Sie die SNMP ifIndex-Persistenz auf Geräten, die NetFlow an das ExtraHop-System senden. Weitere Informationen zur Aktivierung der SNMP ifIndex-Persistenz auf Ihren Netzwerkgeräten finden Sie in der vom Gerätehersteller bereitgestellten Konfigurationsanleitung. |
Weitere Informationen zur Konfiguration von NetFlow auf Cisco Switches finden Sie in der Dokumentation zu Ihrem Cisco Router oder auf der Cisco-Website unter www.cisco.com.
Richten Sie gemeinsame SNMP-Anmeldeinformationen für Ihre NetFlow- oder sFlow-Netzwerke ein
Wenn Sie SNMP-Polling in Ihrer Flow-Netzwerkkonfiguration aktivieren, müssen Sie die Anmeldedaten angeben, mit denen Sie das Netzwerkgerät abfragen können. Die SNMP-Authentifizierungsdaten gelten für alle Flow-Netzwerke in einem CIDR-Block und werden automatisch auf jedes erkannte Flussnetz angewendet, sofern keine benutzerdefinierten Anmeldedaten konfiguriert sind.
SNMP-Informationen manuell aktualisieren
Benachrichtigungen
Das ExtraHop-System kann Benachrichtigungen über konfigurierte Warnmeldungen per E-Mail, SNMP-Traps und Syslog-Exporten an Remoteserver senden. Wenn eine E-Mail-Benachrichtigungsgruppe angegeben ist, werden E-Mails an die Gruppen gesendet, die der Alarm zugewiesen sind.
E-Mail-Einstellungen für Benachrichtigungen konfigurieren
Sie müssen einen E-Mail-Server und einen Absender konfigurieren, bevor das ExtraHop-System Warnmeldungen oder geplante Berichte senden kann.
Nächste Maßnahme
Nachdem Sie bestätigt haben, dass Ihre neuen Einstellungen erwartungsgemäß funktionieren, speichern Sie Ihre Konfigurationsänderungen durch Systemneustart- und Shutdown-Ereignisse, indem Sie die laufende Konfigurationsdatei speichern.Konfigurieren Sie eine E-Mail-Benachrichtigungsgruppe
Fügen Sie einer Gruppe eine Liste mit E-Mail-Adressen hinzu und wählen Sie dann die Gruppe aus, wenn Sie die E-Mail-Einstellungen für eine Alarm oder einen geplanten Bericht konfigurieren. Sie können zwar einzelne E-Mail-Adressen angeben, E-Mail-Gruppen sind jedoch eine effektive Methode, um Ihre Empfängerliste zu verwalten.
Konfigurieren Sie die Einstellungen, um Benachrichtigungen an einen SNMP-Manager zu senden
Der Zustand des Netzwerk kann über das Simple Network Management Protocol (SNMP) überwacht werden. SNMP sammelt Informationen, indem es Geräte im Netzwerk abfragt. SNMP-fähige Geräte können auch Warnmeldungen an SNMP-Managementstationen senden. SNMP-Communities definieren die Gruppe , zu der Geräte und Verwaltungsstationen, auf denen SNMP ausgeführt wird, gehören, was angibt, wohin Informationen gesendet werden. Der Community-Name identifiziert die Gruppe.
Hinweis: | Die meisten Organisationen verfügen über ein etabliertes System zur Erfassung und Anzeige von SNMP-Traps an einem zentralen Ort, der von ihren Betriebsteams überwacht werden kann. Beispielsweise werden SNMP-Traps an einen SNMP-Manager gesendet, und die SNMP-Managementkonsole zeigt sie an. |
Laden Sie die ExtraHop SNMP MIB herunter
SNMP stellt keine Datenbank mit Informationen bereit, die ein SNMP-überwachtes Netzwerk meldet. SNMP-Informationen werden durch MIBs (Management Information Bases) von Drittanbietern definiert, die die Struktur der gesammelten Daten beschreiben.
Extrahieren Sie die ExtraHop-Lieferantenobjekt-OID
Bevor Sie ein Gerät mit SNMP überwachen können, benötigen Sie den Sysobject-ID, das eine OID enthält, bei der es sich um die vom Hersteller gemeldete Identität des Gerät handelt.
Systembenachrichtigungen an einen Remote-Syslog-Server senden
Mit der Syslog-Exportoption können Sie Warnungen von einem ExtraHop-System an jedes Remote-System senden, das Syslog-Eingaben zur Langzeitarchivierung und Korrelation mit anderen Quellen empfängt.
Nächste Maßnahme
Nachdem Sie sich vergewissert haben, dass Ihre neuen Einstellungen erwartungsgemäß funktionieren, behalten Sie Ihre Konfigurationsänderungen bei Systemneustart- und Shutdown-Ereignissen bei, indem Sie die laufende Konfigurationsdatei speichern.SSL-Zertifikat
SSL-Zertifikate bieten eine sichere Authentifizierung für das ExtraHop-System.
Sie können ein selbstsigniertes Zertifikat für die Authentifizierung anstelle eines von einer Zertifizierungsstelle signierten Zertifikats angeben. Beachten Sie jedoch, dass ein selbstsigniertes Zertifikat einen Fehler in der Client Browser, der meldet, dass die signierende Zertifizierungsstelle unbekannt ist. Der Browser stellt eine Reihe von Bestätigungsseiten bereit, um dem Zertifikat zu vertrauen, auch wenn das Zertifikat selbst signiert ist. Selbstsignierte Zertifikate können auch die Leistung beeinträchtigen, da sie das Zwischenspeichern in einigen Browsern verhindern. Wir empfehlen Ihnen, eine Anfrage zur Zertifikatsignierung von Ihrem ExtraHop-System aus zu erstellen und stattdessen das signierte Zertifikat hochzuladen.
Wichtig: | Beim Ersetzen eines SSL-Zertifikats wird der Webserverdienst neu gestartet. Die getunnelten Verbindungen von ExtraHop-Sensoren zu den ExtraHop-Konsolen gehen verloren, werden dann aber automatisch wiederhergestellt. |
Laden Sie ein SSL-Zertifikat hoch
Sie müssen eine PEM-Datei hochladen, die sowohl einen privaten Schlüssel als auch entweder ein selbstsigniertes Zertifikat oder ein Zertifikat einer Zertifizierungsstelle enthält.
Hinweis: | Die.pem-Datei darf nicht passwortgeschützt sein. |
Hinweis: | Du kannst auch Automatisieren Sie diese Aufgabe über die REST-API. |
- In der Netzwerk-Einstellungen Abschnitt, klicken SSL Zertifikat.
- klicken Zertifikate verwalten um den Abschnitt zu erweitern.
- klicken Wählen Sie Datei und navigieren Sie zu dem Zertifikat, das Sie hochladen möchten.
- klicken Offen.
- klicken hochladen.
Erstellen Sie eine Zertifikatsignieranforderung von Ihrem ExtraHop-System aus
Eine Certificate Signing Request (CSR) ist ein codierter Textblock, der an Ihre Zertifizierungsstelle (CA) weitergegeben wird, wenn Sie ein SSL-Zertifikat beantragen. Die CSR wird auf dem ExtraHop-System generiert, auf dem das SSL-Zertifikat installiert wird, und enthält Informationen , die im Zertifikat enthalten sein werden, z. B. den allgemeinen Namen (Domänenname), die Organisation, den Ort und das Land. Die CSR enthält auch den öffentlichen Schlüssel, der im Zertifikat enthalten sein wird. Die CSR wird mit dem privaten Schlüssel aus dem ExtraHop-System erstellt, wodurch ein Schlüsselpaar entsteht.
Nächste Maßnahme
Senden Sie die CSR-Datei an Ihre Zertifizierungsstelle (CA), um die CSR signieren zu lassen. Wenn Sie das SSL-Zertifikat von der CA erhalten haben, kehren Sie zurück zur SSL Zertifikat Öffnen Sie die Administrationseinstellungen und laden Sie das Zertifikat in das ExtraHop-System hoch.Hinweis: | Wenn Ihre Organisation verlangt, dass die CSR einen neuen öffentlichen Schlüssel enthält, ein selbstsigniertes Zertifikat generieren um vor der Erstellung der CSR neue Schlüsselpaare zu erstellen. |
Vertrauenswürdige Zertifikate
Mit vertrauenswürdigen Zertifikaten können Sie SMTP-, LDAP-, HTTPS- ODS- und MongoDB-ODS-Ziele sowie Splunk-Recordstore-Verbindungen von Ihrem ExtraHop-System aus validieren.
Fügen Sie Ihrem ExtraHop-System ein vertrauenswürdiges Zertifikat hinzu
Ihr ExtraHop-System vertraut nur Peers, die ein Transport Layer Security (TLS) -Zertifikat vorlegen, das mit einem der integrierten Systemzertifikate und allen von Ihnen hochgeladenen Zertifikaten signiert ist. SMTP-, LDAP-, HTTPS-ODS- und MongoDB-ODS-Ziele sowie Splunk-Recordstore-Verbindungen können mit diesen Zertifikaten validiert werden.
Before you begin
Sie müssen sich als Benutzer mit Setup- oder System- und Zugriffsadministrationsrechten anmelden , um vertrauenswürdige Zertifikate hinzuzufügen oder zu entfernen.Wichtig: | Um den integrierten Systemzertifikaten und allen hochgeladenen Zertifikaten zu vertrauen, müssen Sie bei der Konfiguration der Einstellungen für den externen Server auch die SSL-/TLS- oder STARTTLS-Verschlüsselung und die Zertifikatsvalidierung aktivieren. |
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Netzwerk-Einstellungen Abschnitt, klicken Vertrauenswürdige Zertifikate.
- Optional: Das ExtraHop-System wird mit einer Reihe von integrierten Zertifikaten geliefert. Wählen Trust System-Zertifikate wenn Sie diesen Zertifikaten vertrauen möchten, und klicken Sie dann auf Speichern.
- Um Ihr eigenes Zertifikat hinzuzufügen, klicken Sie auf Zertifikat hinzufügen und fügen Sie dann den Inhalt der PEM-codierten Zertifikatskette in die Zertifikat Feld
- Geben Sie einen Namen in das Name Feld und Klick Hinzufügen.
Zugriffs-Einstellungen
Im Abschnitt Zugriffseinstellungen können Sie Benutzerkennwörter ändern, das Support-Konto aktivieren, lokale Benutzer und Benutzergruppen verwalten, die Remoteauthentifizierung konfigurieren und den API-Zugriff verwalten.
Weltweite Richtlinien
Administratoren können globale Richtlinien konfigurieren, die für alle Benutzer gelten, die auf das System zugreifen.
Passwort-Richtlinie
- Wählen Sie zwischen zwei Passwortrichtlinien: der Standard-Passwortrichtlinie mit 5 oder mehr
Zeichen oder einer sichereren strikten Passwortrichtlinie mit den folgenden
Einschränkungen:
- 8 oder mehr Zeichen
- Groß- und Kleinbuchstaben
- Mindestens eine Zahl
- Mindestens ein Symbol
Hinweis: Wenn Sie die strikte Passwortrichtlinie mit 8 oder mehr Zeichen wählen, laufen Passwörter alle 60 Tage ab.
Steuerung zur Bearbeitung von Gerätegruppen
- Kontrollieren Sie, ob Benutzer mit eingeschränkte Schreibrechte kann Gerätegruppen erstellen und bearbeiten. Wenn diese Richtlinie ausgewählt ist, können alle Benutzer mit eingeschränktem Schreibzugriff Gerätegruppen erstellen und andere Benutzer mit eingeschränktem Schreibzugriff als Editoren zu ihren Gerätegruppen hinzufügen.
Standard-Dashboard
- Geben Sie das Dashboard an, das Benutzern angezeigt wird, wenn sie sich am System anmelden. Nur Dashboards, die mit allen Benutzern geteilt werden, können als globaler Standard festgelegt werden. Benutzer können diese Standardeinstellung überschreiben. aus dem Befehlsmenü eines beliebigen Dashboard.
Passwörter
Benutzer mit Rechten für die Administrationsseite können das Passwort für lokale Benutzerkonten ändern.
- Wählen Sie einen beliebigen Benutzer aus und ändern Sie sein Passwort
- Sie können nur Passwörter für lokale Benutzer ändern. Sie können die Passwörter für Benutzer, die über LDAP oder andere Remote-Authentifizierungsserver authentifiziert wurden, nicht ändern.
Weitere Informationen zu Rechten für bestimmte Benutzer und Gruppen der Administrationsseite finden Sie in der Nutzer Abschnitt.
Ändern Sie das Standardkennwort für den Setup-Benutzer
Es wird empfohlen, das Standardkennwort für den Setup-Benutzer auf dem ExtraHop-System zu ändern, nachdem Sie sich zum ersten Mal angemeldet haben. Um Administratoren daran zu erinnern, diese Änderung vorzunehmen, erscheint ein blaues Symbol Passwort ändern Schaltfläche oben auf der Seite, während der Setup-Benutzer auf die Administrationseinstellungen zugreift. Nachdem das Setup-Benutzerkennwort geändert wurde, wird die Schaltfläche oben auf der Seite nicht mehr angezeigt.
Hinweis: | Das Passwort muss mindestens 5 Zeichen lang sein. |
Zugang zum Support
Support-Konten bieten dem ExtraHop-Supportteam Zugriff, um Kunden bei der Behebung von Problemen mit dem ExtraHop-System zu unterstützen.
Diese Einstellungen sollten nur aktiviert werden, wenn der ExtraHop-Systemadministrator das ExtraHop-Supportteam um praktische Unterstützung bittet.
SSH-Schlüssel generieren
- In der Zugriffs-Einstellungen Abschnitt, klicken Zugang zum Support.
- klicken SSH-Schlüssel generieren.
- klicken SSH-Schlüssel generieren.
- Kopieren Sie den verschlüsselten Schlüssel aus dem Textfeld und senden Sie den Schlüssel per E-Mail an Ihren ExtraHop-Ansprechpartner.
- klicken Erledigt.
Den SSH-Schlüssel neu generieren oder widerrufen
Um den SSH-Zugriff auf das ExtraHop-System mit einem vorhandenen SSH-Schlüssel zu verhindern, können Sie den aktuellen SSH-Schlüssel widerrufen. Ein neuer SSH-Schlüssel kann bei Bedarf auch neu generiert werden.
- In der Zugriffs-Einstellungen Abschnitt, klicken Zugang zum Support.
- klicken SSH-Schlüssel generieren.
-
Wählen Sie eine der folgenden Optionen:
- klicken SSH-Schlüssel neu generieren und dann klicken
Regenerieren.
Kopieren Sie den verschlüsselten Schlüssel aus dem Textfeld und senden Sie den Schlüssel per E-Mail an Ihren ExtraHop-Ansprechpartner. Klicken Sie dann auf Erledigt.
- klicken SSH-Schlüssel widerrufen um den SSH-Zugriff auf das System mit dem aktuellen Schlüssel zu verhindern.
- klicken SSH-Schlüssel neu generieren und dann klicken
Regenerieren.
Nutzer
Auf der Seite Benutzer können Sie den lokalen Zugriff auf die ExtraHop-Appliance steuern.
Benutzer und Benutzergruppen
Benutzer können auf drei Arten auf das ExtraHop-System zugreifen: über eine Reihe vorkonfigurierter Benutzerkonten, über lokale Benutzerkonten, die auf der Appliance konfiguriert sind, oder über Remote-Benutzerkonten, die auf vorhandenen Authentifizierungsservern wie LDAP, SAML, Radius und TACACS+ konfiguriert sind.
Video: | Sehen Sie sich die entsprechenden Schulungen an: |
Lokale Benutzer
In diesem Thema geht es um Standard- und lokale Konten. siehe Fernauthentifizierung um zu lernen, wie man Remote-Konten konfiguriert.
- Einrichten
- Dieses Konto bietet volle System-Lese- und Schreibrechte für die browserbasierte Benutzeroberfläche und die ExtraHop-Befehlszeilenschnittstelle (CLI). Auf physischem Sensoren, das Standardkennwort für dieses Konto ist die Service-Tag-Nummer auf der Vorderseite der Appliance. Auf virtuellem Sensoren, das Standardpasswort ist default.
- Schale
- Die shell Das Konto hat standardmäßig Zugriff auf nicht administrative Shell-Befehle in der ExtraHop-CLI. Bei physischen Sensoren ist das Standardkennwort für dieses Konto die Service-Tag-Nummer auf der Vorderseite der Appliance. Bei virtuellen Sensoren lautet das Standardkennwort default.
Hinweis: | Das standardmäßige ExtraHop-Passwort für eines der Konten, wenn es in Amazon Web Services (AWS) und Google Cloud Platform (GCP) bereitgestellt wird, ist die Instanz-ID der virtuellen Maschine. |
Nächste Maßnahme
Fernauthentifizierung
Das ExtraHop-System unterstützt die Fernauthentifizierung für den Benutzerzugriff. Mithilfe der Remoteauthentifizierung können Unternehmen, die über Authentifizierungssysteme wie LDAP (z. B. OpenLDAP oder Active Directory) verfügen, allen oder einem Teil ihrer Benutzer die Möglichkeit geben, sich mit ihren vorhandenen Anmeldedaten am System anzumelden.
Die zentralisierte Authentifizierung bietet die folgenden Vorteile:
- Synchronisation von Benutzerkennwörtern.
- Automatische Erstellung von ExtraHop-Konten für Benutzer ohne Administratoreingriff.
- Verwaltung von ExtraHop-Privilegien auf der Grundlage von Benutzergruppen.
- Administratoren können allen bekannten Benutzern Zugriff gewähren oder den Zugriff einschränken, indem sie LDAP-Filter anwenden.
Entfernte Benutzer
Wenn Ihr ExtraHop-System für die SAML- oder LDAP-Fernauthentifizierung konfiguriert ist, können Sie ein Konto für diese Remote-Benutzer erstellen. Durch die Vorkonfiguration von Konten auf dem ExtraHop-System für Remote-Benutzer können Sie Systemanpassungen mit diesen Benutzern teilen, bevor sie sich anmelden.
Wenn Sie sich bei der Konfiguration der SAML-Authentifizierung für die automatische Bereitstellung von Benutzern entscheiden, wird der Benutzer bei der ersten Anmeldung automatisch zur Liste der lokalen Benutzer hinzugefügt. Sie können jedoch ein SAML-Remotebenutzerkonto auf dem ExtraHop-System erstellen, wenn Sie einen Remote-Benutzer bereitstellen möchten, bevor sich dieser Benutzer am System angemeldet hat. Rechte werden dem Benutzer vom Anbieter zugewiesen. Nachdem der Benutzer erstellt wurde, können Sie ihn zu lokalen Benutzergruppen hinzufügen.
Nächste Maßnahme
Benutzergruppen
Benutzergruppen ermöglichen es Ihnen, den Zugriff auf gemeinsam genutzte Inhalte nach Gruppen statt nach einzelnen Benutzern zu verwalten. Benutzerdefinierte Objekte wie Activity Maps können mit einer Benutzergruppe geteilt werden, und jeder Benutzer, der der Gruppe hinzugefügt wird, hat automatisch Zugriff. Sie können eine lokale Benutzergruppe erstellen, die Remote- und lokale Benutzer umfassen kann. Wenn Ihr ExtraHop-System für die Fernauthentifizierung über LDAP konfiguriert ist, können Sie alternativ Einstellungen für den Import Ihrer LDAP-Benutzergruppen konfigurieren.
- klicken Benutzergruppe erstellen um eine lokale Gruppe zu erstellen. Die Benutzergruppe wird in der Liste angezeigt. Aktivieren Sie dann das Kontrollkästchen neben dem Namen der Benutzergruppe und wählen Sie Benutzer aus der Benutzer filtern... Drop-down-Liste. klicken Benutzer zur Gruppe hinzufügen.
- (nur LDAP) Klicken Sie Alle Benutzergruppen aktualisieren oder wählen Sie mehrere LDAP-Benutzergruppen aus und klicken Sie auf Benutzer in Gruppen aktualisieren.
- klicken Benutzergruppe zurücksetzen um alle geteilten Inhalte aus einer ausgewählten Benutzergruppe zu entfernen. Wenn die Gruppe auf dem Remote-LDAP-Server nicht mehr existiert, wird die Gruppe aus der Benutzergruppenliste entfernt.
- klicken Benutzergruppe aktivieren oder Benutzergruppe deaktivieren um zu kontrollieren, ob ein Gruppenmitglied auf geteilte Inhalte für die ausgewählte Benutzergruppe zugreifen kann.
- klicken Benutzergruppe löschen um die ausgewählte Benutzergruppe aus dem System zu entfernen.
- Sehen Sie sich die folgenden Eigenschaften für aufgelistete Benutzergruppen an:
- Name der Gruppe
- Zeigt den Namen der Gruppe an. Um die Mitglieder der Gruppe anzuzeigen, klicken Sie auf den Gruppennamen.
- Typ
- Zeigt Lokal oder Remote als Art der Benutzergruppe an.
- Mitglieder
- Zeigt die Anzahl der Benutzer in der Gruppe an.
- Geteilter Inhalt
- Zeigt die Anzahl der vom Benutzer erstellten Objekte an, die mit der Gruppe gemeinsam genutzt werden.
- Status
- Zeigt an, ob die Gruppe auf dem System aktiviert oder deaktiviert ist. Wenn der Status ist Disabled, wird die Benutzergruppe bei der Durchführung von Mitgliedschaftsprüfungen als leer betrachtet. Die Benutzergruppe kann jedoch weiterhin angegeben werden, wenn Inhalte geteilt werden.
- Mitglieder aktualisiert (nur LDAP)
- Zeigt die Zeit an, die seit der Aktualisierung der Gruppenmitgliedschaft vergangen ist.
Benutzergruppen werden unter den folgenden Bedingungen aktualisiert:
- Standardmäßig einmal pro Stunde. Die Einstellung für das Aktualisierungsintervall kann auf der Seite.
- Ein Administrator aktualisiert eine Gruppe, indem er auf Alle Benutzergruppen aktualisieren oder Benutzer in der Gruppe aktualisieren, oder programmgesteuert über die REST-API. Sie können eine Gruppe aktualisieren über Benutzergruppe Seite oder aus dem Liste der Mitglieder Seite.
- Ein Remote-Benutzer meldet sich zum ersten Mal beim ExtraHop-System an.
- Ein Benutzer versucht, ein geteiltes Dashboard zu laden, auf das er keinen Zugriff hat.
Benutzerrechte
Administratoren bestimmen die Modulzugriffsebene für Benutzer im ExtraHop-System.
Informationen zu Benutzerberechtigungen für die REST-API finden Sie in der REST-API-Leitfaden.
Informationen zu Remote-Benutzerrechten finden Sie in den Konfigurationsanleitungen für LDAP, RADIUS, SAML, und TACACS+.
Privilegienstufen
Legen Sie die Berechtigungsstufe fest, auf die Ihr Benutzer zugreifen kann, um zu bestimmen, auf welche Bereiche des ExtraHop-Systems er zugreifen kann.
- Zugriff auf das NDR-Modul
- Ermöglicht dem Benutzer den Zugriff auf Sicherheitsfunktionen wie Angriffserkennungen, Untersuchungen und Bedrohungsinformationen.
- Zugriff auf das NPM-Modul
- Ermöglicht dem Benutzer den Zugriff auf Leistungsfunktionen wie Betriebserkennungen und die Möglichkeit, benutzerdefinierte Dashboards zu erstellen.
- Zugriff auf Pakete und Sitzungsschlüssel
- Ermöglicht dem Benutzer das Anzeigen und Herunterladen von Paketen und Sitzungsschlüsseln, nur Paketen oder nur Paketsegmenten.
Diese Rechte bestimmen den Funktionsumfang, über den Benutzer in den Modulen verfügen, für die ihnen Zugriff gewährt wurde.
Für Reveal (x) Enterprise können Benutzer mit Systemzugriffs- und Administratorrechten auf alle Funktionen, Pakete und Sitzungsschlüssel für ihre lizenzierten Module zugreifen.
Für Reveal (x) 360 müssen Systemzugriffs- und Administratorrechte sowie der Zugriff auf lizenzierte Module, Pakete und Sitzungsschlüssel separat zugewiesen werden. Reveal (x) 360 bietet auch ein zusätzliches Systemadministrationskonto, das alle Systemberechtigungen gewährt, mit Ausnahme der Möglichkeit, Benutzer und API-Zugriff zu verwalten.
Die folgende Tabelle enthält ExtraHop-Funktionen und die erforderlichen Rechte. Wenn keine Modulanforderung angegeben ist, ist die Funktion sowohl im NDR- als auch im NDM-Modul verfügbar.
System- und Zugriffsverwaltung | Systemadministration (nur Reveal (x) 360) | Vollständiges Schreiben | Eingeschränktes Schreiben | Persönliches Schreiben | Vollständig schreibgeschützt | Eingeschränkter Schreibschutz | |
---|---|---|---|---|---|---|---|
Karten der Aktivitäten | |||||||
Karten für gemeinsame Aktivitäten erstellen, anzeigen und laden | Y | Y | Y | Y | Y | Y | N |
Aktivitätskarten speichern | Y | Y | Y | Y | Y | N | N |
Aktivitätskarten teilen | Y | Y | Y | Y | N | N | N |
Warnmeldungen | NPM-Modullizenz und Zugriff erforderlich. | ||||||
Warnmeldungen anzeigen | Y | Y | Y | Y | Y | Y | Y |
Benachrichtigungen erstellen und ändern | Y | Y | Y | N | N | N | N |
Prioritäten der Analyse | |||||||
Seite „Analyseprioritäten" anzeigen | Y | Y | Y | Y | Y | Y | N |
Analyseebenen für Gruppen hinzufügen und ändern | Y | Y | Y | N | N | N | N |
Geräte zu einer Beobachtungsliste hinzufügen | Y | Y | Y | N | N | N | N |
Verwaltung der Transferprioritäten | Y | Y | Y | N | N | N | N |
Bündel | |||||||
Ein Paket erstellen | Y | Y | Y | N | N | N | N |
Laden Sie ein Paket hoch und wenden Sie es an | Y | Y | Y | N | N | N | N |
Liste der Bundles anzeigen | Y | Y | Y | Y | Y | Y | N |
Dashboards | Zum Erstellen und Ändern von Dashboards sind eine NPM-Modullizenz und -zugriff erforderlich. | ||||||
Dashboards anzeigen und organisieren | Y | Y | Y | Y | Y | Y | Y |
Dashboards erstellen und ändern | Y | Y | Y | Y | Y | N | N |
Dashboards teilen | Y | Y | Y | Y | N | N | N |
Erkennungen | NDR-Modullizenz und Zugriff
sind erforderlich, um Sicherheitserkennungen anzuzeigen und zu optimieren und Untersuchungen durchzuführen.
Zum Anzeigen und Optimieren von Leistungserkennungen sind eine NPM-Modullizenz und -zugriff erforderlich. |
||||||
Erkennungen anzeigen | Y | Y | Y | Y | Y | Y | Y |
Erkennungen bestätigen | Y | Y | Y | Y | Y | N | N |
Erkennungsstatus und Hinweise ändern | Y | Y | Y | Y | N | N | N |
Untersuchungen erstellen und ändern | Y | Y | Y | Y | N | N | N |
Tuning-Regeln erstellen und ändern | Y | Y | Y | N | N | N | N |
Gerätegruppen | Administratoren können die konfigurieren Globale Richtlinie „Gerätegruppe bearbeiten" um anzugeben , ob Benutzer mit eingeschränkten Schreibrechten Gerätegruppen erstellen und bearbeiten können. | ||||||
Gerätegruppen erstellen und ändern | Y | Y | Y | Y (Wenn die globale Rechterichtlinie aktiviert ist) | N | N | N |
Metriken | |||||||
Metriken anzeigen | Y | Y | Y | Y | Y | Y | N |
Regeln für Benachrichtigungen | NDR-Modullizenz und Zugriff
sind erforderlich, um Benachrichtigungen für
Sicherheitserkennungen und Bedrohungsinformationen zu erstellen und zu ändern. NPM-Modullizenz und Zugriff sind erforderlich, um Benachrichtigungen für Leistungserkennungen zu erstellen und zu ändern. |
||||||
Regeln für Erkennungsbenachrichtigungen erstellen und ändern | Y | Y | Y | N | N | N | N |
Benachrichtigungsregeln Bedrohungsübersicht erstellen und ändern | Y | Y | Y | N | N | N | N |
Regeln für Systembenachrichtigungen erstellen und ändern ( nur Reveal (x)) | Y | Y | N | N | N | N | N |
Rekorde | Recordstore erforderlich. | ||||||
Datensatzabfragen anzeigen | Y | Y | Y | Y | Y | Y | N |
Aufzeichnungsformate anzeigen | Y | Y | Y | Y | Y | Y | N |
Datensatzabfragen erstellen, ändern und speichern | Y | Y | Y | N | N | N | N |
Datensatzformate erstellen, ändern und speichern | Y | Y | Y | N | N | N | N |
Geplante Berichte | Konsole erforderlich. | ||||||
Geplante Berichte erstellen, anzeigen und verwalten | Y | Y | Y | Y | N | N | N |
Bedrohungsinformationen | NDR-Modullizenz und Zugriff erforderlich. | ||||||
Bedrohungssammlungen verwalten | Y | Y | N | N | N | N | N |
TAXII-Feeds verwalten | Y | Y | N | N | N | N | N |
Bedrohungsinformationen anzeigen | Y | Y | Y | Y | Y | Y | N |
Trigger | |||||||
Trigger erstellen und ändern | Y | Y | Y | N | N | N | N |
Administratorrechte | |||||||
Greifen Sie auf die ExtraHop-Administrationseinstellungen zu | Y | Y | N | N | N | N | N |
Stellen Sie eine Verbindung zu anderen Geräten her | Y | Y | N | N | N | N | N |
Andere Appliances verwalten (Konsole) | Y | Y | N | N | N | N | N |
Benutzer und API-Zugriff verwalten | Y | N | N | N | N | N | N |
Fügen Sie ein lokales Benutzerkonto hinzu
Durch Hinzufügen eines lokalen Benutzerkonto können Sie Benutzern direkten Zugriff auf Ihr ExtraHop-System gewähren und ihre Rechte entsprechend ihrer Rolle in Ihrer Organisation einschränken.
Hinweis: |
|
Konto für einen Remote-Benutzer hinzufügen
Fügen Sie ein Benutzerkonto für LDAP- oder SAML-Benutzer hinzu, wenn Sie den Remote-Benutzer bereitstellen möchten, bevor sich dieser Benutzer beim ExtraHop-System anmeldet. Nachdem der Benutzer zum System hinzugefügt wurde, können Sie ihn zu lokalen Gruppen hinzufügen oder Elemente direkt mit ihm teilen, bevor er sich über den LDAP- oder SAML-Anbieter anmeldet.
Sessions
Das ExtraHop-System bietet Steuerelemente zum Anzeigen und Löschen von Benutzerverbindungen zur Weboberfläche. Die Sessions Die Liste ist nach dem Ablaufdatum sortiert, das dem Datum entspricht, an dem die Sitzungen eingerichtet wurden. Wenn eine Sitzung abläuft oder gelöscht wird, muss sich der Benutzer erneut anmelden, um auf die Weboberfläche zuzugreifen.
Fernauthentifizierung
Das ExtraHop-System unterstützt die Fernauthentifizierung für den Benutzerzugriff. Mithilfe der Remoteauthentifizierung können Unternehmen, die über Authentifizierungssysteme wie LDAP (z. B. OpenLDAP oder Active Directory) verfügen, allen oder einem Teil ihrer Benutzer die Möglichkeit geben, sich mit ihren vorhandenen Anmeldedaten am System anzumelden.
Die zentralisierte Authentifizierung bietet die folgenden Vorteile:
- Synchronisation von Benutzerkennwörtern.
- Automatische Erstellung von ExtraHop-Konten für Benutzer ohne Administratoreingriff.
- Verwaltung von ExtraHop-Privilegien auf der Grundlage von Benutzergruppen.
- Administratoren können allen bekannten Benutzern Zugriff gewähren oder den Zugriff einschränken, indem sie LDAP-Filter anwenden.
Nächste Maßnahme
Konfigurieren Sie die Remote-Authentifizierung über LDAP
Das ExtraHop-System unterstützt das Lightweight Directory Access Protocol (LDAP) für Authentifizierung und Autorisierung. Anstatt Benutzeranmeldedaten lokal zu speichern, können Sie Ihr ExtraHop-System so konfigurieren, dass Benutzer remote mit einem vorhandenen LDAP-Server authentifiziert werden. Beachten Sie, dass die ExtraHop-LDAP-Authentifizierung nur Benutzerkonten abfragt. Sie fragt nicht nach anderen Entitäten ab, die sich möglicherweise im LDAP-Verzeichnis befinden.
Before you begin
- Dieses Verfahren erfordert Vertrautheit mit der Konfiguration von LDAP.
- Stellen Sie sicher, dass sich jeder Benutzer in einer berechtigungsspezifischen Gruppe auf dem LDAP-Server befindet, bevor Sie mit diesem Verfahren beginnen.
- Wenn Sie verschachtelte LDAP-Gruppen konfigurieren möchten, müssen Sie die Datei Running Configuration ändern. Kontakt ExtraHop-Unterstützung um Hilfe.
Wenn ein Benutzer versucht, sich bei einem ExtraHop-System anzumelden, versucht das ExtraHop-System, den Benutzer auf folgende Weise zu authentifizieren:
- Versucht, den Benutzer lokal zu authentifizieren.
- Versucht, den Benutzer über den LDAP-Server zu authentifizieren, wenn der Benutzer nicht lokal existiert und wenn das ExtraHop-System für die Fernauthentifizierung mit LDAP konfiguriert ist.
- Meldet den Benutzer beim ExtraHop-System an, wenn der Benutzer existiert und das Passwort entweder lokal oder über LDAP validiert wurde. Das LDAP-Passwort wird nicht lokal auf dem ExtraHop-System gespeichert. Beachten Sie, dass Sie den Benutzernamen und das Passwort in dem Format eingeben müssen, für das Ihr LDAP-Server konfiguriert ist. Das ExtraHop-System leitet die Informationen nur an den LDAP-Server weiter.
- Wenn der Benutzer nicht existiert oder ein falsches Passwort eingegeben wurde, erscheint eine Fehlermeldung auf der Anmeldeseite.
Wichtig: | Wenn Sie die LDAP-Authentifizierung zu einem späteren Zeitpunkt auf eine andere Remoteauthentifizierungsmethode ändern, werden die Benutzer, Benutzergruppen und zugehörigen Anpassungen, die durch die Remoteauthentifizierung erstellt wurden, entfernt. Lokale Benutzer sind davon nicht betroffen. |
Nächste Maßnahme
Benutzerrechte für die Remote-Authentifizierung konfigurierenBenutzerrechte für die Remote-Authentifizierung konfigurieren
Sie können einzelnen Benutzern auf Ihrem ExtraHop-System Benutzerrechte zuweisen oder Rechte über Ihren LDAP-Server konfigurieren und verwalten.
Das ExtraHop-System unterstützt sowohl Active Directory- als auch POSIX-Gruppenmitgliedschaften. Für Active Directory memberOf wird unterstützt. Für POSIX memberuid, posixGroups, groupofNames, und groupofuniqueNames werden unterstützt.
-
Wählen Sie eine der folgenden Optionen aus der
Optionen für die Zuweisung von Rechten Drop-down-Liste:
-
Berechtigungsstufe vom Remoteserver abrufen
Diese Option weist Berechtigungen über Ihren Remote-Authentifizierungsserver zu. Sie müssen mindestens eines der folgenden DN-Felder (Distinguished Name) ausfüllen.
System- und Zugriffsverwaltung DN: Erstellen und ändern Sie alle Objekte und Einstellungen auf dem ExtraHop-System, einschließlich der Administrationseinstellungen.
Vollständiger Schreib-DN: Objekte auf dem ExtraHop-System erstellen und ändern, ohne Administrationseinstellungen.
Eingeschränkter Schreib-DN: Erstellen, ändern und teilen Sie Dashboards.
Persönlicher Schreib-DN: Erstellen Sie persönliche Dashboards und ändern Sie Dashboards, die für den angemeldeten Benutzer freigegeben wurden.
Vollständiger, nur lesbarer DN: Objekte im ExtraHop-System anzeigen.
Eingeschränkter Nur-Lese-DN: Zeigen Sie Dashboards an, die mit dem angemeldeten Benutzer geteilt wurden.
Packet Slices-Zugriffs-DN: Sehen Sie sich die ersten 64 Byte der Pakete an, die über die ExtraHop Trace-Appliance erfasst wurden, und laden Sie sie herunter.
Paketzugriffs-DN: Mit der ExtraHop Trace-Appliance erfasste Pakete anzeigen und herunterladen.
Zugriffs-DN für Paket- und Sitzungsschlüssel: Pakete und alle zugehörigen SSL-Sitzungsschlüssel, die über die ExtraHop Trace-Appliance erfasst wurden, anzeigen und herunterladen.
NDR-Modulzugriffs-DN: Sicherheitserkennungen, die im ExtraHop-System angezeigt werden, anzeigen, bestätigen und verbergen.
NPM-Modulzugriffs-DN: Leistungserkennungen, die im ExtraHop-System angezeigt werden, anzeigen, bestätigen und verbergen.
-
Remote-Benutzer haben vollen Schreibzugriff
Diese Option gewährt entfernten Benutzern vollen Schreibzugriff auf das ExtraHop-System. Darüber hinaus können Sie zusätzlichen Zugriff für Paketdownloads, SSL-Sitzungsschlüssel, NDR-Modulzugriff und NPM-Modulzugriff gewähren.
-
Remote-Benutzer haben vollen Lesezugriff
Diese Option gewährt Remote-Benutzern nur Lesezugriff auf das ExtraHop-System. Darüber hinaus können Sie zusätzlichen Zugriff für Paketdownloads, SSL-Sitzungsschlüssel, NDR-Modulzugriff und NPM-Modulzugriff gewähren.
-
Berechtigungsstufe vom Remoteserver abrufen
- Optional:
Konfigurieren Sie den Paket- und Sitzungsschlüsselzugriff. Wählen Sie eine der folgenden Optionen, um
Remote-Benutzern das Herunterladen von Paketerfassungen und SSL-Sitzungsschlüsseln zu ermöglichen.
- Kein Zugriff
- Nur Paketsegmente
- Nur Pakete
- Pakete und Sitzungsschlüssel
- Optional:
Konfigurieren Sie den Zugriff auf NDR- und NPM-Module.
- Kein Zugriff
- Voller Zugriff
- klicken Speichern und beenden.
- klicken Erledigt.
Konfigurieren Sie die Fernauthentifizierung über SAML
Sie können die sichere SSO-Authentifizierung (Single Sign-On) für das ExtraHop-System über einen oder mehrere SAML-Identitätsanbieter (Security Assertion Markup Language) konfigurieren.
Video: | Sehen Sie sich die entsprechende Schulung an: SSO-Authentifizierung |
Wenn sich ein Benutzer bei einem ExtraHop-System anmeldet, das als Service Provider (SP) für die SAML-SSO-Authentifizierung konfiguriert ist, fordert das ExtraHop-System die Autorisierung vom entsprechenden Identity Provider ( IdP) an. Der Identitätsanbieter authentifiziert die Anmeldedaten des Benutzers und gibt dann die Autorisierung für den Benutzer an das ExtraHop-System zurück. Der Benutzer kann dann auf das ExtraHop-System zugreifen.
Die Konfigurationsleitfäden für bestimmte Identitätsanbieter sind unten verlinkt. Wenn Ihr Anbieter nicht aufgeführt ist, wenden Sie die vom ExtraHop-System erforderlichen Einstellungen auf Ihren Identitätsanbieter an.
Identitätsanbieter müssen die folgenden Kriterien erfüllen:
- SAML 2.0
- Unterstützt SP-initiierte Anmeldeabläufe. IDP-initiierte Anmeldeabläufe werden nicht unterstützt.
- Unterstützt signierte SAML-Antworten
- Unterstützt HTTP-Redirect-Binding
Die Beispielkonfiguration in diesem Verfahren ermöglicht den Zugriff auf das ExtraHop-System über Gruppenattribute.
Wenn Ihr Identitätsanbieter keine Gruppenattributanweisungen unterstützt, konfigurieren Sie Benutzerattribute mit den entsprechenden Rechten für Modulzugriff, Systemzugriff und Paketforensik.
SAML-Remoteauthentifizierung aktivieren
Before you begin
Warnung: | Wenn Ihr System bereits mit einer Fernauthentifizierungsmethode konfiguriert ist, werden durch das Ändern dieser Einstellungen alle Benutzer und zugehörigen Anpassungen entfernt, die mit dieser Methode erstellt wurden, und Remotebenutzer können nicht auf das System zugreifen. Lokale Benutzer sind nicht betroffen. |
Zuordnung von Benutzerattributen
Sie müssen den folgenden Satz von Benutzerattributen im Abschnitt zur Zuordnung von Anwendungsattributen auf Ihrem Identitätsanbieter konfigurieren. Diese Attribute identifizieren den Benutzer im gesamten ExtraHop-System. Die richtigen Eigenschaftsnamen beim Zuordnen von Attributen finden Sie in der Dokumentation Ihres Identitätsanbieters.
ExtraHop-Attributname | Freundlicher Name | Kategorie | Attributname des Identitätsanbieters |
---|---|---|---|
urn:oid:0.9.2342.19200300.100.1.3 | Post | Standardattribut | Primäre E-Mail-Adresse |
urn:oid:2.5.4.4 | sn | Standardattribut | Nachname |
urn:oid:2.5.4.42 | Vorgegebener Name | Standardattribut | Vorname |
Attributaussagen gruppieren
Das ExtraHop-System unterstützt Anweisungen zu Gruppenattributen, um Benutzerberechtigungen einfach allen Mitgliedern einer bestimmten Gruppe zuzuordnen. Wenn Sie die ExtraHop-Anwendung auf Ihrem Identitätsanbieter konfigurieren, geben Sie einen Gruppenattributnamen an. Dieser Name wird dann in das Feld Attributname eingegeben, wenn Sie den Identity Provider auf dem ExtraHop-System konfigurieren.
Wenn Ihr Identitätsanbieter keine Gruppenattributanweisungen unterstützt, konfigurieren Sie Benutzerattribute mit den entsprechenden Rechten für Modulzugriff, Systemzugriff und Paketforensik.
SAML-Single-Sign-On mit Okta konfigurieren
Sie können Ihr ExtraHop-System so konfigurieren, dass sich Benutzer über den Okta Identity Management Service beim System anmelden können.
Before you begin
- Sie sollten mit der Verabreichung von Okta vertraut sein. Diese Verfahren basieren auf der Okta Classic-Benutzeroberfläche. Wenn Sie Okta über die Developer Console konfigurieren, ist das Verfahren möglicherweise etwas anders.
- Sie sollten mit der Verwaltung von ExtraHop-Systemen vertraut sein.
Bei diesen Verfahren müssen Sie Informationen zwischen dem ExtraHop-System und der Okta Classic-Benutzeroberfläche kopieren und einfügen. Daher ist es hilfreich, jedes System nebeneinander zu öffnen .
SAML auf dem ExtraHop-System aktivieren
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Zugriffseinstellungen auf Fernauthentifizierung.
- Wählen Sie in der Dropdownliste Remoteauthentifizierungsmethode die Option SAML.
- klicken Weiter.
- klicken SP-Metadaten anzeigen. Sie müssen die ACS-URL und die Entitäts-ID kopieren, um sie im nächsten Verfahren in die Okta-Konfiguration einzufügen.
SAML-Einstellungen in Okta konfigurieren
Bei diesem Verfahren müssen Sie Informationen zwischen den ExtraHop-Administrationseinstellungen und der Okta Classic-Benutzeroberfläche kopieren und einfügen. Daher ist es hilfreich, beide Benutzeroberflächen nebeneinander zu öffnen.
Weisen Sie das ExtraHop-System Okta-Gruppen zu
- Wählen Sie im Menü Verzeichnis Gruppen.
- Klicken Sie auf den Gruppennamen.
- klicken Apps verwalten.
- Suchen Sie den Namen der Anwendung, die Sie für das ExtraHop-System konfiguriert haben, und klicken Sie auf Zuweisen.
- klicken Erledigt.
Loggen Sie sich in das ExtraHop-System ein
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- klicken Loggen Sie sich ein mit <provider name>.
- Melden Sie sich mit Ihrer E-Mail-Adresse und Ihrem Passwort bei Ihrem Anbieter an. Sie werden automatisch zur ExtraHop-Übersichtsseite weitergeleitet.
SAML-Single-Sign-On mit Google konfigurieren
Sie können Ihr ExtraHop-System so konfigurieren, dass sich Nutzer über den Google-Identitätsverwaltungsdienst beim System anmelden können.
Before you begin
- Sie sollten mit der Verwaltung von Google Admin vertraut sein.
- Sie sollten mit der Verwaltung von ExtraHop-Systemen vertraut sein.
Bei diesen Verfahren müssen Sie Informationen zwischen dem ExtraHop-System und der Google Admin-Konsole kopieren und einfügen. Daher ist es hilfreich, jedes System nebeneinander zu öffnen.
SAML auf dem ExtraHop-System aktivieren
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Zugriffseinstellungen auf Fernauthentifizierung.
- Wählen Sie in der Dropdownliste Remoteauthentifizierungsmethode die Option SAML.
- klicken Weiter.
- klicken SP-Metadaten anzeigen.
- Kopiere das ACS-URL und Entitäts-ID in eine Textdatei. Sie werden diese Informationen in einem späteren Verfahren in die Google-Konfiguration einfügen.
Fügen Sie benutzerdefinierte Benutzerattribute hinzu
- Melden Sie sich bei der Google Admin-Konsole an.
- klicken Nutzer.
- Klicken Sie auf das Symbol Benutzerdefinierte Attribute verwalten .
- klicken Benutzerdefiniertes Attribut hinzufügen.
- Geben Sie in das Feld Kategorie ein ExtraHop.
- Optional: Geben Sie eine Beschreibung in das Beschreibung Feld.
-
In der Benutzerdefinierte Felder Abschnitt, geben Sie die folgenden
Informationen ein.
- Geben Sie in das Feld Name Ebene schreiben.
- Aus dem Art der Information Drop-down-Liste, wählen Text.
- Aus dem Sichtbarkeit Drop-down-Liste, wählen Sichtbar für die Domain.
- Aus dem Anzahl der Werte Drop-down-Liste, wählen Einzelner Wert.
-
Zugriff auf das NDR-Modul aktivieren
- In der Name Feld, Typ NDR-Ebene.
- Aus dem Art der Information Drop-down-Liste, wählen Text.
- Aus dem Sichtbarkeit Drop-down-Liste, wählen Sichtbar für die Domain.
- Aus dem Anzahl der Werte Drop-down-Liste, wählen Einzelner Wert.
-
NPM-Modulzugriff aktivieren
- In der Name Feld, Typ npm-Ebene.
- Aus dem Art der Information Drop-down-Liste, wählen Text.
- Aus dem Sichtbarkeit Drop-down-Liste, wählen Sichtbar für die Domain.
- Aus dem Anzahl der Werte Drop-down-Liste, wählen Einzelner Wert.
- Optional:
Wenn Sie Paketspeicher verbunden haben, aktivieren Sie den Paketzugriff, indem Sie ein
benutzerdefiniertes Feld mit den folgenden Informationen konfigurieren.
- In der Name Feld, Typ Paketebene.
- Aus dem Art der Information Drop-down-Liste, wählen Text.
- Aus dem Sichtbarkeit Drop-down-Liste, wählen Sichtbar für die Domain.
- Aus dem Anzahl der Werte Drop-down-Liste, wählen Einzelner Wert.
- klicken Hinzufügen.
Loggen Sie sich in das ExtraHop-System ein
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- klicken Loggen Sie sich ein mit <provider name>.
- Melden Sie sich mit Ihrer E-Mail-Adresse und Ihrem Passwort bei Ihrem Anbieter an. Sie werden automatisch zur ExtraHop-Übersichtsseite weitergeleitet.
Konfigurieren Sie die Remoteauthentifizierung über RADIUS
Das ExtraHop-System unterstützt den Remote Authentifizierung Dial In User Service (RADIUS) nur für die Fernauthentifizierung und die lokale Autorisierung. Für die Fernauthentifizierung unterstützt das ExtraHop-System unverschlüsselte RADIUS- und Klartext-Formate.
Konfiguration der Fernauthentifizierung über TACACS+
Das ExtraHop-System unterstützt Terminal Access Controller Access-Control System Plus (TACACS+) für die Fernauthentifizierung und Autorisierung.
Den TACACS+-Server konfigurieren
Zusätzlich zur Konfiguration der Remote-Authentifizierung auf Ihrem ExtraHop-System müssen Sie Ihren TACACS+-Server mit zwei Attributen konfigurieren, einem für den ExtraHop-Dienst und einem für die Berechtigungsstufe. Wenn Sie einen ExtraHop-Packetstore haben, können Sie optional ein drittes Attribut für die PCAP und Sitzungsschlüsselprotokollierung hinzufügen.
API-Zugriff
Auf der Seite API-Zugriff können Sie den Zugriff auf die API-Schlüssel generieren, anzeigen und verwalten, die für die Ausführung von Vorgängen über die ExtraHop REST API erforderlich sind.
API-Schlüsselzugriff verwalten
Benutzer mit System- und Zugriffsadministrationsrechten können konfigurieren, ob Benutzer API-Schlüssel für das ExtraHop-System generieren können. Sie können nur lokalen Benutzern erlauben, Schlüssel zu generieren, oder Sie können die API-Schlüsselgenerierung auch vollständig deaktivieren.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Auf Einstellungen zugreifen Abschnitt, klicken API-Zugriff.
-
In der API-Zugriff verwalten Abschnitt, wählen Sie eine der
folgenden Optionen aus:
- Allen Benutzern erlauben, einen API-Schlüssel zu generieren: Lokale und entfernte Benutzer können API-Schlüssel generieren.
- Nur lokale Benutzer können einen API-Schlüssel generieren: Remote-Benutzer können keine API-Schlüssel generieren.
- Kein Benutzer kann einen API-Schlüssel generieren: Es können keine API-Schlüssel von jedem Benutzer generiert werden.
- klicken Einstellungen speichern.
Cross-Origin Resource Sharing (CORS) konfigurieren
Quellübergreifende gemeinsame Nutzung von Ressourcen (CORS) ermöglicht Ihnen den Zugriff auf die ExtraHop REST-API über Domänengrenzen und von bestimmten Webseiten aus, ohne dass die Anfrage über einen Proxyserver übertragen werden muss.
- In der Auf Einstellungen zugreifen Abschnitt, klicken API-Zugriff.
-
In der CORS-Einstellungen Abschnitt, geben Sie eine der folgenden
Zugriffskonfigurationen an.
- Um eine bestimmte URL hinzuzufügen, geben Sie eine Quell-URL in das Textfeld ein und
klicken Sie dann auf das Pluszeichen (+) oder drücken Sie die EINGABETASTE.
Die URL muss ein Schema enthalten, z. B. HTTP oder HTTPS, und der genaue Domänenname. Sie können keinen Pfad anhängen, Sie können jedoch eine Portnummer angeben.
- Um den Zugriff von einer beliebigen URL aus zu ermöglichen, wählen Sie die Erlaube API-Anfragen
von jedem Ursprung Ankreuzfeld.
Hinweis: Das Zulassen des REST-API-Zugriffs von einem beliebigen Ursprung aus ist weniger sicher als das Bereitstellen einer Liste expliziter Ursprünge.
- Um eine bestimmte URL hinzuzufügen, geben Sie eine Quell-URL in das Textfeld ein und
klicken Sie dann auf das Pluszeichen (+) oder drücken Sie die EINGABETASTE.
- Klicken Sie Einstellungen speichern und klicken Sie dann Erledigt.
Generieren Sie einen API-Schlüssel
Sie müssen einen API-Schlüssel generieren, bevor Sie Operationen über die ExtraHop REST API ausführen können. Schlüssel können nur von dem Benutzer eingesehen werden, der den Schlüssel generiert hat, oder von Benutzern mit System - und Zugriffsadministrationsrechten. Nachdem Sie einen API-Schlüssel generiert haben, fügen Sie den Schlüssel zu Ihren Anforderungsheadern oder dem ExtraHop REST API Explorer hinzu.
Before you begin
Stellen Sie sicher, dass das ExtraHop-System konfiguriert, um die Generierung von API-Schlüsseln zu ermöglichen.- In der Zugriffs-Einstellungen Abschnitt, klicken API-Zugriff.
- In der Generieren Sie einen API-Schlüssel Abschnitt, geben Sie eine Beschreibung für den neuen Schlüssel ein, und klicken Sie dann auf Generieren.
- Scrollen Sie nach unten zum Abschnitt API-Schlüssel und kopieren Sie den API-Schlüssel, der Ihrer Beschreibung entspricht.
Privilegienstufen
Die Benutzerberechtigungsstufen bestimmen, welche ExtraHop-System- und Verwaltungsaufgaben der Benutzer über die ExtraHop-REST-API ausführen kann.
Sie können die Berechtigungsstufen für Benutzer über das granted_roles und effective_roles Eigenschaften. Das granted_roles Diese Eigenschaft zeigt Ihnen, welche Rechtestufen dem Benutzer explizit gewährt werden. Das effective_roles Diese Eigenschaft zeigt Ihnen alle Berechtigungsstufen für einen Benutzer an, einschließlich derer, die Sie außerhalb der erteilten Rolle erhalten haben, z. B. über eine Benutzergruppe.
Das granted_roles und effective_roles Eigenschaften werden durch die folgenden Operationen zurückgegeben:
- GET /users
- GET /users/ {username}
Das granted_roles und effective_roles Eigenschaften unterstützen die folgenden Berechtigungsstufen. Beachten Sie, dass die Art der Aufgaben für jedes ExtraHop-System je nach Verfügbarkeit variiert Ressourcen sind im REST API Explorer aufgeführt und hängen von den Modulen ab, die für die System- und Benutzermodulzugriffsrechte aktiviert sind.
Privilegienstufe | Zulässige Aktionen |
---|---|
„system": „voll" |
|
„write": „voll" |
|
„write": „begrenzt" |
|
„write": „persönlich" |
|
„Metriken": „voll" |
|
„metrics": „eingeschränkt" |
|
„ndr": „voll" |
Dies ist ein Modulzugriffsrecht, das einem Benutzer zusätzlich zu einer der folgenden Systemzugriffsberechtigungsstufen gewährt werden kann:
|
„ndr": „keiner" |
Dies ist ein Modulzugriffsrecht, das einem Benutzer zusätzlich zu einer der folgenden Systemzugriffsberechtigungsstufen gewährt werden kann:
|
„npm": „voll" |
Dies ist ein Modulzugriffsrecht, das einem Benutzer zusätzlich zu einer der folgenden Systemzugriffsberechtigungsstufen gewährt werden kann:
|
„npm": „keine" |
Dies ist ein Modulzugriffsrecht, das einem Benutzer zusätzlich zu einer der folgenden Systemzugriffsberechtigungsstufen gewährt werden kann:
|
„Pakete": „voll" |
Dies ist eine Zusatzberechtigung, die einem Benutzer mit einer der folgenden Berechtigungsstufen gewährt werden kann:
|
„Pakete": „voll_mit_Schlüsseln" |
Dies ist eine Zusatzberechtigung, die einem Benutzer mit einer der folgenden Berechtigungsstufen gewährt werden kann:
|
„Pakete": „slices_only" |
Dies ist eine Zusatzberechtigung, die einem Benutzer mit einer der folgenden Berechtigungsstufen gewährt werden kann:
|
Konfiguration des Systems
In der Konfiguration des Systems In diesem Abschnitt können Sie die folgenden Einstellungen ändern.
- Erfassen
- Konfigurieren Sie die Netzwerkaufzeichnungseinstellungen. (Nur Sensoren)
- Datenspeicher
- Konfigurieren Sie einen erweiterten Datenspeicher oder setzen Sie den lokalen Datenspeicher zurück. (Nur Sensoren)
- Benennung von Geräten
- Konfigurieren Sie die Rangfolge, wenn mehrere Namen für ein Gerät gefunden werden.
- Inaktive Quellen
- Entfernen Sie Geräte und Anwendungen, die zwischen 1 und 90 Tagen inaktiv waren, aus den Suchergebnissen.
- Erkennungsverfolgung
- Wählen Sie aus, ob die Erkennungsuntersuchungen mit dem ExtraHop-System oder von einem externen Ticketsystem aus verfolgt werden sollen.
- Endpunktsuche
- Konfigurieren Sie Links zu einem externen IP-Adress-Suchtool für Endpunkte im ExtraHop-System .
- Geomap-Datenquelle
- Ändern Sie die Informationen in kartierten Geolokationen.
- Datenströme öffnen
- Senden Sie Protokolldaten an ein Drittanbietersystem, z. B. ein Syslog-System, eine MongoDB-Datenbank oder einen HTTP-Server. (Nur Sensoren)
- Tendenzen
- Setze alle Trends und trendbasierten Benachrichtigungen zurück. (Nur Sensoren).
- Sichern und Wiederherstellen
- System-Backups erstellen, anzeigen oder wiederherstellen.
Erfassen
Die Capture-Seite bietet Steuerelemente, mit denen Sie einstellen können, wie das ExtraHop-System Ihren Netzwerkverkehr zur Analyse erfasst.
Protokollmodule ausschließen
Standardmäßig sind alle unterstützten Module auf dem ExtraHop-System in der Erfassung enthalten, sofern Sie sie nicht manuell ausschließen.
- Klicken Sie .
- Klicken Sie Ausgeschlossene Protokollmodule.
- Hinzufügen Auszuschließendes Modul.
- Auf dem Wählen Sie das auszuschließende Protokollmodul aus Seite, von der Name des Moduls Wählen Sie im Drop-down-Menü das Modul aus, das Sie von der Erfassung ausschließen möchten .
- Klicken Sie Hinzufügen.
- Auf dem Ausgeschlossene Protokollmodule Seite, klicken Capture neu starten.
- Nachdem die Aufnahme neu gestartet wurde, klicken Sie auf OK.
MAC-Adressen ausschließen
Fügen Sie Filter hinzu, um bestimmte MAC-Adressen oder den Geräteverkehr eines Anbieters von der Netzwerkerfassung auszuschließen
Eine IP-Adresse oder einen Bereich ausschließen
Fügen Sie Filter hinzu, um bestimmte IP-Adressen und IP-Bereiche von der Netzwerkerfassung auf dem ExtraHop-System auszuschließen.
- Klicken Sie .
- Klicken Sie IP-Adressfilter.
- Klicken Sie Filter hinzufügen.
- Auf dem IP-Adressfilter Seite, geben Sie entweder eine einzelne IP-Adresse ein, die Sie ausschließen möchten, oder eine IP-Adressmaske im CIDR-Format für einen Bereich von IP-Adressen, den Sie ausschließen möchten.
- Klicken Sie Hinzufügen.
Einen Port ausschließen
Fügen Sie Filter hinzu, um den Datenverkehr von bestimmten Ports von der Netzwerkerfassung auf dem ExtraHop-System auszuschließen.
- In der Konfiguration des Systems Abschnitt, klicken Erfassen.
- Klicken Sie Port-Filter.
- Klicken Sie Filter hinzufügen.
-
Auf dem Portfilter hinzufügen Seite, geben Sie den Port ein, den Sie
ausschließen möchten.
- Um einen Quellport anzugeben, den Sie ausschließen möchten, geben Sie die Portnummer in das Quellport Feld.
- Um einen Zielport anzugeben, den Sie ausschließen möchten, geben Sie die Portnummer in das Zielhafen Feld.
- Aus dem IP-Protokoll Wählen Sie in der Dropdownliste das Protokoll aus, das Sie auf dem angegebenen Port ausschließen möchten.
- Klicken Sie Hinzufügen.
Filterung und Datendeduplikation
In der folgenden Tabelle finden Sie die Auswirkungen von Filterung und Datendeduplikation auf Metriken, PCAP und Geräteerkennung. Die Deduplizierung ist auf dem System standardmäßig aktiviert.
Paket gelöscht von | MAC-Adressfilter | IP-Adressfilter | Anschlussfilter | L2-Deduplizierung | L3-Deduplizierung |
---|---|---|---|---|---|
Netzwerk-VLAN L2-Metriken | Nicht gesammelt | Nicht gesammelt | Nicht fragmentiert*: Nicht gesammelt Fragmentiert: Gesammelt |
Nicht gesammelt | Gesammelt |
Netzwerk-VLAN L3-Metriken | Nicht gesammelt | Nicht gesammelt | Nicht fragmentiert: Nicht gesammelt Fragmentiert: Gesammelt |
Nicht gesammelt | Gesammelt |
L2/L3-Metriken für Geräte | Nicht gesammelt | Nicht gesammelt | Nicht fragmentiert: Nicht gesammelt Fragmentiert, auf oberster Ebene: Gesammelt Fragmentiert, Detail: Nicht gesammelt |
Nicht gesammelt | Gesammelt |
Globale PCAP-Pakete | Gefangen | Gefangen | Gefangen | Gefangen | Gefangen |
Precision PCAP-Pakete | Nicht erfasst | Nicht erfasst | Nicht erfasst | Nicht erfasst | Gefangen |
L2-Geräteerkennung | Keine Entdeckung | Entdeckung | Entdeckung | -- | -- |
L3-Geräteerkennung | Keine Entdeckung | Keine Entdeckung | Nicht fragmentiert: Keine Entdeckung Fragmentiert: Discovery |
-- | -- |
*Wenn bei Portfiltern IP-Fragmente im Datenfeed vorhanden sind, wird bei der erneuten Zusammenstellung des Fragments keine Portnummer bestimmt. Das ExtraHop-System sammelt möglicherweise Messwerte, erfasst Pakete oder erkennt ein Gerät, auch wenn die Port-Filterregel dies andernfalls ausschließt.
L2-Duplikate sind identische Ethernet-Frames. Die doppelten Frames sind normalerweise nicht auf der Leitung vorhanden, sondern sind ein Artefakt der Datenfeed-Konfiguration. L3-Duplikate sind Frames, die sich nur im L2-Header und IP-TTL unterscheiden. Diese Frames entstehen normalerweise durch Tippen auf beiden Seiten eines Routers. Da diese Frames im überwachten Netzwerk vorhanden sind, werden sie an den oben genannten Orten auf L2 und L3 gezählt. Die L3-Deduplizierung ist beispielsweise auf L4 und höher ausgerichtet, um zu vermeiden, dass die L3-Duplikate als TCP-Neuübertragungen gezählt werden.
Protokollklassifizierung
Die Protokollklassifizierung basiert auf bestimmten Payloads, um benutzerdefinierte Protokolle über bestimmte Ports zu identifizieren. Bei diesen Protokollen handelt es sich um Layer-7-Protokolle (Anwendungsschicht), die über dem Layer-4-Protokoll (TCP oder UDP) liegen. Diese Anwendungen haben ihr eigenes benutzerdefiniertes Protokoll und verwenden auch das TCP-Protokoll.
Die Protokollklassifizierung page bietet eine Schnittstelle zur Ausführung der folgenden Funktionen:
- Listet Anwendungen und Ports für die folgenden Netzwerkentitäten auf:
- Weit bekannte Anwendungen, die nicht standardmäßigen Ports zugeordnet sind.
- Weniger bekannte und kundenspezifische Netzwerkanwendungen.
- Unbenannte Anwendungen mit TCP- und UDP-Verkehr (z. B. TCP 1234).
- Fügen Sie eine benutzerdefinierte Zuordnung von Protokoll zu Anwendung hinzu, die die folgenden Informationen enthält:
- Name
- Der vom Benutzer angegebene Protokollname.
- Protokoll
- Das ausgewählte Layer-4-Protokoll (TCP oder UDP).
- Quelle
- (Optional) Der angegebene Quellport. Port 0 steht für einen beliebigen Quellport.
- Reiseziel
- Der Zielport oder der Portbereich.
- Lose Initiation
- Aktivieren Sie dieses Kontrollkästchen, wenn der Classifier versuchen soll, die Verbindung zu kategorisieren,
ohne dass die Verbindung geöffnet wird. ExtraHop empfiehlt, für
langlebige Ströme die Wahl einer lockeren Initiation zu wählen.
Standardmäßig verwendet das ExtraHop-System eine lose initiierte Protokollklassifizierung und versucht daher, zu klassifizieren Flüsse auch nachdem die Verbindung initiiert wurde. Sie können die lose Initiation für Ports deaktivieren, die nicht immer den Protokollverkehr übertragen (z. B. den Platzhalterport 0).
- Löscht Protokolle mit dem ausgewählten Anwendungsnamen und der Portzuordnung aus der Liste.
Der Anwendungsname und der Port werden weder im ExtraHop-System noch in Berichten angezeigt, die auf zukünftigen Datenerfassungen basieren. Das Gerät wird in Berichten mit historischen Daten angezeigt, wenn das Gerät innerhalb des gemeldeten Zeitraums aktiv und auffindbar war.
- Starten Sie die Netzwerkerfassung neu.
- Sie müssen die Netzwerkerfassung neu starten, bevor Änderungen der Protokollklassifizierung wirksam werden.
- Zuvor gesammelte Erfassungsdaten bleiben erhalten.
Das ExtraHop-System erkennt die meisten Protokolle mit einigen Ausnahmen an ihren Standardports. In der Performance Edition werden die folgenden Protokolle an jedem Port erkannt:
- AJP
- DTLS
- FIX
- HTTP
- HTTP2
- IIOP
- Java RMI
- LDAP
- RPC
- SSH
- SSL
Auf Reveal (x) 360 werden die folgenden Protokolle an jedem Port erkannt:
- Ethminer
- Blockvorlage abrufen
- RDP
- RFB
- Schicht
- LDAP
- Java RMI
- IIOP
In einigen Fällen, wenn ein Protokoll über einen nicht standardmäßigen Port kommuniziert, muss der nicht standardmäßige Port auf der Seite Protokollklassifizierung hinzugefügt werden. In diesen Fällen ist es wichtig, den nicht standardmäßigen Port richtig zu benennen. In der folgenden Tabelle sind die Standardports für jedes der Protokolle sowie der Protokollname aufgeführt, der beim Hinzufügen der benutzerdefinierten Portnummern auf der Seite Protokollklassifizierung angegeben werden muss.
In den meisten Fällen entspricht der eingegebene Name dem Namen des Protokoll. Die häufigsten Ausnahmen von dieser Regel sind Oracle (wo der Protokollname TNS ist) und Microsoft SQL (wo der Protokollname TDS ist).
Wenn Sie einen Protokollnamen hinzufügen, der mehrere Zielports hat, fügen Sie den gesamten Portbereich hinzu, getrennt durch einen Bindestrich (-). Wenn Ihr Protokoll beispielsweise das Hinzufügen der Ports 1434, 1467 und 1489 für Datenbankverkehr erfordert, geben Sie ein 1434-1489 in der Zielhafen Feld. Alternativ können Sie jeden der drei Ports in drei separaten Protokollklassifizierungen mit demselben Namen hinzufügen.
Kanonischer Name | Name des Protokolls | Verkehr | Standard-Quellport | Standard-Zielport |
---|---|---|---|---|
ActiveMQ | ActiveMQ | TCP | 0 | 61616 |
AJP | AJP | TCP | 0 | 8009 |
CIFS | CIFS | TCP | 0 | 139, 445 |
DB2 | DB2 | TCP | 0 | 50000, 60000 |
DHCP | DHCP | TCP | 68 | 67 |
Durchmesser | AAA | TCP | 0 | 3868 |
DICOM | DICOM | TCP | 0 | 3868 |
DNS | DNS | TCP, UDP | 0 | 53 |
FIX | FIX | TCP | 0 | 0 |
FTP | FTP | TCP | 0 | 21 |
FTP-DATEN | FTP-DATEN | TCP | 0 | 20 |
HL7 | HL7 | TCP, UDP | 0 | 2575 |
HTTPS | HTTPS | TCP | 0 | 443 |
IBM MQ | IBMMQ | TCP, UDP | 0 | 1414 |
ICA | ICA | TCP | 0 | 1494, 2598 |
IKE | IKE | UDP | 0 | 500 |
IMAP | IMAP | TCP | 0 | 143 |
IMAPS | IMAPS | TCP | 0 | 993 |
Informix | Informix | TCP | 0 | 1526, 1585 |
IPSEC | IPSEC | TCP, UDP | 0 | 1293 |
IPX | IPX | TCP, UDP | 0 | 213 |
IRC | IRC | TCP | 0 | 6660-6669 |
ISAKMP | ISAKMP | UDP | 0 | 500 |
iSCSI | iSCSI | TCP | 0 | 3260 |
Kerberos | Kerberos | TCP, UDP | 0 | 88 |
LDAP | LDAP | TCP | 0 | 389, 390, 3268 |
LLDP | LLDP | Link-Ebene | N/A | N/A |
L2TP | L2TP | UDP | 0 | 1701 |
Memcache | Memcache | TCP | 0 | 11210, 11211 |
Modbus | Modbus | TCP | 0 | 502 |
MongoDB | MongoDB | TCP | 0 | 27017 |
MS SQL Server | TDS | TCP | 0 | 1433 |
MSMQ | MSMQ | TCP | 0 | 1801 |
MSRPC | MSRPC | TCP | 0 | 135 |
MySQL | MySQL | TCP | 0 | 3306 |
NetFlow | NetFlow | UDP | 0 | 2055 |
NFS | NFS | TCP | 0 | 2049 |
NFS | NFS | UDP | 0 | 2049 |
NTP | NTP | UDP | 0 | 123 |
OpenVPN | OpenVPN | UDP | 0 | 1194 |
Orakel | TNS | TCP | 0 | 1521 |
PCoIP | PCoIP | UDP | 0 | 4172 |
POP3 | POP3 | TCP | 0 | 143 |
POP3S | POP3S | TCP | 0 | 995 |
PostgreSQL | PostgreSQL | TCP | 0 | 5432 |
RADIUS | AAA | TCP | 0 | 1812, 1813 |
RADIUS | AAA | UDP | 0 | 1645, 1646, 1812, 1813 |
RDP | RDP | TCP | 0 | 3389 |
Redis | Redis | TCP | 0 | 6397 |
RFB | RFB | TCP | 0 | 5900 |
SCCP | SCCP | TCP | 0 | 2000 |
SIP | SIP | TCP | 0 | 5060, 5061 |
SMPP | SMPP | TCP | 0 | 2775 |
SMTP | SMTP | TCP | 0 | 25 |
SNMP | SNMP | UDP | 0 | 162 |
SSH | SSH | TCP | 0 | 0 |
SSL | SSL | TCP | 0 | 443 |
Sybase | Sybase | TCP | 0 | 10200 |
Sybase IQ | Sybase IQ | TCP | 0 | 2638 |
Syslog | Syslog | UDP | 0 | 514 |
Telnet | Telnet | TCP | 0 | 23 |
VNC | VNC | TCP | 0 | 5900 |
WebSocket | WebSocket | TCP | 0 | 80, 443 |
Optimierung der Windows Update-Lieferung | Optimierung der Windows Update-Zustellung | TCP | 0 | 7860 |
Der in der Spalte Protokollname in der Tabelle angegebene Name wird auf der Seite Protokollklassifizierung angezeigt, um ein allgemeines Protokoll zu klassifizieren, das über nicht standardmäßige Ports kommuniziert.
Zu den Protokollen im ExtraHop-System, die in dieser Tabelle nicht aufgeführt sind, gehören:
- HTTP
- Das ExtraHop-System klassifiziert HTTP auf allen Ports.
- HTTP-AMF
- Dieses Protokoll läuft auf HTTP und wird automatisch klassifiziert.
Zu den Protokollen in dieser Tabelle, die im ExtraHop-System nicht aufgeführt sind, gehören:
- FTP-DATEN
- Das ExtraHop-System verarbeitet keine FTP-DATA an nicht standardmäßigen Ports.
- LLDP
- Da es sich um ein Protokoll auf Verbindungsebene handelt, gilt keine portbasierte Klassifizierung.
Fügen Sie eine benutzerdefinierte Protokollklassifizierung hinzu
Das folgende Verfahren beschreibt, wie Sie benutzerdefinierte hinzufügen Protokoll Klassifizierungsetiketten mit dem TDS-Protokoll (MS SQL Server) als Beispiel.
Standardmäßig sucht das ExtraHop-System auf dem TCP-Port 1433 nach TDS-Verkehr. Gehen Sie wie folgt vor, um MS SQL Server TDS-Parsing auf einem anderen Port hinzuzufügen.
Geräteerkennung konfigurieren
Das ExtraHop-System kann Geräte anhand ihrer MAC-Adresse (L2 Discovery) oder anhand ihrer IP-Adressen (L3 Discovery) erkennen und verfolgen. L2 Discovery bietet den Vorteil, dass Messwerte für ein Gerät auch dann verfolgt werden können, wenn die IP-Adresse durch eine DHCP-Anfrage geändert oder neu zugewiesen wird. Das System kann VPN-Clients auch automatisch erkennen.
Before you begin
Erfahre wie Geräteerkennung und L2-Entdeckung funktioniert im ExtraHop-System. Das Ändern dieser Einstellungen wirkt sich darauf aus, wie Metriken mit Geräten verknüpft werden.Hinweis: | Paketbroker können ARP-Anfragen filtern. Das ExtraHop-System stützt sich auf ARP-Anfragen, um L3-IP-Adressen mit L2-MAC-Adressen zu verknüpfen. |
Entdecken Sie lokale Geräte
Wenn Sie L3 Discovery aktivieren, werden lokale Geräte anhand ihrer IP-Adresse verfolgt. Das System erstellt einen übergeordneten L2-Eintrag für die MAC-Adresse und einen untergeordneten L3-Eintrag für die IP-Adresse. Wenn sich die IP-Adresse eines Gerät im Laufe der Zeit ändert, wird möglicherweise ein einziger Eintrag für ein übergeordnetes L2-Objekt mit einer MAC-Adresse mit mehreren untergeordneten L3-Einträgen mit unterschiedlichen IP-Adressen angezeigt.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Konfiguration des Systems Abschnitt, klicken Erfassen.
- klicken Erkennung von Geräten.
-
In der Lokale Geräteerkennung Abschnitt, wählen Sie aus den
folgenden Optionen:
- Wählen Sie den Lokale Geräteerkennung aktivieren Kontrollkästchen , um L3 Discovery zu aktivieren.
- Lösche das Lokale Geräteerkennung aktivieren Kontrollkästchen , um L2 Discovery zu aktivieren.
- klicken Speichern.
Ermitteln Sie Remote-Geräte anhand der IP-Adresse
Sie können das ExtraHop-System so konfigurieren, dass Geräte in Remote-Subnetzen automatisch erkannt werden, indem Sie eine Reihe von IP-Adressen hinzufügen.
Hinweis: | Wenn Ihr ExtraHop-System für L2 Discovery konfiguriert ist und Ihre Remote-Geräte IP-Adressen über einen DHCP-Relay-Agenten anfordern, können Sie Geräte anhand ihrer MAC-Adresse verfolgen, und Sie müssen Remote L3 Discovery nicht konfigurieren. Erfahre mehr über Geräteerkennung. |
- L2-Informationen wie die MAC-Adresse des Geräts und der L2-Verkehr sind nicht verfügbar, wenn sich das Gerät in einem anderen Netzwerk befindet als dem, das vom ExtraHop-System überwacht wird. Diese Informationen werden nicht von Routern weitergeleitet und sind daher für das ExtraHop-System nicht sichtbar.
- Seien Sie vorsichtig, wenn Sie die CIDR-Notation angeben. Ein /24-Subnetzpräfix kann dazu führen , dass 255 neue Geräte vom ExtraHop-System entdeckt werden. Ein breites /16-Subnetzpräfix kann dazu führen, dass 65.535 neue Geräte entdeckt werden, was Ihr Gerätelimit überschreiten könnte.
- Wenn eine IP-Adresse aus den Remote L3 Gerät Discovery-Einstellungen entfernt wird, bleibt die
IP-Adresse im ExtraHop-System als Remote-L3-Gerät bestehen, solange aktive Datenflüsse für diese IP-Adresse
existieren oder bis die Erfassung neu gestartet wird.
Nach einem Neustart wird das Gerät als inaktives
Remote-L3-Gerät aufgeführt.
Wenn dieselbe IP-Adresse später über den lokalen Datenfeed hinzugefügt wird, kann dieses entfernte L3-Gerät zu einem lokalen L3-Gerät wechseln, jedoch nur, wenn der Erfassungsvorgang neu gestartet und die Einstellung Local Device Discovery aktiviert ist.
Wichtig: | Der Erfassungsvorgang muss beim Entfernen von IP-Adressbereichen neu gestartet werden, bevor die Änderungen wirksam werden. Wir empfehlen, alle Einträge zu löschen, bevor Sie den Erfassungsvorgang neu starten. Der Erfassungsvorgang muss beim Hinzufügen von IP-Adressbereichen nicht neu gestartet werden. |
Entdecken Sie VPN-Clients
Aktivieren Sie die Erkennung interner IP-Adressen, die VPN-Clientgeräten zugeordnet sind.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Konfiguration des Systems Abschnitt, klicken Erfassen.
- klicken Erkennung von Geräten.
-
In der Erkennung von VPN-Clients Abschnitt, wählen Sie aus den
folgenden Optionen:
- Wählen Sie den VPN-Client-Erkennung aktivieren Kontrollkästchen , um die VPN-Client-Erkennung zu aktivieren.
- Lösche das VPN-Client-Erkennung aktivieren Kontrollkästchen, um die VPN-Client-Erkennung zu deaktivieren.
- klicken Speichern.
SSL-Entschlüsselung
Das ExtraHop-System unterstützt die Echtzeit-Entschlüsselung von SSL-Verkehr zur Analyse. Bevor das System Ihren Datenverkehr entschlüsseln kann, müssen Sie die Weiterleitung von Sitzungsschlüsseln konfigurieren oder ein SSL-Serverzertifikat und einen privaten Schlüssel hochladen. Das Serverzertifikat und die privaten Schlüssel werden über eine HTTPS-Verbindung von einem Webbrowser in das ExtraHop-System hochgeladen.
Hinweis: | Ihr Serververkehr muss über einen von verschlüsselt werden diese unterstützten Cipher Suites. |
Hilfe auf dieser Seite
- Entschlüsseln Sie SSL-Verkehr mit Sitzungsschlüsselweiterleitung ohne private Schlüssel.
- Deaktivieren Sie das Kontrollkästchen für Private Schlüssel erforderlich.
- Installieren Sie die Software zur Weiterleitung von Sitzungsschlüsseln auf Ihrem Linux oder Windows Server.
- Einen globalen Port zur Protokollzuordnung hinzufügen für jedes Protokoll, das Sie entschlüsseln möchten.
- Entschlüsseln Sie den SSL-Verkehr, indem Sie ein Zertifikat und einen privaten Schlüssel hochladen.
Hinweis: | Für die SSL-Entschlüsselung ist eine Lizenz erforderlich. Wenn Sie jedoch über eine Lizenz für MS SQL verfügen, können Sie auch ein SSL-Zertifikat hochladen, um den MS SQL-Verkehr aus diesen Einstellungen zu entschlüsseln. |
Laden Sie ein PEM-Zertifikat und einen privaten RSA-Schlüssel hoch
Hinweis: | Sie können einen kennwortgeschützten Schlüssel exportieren, um ihn Ihrem ExtraHop-System hinzuzufügen,
indem Sie den folgenden Befehl in einem Programm wie OpenSSL ausführen:
openssl rsa -in yourcert.pem -out new.key |
Nächste Maßnahme
Fügen Sie die verschlüsselten Protokolle hinzu Sie möchten mit diesem Zertifikat entschlüsseln.Laden Sie eine PKCS #12 /PFX-Datei hoch
PKCS #12 /PFX-Dateien werden in einem sicheren Container auf dem ExtraHop-System archiviert und enthalten sowohl öffentliche als auch private Schlüsselpaare, auf die nur mit einem Passwort zugegriffen werden kann.
Hinweis: | Um private Schlüssel aus einem Java KeyStore in eine PKCS #12 -Datei zu exportieren, führen Sie den
folgenden Befehl auf Ihrem Server aus, wobei javakeystore.jks ist der
Pfad Ihres
Java-KeyStores:keytool -importkeystore -srckeystore javakeystore.jks -destkeystore pkcs.p12 -srcstoretype jks -deststoretype pkcs12 |
Nächste Maßnahme
Fügen Sie die verschlüsselten Protokolle hinzu Sie möchten mit diesem Zertifikat entschlüsseln.Verschlüsselte Protokolle hinzufügen
Sie müssen jedes Protokoll, das Sie entschlüsseln möchten, für jedes hochgeladene Zertifikat hinzufügen.
Einen globalen Port zur Protokollzuordnung hinzufügen
Fügen Sie jedes Protokoll für den Datenverkehr hinzu, den Sie mit Ihren Sitzungsschlüsselweiterleitungen entschlüsseln möchten.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Systemkonfiguration auf Erfassen.
- Klicken Sie SSL-Entschlüsselung.
- Löschen Sie im Abschnitt Entschlüsselung des privaten Schlüssels das Private Schlüssel erforderlich Ankreuzfeld.
- Klicken Sie im Abschnitt Globales Protokoll zu Port-Zuordnung auf Globales Protokoll hinzufügen.
- Wählen Sie in der Dropdownliste Protokoll das Protokoll für den Datenverkehr aus, den Sie entschlüsseln möchten.
- Geben Sie im Feld Port die Nummer des Ports ein. Typ 0 um alle Ports hinzuzufügen.
- Klicken Sie Hinzufügen.
Installieren Sie die ExtraHop-Sitzungsschlüsselweiterleitung auf einem Windows-Server
Perfect Forward Secrecy (PFS) ist eine Eigenschaft sicherer Kommunikationsprotokolle, die den kurzfristigen, vollständig privaten Austausch von Sitzungsschlüsseln zwischen Clients und Servern ermöglichen. ExtraHop bietet eine Software zur Weiterleitung von Sitzungsschlüsseln an, die Sitzungsschlüssel zur SSL/TLS-Entschlüsselung an das ExtraHop-System senden kann. Kommunikation zwischen dem Key Spediteur und dem Sensor ist mit TLS 1.2 oder TLS 1.3 verschlüsselt, und die Anzahl der Sitzungsschlüssel, die das ExtraHop-System empfangen kann, ist unbegrenzt.
Hinweis: | Weitere Informationen darüber, wie sich der Traffic-Feed oder Änderungen an der Konfiguration auf Sensoren auswirken könnten, finden Sie in den Metriken für Desynchronisierung und Erfassung der Drop-Rate in der Systemintegritäts-Dashboard. |
Sie müssen das ExtraHop-System für die Weiterleitung von Sitzungsschlüsseln konfigurieren und dann die Forwarder-Software auf dem Windows und Linux Server mit dem SSL/TLS-Verkehr, den Sie entschlüsseln möchten.
Bevor du anfängst- Lesen Sie über SSL/TLS-Entschlüsselung und überprüfen Sie die Liste von unterstützte Cipher Suites.
- Stellen Sie sicher, dass das ExtraHop-System für SSL-Entschlüsselung und SSL Shared Secrets lizenziert ist.
- Stellen Sie sicher, dass Ihre Serverumgebung von der ExtraHop Session Key
Forwarder-Software unterstützt wird:
- Microsoft Secure Channel (Schannel) -Sicherheitspaket
- Java SSL/TLS (Java-Versionen 8 bis 17). Führen Sie kein Upgrade auf diese Version des Session Key Forwarders durch, wenn Sie derzeit Java 6- oder Java 7-Umgebungen überwachen. Version 7.9 des Session Key Forwarders unterstützt Java 6 und Java 7 und ist mit der neuesten ExtraHop-Firmware kompatibel.
- Dynamisch verknüpfte OpenSSL-Bibliotheken (1.0.x und 1.1.x). OpenSSL wird nur auf Linux-Systemen mit den Kernelversionen 4.4 und höher sowie RHEL 7.6 und höher unterstützt.
- Stellen Sie sicher, dass der Server, auf dem Sie den Session Key Forwarder installieren, dem SSL-Zertifikat des ExtraHop vertraut Sensor.
- Stellen Sie sicher, dass Ihre Firewallregeln zulassen, dass vom überwachten Server Verbindungen zum TCP-Port 4873 auf dem Sensor initiiert werden.
Wichtig: | Das ExtraHop-System kann den TLS-verschlüsselten TDS-Verkehr nicht durch Weiterleitung von Sitzungsschlüsseln entschlüsseln. Stattdessen können Sie ein RSA hochladen privater Schlüssel. |
- Installieren Sie die Sitzungsschlüsselweiterleitung auf einem oder mehreren Windows 2016- oder Windows 2019-Servern, auf denen SSL-basierte Dienste mit dem systemeigenen Windows-SSL-Framework ausgeführt werden. OpenSSL unter Windows wird derzeit nicht unterstützt.
Wichtig: | Nach der Installation der Sitzungsschlüsselweiterleitungssoftware funktionieren Anwendungen, die SSL-fähige Funktionen
enthalten, wie z. B. EDR-Agenten und Windows Store-Anwendungen, möglicherweise nicht ordnungsgemäß.
Überprüfen Sie die Kompatibilität der Sitzungsschlüsselweiterleitung in Ihrer Windows-Testumgebung, bevor Sie sie in Ihrer Produktionsumgebung bereitstellen. |
Installieren Sie die Software mit dem Installationsassistenten
Die folgenden Schritte zeigen Ihnen, wie Sie die Sitzungsschlüsselweiterleitung über eine Windows-Eingabeaufforderung oder Windows PowerShell installieren.
Aktivieren Sie den SSL-Sitzungsschlüsselempfängerdienst
Sie müssen den Sitzungsschlüsselempfängerdienst auf dem ExtraHop-System aktivieren, bevor das System Sitzungsschlüssel vom Sitzungsschlüsselweiterleiter empfangen und entschlüsseln kann. Standardmäßig ist dieser Dienst deaktiviert.
Einen globalen Port zur Protokollzuordnung hinzufügen
Fügen Sie jedes Protokoll für den Datenverkehr hinzu, den Sie mit Ihren Sitzungsschlüsselweiterleitungen entschlüsseln möchten.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Systemkonfiguration auf Erfassen.
- Klicken Sie SSL-Entschlüsselung.
- Löschen Sie im Abschnitt Entschlüsselung des privaten Schlüssels das Private Schlüssel erforderlich Ankreuzfeld.
- Klicken Sie im Abschnitt Globales Protokoll zu Port-Zuordnung auf Globales Protokoll hinzufügen.
- Wählen Sie in der Dropdownliste Protokoll das Protokoll für den Datenverkehr aus, den Sie entschlüsseln möchten.
- Geben Sie im Feld Port die Nummer des Ports ein. Typ 0 um alle Ports hinzuzufügen.
- Klicken Sie Hinzufügen.
Schlüsselweiterleitungen für verbundene Sitzungen anzeigen
Sie können kürzlich verbundene Sitzungsschlüsselweiterleitungen anzeigen, nachdem Sie die Sitzungsschlüsselweiterleitung auf Ihrem Server installiert und den SSL-Sitzungsschlüsselempfängerdienst auf dem ExtraHop-System aktiviert haben. Beachten Sie, dass auf dieser Seite nur Sitzungsschlüsselweiterleitungen angezeigt werden, die in den letzten Minuten eine Verbindung hergestellt haben, nicht alle Sitzungsschlüsselweiterleitungen, die derzeit verbunden sind.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Systemkonfiguration auf Erfassen.
- klicken Geteilte SSL-Geheimnisse.
Überprüfen Sie die Weiterleitung von Sitzungsschlüsseln
Gehen Sie wie folgt vor, um sicherzustellen, dass die Installation erfolgreich war und der Session-Key-Forwarder die Schlüssel an das ExtraHop-System weiterleitet.
- Melden Sie sich beim Windows-Server an.
-
Öffnen Sie das Services MMC-Snap-In. Stellen Sie sicher, dass beide Dienste, „ExtraHop Session Key Forwarder"
und „ExtraHop Registry Service", den Status „Running" anzeigen.
-
Wenn einer der Dienste nicht ausgeführt wird, beheben Sie das Problem,
indem Sie die folgenden Schritte ausführen.
- Öffnen Sie das MMC-Snap-In der Ereignisanzeige und navigieren Sie zu Windows-Protokolle > Anwendung.
- Suchen Sie die neuesten Einträge für die ExtraHopAgent-Quelle. Häufige Fehlerursachen und die zugehörigen Fehlermeldungen sind in der Problembehandlung bei häufigen Fehlermeldungen Abschnitt unten.
- Wenn das Snap-In Dienste und Event Viewer keine Probleme anzeigt, weisen Sie einen Workload auf die überwachten Dienste zu und überprüfen Sie im ExtraHop-System, ob die geheime Entschlüsselung funktioniert.
In Fällen, in denen Sie Probleme mit der Konfiguration haben könnten, enthält die Binärdatei für die Sitzungsschlüsselweiterleitung einen Testmodus, auf den Sie über die Kommandozeile zugreifen können, um Ihre Konfiguration zu testen.
Wichtige Kennzahlen zum Zustand des Empfängersystems
Das ExtraHop-System bietet wichtige Empfängermetriken, die Sie zu einem Dashboard-Diagramm hinzufügen können, um den Zustand und die Funktionalität der wichtigsten Empfänger zu überwachen.
Um eine Liste der verfügbaren Messwerte anzuzeigen, klicken Sie auf das Symbol Systemeinstellungen und dann klicken Metrischer Katalog. Typ Schlüsselempfänger im Filterfeld, um alle verfügbaren wichtigen Empfängermetriken anzuzeigen.
Hinweis: | Informationen zum Erstellen eines neuen Dashboard-Diagramms finden Sie unter Ein Diagramm mit dem Metric Explorer bearbeiten. |
Integrieren Sie den Forwarder in die Java-basierte SSL-Anwendung
Beispielsweise unterstützt Apache Tomcat die Anpassung von Java-Optionen in den Eigenschaften des Tomcat Service Managers. Im folgenden Beispiel fügen Sie -javaagent Die Option im Abschnitt Java-Optionen bewirkt, dass die Java-Laufzeitumgebung SSL-Sitzungsgeheimnisse mit dem Key-Forwarder-Prozess teilt, der die Geheimnisse dann an das ExtraHop-System weiterleitet, damit die Geheimnisse entschlüsselt werden können.
-javaagent:C:\Program Files\ExtraHop\exagent.jar
Hinweis: | Wenn auf Ihrem Server Java 17 oder höher ausgeführt wird, müssen Sie dem sun.security.ssl-Modul auch den
Zugriff auf alle unbenannten Module mit dem
--add-opens Option, wie im folgenden
Beispiel gezeigt:--add-opens java.base/sun.security.ssl=ALL-UNNAMED |
Anlage
Fehlermeldungen werden in Protokolldateien an den folgenden Speicherorten gespeichert, wobei TMP der Wert Ihrer TMP-Umgebungsvariablen ist:
- TMP\ExtraHopSessionKeyForwarderSetup.log
- TMP\ExtraHopSessionKeyForwarderMsi.log
Die folgende Tabelle enthält häufig auftretende Fehlermeldungen, die Sie beheben können. Wenn Sie einen anderen Fehler sehen oder die vorgeschlagene Lösung Ihr Problem nicht löst, wenden Sie sich an den ExtraHop-Support.
Nachricht | Ursache | Lösung |
---|---|---|
connect: dial tcp <IP address>:4873: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond | Der überwachte Server kann keinen Datenverkehr an die weiterleiten Sensor. | Stellen Sie sicher, dass die Firewallregeln die Initiierung von Verbindungen durch den überwachten Server zum TCP-Port 4873 auf dem Sensor. |
connect: dial tcp <IP address>:4873: connectex: No connection could be made because the target machine actively refused it | Der überwachte Server kann den Datenverkehr an die weiterleiten Sensor, aber der Empfangsvorgang hört nicht zu. | Stellen Sie sicher, dass der Sensor ist sowohl für die Funktionen SSL Decryption als auch SSL Shared Secrets lizenziert. |
connect: x509: certificate signed by unknown authority | Der überwachte Server kann das nicht verketten Sensor Zertifikat an eine vertrauenswürdige Zertifizierungsstelle (CA). | Stellen Sie sicher, dass der Windows-Zertifikatsspeicher für das Computerkonto über vertrauenswürdige Stammzertifizierungsstellen verfügt, die eine Vertrauenskette für das Sensor. |
connect: x509: cannot validate certificate for <IP address> because it doesn't contain any IP SANs | Eine IP-Adresse wurde angegeben als EDA_HOSTNAME Parameter bei der Installation des Forwarders, aber das vom Sensor vorgelegte SSL-Zertifikat enthält keine IP-Adresse als Subject Alternate Name (SAN). | Wählen Sie aus den folgenden drei Lösungen.
|
|
||
|
Wenn Sie nicht mehr möchten, dass die ExtraHop-Sitzungsschlüsselweiterleitungssoftware installiert wird, oder wenn sich einer der ursprünglichen Installationsparameter geändert hat (Sensor-Hostname oder Zertifikat) und Sie die Software mit neuen Parametern neu installieren müssen, gehen Sie wie folgt vor:
Wichtig: | Sie müssen den Server neu starten, damit die Konfigurationsänderungen wirksam werden. |
- Loggen Sie sich auf dem Windows-Server ein.
- Optional: Wenn Sie den Sitzungsschlüssel-Forwarder in Apache Tomcat integriert haben, entfernen Sie den -javaagent:C:\Program Files\ExtraHop\exagent.jar Eintrag von Tomcat, um zu verhindern, dass der Webservice gestoppt wird.
-
Wählen Sie eine der folgenden Optionen, um die Software zu entfernen:
- Öffnen Sie das Control Panel und klicken Sie auf Deinstalliere ein Programm. Wählen ExtraHop-Sitzungsschlüsselweiterleitung aus der Liste und klicken Sie dann auf Deinstallation.
-
Öffnen Sie eine PowerShell-Eingabeaufforderung und führen Sie die folgenden Befehle aus, um die Software und die zugehörigen Registrierungseinträge zu entfernen:
-
$app=Get-WMIObject -class win32_product | where-object {$_.name -eq "ExtraHop Session Key Forwarder"}
-
$app.Uninstall()
-
- Klicken Ja zur Bestätigung.
- Nachdem die Software entfernt wurde, klicken Sie auf Ja um das System neu zu starten
Sie können die folgenden MSI-Parameter angeben:
MSI-Installationsparameter | EDA_HOSTNAME |
Eintrag in der Registrierung | HKEY_LOCAL_MACHINE\SOFTWARE\ExtraHop\EDAHost |
Beschreibung | Das Sensor Hostname oder IP-Adresse, an die die SSL-Sitzungsschlüssel gesendet werden. Dieser Parameter ist erforderlich. |
MSI-Installationsparameter | EDA_CERTIFICATEPATH |
Eintrag in der Registrierung | N/A |
Beschreibung |
Der überwachte Server muss dem Aussteller des vertrauen Sensor SSL-Zertifikat über den Zertifikatsspeicher des Servers. In einigen Umgebungen ist der Sensor arbeitet mit dem selbstsignierten Zertifikat , das die ExtraHop-Firmware bei der Installation generiert. In diesem Fall muss das Zertifikat dem Zertifikatsspeicher hinzugefügt werden. Das EDA_CERTIFICATEPATH Mit diesem Parameter kann ein dateibasiertes PEM-kodiertes Zertifikat bei der Installation in den Windows-Zertifikatsspeicher importiert werden. Wenn der Parameter bei der Installation nicht angegeben wird und ein selbstsigniertes oder ein anderes CA-Zertifikat manuell in den Zertifikatsspeicher gestellt werden muss, muss der Administrator das Zertifikat auf dem überwachten System unter Zertifikate (Computerkonto) > Vertrauenswürdige Stammzertifizierungsstellen importieren. Dieser Parameter ist optional, wenn der überwachte Server zuvor so konfiguriert wurde, dass er dem SSL-Zertifikat des Sensor über den Windows-Zertifikatsspeicher. |
MSI-Installationsparameter | SERVERNAMEOVERRIDE |
Eintrag in der Registrierung | HKEY_LOCAL_MACHINE\SOFTWARE\ExtraHop\ServerNameOverride |
Beschreibung |
Wenn es ein Missverhältnis gibt zwischen Sensor Hostname, den der Forwarder kennt (EDA_HOSTNAME) und der allgemeine Name (CN), der im SSL-Zertifikat der Sensor, dann muss der Forwarder mit der richtigen CN konfiguriert werden. Dieser Parameter ist optional. Wir empfehlen, dass Sie das selbstsignierte SSL-Zertifikat anhand des Hostnamens aus dem Abschnitt SSL-Zertifikat der Administrationseinstellungen neu generieren, anstatt diesen Parameter anzugeben. |
MSI-Installationsparameter | TCPLISTENPORT |
Eintrag in der Registrierung | HKEY_LOCAL_MACHINE\SOFTWARE\ExtraHop\TCPListenPort |
Beschreibung | Die Schlüsselweiterleitung empfängt Sitzungsschlüssel lokal aus der Java-Umgebung
über einen TCP-Listener auf localhost (127.0.0.1) und den in der
TCPListenPort Eintrag. Wir empfehlen, für diesen Port
die Standardeinstellung 598 beizubehalten. Dieser Parameter ist optional. |
Das ExtraHop-System kann SSL/TLS-Verkehr entschlüsseln, der mit PFS- oder RSA-Cipher Suites verschlüsselt wurde. Alle unterstützten Cipher Suites können entschlüsselt werden, indem der Session Key Forwarder auf einem Server installiert und das ExtraHop-System konfiguriert wird.
Cipher Suites for RSA können den Datenverkehr auch mit einem Zertifikat und einem privaten Schlüssel entschlüsseln — mit oder ohne Weiterleitung von Sitzungsschlüsseln.
- PFS + GPP: Das ExtraHop-System kann diese Cipher Suites mit Sitzungsschlüsselweiterleitung entschlüsseln und Zuordnung von globalen Protokoll zu Anschlüssen
- PFS + Zertifikat: Das ExtraHop-System kann diese Cipher Suites mit der Weiterleitung von Sitzungsschlüsseln entschlüsseln und Zertifikat und privater Schlüssel
- RSA+-Zertifikat: Das ExtraHop-System kann diese Cipher Suites ohne Weiterleitung des Sitzungsschlüssels entschlüsseln, sofern Sie das hochgeladen haben Zertifikat und privater Schlüssel
Hex-Wert | Vorname (IANA) | Name (OpenSSL) | Unterstützte Entschlüsselung |
---|---|---|---|
0 x 04 | TLS_RSA_MIT_RC4_128_MD5 | RC4-MD5 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 05 | TLS_RSA_MIT_RC4_128_SHA | RC4-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0x0A | TLS_RSA_WITH_3DES_EDE_CBC_SHA | DES-CBC3-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 16 | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | EDH-RSA-DES-CBC3-SHA | PFS + GPP PFS + Zertifikat |
0x2F | TLS_RSA_MIT_AES_128_CBC_SHA | AES128-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 33 | TLS_DHE_RSA_MIT_AES_128_CBC_SHA | DHE-RSA-AES128-SHA | PFS + GPP PFS + Zertifikat |
0 x 35 | TLS_RSA_MIT_AES_256_CBC_SHA | AES256-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 39 | TLS_DHE_RSA_MIT_AES_256_CBC_SHA | DHE-RSA-AES256-SHA | PFS + GPP PFS + Zertifikat |
0x3C | TLS_RSA_MIT_AES_128_CBC_SHA256 | AES128-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0x3D | TLS_RSA_MIT_AES_256_CBC_SHA256 | AES256-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 67 | TLS_DHE_RSA_MIT_AES_128_CBC_SHA256 | DHE-RSA-AES128-SHA256 | PFS + GPP PFS + Zertifikat |
0 x 6 B | TLS_DHE_RSA_MIT_AES_256_CBC_SHA256 | DHE-RSA-AES256-SHA256 | PFS + GPP PFS + Zertifikat |
0 x 9 C | TLS_RSA_MIT_AES_128_GCM_SHA256 | AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0x9E | TLS_DHE_RSA_MIT_AES_128_GCM_SHA256 | DHE-RSA-AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat |
0 x 9F | TLS_DHE_RSA_MIT_AES_256_GCM_SHA384 | DHE-RSA-AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat |
0 x 1301 | TLS_AES_128_GCM_SHA256 | TLS_AES_128_GCM_SHA256 | PFS + GPP PFS + Zertifikat |
0 x 1302 | TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | PFS + GPP PFS + Zertifikat |
0 x 1303 | TLS_CHACHA20_POLY1305_SHA256 | TLS_CHACHA20_POLY1305_SHA256 | PFS + GPP PFS + Zertifikat |
0xC007 | TLS_ECDHE_ECDSA_MIT_RC4_128_SHA | ECDHE-ECDSA-RC4-SHA | PFS + GPP |
0xC008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDHE-ECDSA-DES-CBC3-SHA | PFS + GPP |
0xC009 | TLS_ECDHE_ECDSA_MIT_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA | PFS + GPP |
0xC00A | TLS_ECDHE_ECDSA_MIT_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA | PFS + GPP |
0xC011 | TLS_ECDHE_RSA_MIT_RC4_128_SHA | ECDHE-RSA-RC4-SHA | PFS + GPP PFS + Zertifikat |
0xC012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE-RSA-DES-CBC3-SHA | PFS + GPP PFS + Zertifikat |
0xC013 | TLS_ECDHE_RSA_MIT_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | PFS + GPP PFS + Zertifikat |
0xC014 | TLS_ECDHE_RSA_MIT_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | PFS + GPP PFS + Zertifikat |
0xC023 | TLS_ECDHE_ECDSA_MIT_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 | PFS + GPP |
0xC024 | TLS_ECDHE_ECDSA_MIT_AES_256_CBC_SHA384 | ECDHE-ECDSA-AES256-SHA384 | PFS + GPP |
0xC027 | TLS_ECDHE_RSA_MIT_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | PFS + GPP PFS + Zertifikat |
0xC028 | TLS_ECDHE_RSA_MIT_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | PFS + GPP PFS + Zertifikat |
0xC02B | TLS_ECDHE_ECDSA_MIT_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 | PFS + GPP |
0xC02C | TLS_ECDHE_ECDSA_MIT_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 | PFS + GPP |
0xC02F | TLS_ECDHE_RSA_MIT_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat |
0xC030 | TLS_ECDHE_RSA_MIT_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat |
0xCCA8 | TLS_ECDHE_RSA_MIT_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | PFS + GPP PFS + Zertifikat |
0xCCA9 | TLS_ECDHE_ECDSA_MIT_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 | PFS + GPP |
0xCCAA | TLS_DHE_RSA_MIT_CHACHA20_POLY1305_SHA256 | DHE-RSA-CHACHA20-POLY1305 | PFS + GPP PFS + Zertifikat |
Sie können die MSI-Datei aus der ausführbare Datei exportieren, um einen benutzerdefinierten Installationsablauf zu unterstützen.
ExtraHopSessionKeyForwarderSetup.exe -e
Hinweis: | Sie können anhängen <directory>
zum -e Parameter zum Speichern des .msi Datei
in ein anderes Verzeichnis als das aktuelle Arbeitsverzeichnis. Mit dem
folgenden Befehl wird die Datei beispielsweise im install_dir
Verzeichnis:ExtraHopSessionKeyForwarderSetup.exe -e install_dir |
Installieren Sie den ExtraHop Session Key Forwarder auf einem Linux-Server
Perfect Forward Secrecy (PFS) ist eine Eigenschaft sicherer Kommunikationsprotokolle, die den kurzfristigen, vollständig privaten Austausch von Sitzungsschlüsseln zwischen Clients und Servern ermöglichen. ExtraHop bietet eine Software zur Weiterleitung von Sitzungsschlüsseln an, die Sitzungsschlüssel zur SSL/TLS-Entschlüsselung an das ExtraHop-System senden kann. Kommunikation zwischen dem Key Spediteur und dem Sensor ist mit TLS 1.2 oder TLS 1.3 verschlüsselt, und die Anzahl der Sitzungsschlüssel, die das ExtraHop-System empfangen kann, ist unbegrenzt.
Hinweis: | Weitere Informationen darüber, wie sich der Traffic-Feed oder Änderungen an der Konfiguration auf Sensoren auswirken könnten, finden Sie in den Metriken für Desynchronisierung und Erfassung der Drop-Rate in der Systemintegritäts-Dashboard. |
Sie müssen das ExtraHop-System für die Weiterleitung von Sitzungsschlüsseln konfigurieren und dann die Forwarder-Software auf dem Windows und Linux Server mit dem SSL/TLS-Verkehr, den Sie entschlüsseln möchten.
Bevor du anfängst- Lesen Sie über SSL/TLS-Entschlüsselung und überprüfen Sie die Liste von unterstützte Cipher Suites.
- Stellen Sie sicher, dass das ExtraHop-System für SSL-Entschlüsselung und SSL Shared Secrets lizenziert ist.
- Stellen Sie sicher, dass Ihre Serverumgebung von der ExtraHop Session Key
Forwarder-Software unterstützt wird:
- Microsoft Secure Channel (Schannel) -Sicherheitspaket
- Java SSL/TLS (Java-Versionen 8 bis 17). Führen Sie kein Upgrade auf diese Version des Session Key Forwarders durch, wenn Sie derzeit Java 6- oder Java 7-Umgebungen überwachen. Version 7.9 des Session Key Forwarders unterstützt Java 6 und Java 7 und ist mit der neuesten ExtraHop-Firmware kompatibel.
- Dynamisch verknüpfte OpenSSL-Bibliotheken (1.0.x und 1.1.x). OpenSSL wird nur auf Linux-Systemen mit den Kernelversionen 4.4 und höher sowie RHEL 7.6 und höher unterstützt.
- Stellen Sie sicher, dass der Server, auf dem Sie den Session Key Forwarder installieren, dem SSL-Zertifikat des ExtraHop vertraut Sensor.
- Stellen Sie sicher, dass Ihre Firewallregeln zulassen, dass vom überwachten Server Verbindungen zum TCP-Port 4873 auf dem Sensor initiiert werden.
Wichtig: | Das ExtraHop-System kann den TLS-verschlüsselten TDS-Verkehr nicht durch Weiterleitung von Sitzungsschlüsseln entschlüsseln. Stattdessen können Sie ein RSA hochladen privater Schlüssel. |
- Installieren Sie den Session Key Forwarder auf RHEL-, CentOS-, Fedora- oder Debian-Ubuntu-Linux-Distributionen. Die Sitzungsschlüsselweiterleitung funktioniert auf anderen Distributionen möglicherweise nicht richtig.
- Der Session Key Forwarder wurde nicht ausführlich mit SELinux getestet und ist möglicherweise nicht kompatibel, wenn er auf einigen Linux-Distributionen aktiviert ist.
Aktivieren Sie den SSL-Sitzungsschlüsselempfängerdienst
Sie müssen den Sitzungsschlüsselempfängerdienst auf dem ExtraHop-System aktivieren, bevor das System Sitzungsschlüssel vom Sitzungsschlüsselweiterleiter empfangen und entschlüsseln kann. Standardmäßig ist dieser Dienst deaktiviert.
Einen globalen Port zur Protokollzuordnung hinzufügen
Fügen Sie jedes Protokoll für den Datenverkehr hinzu, den Sie mit Ihren Sitzungsschlüsselweiterleitungen entschlüsseln möchten.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Systemkonfiguration auf Erfassen.
- Klicken Sie SSL-Entschlüsselung.
- Löschen Sie im Abschnitt Entschlüsselung des privaten Schlüssels das Private Schlüssel erforderlich Ankreuzfeld.
- Klicken Sie im Abschnitt Globales Protokoll zu Port-Zuordnung auf Globales Protokoll hinzufügen.
- Wählen Sie in der Dropdownliste Protokoll das Protokoll für den Datenverkehr aus, den Sie entschlüsseln möchten.
- Geben Sie im Feld Port die Nummer des Ports ein. Typ 0 um alle Ports hinzuzufügen.
- Klicken Sie Hinzufügen.
Installieren Sie die Software
Hinweis: | Sie können den Forwarder ohne Benutzerinteraktion installieren, indem Sie Folgendes angeben Umgebungsvariablen im Installationsbefehl. |
Hinweis: | Sie können den Forwarder ohne Benutzerinteraktion installieren, indem Sie Folgendes angeben Umgebungsvariablen im Installationsbefehl. |
Beispielsweise unterstützen viele Tomcat-Umgebungen die Anpassung von Java-Optionen in der /etc/default/tomcat7 Datei. Im folgenden Beispiel fügen Sie -javaagent Die Option in der JAVA_OPTS-Zeile bewirkt, dass die Java-Laufzeit SSL-Sitzungsgeheimnisse mit dem Key-Forwarder-Prozess teilt, der die Geheimnisse dann an das ExtraHop-System weiterleitet, damit die Geheimnisse entschlüsselt werden können.
JAVA_OPTS="... -javaagent:/opt/extrahop/lib/exagent.jar
Wenn auf Ihrem Server Java 17 oder höher ausgeführt wird, müssen Sie dem Modul sun.security.ssl auch den Zugriff auf alle unbenannten Module mit der Option --add-opens ermöglichen, wie im folgenden Beispiel gezeigt:
JAVA_OPTS="... -javaagent:/opt/extrahop/lib/exagent.jar --add-opens java.base/sun.security.ssl=ALL-UNNAMED
Überprüfen Sie Ihre Installation und beheben Sie Fehler
Wenn Ihr Linux-Server Netzwerkzugriff auf das ExtraHop-System hat und die Server-SSL-Konfiguration dem Zertifikat des ExtraHop-Systems vertraut, das Sie bei der Installation des Session-Key-Forwarders angegeben haben, ist die Konfiguration abgeschlossen.
In Fällen, in denen Sie Probleme mit der Konfiguration haben könnten, enthält die Binärdatei für die Sitzungsschlüsselweiterleitung einen Testmodus, auf den Sie über die Befehlszeile zugreifen können, um Ihre Konfiguration zu testen .
Wenn zwischen dem Hostnamen des ExtraHop-Systems, den der Forwarder kennt (SERVER), und dem Common Name (CN), der im SSL-Zertifikat des ExtraHop-Systems angegeben ist, eine Diskrepanz besteht, muss der Forwarder mit der richtigen CN konfiguriert werden.
Wichtige Kennzahlen zum Zustand des Empfängersystems
Das ExtraHop-System bietet wichtige Empfängermetriken, die Sie zu einem Dashboard-Diagramm hinzufügen können, um den Zustand und die Funktionalität der wichtigsten Empfänger zu überwachen.
Um eine Liste der verfügbaren Messwerte anzuzeigen, klicken Sie auf das Symbol Systemeinstellungen und dann klicken Metrischer Katalog. Typ Schlüsselempfänger im Filterfeld, um alle verfügbaren wichtigen Empfängermetriken anzuzeigen.
Hinweis: | Informationen zum Erstellen eines neuen Dashboard-Diagramms finden Sie unter Ein Diagramm mit dem Metric Explorer bearbeiten. |
Schlüsselweiterleitungen für verbundene Sitzungen anzeigen
Sie können kürzlich verbundene Sitzungsschlüsselweiterleitungen anzeigen, nachdem Sie die Sitzungsschlüsselweiterleitung auf Ihrem Server installiert und den SSL-Sitzungsschlüsselempfängerdienst auf dem ExtraHop-System aktiviert haben. Beachten Sie, dass auf dieser Seite nur Sitzungsschlüsselweiterleitungen angezeigt werden, die in den letzten Minuten eine Verbindung hergestellt haben, nicht alle Sitzungsschlüsselweiterleitungen, die derzeit verbunden sind.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Systemkonfiguration auf Erfassen.
- klicken Geteilte SSL-Geheimnisse.
Deinstalliere die Software
Wenn Sie die ExtraHop Session Key Forwarder-Software nicht mehr installieren möchten, führen Sie die folgenden Schritte aus.
- Melden Sie sich beim Linux-Server an.
-
Öffnen Sie eine Terminalanwendung und wählen Sie eine der folgenden Optionen, um
die Software zu entfernen.
- Führen Sie für RPM-basierte Server den folgenden
Befehl aus:
sudo rpm --erase extrahop-key-forwarder
- Führen Sie für Debian- und Ubuntu-Server den folgenden
Befehl aus:
sudo apt-get --purge remove extrahop-key-forwarder
Typ Y wenn Sie aufgefordert werden, das Entfernen der Software zu bestätigen, und drücken Sie dann die EINGABETASTE.
- Führen Sie für RPM-basierte Server den folgenden
Befehl aus:
- klicken Ja zur Bestätigung.
- Nachdem die Software entfernt wurde, klicken Sie auf Ja um das System neu zu starten
Allgemeine Fehlermeldungen
Von der Sitzungsschlüsselweiterleitung verursachte Fehler werden in der Linux-Systemprotokolldatei protokolliert.
Nachricht | Ursache | Lösung |
---|---|---|
connect: dial tcp <IP address>:4873: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond | Der überwachte Server kann keinen Verkehr an den weiterleiten Sensor. | Stellen Sie sicher, dass die Firewallregeln die Initiierung von Verbindungen durch den überwachten Server zum TCP-Port 4873 auf dem Sensor. |
connect: dial tcp <IP address>:4873: connectex: No connection could be made because the target machine actively refused it | Der überwachte Server kann den Verkehr weiterleiten an Sensor, aber der Empfangsprozess hört nicht zu. | Stellen Sie sicher, dass Sensor ist sowohl für die Funktionen SSL Decryption als auch SSL Shared Secrets lizenziert. |
connect: x509: certificate signed by unknown authority | Der überwachte Server kann das nicht verketten Sensor Zertifikat für eine vertrauenswürdige Zertifizierungsstelle (CA). | Stellen Sie sicher, dass der Linux-Zertifikatsspeicher für das Computerkonto über vertrauenswürdige Stammzertifizierungsstellen verfügt, die eine Vertrauenskette für das Sensor. |
connect: x509: cannot validate certificate for <IP address> because it doesn't contain any IP SANs | Eine IP-Adresse wurde bereitgestellt als SERVER Parameter bei der Installation des Forwarders, aber das vom Sensor vorgelegte SSL-Zertifikat enthält keine IP-Adresse als Subject Alternate Name (SAN). | Wählen Sie aus den folgenden drei Lösungen.
|
|
||
|
Unterstützte SSL/TLS-Verschlüsselungssammlungen
Das ExtraHop-System kann SSL/TLS-Verkehr entschlüsseln, der mit PFS- oder RSA-Cipher Suites verschlüsselt wurde. Alle unterstützten Cipher Suites können entschlüsselt werden, indem der Session Key Forwarder auf einem Server installiert und das ExtraHop-System konfiguriert wird.
Cipher Suites for RSA können den Datenverkehr auch mit einem Zertifikat und einem privaten Schlüssel entschlüsseln — mit oder ohne Weiterleitung von Sitzungsschlüsseln.
- PFS + GPP: Das ExtraHop-System kann diese Cipher Suites mit Sitzungsschlüsselweiterleitung entschlüsseln und Zuordnung von globalen Protokoll zu Anschlüssen
- PFS + Zertifikat: Das ExtraHop-System kann diese Cipher Suites mit der Weiterleitung von Sitzungsschlüsseln entschlüsseln und Zertifikat und privater Schlüssel
- RSA+-Zertifikat: Das ExtraHop-System kann diese Cipher Suites ohne Weiterleitung des Sitzungsschlüssels entschlüsseln, sofern Sie das hochgeladen haben Zertifikat und privater Schlüssel
Hex-Wert | Vorname (IANA) | Name (OpenSSL) | Unterstützte Entschlüsselung |
---|---|---|---|
0 x 04 | TLS_RSA_MIT_RC4_128_MD5 | RC4-MD5 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 05 | TLS_RSA_MIT_RC4_128_SHA | RC4-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0x0A | TLS_RSA_WITH_3DES_EDE_CBC_SHA | DES-CBC3-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 16 | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | EDH-RSA-DES-CBC3-SHA | PFS + GPP PFS + Zertifikat |
0x2F | TLS_RSA_MIT_AES_128_CBC_SHA | AES128-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 33 | TLS_DHE_RSA_MIT_AES_128_CBC_SHA | DHE-RSA-AES128-SHA | PFS + GPP PFS + Zertifikat |
0 x 35 | TLS_RSA_MIT_AES_256_CBC_SHA | AES256-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 39 | TLS_DHE_RSA_MIT_AES_256_CBC_SHA | DHE-RSA-AES256-SHA | PFS + GPP PFS + Zertifikat |
0x3C | TLS_RSA_MIT_AES_128_CBC_SHA256 | AES128-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0x3D | TLS_RSA_MIT_AES_256_CBC_SHA256 | AES256-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 67 | TLS_DHE_RSA_MIT_AES_128_CBC_SHA256 | DHE-RSA-AES128-SHA256 | PFS + GPP PFS + Zertifikat |
0 x 6 B | TLS_DHE_RSA_MIT_AES_256_CBC_SHA256 | DHE-RSA-AES256-SHA256 | PFS + GPP PFS + Zertifikat |
0 x 9 C | TLS_RSA_MIT_AES_128_GCM_SHA256 | AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0x9E | TLS_DHE_RSA_MIT_AES_128_GCM_SHA256 | DHE-RSA-AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat |
0 x 9F | TLS_DHE_RSA_MIT_AES_256_GCM_SHA384 | DHE-RSA-AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat |
0 x 1301 | TLS_AES_128_GCM_SHA256 | TLS_AES_128_GCM_SHA256 | PFS + GPP PFS + Zertifikat |
0 x 1302 | TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | PFS + GPP PFS + Zertifikat |
0 x 1303 | TLS_CHACHA20_POLY1305_SHA256 | TLS_CHACHA20_POLY1305_SHA256 | PFS + GPP PFS + Zertifikat |
0xC007 | TLS_ECDHE_ECDSA_MIT_RC4_128_SHA | ECDHE-ECDSA-RC4-SHA | PFS + GPP |
0xC008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDHE-ECDSA-DES-CBC3-SHA | PFS + GPP |
0xC009 | TLS_ECDHE_ECDSA_MIT_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA | PFS + GPP |
0xC00A | TLS_ECDHE_ECDSA_MIT_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA | PFS + GPP |
0xC011 | TLS_ECDHE_RSA_MIT_RC4_128_SHA | ECDHE-RSA-RC4-SHA | PFS + GPP PFS + Zertifikat |
0xC012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE-RSA-DES-CBC3-SHA | PFS + GPP PFS + Zertifikat |
0xC013 | TLS_ECDHE_RSA_MIT_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | PFS + GPP PFS + Zertifikat |
0xC014 | TLS_ECDHE_RSA_MIT_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | PFS + GPP PFS + Zertifikat |
0xC023 | TLS_ECDHE_ECDSA_MIT_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 | PFS + GPP |
0xC024 | TLS_ECDHE_ECDSA_MIT_AES_256_CBC_SHA384 | ECDHE-ECDSA-AES256-SHA384 | PFS + GPP |
0xC027 | TLS_ECDHE_RSA_MIT_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | PFS + GPP PFS + Zertifikat |
0xC028 | TLS_ECDHE_RSA_MIT_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | PFS + GPP PFS + Zertifikat |
0xC02B | TLS_ECDHE_ECDSA_MIT_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 | PFS + GPP |
0xC02C | TLS_ECDHE_ECDSA_MIT_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 | PFS + GPP |
0xC02F | TLS_ECDHE_RSA_MIT_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat |
0xC030 | TLS_ECDHE_RSA_MIT_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat |
0xCCA8 | TLS_ECDHE_RSA_MIT_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | PFS + GPP PFS + Zertifikat |
0xCCA9 | TLS_ECDHE_ECDSA_MIT_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 | PFS + GPP |
0xCCAA | TLS_DHE_RSA_MIT_CHACHA20_POLY1305_SHA256 | DHE-RSA-CHACHA20-POLY1305 | PFS + GPP PFS + Zertifikat |
Optionen für die Weiterleitung von Sitzungsschlüsseln
Sie können den Session Key Forwarder konfigurieren, indem Sie den /opt/extrahop/etc/extrahop-key-forwarder.conf Datei.
Wichtig: | Wenn Sie Optionen hinzufügen
extrahop-key-forwarder.conf die keine dedizierten Variablen haben, sie
müssen sich in der ADDITIONAL_ARGS Feld. Zum
Beispiel:ADDITIONAL_ARGS="-v=true -libcrypto=/some/path/libcrypto.so -libcrypto=/some/other/path/libcrypto.so" |
Option | Beschreibung |
---|---|
-cert <path> | Gibt den Pfad zum Serverzertifikat an. Geben Sie diese Option nur an, wenn das Serverzertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde. |
-containerd-enable | Aktiviert die Aufzählung von Containern, die mit der Containerd-Laufzeit verwaltet werden. Diese Option ist standardmäßig deaktiviert. Sie müssen eingeben -containerd-enable um die Containerd-Unterstützung zu aktivieren. |
-containerd-socket <string> | Der vollständige Pfad der enthaltenen Socket-Datei. |
-containerd-state <string> | Der vollständige Pfad des Containerd-State-Verzeichnisses. |
-containerd-state-rootfs-subdir <string> | Der relative Pfad des rootfs Unterverzeichnis des Containerd-State-Verzeichnisses. |
-docker-enable | Aktiviert die Aufzählung von Docker-Containern. Diese Option ist standardmäßig aktiviert. Sie müssen eingeben -docker-enable=falsch um die Docker-Unterstützung zu deaktivieren. |
-docker-envoy <path> | Gibt zusätzliche Envoy-Pfade innerhalb von Docker-Containern an. Sie können diese Option mehrfach angeben. |
-docker-go-binary <value> | Gibt Glob-Muster an, um Go-Binärdateien in Docker-Containern zu finden. Sie können diese Option mehrfach angeben. |
-docker-libcrypto <path> | Gibt den Pfad zu libcrypto in Docker-Containern an. Sie können diese Option mehrfach angeben. |
-envoy <path> | Gibt zusätzliche Envoy-Pfade auf dem Host an. Sie können diese Option mehrfach angeben. |
-go-binary <value> | Gibt Glob-Muster an, um Go-Binärdateien zu finden. Sie können diese Option mehrfach angeben. |
-hearbeat-interval | Gibt das Zeitintervall in Sekunden zwischen Heartbeat-Nachrichten an. Das Standardintervall beträgt 30 Sekunden. |
-host-mount-path <path> | Gibt den Pfad an, in dem das Host-Dateisystem gemountet wird, wenn die Sitzungsschlüsselweiterleitung in einem Container ausgeführt wird. |
-hosted <platform> | Gibt an, dass der Agent auf der angegebenen gehosteten Plattform ausgeführt wird. Die Plattform ist derzeit beschränkt auf aws. |
-ldconfig-cache <path> | Gibt den Pfad zum ldconfig-Cache an, ld.so.cache. Der Standardpfad ist /etc/ld.so.cache. Sie können diese Option mehrfach angeben. |
-libcrypto <path> | Gibt den Pfad zur OpenSSL-Bibliothek an, libcrypto. Sie können diese Option mehrfach angeben, wenn Sie mehrere Installationen von OpenSSL haben. |
-no-docker-envoy | Deaktiviert die Envoy-Unterstützung in Docker-Containern. |
-no-envoy | Deaktiviert die Envoy-Unterstützung auf dem Host. |
-openssl-discover | Erkennt automatisch libcrypto Implementierungen. Der Standardwert ist „true". Sie müssen eingeben -openssl-discover=falsch um die OpenSSL-Entschlüsselung zu deaktivieren. |
-pidfile <path> | Gibt die Datei an, in der dieser Server seine Prozess-ID (PID) aufzeichnet. |
-port <value> | Gibt den TCP-Port an, den der Sensor lauscht auf weitergeleitete Sitzungsschlüssel. Der Standardport ist 4873. |
-server <string> | Gibt den vollqualifizierten Domänenname des Paket an. Sensor. |
-server-name-override <value> | Gibt den Betreffnamen aus dem Sensor Zertifikat. Geben Sie diese Option an , wenn dieser Server nur eine Verbindung zu dem Paket herstellen kann Sensor nach IP-Adresse. |
-syslog <facility> | Gibt die Einrichtung an, die vom Schlüsselweiterleiter gesendet wurde. Die Standardeinrichtung ist local3. |
-t | Führen Sie einen Konnektivitätstest durch. Sie müssen eingeben -t=wahr um mit dieser Option zu laufen. |
-tcp-listen-port <value> | Gibt den TCP-Port an, auf dem die Schlüsselweiterleitung auf weitergeleitete Sitzungsschlüssel wartet. |
-username <string> | Gibt den Benutzer an, unter dem der Sitzungsschlüssel-Forwarder nach der Installation der Forwarder-Software ausgeführt wird. |
-v | Aktivieren Sie die ausführliche Protokollierung. Sie müssen eingeben -v=true um mit dieser Option zu laufen. |
Die folgenden Umgebungsvariablen ermöglichen es Ihnen, den Session Key Forwarder ohne Benutzerinteraktion zu installieren.
Variabel | Beschreibung | Beispiel |
---|---|---|
EXTRAHOP_CONNECTION_MODE | Gibt den Verbindungsmodus zum Sitzungsschlüsselempfänger an. Optionen sind richten für selbstverwaltete Sensoren und gehostet für von ExtraHop verwaltete Sensoren. | sudo EXTRAHOP_CONNECTION_MODE=hosted rpm --install extrahop-key-forwarder.x86_64.rpm |
EXTRAHOP_EDA_HOSTNAME | Gibt den vollqualifizierten Domänenname des Selbstverwalters an Sensor. | sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com dpkg --install extrahop-key-forwarder_amd64.deb |
EXTRAHOP_LOCAL_LISTENER_PORT | Der Key Forwarder empfängt Sitzungsschlüssel lokal aus der Java-Umgebung über einen TCP-Listener auf localhost (127.0.0.1) und den in der LOCAL_LISTENER_PORT Feld. Wir empfehlen, für diesen Port die Standardeinstellung 598 beizubehalten . Wenn Sie die Portnummer ändern, müssen Sie die ändern -javaagent Argument, um den neuen Port zu berücksichtigen. | sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com EXTRAHOP_LOCAL_LISTENER_PORT=900 rpm --install extrahop-key-forwarder.x86_64.rpm |
EXTRAHOP_SYSLOG | Gibt die Einrichtung oder den Maschinenprozess an, der das Syslog-Ereignis erstellt hat. Die Standardeinrichtung ist local3, das sind Systemdaemon-Prozesse. | sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com EXTRAHOP_SYSLOG=local1 dpkg --install extrahop-key-forwarder_amd64.deb |
EXTRAHOP_ADDITIONAL_ARGS | Gibt zusätzliche Optionen für die Schlüsselweiterleitung an. | sudo EXTRAHOP_CONNECTION_MODE=hosted EXTRAHOP_ADDITIONAL_ARGS="-v=true -libcrypto=/some/path/libcrypto.so libcrypto=/some/other/path/libcrypto.so" rpm --install extrahop-key-forwarder.x86_64.rpm |
Unterstützte SSL/TLS-Verschlüsselungssammlungen
Das ExtraHop-System kann SSL/TLS-Verkehr entschlüsseln, der mit PFS- oder RSA-Cipher Suites verschlüsselt wurde. Alle unterstützten Cipher Suites können entschlüsselt werden, indem der Session Key Forwarder auf einem Server installiert und das ExtraHop-System konfiguriert wird.
Cipher Suites for RSA können den Datenverkehr auch mit einem Zertifikat und einem privaten Schlüssel entschlüsseln — mit oder ohne Weiterleitung von Sitzungsschlüsseln.
Entschlüsselungsmethoden
- PFS + GPP: Das ExtraHop-System kann diese Cipher Suites mit Sitzungsschlüsselweiterleitung entschlüsseln und Zuordnung von globalen Protokoll zu Anschlüssen
- PFS + Zertifikat: Das ExtraHop-System kann diese Cipher Suites mit der Weiterleitung von Sitzungsschlüsseln entschlüsseln und Zertifikat und privater Schlüssel
- RSA+-Zertifikat: Das ExtraHop-System kann diese Cipher Suites ohne Weiterleitung des Sitzungsschlüssels entschlüsseln, sofern Sie das hochgeladen haben Zertifikat und privater Schlüssel
Hex-Wert | Vorname (IANA) | Name (OpenSSL) | Unterstützte Entschlüsselung |
---|---|---|---|
0 x 04 | TLS_RSA_MIT_RC4_128_MD5 | RC4-MD5 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 05 | TLS_RSA_MIT_RC4_128_SHA | RC4-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0x0A | TLS_RSA_WITH_3DES_EDE_CBC_SHA | DES-CBC3-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 16 | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | EDH-RSA-DES-CBC3-SHA | PFS + GPP PFS + Zertifikat |
0x2F | TLS_RSA_MIT_AES_128_CBC_SHA | AES128-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 33 | TLS_DHE_RSA_MIT_AES_128_CBC_SHA | DHE-RSA-AES128-SHA | PFS + GPP PFS + Zertifikat |
0 x 35 | TLS_RSA_MIT_AES_256_CBC_SHA | AES256-SHA | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 39 | TLS_DHE_RSA_MIT_AES_256_CBC_SHA | DHE-RSA-AES256-SHA | PFS + GPP PFS + Zertifikat |
0x3C | TLS_RSA_MIT_AES_128_CBC_SHA256 | AES128-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0x3D | TLS_RSA_MIT_AES_256_CBC_SHA256 | AES256-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 67 | TLS_DHE_RSA_MIT_AES_128_CBC_SHA256 | DHE-RSA-AES128-SHA256 | PFS + GPP PFS + Zertifikat |
0 x 6 B | TLS_DHE_RSA_MIT_AES_256_CBC_SHA256 | DHE-RSA-AES256-SHA256 | PFS + GPP PFS + Zertifikat |
0 x 9 C | TLS_RSA_MIT_AES_128_GCM_SHA256 | AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0 x 9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat RSA + Zertifikat |
0x9E | TLS_DHE_RSA_MIT_AES_128_GCM_SHA256 | DHE-RSA-AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat |
0 x 9F | TLS_DHE_RSA_MIT_AES_256_GCM_SHA384 | DHE-RSA-AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat |
0 x 1301 | TLS_AES_128_GCM_SHA256 | TLS_AES_128_GCM_SHA256 | PFS + GPP PFS + Zertifikat |
0 x 1302 | TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | PFS + GPP PFS + Zertifikat |
0 x 1303 | TLS_CHACHA20_POLY1305_SHA256 | TLS_CHACHA20_POLY1305_SHA256 | PFS + GPP PFS + Zertifikat |
0xC007 | TLS_ECDHE_ECDSA_MIT_RC4_128_SHA | ECDHE-ECDSA-RC4-SHA | PFS + GPP |
0xC008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDHE-ECDSA-DES-CBC3-SHA | PFS + GPP |
0xC009 | TLS_ECDHE_ECDSA_MIT_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA | PFS + GPP |
0xC00A | TLS_ECDHE_ECDSA_MIT_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA | PFS + GPP |
0xC011 | TLS_ECDHE_RSA_MIT_RC4_128_SHA | ECDHE-RSA-RC4-SHA | PFS + GPP PFS + Zertifikat |
0xC012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE-RSA-DES-CBC3-SHA | PFS + GPP PFS + Zertifikat |
0xC013 | TLS_ECDHE_RSA_MIT_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | PFS + GPP PFS + Zertifikat |
0xC014 | TLS_ECDHE_RSA_MIT_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | PFS + GPP PFS + Zertifikat |
0xC023 | TLS_ECDHE_ECDSA_MIT_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 | PFS + GPP |
0xC024 | TLS_ECDHE_ECDSA_MIT_AES_256_CBC_SHA384 | ECDHE-ECDSA-AES256-SHA384 | PFS + GPP |
0xC027 | TLS_ECDHE_RSA_MIT_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | PFS + GPP PFS + Zertifikat |
0xC028 | TLS_ECDHE_RSA_MIT_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | PFS + GPP PFS + Zertifikat |
0xC02B | TLS_ECDHE_ECDSA_MIT_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 | PFS + GPP |
0xC02C | TLS_ECDHE_ECDSA_MIT_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 | PFS + GPP |
0xC02F | TLS_ECDHE_RSA_MIT_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | PFS + GPP PFS + Zertifikat |
0xC030 | TLS_ECDHE_RSA_MIT_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | PFS + GPP PFS + Zertifikat |
0xCCA8 | TLS_ECDHE_RSA_MIT_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | PFS + GPP PFS + Zertifikat |
0xCCA9 | TLS_ECDHE_ECDSA_MIT_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 | PFS + GPP |
0xCCAA | TLS_DHE_RSA_MIT_CHACHA20_POLY1305_SHA256 | DHE-RSA-CHACHA20-POLY1305 | PFS + GPP PFS + Zertifikat |
Speichern Sie SSL-Sitzungsschlüssel in verbundenen Paketspeichern
Wenn die Weiterleitung von Sitzungsschlüsseln auf einem ExtraHop-System konfiguriert ist, das mit einem Packetstore verbunden ist, kann das ExtraHop-System verschlüsselte Sitzungsschlüssel zusammen mit den gesammelten Paketen speichern.
Before you begin
Erfahre mehr über Pakete mit gespeicherten Schlüsseln entschlüsseln.- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Systemkonfiguration auf Erfassen.
- klicken Speicherung von SSL-Sitzungsschlüsseln.
- Wählen SSL-Sitzungsschlüsselspeicher aktivieren.
- klicken Speichern.
Nächste Maßnahme
Weitere Hinweise zum Herunterladen von Sitzungsschlüsseln finden Sie unter Laden Sie Sitzungsschlüssel mit Paket herunter.
Schlüsselweiterleitungen für verbundene Sitzungen anzeigen
Sie können kürzlich verbundene Sitzungsschlüsselweiterleitungen anzeigen, nachdem Sie die Sitzungsschlüsselweiterleitung auf Ihrem Server installiert und den SSL-Sitzungsschlüsselempfängerdienst auf dem ExtraHop-System aktiviert haben. Beachten Sie, dass auf dieser Seite nur Sitzungsschlüsselweiterleitungen angezeigt werden, die in den letzten Minuten eine Verbindung hergestellt haben, nicht alle Sitzungsschlüsselweiterleitungen, die derzeit verbunden sind.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Systemkonfiguration auf Erfassen.
- klicken Geteilte SSL-Geheimnisse.
Entschlüsseln Sie den Domänenverkehr mit einem Windows-Domänencontroller
Das ExtraHop-System kann so konfiguriert werden, dass Domänenschlüssel von einem Domänencontroller abgerufen und gespeichert werden. Wenn das System verschlüsselten Verkehr beobachtet, der den gespeicherten Schlüsseln entspricht, wird der gesamte Kerberos-verschlüsselte Verkehr in der Domäne für unterstützte Protokolle entschlüsselt. Das System synchronisiert nur Kerberos- und NTLM-Entschlüsselungsschlüssel und ändert keine anderen Eigenschaften in der Domäne.
Ein Domänencontroller wie Active Directory ist ein häufiges Ziel von Angreifern, da eine erfolgreiche Angriffskampagne hochwertige Ziele hervorbringt. Kritische Angriffe wie Golden Ticket, PrintNightmare und Bloodhound können durch Kerberos- oder NTLM-Entschlüsselung verdeckt werden. Die Entschlüsselung dieser Art von Datenverkehr kann tiefere Einblicke in Sicherheitserkennungen liefern.
Sie können die Entschlüsselung für eine Person aktivieren Sensor oder durch eine Integration auf Reveal (x) 360.
Für die Entschlüsselung müssen die folgenden Anforderungen erfüllt sein:
- Sie müssen über einen Active Directory Directory-Domänencontroller (DC) verfügen, der nicht als schreibgeschützter Domänencontroller (RODC) konfiguriert ist.
- Nur Windows Server 2016 und Windows Server 2019 werden unterstützt.
- Nur ein Domänencontroller kann auf einem konfiguriert werden Sensor, was bedeutet, dass Sie den Traffic von einer Domain pro Domain entschlüsseln können Sensor.
- Das ExtraHop-System synchronisiert Schlüssel für bis zu 50.000 Konten in einer konfigurierten Domain. Wenn Ihr DC mehr als 50.000 Konten hat, wird ein Teil des Datenverkehrs nicht entschlüsselt.
- Das ExtraHop-System muss den Netzwerkverkehr zwischen dem DC und den angeschlossenen Clients und Servern beobachten.
- Das ExtraHop-System muss über die folgenden Ports auf den Domänencontroller zugreifen können: TCP 88 (Kerberos), TCP 445 (SMB), TCP 135 (RPC) und TCP-Ports 49152-65535 (RPC-Dynamikbereich).
Warnung: | Wenn Sie diese Einstellungen aktivieren, erhält das ExtraHop-System Zugriff auf
alle Kontoschlüssel in der Windows-Domäne. Das ExtraHop-System sollte auf derselben Sicherheitsstufe wie
der Domänencontroller bereitgestellt werden. Hier sind einige bewährte Methoden, die Sie
berücksichtigen sollten:
|
Einen Domänencontroller mit einem Sensor verbinden
Before you begin
Sie benötigen ein Benutzerkonto mit Setup oder System- und Zugriffsadministrationsrechte auf dem Sensor.Einen Domänencontroller mit einem Reveal (x) 360-Sensor verbinden
Before you begin
Ihr Benutzerkonto muss Privilegien auf Reveal (x) 360 für System - und Zugriffsadministration.Überprüfen Sie die Konfigurationseinstellungen
Um zu überprüfen, ob das ExtraHop-System den Datenverkehr mit dem Domänencontroller entschlüsseln kann, erstellen Sie ein Dashboard, das erfolgreiche Entschlüsselungsversuche identifiziert.
- Neues Dashboard erstellen.
- Klicken Sie auf das Diagramm-Widget, um die Metrikquelle hinzuzufügen.
- klicken Quelle hinzufügen.
- Geben Sie im Feld Quellen den Namen der Sensor Kommunizieren Sie mit einem Domänencontroller und wählen Sie dann Sensor aus der Liste.
- Geben Sie im Feld Metriken Folgendes ein: DC im Suchfeld und dann wählen Integrität der DC-gestützten Entschlüsselung — Erfolgreiche Kerberos-Entschlüsselungsversuche von SPN.
- klicken Speichern.
Zusätzliche Metriken zur Systemintegrität
Um eine Liste der verfügbaren Messwerte anzuzeigen, klicken Sie auf das Symbol Systemeinstellungen und dann klicken Metrischer Katalog. Typ DC-unterstützt im Filterfeld, um alle verfügbaren Metriken zur DC-unterstützten Entschlüsselung anzuzeigen.
Importieren Sie externe Daten in Ihr ExtraHop-System
Die ExtraHop Open Data Context API ermöglicht es Ihnen, Daten von einem externen Host in die Sitzungstabelle auf Ihrem ExtraHop zu importieren. Sensor. Auf diese Daten kann dann zugegriffen werden, um benutzerdefinierte Messwerte zu erstellen , die Sie zu ExtraHop-Diagrammen hinzufügen, in Datensätzen in einem Recordstore speichern oder in ein externes Analysetool exportieren können.
Nachdem Sie die Open Data Context API auf Ihrem aktiviert haben Sensor, können Sie Daten importieren, indem Sie ein Python-Skript von einem Memcache-Client auf einem externen Host ausführen. Diese externen Daten werden in Schlüssel-Wert-Paaren gespeichert und können durch Schreiben eines Auslöser abgerufen werden.
Sie könnten beispielsweise ein Memcached-Client-Skript auf einem externen Host ausführen, um CPU-Lastdaten in die Sitzungstabelle auf Ihrem Sensor. Anschließend können Sie einen Auslöser schreiben, der auf die Sitzungstabelle zugreift und die Daten als benutzerdefinierte Metriken festschreibt.
Warnung: | Die Verbindung zwischen dem externen Host und dem ExtraHop-System ist nicht verschlüsselt und sollte keine vertraulichen Informationen übertragen. |
Aktivieren Sie die Open Data Context API
Sie müssen die Open Data Context API auf Ihrem aktivieren Sensor bevor es Daten von einem externen Host empfangen kann.
Before you begin
- Sie müssen eingerichtet haben oder System- und Zugriffsadministrationsrechte um auf die Administrationsseite Ihres ExtraHop-Systems zuzugreifen.
- Wenn Sie über eine Firewall verfügen, müssen Ihre Firewallregeln externen Hosts den Zugriff auf die angegebenen TCP- und UDP-Ports ermöglichen. Die Standard-Portnummer ist 11211.
Schreiben Sie ein Python-Skript, um externe Daten zu importieren
Bevor Sie externe Daten in die Sitzungstabelle auf Ihrem importieren können Sensor, Sie müssen ein Python-Skript schreiben, das Ihre identifiziert Sensor und enthält die Daten, die Sie in die Sitzungstabelle importieren möchten. Das Skript wird dann von einem Memcache-Client auf dem externen Host ausgeführt.
Dieses Thema enthält Anleitungen zur Syntax und bewährte Methoden für das Schreiben des Python-Skripts. Ein vollständiges Skriptbeispiel ist am Ende dieses Handbuchs verfügbar.
Before you begin
Stellen Sie sicher, dass Sie einen Memcached-Client auf dem externen Host-Computer haben. Sie können jede Standard-Memcached-Clientbibliothek installieren, z. B. http://libmemcached.org/ oder https://pypi.python.org/pypi/pymemcache. Der Sensor fungiert als Memcached-Server der Version 1.4.
Hier sind einige wichtige Überlegungen zur Open Data Context API:- Die Open Data Context API unterstützt die meisten Memcached-Befehle, wie get, set, und increment.
- Alle Daten müssen als Zeichenketten eingefügt werden, die lesbar sind für Sensor. Einige
Memcached-Clients versuchen, Typinformationen in den Werten zu speichern.
Die Python-Memcache-Bibliothek speichert beispielsweise Floats als ausgewählte Werte, die beim Aufrufen zu ungültigen
Ergebnissen führen Session.lookup in Auslösern. Die folgende
Python-Syntax fügt einen Float korrekt als
Zeichenfolge ein:
mc.set("my_float", str(1.5))
- Obwohl die Größe von Sitzungstabellenwerten nahezu unbegrenzt sein kann, kann das Festschreiben großer Werte in die Sitzungstabelle zu Leistungseinbußen führen. Darüber hinaus müssen Metriken, die an den Datenspeicher übergeben werden, 4096 Byte oder weniger groß sein, und zu große Tabellenwerte können zu verkürzten oder ungenauen Metriken führen.
- Einfache Statistikberichte werden unterstützt, detaillierte Statistikberichte nach Elementgröße oder Schlüsselpräfix werden jedoch nicht unterstützt.
- Das Festlegen des Ablaufs von Artikeln beim Hinzufügen oder Aktualisieren von Artikeln wird unterstützt, aber das Massenablaufdatum wird über die flush Befehl wird nicht unterstützt.
- Schlüssel laufen in 30-Sekunden-Intervallen ab. Wenn ein Schlüssel beispielsweise so eingestellt ist, dass er in 50 Sekunden abläuft, kann es zwischen 50 und 79 Sekunden dauern, bis er abläuft.
- Alle mit der Open Data Context API festgelegten Schlüssel werden über die verfügbar gemacht SESSION_EXPIRE lösen ein Ereignis aus, wenn sie ablaufen. Dieses Verhalten steht im Gegensatz zur Trigger-API, die ablaufende Schlüssel nicht über die SESSION_EXPIRE Ereignis.
Schreiben Sie einen Auslöser für den Zugriff auf importierte Daten
Sie müssen einen Auslöser schreiben, bevor Sie auf die Daten in der Sitzungstabelle zugreifen können.
Before you begin
In diesem Thema wird Erfahrung mit dem Schreiben von Triggern vorausgesetzt. Wenn Sie mit Triggern nicht vertraut sind, schauen Sie sich die folgenden Themen an:Nächste Maßnahme
Sie müssen den Auslöser einem Gerät oder einer Gerätegruppe zuweisen. Der Auslöser wird erst ausgeführt, wenn er zugewiesen wurde.Beispiel für eine Open Data Context API
In diesem Beispiel erfahren Sie, wie Sie den Reputationswert und das potenzielle Risiko von Domains überprüfen, die mit Geräten in Ihrem Netzwerk kommunizieren. Zunächst zeigt Ihnen das Python-Beispielskript, wie Sie Domain-Reputationsdaten in die Sitzungstabelle auf Ihrem importieren Sensor. Anschließend zeigt Ihnen das Beispiel-Triggerskript, wie Sie IP-Adressen bei DNS-Ereignissen mit den importierten Domain-Reputationsdaten vergleichen und wie Sie aus den Ergebnissen eine benutzerdefinierte Metrik erstellen.
Beispiel für ein Python-Skript
Dieses Python-Skript enthält eine Liste von 20 beliebten Domainnamen und kann auf Domain-Reputationswerte verweisen, die aus einer Quelle wie Domain-Tools.
Dieses Skript ist eine REST-API, die eine POST-Operation akzeptiert, bei der der Hauptteil der Domänenname ist. Bei einem POST-Vorgang aktualisiert der Memcached-Client die Sitzungstabelle mit den Domäneninformationen.
#!/usr/bin/python import flask import flask_restful import memcache import sqlite3 top20 = { "google.com", "facebook.com", "youtube.com", "twitter.com", "microsoft.com", "wikipedia.org", "linkedin.com", "apple.com","adobe.com", "wordpress.org", "instagram.com", "wordpress.com", "vimeo.com", "blogspot.com", "youtu.be", "pinterest.com", "yahoo.com", "goo.gl", "amazon.com", "bit.ly} dnsnames = {} mc = memcache.Client(['10.0.0.115:11211']) for dnsname in top20: dnsnames[dnsname] = 0.0 dbc = sqlite3.Connection('./dnsreputation.db') cur = dbc.cursor() cur.execute('select dnsname, score from dnsreputation;') for row in cur: dnsnames[row[0]] = row[1] dbc.close() app = flask.Flask(__name__) api = flask_restful.Api(app) class DnsReputation(flask_restful.Resource): def post(self): dnsname = flask.request.get_data() #print dnsname mc.set(dnsname, str(dnsnames.get(dnsname, 50.0)), 120) return 'added to session table' api.add_resource(DnsReputation, '/dnsreputation') if __name__ == '__main__': app.run(debug=True,host='0.0.0.0')
Beispiel für ein Trigger-Skript
Dieses Beispiel-Triggerskript kanonisiert (oder konvertiert) IP-Adressen, die bei DNS-Ereignissen zurückgegeben werden, in Domänennamen und sucht dann in der Sitzungstabelle nach der Domain und ihrem Reputationswert. Wenn der Punktewert größer als 75 ist, fügt der Auslöser die Domain einem Anwendungscontainer mit dem Namen „DNSReputation" als Detail-Metrik namens „Bad DNS reputation" hinzu.
//Configure the following trigger settings: //Name: DNSReputation //Debugging: Enabled //Events: DNS_REQUEST, DNS_RESPONSE if (DNS.errorNum != 0 || DNS.qname == null || DNS.qname.endsWith("in-addr.arpa") || DNS.qname.endsWith("local") || DNS.qname.indexOf('.') == -1 ) { // error or null or reverse lookup, or lookup of local namereturn return; } //var canonicalname = DNS.qname.split('.').slice(-2).join('.'); var canonicalname = DNS.qname.substring(DNS.qname.lastIndexOf('.', DNS.qname.lastIndexOf('.')-1)+1) //debug(canonicalname); //Look for this DNS name in the session table var score = Session.lookup(canonicalname) if (score === null) { // Send to the service for lookup Remote.HTTP("dnsrep").post({path: "/dnsreputation", payload: canonicalname}); } else { debug(canonicalname + ':' +score); if (parseFloat(score) > 75) { //Create an application in the ExtraHop system and add custom metrics //Note: The application is not displayed in the ExtraHop system after the //initial request, but is displayed after subsequent requests. Application('DNSReputation').metricAddDetailCount('Bad DNS reputation', canonicalname + ':' + score, 1); } }
Installieren Sie den Paket Forwarder auf einem Linux-Server
Sie müssen die Paketweiterleitungssoftware auf jedem Server installieren, der überwacht werden soll, um Pakete an das ExtraHop-System weiterzuleiten.
Downloaden und auf anderen Linux-Systemen installieren
Installieren Sie den Paket Forwarder auf einem Windows-Server
Sie müssen die Paketweiterleitungssoftware auf jedem zu überwachenden Server installieren, um Pakete an das ExtraHop-System weiterzuleiten.
Überwachung mehrerer Schnittstellen auf einem Linux-Server
Für Server mit mehreren Schnittstellen können Sie den Paketweiterleiter so konfigurieren, dass er Pakete von einer bestimmten Schnittstelle oder von mehreren Schnittstellen weiterleitet, indem Sie seine Konfigurationsdatei auf dem Server bearbeiten.
Gehen Sie wie folgt vor, um die Konfigurationsdatei zu bearbeiten.
Überwachung mehrerer Schnittstellen auf einem Windows-Server
Für Server mit mehreren Schnittstellen können Sie den Paketweiterleiter so konfigurieren, dass er Pakete von einer bestimmten Schnittstelle oder von mehreren Schnittstellen weiterleitet, indem Sie seine Konfigurationsdatei auf dem Server bearbeiten.
Gehen Sie wie folgt vor, um die Konfigurationsdatei zu bearbeiten.
Netzwerk-Overlay-Dekapselung aktivieren
Die Netzwerk-Overlay-Kapselung verpackt Standard-Netzwerkpakete in äußere Protokoll Header für spezielle Funktionen wie intelligentes Routing und Netzwerkmanagement für virtuelle Maschinen. Die Netzwerk-Overlay-Dekapselung ermöglicht es dem ExtraHop-System, diese äußeren Kapselungsheader zu entfernen und dann die inneren Pakete zu verarbeiten.
Hinweis: | Wenn Sie Generic Routing Encapsulation (GRE), Netzwerkvirtualisierung mit Generic Routing Encapsulation (NVGRE), VXLAN und GENEVE-Entkapselung auf Ihrem ExtraHop-System aktivieren, können Sie die Anzahl Ihrer Gerät erhöhen, wenn virtuelle Geräte im Netzwerk erkannt werden. Die Erkennung dieser virtuellen Geräte kann die Kapazität von Erweiterte Analyse und Standard Analysis beeinträchtigen, und die zusätzliche Metrikverarbeitung kann in extremen Fällen zu Leistungseinbußen führen. |
Die Protokolle MPLS, TRILL und Cisco FabricPath werden vom ExtraHop-System automatisch entkapselt.
VXLAN-Entkapselung aktivieren
VXLAN ist ein UDP-Tunnelprotokoll, das für bestimmte Zielports konfiguriert ist. Eine Entkapselung wird nicht versucht, es sei denn, der Zielport in einem Paket entspricht dem oder den UDP-Zielports, die in den VXLAN-Entkapselungseinstellungen aufgeführt sind.
Geneve-Entkapselung aktivieren
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Konfiguration des Systems Abschnitt, klicken Erfassung.
- klicken Entkapselung von Netzwerk-Overlays.
- In der Einstellungen Abschnitt, wählen Sie Aktiviert Checkbox neben GENF. Der Standard-Zielport ist 6081.
- klicken Speichern.
- klicken OK.
Analysieren Sie eine Paketerfassungsdatei
Der Offline-Erfassungsmodus ermöglicht es Administratoren, eine mit einer Paketanalyse-Software wie Wireshark oder tcpdump aufgezeichnete Capture-Datei in das ExtraHop-System hochzuladen und zu analysieren.
Hier sind einige wichtige Überlegungen, bevor Sie den Offline-Aufnahmemodus aktivieren:
- Wenn die Erfassung in den Offline-Modus versetzt wird, wird der Systemdatenspeicher zurückgesetzt. Alle zuvor aufgezeichneten Metriken werden aus dem Datenspeicher gelöscht. Wenn das System in den Online-Modus versetzt wird, wird der Datenspeicher erneut zurückgesetzt.
- Im Offline-Modus werden keine Metriken von der Erfassungsoberfläche erfasst, bis das System wieder in den Online-Modus versetzt wird.
- Es werden nur Erfassungsdateien im PCAP-Format unterstützt. Andere Formate wie pcpapng werden nicht unterstützt.
Stellen Sie den Offline-Aufnahmemodus ein
Bringen Sie das System in den Live-Aufnahmemodus zurück
- In der Konfiguration des Systems Abschnitt, klicken Aufnehmen (offline).
- klicken Capture neu starten.
- Wählen Lebe, und klicken Sie dann auf Speichern.
Datenspeicher
Das ExtraHop-System umfasst einen eigenständigen Streaming-Datenspeicher zum Speichern und Abrufen von Leistungs- und Integritätskennzahlen in Echtzeit. Dieser lokale Datenspeicher umgeht das Betriebssystem und greift direkt auf die zugrunde liegenden Blockgeräte zu, anstatt eine herkömmliche relationale Datenbank zu verwenden.
Lokale und erweiterte Datenspeicher
Das ExtraHop-System umfasst einen eigenständigen Streaming-Datenspeicher zum Speichern und Abrufen von Leistungs- und Integritätskennzahlen in Echtzeit. Dieser lokale Datenspeicher umgeht das Betriebssystem und greift direkt auf die zugrunde liegenden Blockgeräte zu, anstatt eine herkömmliche relationale Datenbank zu verwenden.
Der lokale Datenspeicher verwaltet Einträge für alle Geräte, die vom ExtraHop-System erkannt wurden, sowie Metriken für diese Geräte. Durch die Speicherung dieser Informationen ist das ExtraHop-System in der Lage, sowohl schnellen Zugriff auf die neuesten Netzwerkdaten als auch auf historische und trendbasierte Informationen über ausgewählte Geräte zuzugreifen.
Erweiterter Datenspeicher
Das ExtraHop-System kann eine Verbindung zu einem externen Speichergerät herstellen, um Ihren Metrik Speicher zu erweitern. Standardmäßig speichert das ExtraHop-System schnelle (30 Sekunden), mittlere (5 Minuten) und langsame (1 Stunde) Messwerte lokal. Sie können jedoch 5-, 1-Stunden- und 24-Stunden-Metriken in einem erweiterten Datenspeicher speichern.
Um Metriken extern zu speichern, müssen Sie zuerst Mounten Sie einen externen Datenspeicher, und konfigurieren Sie dann das ExtraHop-System so, dass Daten im bereitgestellten Verzeichnis gespeichert werden. Sie können einen externen Datenspeicher über NFS v4 (mit optionaler Kerberos-Authentifizierung) oder CIFS (mit optionaler Authentifizierung) mounten.
Beachten Sie, dass Sie jeweils nur einen aktiven erweiterten Datenspeicher konfigurieren können, um alle konfigurierten Metrikzyklen zu erfassen. Wenn Sie Ihren erweiterten Datenspeicher beispielsweise so konfigurieren, dass er 5-, 1- und 24-Stunden-Metriken erfasst, werden alle drei Metrikzyklen im selben erweiterten Datenspeicher gespeichert. Darüber hinaus können Sie einen erweiterten Datenspeicher archivieren, und diese Metriken sind für schreibgeschützte Anfragen von mehreren ExtraHop-Systemen verfügbar.
Hier sind einige wichtige Dinge, die Sie über die Konfiguration eines externen Datenspeichers wissen sollten:
- Wenn ein erweiterter Datenspeicher mehrere Dateien mit überlappenden Zeitstempeln enthält, sind die Metriken falsch.
- Wenn ein erweiterter Datenspeicher Messwerte enthält, die von einem ExtraHop-System mit einer neueren Firmware-Version übermittelt wurden, kann das System mit der älteren Firmware diese Metriken nicht lesen.
- Wenn ein erweiterter Datenspeicher nicht mehr erreichbar ist, puffert das ExtraHop-System Metriken, bis der zugewiesene Speicher voll ist. Wenn der Speicher voll ist, überschreibt das System ältere Blöcke, bis die Verbindung wiederhergestellt ist. Wenn der Mount wieder eine Verbindung herstellt, werden alle im Speicher gespeicherten Metriken in den Mount geschrieben.
- Wenn eine Datei mit erweitertem Datenspeicher verloren geht oder beschädigt wird, gehen die in dieser Datei enthaltenen Metriken verloren. Andere Dateien im erweiterten Datenspeicher bleiben intakt.
- Aus Sicherheitsgründen erlaubt das System keinen Zugriff auf das gespeicherte Klartextpasswort für den Datenspeicher.
Berechnen Sie die Größe, die für Ihren erweiterten Datenspeicher benötigt wird
Der erweiterte Datenspeicher muss über ausreichend Speicherplatz für die vom ExtraHop-System generierte Datenmenge verfügen. Das folgende Verfahren erklärt, wie Sie ungefähr berechnen können, wie viel freien Speicherplatz Sie für Ihren erweiterten Datenspeicher benötigen.
Before you begin
Machen Sie sich mit ExtraHop vertraut Datenspeicher-Konzepte.Nächste Maßnahme
Konfigurieren Sie einen erweiterten CIFS- oder NFS-Datenspeicher.Konfigurieren Sie einen erweiterten CIFS- oder NFS-Datenspeicher
Die folgenden Verfahren zeigen Ihnen, wie Sie einen externen Datenspeicher für das ExtraHop-System konfigurieren.
- Zuerst mounten Sie die NFS- oder CIFS-Freigabe, auf der Sie Daten speichern möchten.
- Für NFS konfigurieren Sie optional die Kerberos-Authentifizierung, bevor Sie den NFS-Mount hinzufügen.
- Geben Sie abschließend den neu hinzugefügten Mount als aktiven Datenspeicher an.
(Optional) Kerberos für NFS konfigurieren
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Konfiguration des Systems Abschnitt, klicken Datenspeicher und Anpassungen.
- In der Erweiterte Datenspeicher-Einstellungen Abschnitt, klicken Extended Datastore konfigurieren.
-
klicken Kerberos-Konfiguration hinzufügen, füllen Sie dann die
folgenden Informationen aus.
- In der Admin-Server Feld, geben Sie die IP-Adresse oder den Hostnamen des Master-Kerberos-Servers ein, der Tickets ausstellt.
- In der Wichtiges Vertriebszentrum (KDC) Feld, geben Sie die IP-Adresse oder den Hostnamen des Server ein, der die Schlüssel enthält.
- In der Reich Feld, geben Sie den Namen des Kerberos-Realms für Ihre Konfiguration ein.
- In der Domäne Feld, geben Sie den Namen der Kerberos-Domäne für Ihre Konfiguration ein.
- In der Keytab-Datei Abschnitt, klicken Wählen Sie Datei, wählen Sie eine gespeicherte Keytab-Datei aus, und klicken Sie dann auf Offen.
- klicken Upload.
Fügen Sie einen NFS-Mount hinzu
Before you begin
- Konfigurieren Sie alle zutreffenden Kerberos-Authentifizierungen, bevor Sie einen NFS-Mount hinzufügen.
- Erlauben Sie entweder Lese-/Schreibzugriff für alle Benutzer auf dem Share oder weisen Sie den „Extrahop" -Benutzer als Eigentümer der Freigabe zu und gewähren Sie Lese-/Schreibzugriff.
- Sie müssen NFS Version 4 haben.
- In der Konfiguration des Systems Abschnitt, klicken Datenspeicher und Anpassungen.
- In der Erweiterte Datenspeicher-Einstellungen Abschnitt, klicken Extended Datastore konfigurieren.
- klicken NFSv4-Mount hinzufügen.
-
Auf dem NFSv4-Mount konfigurieren Seite, vervollständigen Sie die
folgenden Informationen:
- Geben Sie im Feld Mount Name einen Namen für die Mount ein, z. B. EXDS.
- Geben Sie im Feld Remote Share Point den Pfad für den Mount im folgenden Format ein: host:/mountpoint, wie herring:/mnt/extended-datastore.
-
Wählen Sie im Drop-down-Menü Authentifizierung eine der folgenden Optionen aus:
- Keine, Für keine Authentifizierung
- Kerberos, Für krb5-Sicherheit.
- Kerberos (Sichere Authentifizierung und Datenintegrität), für krb5i-Sicherheit.
- Kerberos (Sichere Authentifizierung, Datenintegrität, Datenschutz) , für krb5p-Sicherheit
- klicken Speichern.
Geben Sie einen Mount als aktiven erweiterten Datenspeicher an
Hinweis: | Wenn Sie sich dafür entscheiden, 5- und 1-Stunden-Metriken im erweiterten Datenspeicher zu speichern, bewirkt diese Option, dass alle 5- und 1-Stunden-Metriken, die aus dem lokalen ExtraHop-Systemdatenspeicher erfasst wurden, in den erweiterten Datenspeicher migriert werden. Durch die Migration von 5 Minuten- und 1-Stunden-Metriken in einen erweiterten Datenspeicher bleibt mehr Platz für die Speicherung von 30-Sekunden-Metriken im lokalen Datenspeicher, wodurch die Menge an verfügbarem hochauflösendem Lookback erhöht wird. |
Archivieren Sie einen erweiterten Datenspeicher für schreibgeschützten Zugriff
Wenn Sie einen aktiven Datenspeicher von einem ExtraHop-System trennen, können Sie ein schreibgeschütztes Archiv der gespeicherten Metrikdaten erstellen. Eine beliebige Anzahl von ExtraHop-Systemen kann aus einem archivierten Datenspeicher lesen.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Konfiguration des Systems Abschnitt, klicken Datenspeicher und Anpassungen.
- In der Erweiterte Datenspeicher-Einstellungen Abschnitt, klicken Extended Datastore konfigurieren.
- Klicken Sie auf den Namen des Mounts, der den Datenspeicher enthält, den Sie archivieren möchten.
- Klicken Sie in der Zeile dieses Datenspeichers auf Trennen Sie den erweiterten Datenspeicher.
- Typ JA zur Bestätigung und dann klicken OK.
Verbinden Sie Ihr ExtraHop-System mit dem archivierten Datenspeicher
Warnung: | Um eine Verbindung zu einem archivierten Datenspeicher herzustellen, muss das ExtraHop-System die im Datenspeicher enthaltenen Daten
durchsuchen. Abhängig von der Menge der im archivierten
Datenspeicher gespeicherten Daten kann das Herstellen einer Verbindung zum archivierten Datenspeicher sehr lange
dauern. Wenn eine Verbindung zum archivierten Datenspeicher hergestellt wird, sammelt das System
keine Daten und die Systemleistung wird beeinträchtigt. Der Verbindungsvorgang
dauert unter den folgenden Umständen länger:
|
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Konfiguration des Systems, klicken Datenspeicher und Anpassungen.
- In der Erweiterte Datenspeicher-Einstellungen Abschnitt, klicken Extended Datastore konfigurieren.
- Klicken Sie auf den Namen des Mounts, der den archivierten Datenspeicher enthält.
- In der Datenspeicher-Verzeichnis Feld, geben Sie den Pfad des archivierten Datenspeicherverzeichnisses ein.
- klicken Archivieren (Nur Lesen).
- klicken konfigurieren.
Metriken aus einem erweiterten Datenspeicher importieren
Wenn Sie Metrikdaten in einem erweiterten Datenspeicher gespeichert haben, der mit Ihrem ExtraHop-System verbunden ist, können Sie diese Daten während eines Upgrades oder eines Datenspeicher-Resets verschieben.
Setzen Sie den lokalen Datenspeicher zurück und entfernen Sie alle Geräte-Metriken aus dem ExtraHop-System
Unter bestimmten Umständen, z. B. beim Umzug eines Sensor Von einem Netzwerk zum anderen müssen Sie möglicherweise die Metriken in den lokalen und erweiterten Datenspeichern löschen. Durch das Zurücksetzen des lokalen Datenspeichers werden alle Metriken, Baselines, Trendanalysen und erkannten Geräte entfernt — und dies wirkt sich auf alle Anpassungen an Ihrem ExtraHop-System aus.
Warnung: | Dieses Verfahren löscht Geräte-IDs und Geräte-Metriken aus dem ExtraHop-System. |
Hier sind einige wichtige Überlegungen zum Zurücksetzen des lokalen Datenspeichers:
- Machen Sie sich mit ExtraHop vertraut Datenbankkonzepte.
- Anpassungen sind Änderungen, die an den Standardeinstellungen im System vorgenommen wurden, z. B. an Triggern, Dashboards, Warnungen und benutzerdefinierten Messwerten. Diese Einstellungen werden in einer Datei auf dem System gespeichert, und diese Datei wird auch gelöscht, wenn der Datenspeicher zurückgesetzt wird.
- Das Reset-Verfahren beinhaltet eine Option zum Speichern und Wiederherstellen Ihrer Anpassungen.
- Die meisten Anpassungen werden auf Geräte angewendet, die durch eine ID auf dem System identifiziert werden. Wenn der lokale Datenspeicher zurückgesetzt wird, können sich diese IDs ändern und alle gerätebasierten Zuweisungen müssen den Geräten mit ihren neuen IDs neu zugewiesen werden.
- Wenn Ihre Geräte-IDs im erweiterten Datenspeicher gespeichert sind und dieser Datenspeicher getrennt wird, wenn der lokale Datenspeicher zurückgesetzt und später wieder verbunden wird, werden diese Geräte-IDs im lokalen Datenspeicher wiederhergestellt, und Sie müssen Ihre wiederhergestellten Anpassungen nicht erneut zuweisen.
- Das Reset-Verfahren bewahrt historische Daten zur Geräteanzahl auf, um die Genauigkeit der Metriken in der Anzahl und Limit der aktiven Geräte Diagramm.
- Konfigurierte Warnungen werden im System beibehalten, sind jedoch deaktiviert und müssen aktiviert und erneut auf das richtige Netzwerk, Gerät oder die richtige Gerätegruppe angewendet werden. Systemeinstellungen und Benutzerkonten sind nicht betroffen.
Probleme mit dem erweiterten Datenspeicher beheben
Gehen Sie wie folgt vor, um den Status Ihrer Mounts und Datenspeicher einzusehen und die entsprechenden Schritte zur Fehlerbehebung zu ermitteln.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Systemkonfiguration auf Datenspeicher und Anpassungen .
- Klicken Sie im Abschnitt Erweiterte Datenspeichereinstellungen auf Extended Datastore konfigurieren.
- Sehen Sie sich in der Tabelle Erweiterte Datenspeicher den Eintrag in der Spalte Status für jeden Mount oder Datenspeicher an. Die folgende Tabelle enthält Anleitungen zu den einzelnen Einträgen und identifiziert alle zutreffenden Maßnahmen.
Status | Beschreibung | Aktion des Benutzers |
---|---|---|
Montiert | Die Mount-Konfiguration war erfolgreich. | Keine erforderlich |
NICHT MONTIERT | Die Mount-Konfiguration war nicht erfolgreich. |
|
NICHT LESBAR | Der Mount hat Zugriffsrechte oder Netzwerkprobleme, die das Lesen verhindern. |
|
KEIN PLATZ VERFÜGBAR | Auf der Halterung ist kein Platz mehr vorhanden. | Nehmen Sie die Halterung ab und erstellen Sie eine neue. |
UNZUREICHENDER SPEICHERPLATZ |
|
Nehmen Sie die Halterung ab und erstellen Sie eine neue. |
WARNUNG VOR VERFÜGBAREM SPEICHERPLATZ | Weniger als 1 GB Speicherplatz ist verfügbar. | Nehmen Sie die Halterung ab und erstellen Sie eine neue. |
NICHT BESCHREIBBAR | Der Mount hat Zugriffsrechte oder Netzwerkprobleme, die das Schreiben verhindern. |
|
Status | Beschreibung | Aktion des Benutzers |
---|---|---|
Nennwert | Der Datenspeicher befindet sich in einem normalen Zustand. | Keine erforderlich |
UNZUREICHENDER SPEICHERPLATZ auf: <MOUNT NAME> | Der Datenspeicher hat nicht genügend Speicherplatz auf dem genannten Mount und es kann nicht in ihn geschrieben werden. | Erstellen Sie einen neuen Datenspeicher. Erwägen Sie für den neuen Datenspeicher die Auswahl von Overwrite Option, falls zutreffend. |
NICHT LESBAR | Der Datenspeicher hat Berechtigungen oder Netzwerkprobleme, die das Lesen verhindern. |
|
NICHT BESCHREIBBAR | Der Datenspeicher hat Berechtigungen oder Netzwerkprobleme, die das Schreiben verhindern. |
|
Vorrang des Gerätenamens
Entdeckte Geräte werden automatisch auf der Grundlage mehrerer Netzwerkdatenquellen benannt. Wenn mehrere Namen für ein Gerät gefunden werden, wird eine Standardpriorität angewendet. Sie können die Rangfolge ändern.
Inaktive Quellen
Geräte und Anwendungen werden in den Suchergebnissen angezeigt, bis sie länger als 90 Tage inaktiv sind. Wenn Sie Quellen vor Ablauf von 90 Tagen aus den Suchergebnissen entfernen möchten, können Sie auf Anfrage alle Quellen entfernen, die zwischen 1 und 90 Tagen inaktiv waren.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Geben Sie einen Wert zwischen 1 und 90 in das Feld Inaktive Tage ein.
- klicken entfernen.
Erkennungsverfolgung aktivieren
Mit der Erkennungsverfolgung können Sie einem Benutzer eine Erkennung zuweisen, den Status festlegen und Notizen hinzufügen. Sie können Erkennungen direkt im ExtraHop-System, mit einem externen Ticketsystem eines Drittanbieters oder mit beiden Methoden verfolgen.
Hinweis: | Sie müssen die Ticketverfolgung auf allen angeschlossenen Sensoren aktivieren. |
Before you begin
- Sie müssen Zugriff auf ein ExtraHop-System mit einem Benutzerkonto haben, das Administratorrechte.
- Nachdem Sie die externe Ticketverfolgung aktiviert haben, müssen Sie Ticket-Tracking von Drittanbietern konfigurieren indem Sie einen Auslöser schreiben, um Tickets in Ihrem Ticketsystem zu erstellen und zu aktualisieren, und dann Ticketaktualisierungen auf Ihrem ExtraHop-System über die REST-API aktivieren.
- Wenn Sie das externe Ticket-Tracking deaktivieren, werden zuvor gespeicherte Status- und Empfänger-Ticketinformationen in das ExtraHop-Erkennungs-Tracking umgewandelt. Wenn das Erkennungs-Tracking innerhalb des ExtraHop-Systems aktiviert ist, können Sie Tickets einsehen, die bereits existierten, als Sie das externe Ticket-Tracking deaktiviert haben, aber Änderungen an diesem externen Ticket werden nicht im ExtraHop-System angezeigt.
Nächste Maßnahme
Wenn Sie externe Ticket-Tracking-Integrationen aktiviert haben, müssen Sie mit der folgenden Aufgabe fortfahren:Ticket-Tracking von Drittanbietern für Erkennungen konfigurieren
Mit der Ticketverfolgung können Sie Tickets, Alarme oder Fälle in Ihrem Work-Tracking-System mit ExtraHop-Erkennungen verknüpfen. Jedes Ticketsystem von Drittanbietern, das Open Data Stream (ODS) -Anfragen annehmen kann, wie Jira oder Salesforce, kann mit ExtraHop-Erkennungen verknüpft werden.
Before you begin
- Das musst du haben hat in den Verwaltungseinstellungen die Option zum Nachverfolgen der Erkennung durch Dritte ausgewählt.
- Sie müssen Zugriff auf ein ExtraHop-System mit einem Benutzerkonto haben, das System- und Zugriffsadministrationsrechte.
- Sie müssen mit dem Schreiben von ExtraHop-Triggern vertraut sein. siehe Auslöser und die Verfahren in Einen Auslöser erstellen.
- Sie müssen ein ODS-Ziel für Ihren Ticket-Tracking-Server erstellen. Weitere Informationen zur Konfiguration von ODS-Zielen finden Sie in den folgenden Themen : HTTP, Kafka, MongoDB, Syslog, oder Rohdaten.
- Sie müssen mit dem Schreiben von REST-API-Skripten vertraut sein und über einen gültigen API-Schlüssel verfügen, um die folgenden Verfahren ausführen zu können. siehe Generieren Sie einen API-Schlüssel.
Schreiben Sie einen Auslöser, um Tickets zu Erkennungen in Ihrem Ticketsystem zu erstellen und zu aktualisieren
Dieses Beispiel zeigt Ihnen, wie Sie einen Auslöser erstellen, der die folgenden Aktionen ausführt:
- Erstellen Sie jedes Mal, wenn eine neue Erkennung im ExtraHop-System erscheint, ein neues Ticket im Ticketsystem.
- Weisen Sie einem Benutzer mit dem Namen neue Tickets zu escalations_team im Ticketsystem.
- Wird jedes Mal ausgeführt, wenn eine Erkennung auf dem ExtraHop-System aktualisiert wird.
- Senden Sie Erkennungsaktualisierungen über einen HTTP Open Data Stream (ODS) an das Ticketsystem.
Das vollständige Beispielskript ist am Ende dieses Themas verfügbar.
const summary = "ExtraHop Detection: " + Detection.id + ": " + Detection.title; const description = "ExtraHop has detected the following event on your network: " + Detection.description const payload = { "fields": { "summary": summary, "assignee": { "name": "escalations_team" }, "reporter": { "name": "ExtraHop" }, "priority": { "id": Detection.riskScore }, "labels": Detection.categories, "mitreCategories": Detection.mitreCategories, "description": description } }; const req = { 'path': '/rest/api/issue', 'headers': { 'Content-Type': 'application/json' }, 'payload': JSON.stringify(payload) }; Remote.HTTP('ticket-server').post(req);
Senden Sie Ticketinformationen über die REST-API an Erkennungen
Nachdem Sie in Ihrem Ticket-Tracking-System einen Auslöser zum Erstellen von Tickets für Erkennungen konfiguriert haben, können Sie die Ticketinformationen auf Ihrem ExtraHop-System über die REST-API aktualisieren.
Ticketinformationen werden unter Erkennungen auf der Seite Erkennungen im ExtraHop-System angezeigt. Weitere Informationen finden Sie in der Erkennungen Thema.
Das folgende Python-Beispielskript verwendet Ticketinformationen aus einem Python-Array und aktualisiert die zugehörigen Erkennungen auf dem ExtraHop-System.
#!/usr/bin/python3 import json import requests import csv API_KEY = '123456789abcdefghijklmnop' HOST = 'https://extrahop.example.com/' # Method that updates detections on an ExtraHop system def updateDetection(detection): url = HOST + 'api/v1/detections/' + detection['detection_id'] del detection['detection_id'] data = json.dumps(detection) headers = {'Content-Type': 'application/json', 'Accept': 'application/json', 'Authorization': 'ExtraHop apikey=%s' % API_KEY} r = requests.patch(url, data=data, headers=headers) print(r.status_code) print(r.text) # Array of detection information detections = [ { "detection_id": "1", "ticket_id": "TK-16982", "status": "new", "assignee": "sally", "resolution": None, }, { "detection_id": "2", "ticket_id": "TK-2078", "status": None, "assignee": "jim", "resolution": None, }, { "detection_id": "3", "ticket_id": "TK-3452", "status": None, "assignee": "alex", "resolution": None, } ] for detection in detections: updateDetection(detection)
Hinweis: | Wenn das Skript eine Fehlermeldung zurückgibt, dass die
SSL-Zertifikatsüberprüfung fehlgeschlagen ist, stellen Sie sicher, dass Ihrem Sensor oder Ihrer Konsole
wurde ein vertrauenswürdiges Zertifikat hinzugefügt. Alternativ können Sie das hinzufügen
verify=False Option zur Umgehung der Zertifikatsüberprüfung. Diese
Methode ist jedoch nicht sicher und wird nicht empfohlen. Der folgende Code sendet eine HTTP GET-Anfrage
ohne
Zertifikatsüberprüfung:requests.get(url, headers=headers, verify=False) |
- Status
- Der Status des Tickets, das mit der Erkennung verknüpft ist. Die Ticketverfolgung
unterstützt die folgenden Status:
- Neu
- In Bearbeitung
- geschlossen
- Mit ergriffenen Maßnahmen geschlossen
- Geschlossen, ohne dass Maßnahmen ergriffen wurden
- Ticket-ID
- Die ID des Tickets in Ihrem Work-Tracking-System, das mit der Erkennung verknüpft ist. Wenn Sie eine Vorlagen-URL konfiguriert haben, können Sie auf die Ticket-ID klicken, um das Ticket in Ihrem Work-Tracking-System zu öffnen.
- Bevollmächtigter
- Der Benutzername, der dem Ticket zugewiesen wurde, das mit der Erkennung verknüpft ist. Graue Benutzernamen weisen auf ein Konto hin, das kein ExtraHop-Konto ist.
Endpunkt-Suchlinks konfigurieren
Mit der Endpunktsuche können Sie Tools für externe IP-Adressen angeben, die zum Abrufen von Informationen über Endpunkte innerhalb des ExtraHop-Systems verfügbar sind. Wenn Sie beispielsweise auf eine IP-Adresse klicken oder den Mauszeiger darüber bewegen, werden Links zum Suchtool angezeigt, sodass Sie leicht Informationen zu diesem Endpunkt finden können.
- ARIN Whois-Suche
- VirusTotal-Suche
Geomap-Datenquelle
Im Produkt zugeordnete geografische Standorte und Trigger verweisen auf eine GeoIP-Datenbank, um den ungefähren Standort einer IP-Adresse zu ermitteln.
Ändern Sie die GeoIP-Datenbank
Sie können Ihre eigene GeoIP-Datenbank in das ExtraHop-System hochladen, um sicherzustellen, dass Sie über die neueste Version der Datenbank verfügen oder ob Ihre Datenbank interne IP-Adressen enthält, deren Standort nur Sie oder Ihr Unternehmen kennen.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Systemkonfiguration auf Geomap-Datenquelle .
- klicken GeoIP-Datenbank.
- In der Datenbank auf Stadtebene Abschnitt, auswählen Neue Datenbank hochladen.
- klicken Wählen Sie Datei und navigieren Sie zur neuen Datenbankdatei auf Stadtebene auf Ihrem Computer.
- klicken Speichern.
Einen IP-Standort überschreiben
Sie können fehlende oder falsche IP-Adressen in der GeoIP-Datenbank überschreiben. Sie können eine durch Kommas getrennte Liste oder eine Liste mit Tabulatoren von Überschreibungen in das Textfeld eingeben.
- IP-Adresse (eine einzelne IP-Adresse oder CIDR-Notation)
- Breitengrad
- Längengrad
- Stadt
- Bundesland oder Region
- Name des Landes
- ISO-Alpha-2-Ländercode
Sie können Elemente nach Bedarf bearbeiten und löschen, müssen jedoch sicherstellen, dass für jede der sieben Spalten Daten vorhanden sind. Weitere Informationen zu ISO-Ländercodes finden Sie unter https://www.iso.org/obp/ui/#search und klicken Sie Ländercodes.
Offene Datenströme
Durch die Konfiguration eines offenen Datenstroms können Sie die von Ihrem ExtraHop-System gesammelten Daten an ein externes Drittanbietersystem wie Syslog-Systeme, MongoDB-Datenbanken, HTTP-Server und Kafka-Server senden. Darüber hinaus können Sie Rohdaten an jeden externen Server senden, indem Sie das Ziel mit Port- und Protokollspezifikationen konfigurieren.
Sie können bis zu 16 offene Datenstromziele für jeden externen Systemtyp konfigurieren.
Wichtig: | Nachdem Sie einen Open Data Stream (ODS) für ein externes System konfiguriert haben,
müssen Sie einen Auslöser erstellen, der angibt, welche Daten über den Stream verwaltet werden sollen. Ebenso sollten Sie beim Löschen eines offenen Datenstroms auch den zugehörigen Auslöser löschen, um zu vermeiden, dass Systemressourcen unnötig beansprucht werden. Weitere Informationen finden Sie unter Offene Datenstromklassen in der ExtraHop Trigger API-Referenz . |
Konfigurieren Sie ein HTTP-Ziel für einen offenen Datenstrom
Sie können Daten auf einem ExtraHop-System zur Langzeitarchivierung und zum Vergleich mit anderen Quellen auf einen Remote-HTTP-Server exportieren.
Nächste Maßnahme
Erstellen Sie einen Auslöser, der angibt, welche HTTP-Nachrichtendaten gesendet werden sollen, und der die Übertragung der Daten an das Ziel initiiert. Weitere Informationen finden Sie in der Remote.HTTP Klasse in der ExtraHop Trigger API-Referenz .Konfigurieren Sie ein Kafka-Ziel für einen offenen Datenstrom
Sie können Daten auf einem ExtraHop-System auf jeden Kafka-Server exportieren, um sie langfristig zu archivieren und mit anderen Quellen zu vergleichen.
Nächste Maßnahme
Erstellen Sie einen Auslöser, der festlegt, welche Kafka-Nachrichtendaten gesendet werden sollen, und der die Übertragung der Daten an das Ziel initiiert. Weitere Informationen finden Sie in der Remote.Kafka Klasse in der ExtraHop Trigger API-Referenz .Konfigurieren Sie ein MongoDB-Ziel für einen offenen Datenstrom
Sie können Daten auf einem ExtraHop-System in ein System exportieren, das empfängt MongoDB Eingabe für die Langzeitarchivierung und den Vergleich mit anderen Quellen.
Wichtig: | Auf dem System muss MongoDB 6.0 oder früher ausgeführt werden, um exportierte Daten zu empfangen. |
Nächste Maßnahme
Erstellen Sie einen Auslöser, der angibt, welche MongoDB-Nachrichtendaten gesendet werden sollen, und initiiert die Übertragung von Daten an das Ziel. Weitere Informationen finden Sie in der Remote.MongoDB Klasse in der ExtraHop Trigger API-Referenz .Konfigurieren Sie ein Rohdatenziel für einen offenen Datenstrom
Sie können Rohdaten auf einem ExtraHop-System auf einen beliebigen Server exportieren, um sie langfristig zu archivieren und mit anderen Quellen zu vergleichen. Darüber hinaus können Sie eine Option zum Komprimieren der Daten über GZIP auswählen.
Nächste Maßnahme
Erstellen Sie einen Auslöser, der festlegt, welche Rohnachrichtendaten gesendet werden sollen, und der die Übertragung von Daten an das Ziel initiiert. Weitere Informationen finden Sie in der Remote.Raw Klasse in der ExtraHop Trigger API-Referenz .Konfigurieren Sie ein Syslog-Ziel für einen offenen Datenstrom
Sie können Daten auf einem ExtraHop-System in jedes System exportieren, das Syslog-Eingaben empfängt (wie Splunk, ArcSight oder Q1 Labs), um sie langfristig zu archivieren und mit anderen Quellen zu vergleichen.
Nächste Maßnahme
Erstellen Sie einen Auslöser, der angibt, welche Syslog-Nachrichtendaten gesendet werden sollen, und der die Übertragung von Daten an das Ziel initiiert. Weitere Informationen finden Sie in der Remote.Syslog Klasse in der ExtraHop Trigger API-Referenz .ODS-Einzelheiten
Die Detailseite des Open Data Stream (ODS) enthält Informationen über die Datenmenge, die an das ODS-Ziel gesendet wurde, und darüber, wie viele Fehler aufgetreten sind.
Hinweis: | Die Seite mit ODS ODS-Details ist derzeit nur für HTTP-ODS-Ziele verfügbar. |
- Verbindungsversuche
- Gibt an, wie oft das ExtraHop-System versucht hat, eine Verbindung zum ODS-Ziel herzustellen.
- Verbindungsfehler
- Die Anzahl der Fehler, die bei Verbindungsversuchen mit dem ODS-Ziel aufgetreten sind.
- IPC-Fehler
- Die Anzahl der Fehler, die bei der Datenübertragung zwischen Triggern und dem Exremote-Prozess aufgetreten sind. Wenn IPC-Fehler auftreten, wenden Sie sich an den ExtraHop-Support, um Hilfe zu erhalten.
- An das Ziel gesendete Byte
- Die Anzahl der Byte, die vom Exremote-Prozess an das ODS-Ziel weitergeleitet wurden.
- An das Ziel gesendete Nachrichten
- Die Anzahl der Nachrichten, die vom Exremote-Prozess an das ODS-Ziel weitergeleitet wurden.
- Von Triggern gesendete Bytes
- Die Anzahl der Byte, die auslösen, dass sie an den Exremote-Prozess gesendet und an das ODS-Ziel weitergeleitet werden.
- Von Triggern gesendete Nachrichten
- Die Anzahl der Nachrichten, die auslösen, dass sie an den Exremote-Prozess gesendet und an das ODS-Ziel weitergeleitet werden.
- Von exremote verworfene Nachrichten
- Die Anzahl der auslösenden Nachrichten, die an den Exremote-Prozess gesendet, aber nie an das ODS-Ziel weitergeleitet wurden.
- Einzelheiten zum Fehler
-
- Zeit
- Der Zeitpunkt, zu dem der Fehler aufgetreten ist.
- URL
- Die URL des ODS-Ziels.
- Status
- Der vom ODS-Ziel zurückgegebene HTTP-Statuscode.
- Header anfordern
- Die Header der HTTP-Anfrage, die an das ODS-Ziel gesendet wurde.
- Hauptteil der Anfrage
- Der Hauptteil der HTTP-Anfrage, die an das ODS-Ziel gesendet wurde.
- Antwort-Header
- Die Header der HTTP-Antwort, die vom ODS-Ziel gesendet wurde.
- Hauptteil der Antwort
- Der Hauptteil der HTTP-Antwort, die vom ODS-Ziel gesendet wurde.
Tendenzen
Trendbasierte Warnmeldungen werden generiert, wenn eine überwachte Metrik von den normalen Trends abweicht, die vom ExtraHop-System beobachtet werden. Bei Bedarf können Sie alle konfigurierten Trends und trendbasierten Benachrichtigungen löschen.
- klicken Trends zurücksetzen um alle Trenddaten aus dem ExtraHop-System zu löschen.
Einen Sensor oder eine Konsole sichern und wiederherstellen
Nachdem Sie Ihren ExtraHop konfiguriert haben Konsole und Sensor Bei Anpassungen wie Bundles, Triggern und Dashboards oder administrativen Änderungen wie dem Hinzufügen neuer Benutzer empfiehlt ExtraHop, dass Sie Ihre Einstellungen regelmäßig sichern, um die Wiederherstellung nach einem Systemausfall zu erleichtern.
Einen Sensor oder eine virtuelle Konsole sichern
Erstellen Sie eine Systemsicherung und speichern Sie die Sicherungsdatei an einem sicheren Ort.
Wichtig: | System-Backups enthalten vertrauliche Informationen, einschließlich SSL-Schlüssel. Wenn Sie eine Systemsicherung erstellen, stellen Sie sicher, dass Sie die Sicherungsdatei an einem sicheren Ort speichern. |
- Benutzeranpassungen wie Bundles, Trigger und Dashboards.
- Konfigurationen, die aus Administrationseinstellungen vorgenommen wurden, z. B. lokal erstellte Benutzer und remote importierte Benutzergruppen, die Konfigurationsdateieinstellungen, SSL-Zertifikate und Verbindungen zu ExtraHop-Recordstores und Packetstores ausführen.
- Lizenzinformationen für das System. Wenn Sie Einstellungen für ein neues Ziel wiederherstellen, müssen Sie das neue Ziel manuell lizenzieren.
- Präzise Paketerfassung. Sie können gespeicherte Paketerfassungen manuell herunterladen, indem Sie die Schritte unter Paketerfassungen anzeigen und herunterladen.
- Bei der Wiederherstellung einer virtuellen ExtraHop-Konsole, die eine getunnelte Verbindung von einem Sensor, der Tunnel muss nach Abschluss der Wiederherstellung und aller Anpassungen an der Konsole dafür neu eingerichtet werden Sensor muss manuell neu erstellt werden.
- Vom Benutzer hochgeladene SSL-Schlüssel für die Entschlüsselung des Datenverkehrs.
- Sichere Keystore-Daten, die Passwörter enthalten. Wenn Sie eine
Sicherungsdatei auf demselben Ziel wiederherstellen, das das Backup erstellt hat, und der Keystore intakt ist, müssen Sie die
Anmeldedaten nicht erneut eingeben. Wenn Sie jedoch eine Sicherungsdatei auf einem neuen Ziel wiederherstellen oder zu einem
neuen Ziel migrieren, müssen Sie die folgenden Anmeldedaten erneut eingeben:
- Alle SNMP-Community-Zeichenketten, die für die SNMP-Abfrage von Flow-Netzwerken bereitgestellt werden.
- Jedes Bindkennwort, das für die Verbindung mit LDAP für Fernauthentifizierungszwecke bereitgestellt wird.
- Jedes Passwort, das für die Verbindung zu einem SMTP-Server bereitgestellt wird, für den eine SMTP-Authentifizierung erforderlich ist.
- Jedes Passwort, das für die Verbindung zu einem externen Datenspeicher angegeben wurde.
- Jedes Passwort, das für den Zugriff auf externe Ressourcen über den konfigurierten globalen Proxy bereitgestellt wird.
- Jedes Passwort, das für den Zugriff auf ExtraHop Cloud Services über den konfigurierten ExtraHop-Cloud-Proxy angegeben wurde.
- Alle Authentifizierungsdaten oder Schlüssel, die zur Konfiguration von Open Data Stream-Zielen bereitgestellt werden.
Stellen Sie einen Sensor oder eine Konsole aus einem System-Backup wieder her
Sie können das ExtraHop-System anhand der vom Benutzer gespeicherten oder automatischen Backups wiederherstellen, die auf dem System gespeichert sind. Sie können zwei Arten von Wiederherstellungsvorgängen ausführen: nur Anpassungen (z. B. Änderungen an Warnungen, Dashboards, Triggern, benutzerdefinierten Metriken) oder sowohl Anpassungen als auch Systemressourcen.
Before you begin
Auf dem Ziel muss dieselbe Firmware-Version ausgeführt werden, die den ersten und zweiten Ziffern der Firmware entspricht, die die Backup-Datei generiert hat. Wenn die Versionen nicht identisch sind, schlägt der Wiederherstellungsvorgang fehl.Stellen Sie einen Sensor oder eine Konsole aus einer Sicherungsdatei wieder her
Einstellungen auf eine neue Konsole oder einen neuen Sensor übertragen
Dieses Verfahren beschreibt die Schritte, die erforderlich sind, um eine Sicherungsdatei auf eine neue wiederherzustellen Konsole oder Sensor. Nur Systemeinstellungen von Ihren vorhandenen Konsole oder Sensor werden übertragen. Metriken im lokalen Datenspeicher werden nicht übertragen.
Before you begin
- Erstellen Sie eine Systemsicherung und speichern Sie die Sicherungsdatei an einem sicheren Ort.
- Entfernen Sie die Quelle Sensor oder Konsole aus dem Netzwerk, bevor die
Einstellungen übertragen werden. Ziel und Quelle können nicht
gleichzeitig im Netzwerk aktiv sein.
Wichtig: Trennen Sie keine Sensoren die bereits mit einem verbunden sind Konsole. -
Bereitstellen und Register der
Zielsensor oder die Zielkonsole.
- Stellen Sie sicher, dass es sich bei dem Ziel um den gleichen Typ handelt Sensor oder Konsole (physisch oder virtuell) als Quelle.
- Stellen Sie sicher, dass das Ziel dieselbe Größe oder größer hat (maximaler Durchsatz auf dem Sensor; CPU, RAM und Festplattenkapazität auf der Konsole) wie die Quelle.
- Stellen Sie sicher, dass das Ziel über eine Firmware-Version verfügt, die der Firmware-Version entspricht, die die Sicherungsdatei generiert hat. Wenn die ersten beiden Ziffern der Firmware-Versionen nicht identisch sind, schlägt der Wiederherstellungsvorgang fehl.
- Nach der Übertragung der Einstellungen auf ein Ziel Konsole, Sie müssen alle manuell erneut verbinden Sensoren.
- Bei der Übertragung von Einstellungen auf ein Ziel Konsole das für eine getunnelte Verbindung zum konfiguriert ist Sensoren, wir empfehlen Ihnen, das Ziel zu konfigurieren Konsole mit demselben Hostnamen und derselben IP-Adresse wie die Quellkonsole.
Schließen Sie die Sensoren wieder an die Konsole an
Before you begin
Wichtig: | Wenn Ihre Konsole und Ihre Sensoren für eine getunnelte Verbindung konfiguriert sind, empfehlen wir, die Quelle- und Zielkonsole mit derselben IP-Adresse und demselben Hostnamen zu konfigurieren. Wenn Sie nicht dieselbe IP-Adresse und denselben Hostnamen festlegen können, überspringen Sie dieses Verfahren und stellen Sie eine neue Tunnelverbindung zu der neuen IP-Adresse oder dem neuen Hostnamen der Konsole her. |
Appliance-Einstellungen
Sie können die folgenden Komponenten der ExtraHop-Appliance im Appliance-Einstellungen Abschnitt.
Alle Geräte haben die folgenden Komponenten:
- Konfiguration ausführen
- Laden Sie die laufende Konfigurationsdatei herunter und ändern Sie sie.
- Dienstleistungen
- Aktivieren oder deaktivieren Sie die Web Shell, die Verwaltungs-GUI, den SNMP-Dienst, den SSH-Zugriff und den SSL-Sitzungsschlüsselempfänger. Die Option SSL Session Key Receiver wird nur auf Paketsensoren angezeigt.
- Firmware
- Aktualisieren Sie die ExtraHop-Systemfirmware.
- Systemzeit
- Konfigurieren Sie die Systemzeit.
- Herunterfahren oder Neustarten
- Halten Sie die Systemdienste an und starten Sie sie neu.
- Lizenz
- Aktualisieren Sie die Lizenz, um Zusatzmodule zu aktivieren.
- Festplatten
- Stellt Informationen zu den Festplatten in der Appliance bereit.
Die folgenden Komponenten sind nur auf den angegebenen Appliances enthalten:
- Spitzname des Befehls
- Weisen Sie der Konsole einen Spitznamen zu. Diese Einstellung ist nur auf der Konsole verfügbar.
- Packetstore zurücksetzen
- Löschen Sie alle Pakete, die in ExtraHop-Paketstores gespeichert sind. Das Packetstore zurücksetzen Seite erscheint nur in Packetstores.
Konfiguration ausführen
Die laufende Konfigurationsdatei gibt die Standardsystemkonfiguration an. Wenn Sie Systemeinstellungen ändern, müssen Sie die laufende Konfigurationsdatei speichern, um diese Änderungen nach einem Systemneustart beizubehalten.
Hinweis: | Es wird nicht empfohlen, Konfigurationsänderungen am Code von der Bearbeitungsseite aus vorzunehmen. Sie können die meisten Systemänderungen über andere Seiten in den Administrationseinstellungen vornehmen. |
Speichern Sie die Systemeinstellungen in der laufenden Konfigurationsdatei
Wenn Sie eine der Systemkonfigurationseinstellungen auf einem ExtraHop-System ändern, müssen Sie die Aktualisierungen bestätigen, indem Sie die laufende Konfigurationsdatei speichern. Wenn Sie die Einstellungen nicht speichern, gehen die Änderungen verloren, wenn Ihr ExtraHop-System neu gestartet wird.
- klicken Änderungen anzeigen und speichern.
-
Überprüfen Sie den Vergleich zwischen der alten laufenden Konfiguration und der aktuellen
(nicht gespeicherten) laufenden Konfiguration, und wählen Sie dann eine der folgenden
Optionen aus:
- Wenn die Änderungen korrekt sind, klicken Sie auf Speichern.
- Wenn die Änderungen nicht korrekt sind, klicken Sie auf Stornieren und machen Sie dann die Änderungen rückgängig, indem Sie auf Konfiguration zurücksetzen .
Bearbeiten Sie die laufende Konfiguration
Die ExtraHop-Administrationseinstellungen bieten eine Schnittstelle zum Anzeigen und Ändern des Codes , der die Standardsystemkonfiguration angibt. Zusätzlich zu den Änderungen an der laufenden Konfigurationsdatei über die Administrationseinstellungen können Änderungen auch an der Config wird ausgeführt Seite.
Hinweis: | Es wird nicht empfohlen, auf der Seite „Bearbeiten" Konfigurationsänderungen am Code vorzunehmen. Sie können die meisten Systemänderungen über andere Administrationseinstellungen vornehmen. |
Laden Sie die laufende Konfiguration als Textdatei herunter
Sie können die laufende Konfigurationsdatei auf Ihre Workstation herunterladen. Sie können diese Textdatei öffnen und lokal Änderungen daran vornehmen, bevor Sie diese Änderungen in das Config wird ausgeführt Fenster.
- Klicken Config wird ausgeführt.
- Klicken Konfiguration als Datei herunterladen.
ICMPv6-Nachrichten vom Typ „Destination Unreachable" deaktivieren
Sie können verhindern, dass das ExtraHop-System ICMPv6-Nachrichten vom Typ Destination Unreachable generiert. Möglicherweise möchten Sie ICMPv6-Nachrichten vom Typ Destination Unreachable aus Sicherheitsgründen gemäß RFC 4443 deaktivieren.
Um ICMPv6-Meldungen „Destination Unreachable" zu deaktivieren, müssen Sie die Running Configuration bearbeiten. Wir empfehlen jedoch, die Running Configuration-Datei nicht manuell zu bearbeiten, ohne dass Sie vom ExtraHop-Support dazu angewiesen werden. Wenn Sie die laufende Konfigurationsdatei manuell falsch bearbeiten, kann dies dazu führen, dass das System nicht mehr verfügbar ist oder keine Daten mehr erfasst werden. Sie können kontaktieren ExtraHop-Unterstützung.
Bestimmte ICMPv6-Echo-Antwortnachrichten deaktivieren
Sie können verhindern, dass das ExtraHop-System Echo-Antwortnachrichten als Antwort auf ICMPv6-Echoanforderungsnachrichten generiert, die an eine IPv6-Multicast- oder Anycast-Adresse gesendet werden. Möglicherweise möchten Sie diese Nachrichten deaktivieren, um unnötigen Netzwerkverkehr zu reduzieren.
Um bestimmte ICMPv6-Echo-Antwortnachrichten zu deaktivieren, müssen Sie die laufende Konfigurationsdatei bearbeiten. Wir empfehlen jedoch, die laufende Konfigurationsdatei nicht ohne Anweisung des ExtraHop-Supports manuell zu bearbeiten. Eine falsche manuelle Bearbeitung dieser Datei kann dazu führen, dass das System nicht mehr verfügbar ist oder keine Daten mehr erfasst werden. Sie können kontaktieren ExtraHop-Unterstützung .
Dienstleistungen
Diese Dienste werden im Hintergrund ausgeführt und führen Funktionen aus, für die keine Benutzereingaben erforderlich sind. Diese Dienste können über die Administrationseinstellungen gestartet und gestoppt werden.
- Aktivieren oder deaktivieren Sie die Management-GUI
- Die Management-GUI bietet browserbasierten Zugriff auf das ExtraHop-System. Standardmäßig ist dieser
Dienst aktiviert, sodass ExtraHop-Benutzer über einen Webbrowser
auf das ExtraHop-System zugreifen können. Wenn dieser Dienst deaktiviert ist, wird die Apache Web Server-Sitzung beendet und der gesamte
browserbasierte Zugriff wird deaktiviert.
Warnung: Deaktivieren Sie diesen Dienst nur, wenn Sie ein erfahrener ExtraHop-Administrator sind und mit der ExtraHop-CLI vertraut sind. - SNMP-Dienst aktivieren oder deaktivieren
- Aktivieren Sie den SNMP-Dienst auf dem ExtraHop-System, wenn Ihre
Netzwerkgeräteüberwachungssoftware Informationen über das ExtraHop-System sammeln soll. Dieser Dienst ist
standardmäßig deaktiviert.
- Aktivieren Sie den SNMP-Dienst auf der Seite Dienste, indem Sie das Kontrollkästchen Deaktiviert aktivieren und dann auf Speichern. Nach der Aktualisierung der Seite wird das Kontrollkästchen Aktiviert angezeigt.
- Den SNMP-Dienst konfigurieren und laden Sie die ExtraHop MIB-Datei herunter
- SSH-Zugriff aktivieren oder deaktivieren
- Der SSH-Zugriff ist standardmäßig aktiviert, damit sich Benutzer sicher an der
ExtraHop-Befehlszeilenschnittstelle (CLI) anmelden können.
Hinweis: Der SSH-Dienst und der Management GUI Service können nicht gleichzeitig deaktiviert werden. Mindestens einer dieser Dienste muss aktiviert sein, um Zugriff auf das System zu gewähren. - Den SSL-Sitzungsschlüsselempfänger aktivieren oder deaktivieren (nur Sensor)
- Sie müssen den Sitzungsschlüsselempfängerdienst über die Verwaltungseinstellungen aktivieren, bevor
das ExtraHop-System Sitzungsschlüssel vom Sitzungsschlüsselweiterleiter empfangen und entschlüsseln kann.
Standardmäßig ist dieser Dienst deaktiviert.
Hinweis: Wenn Sie dieses Kontrollkästchen nicht sehen und die SSL Decryption-Lizenz erworben haben, wenden Sie sich an ExtraHop-Unterstützung um Ihre Lizenz zu aktualisieren.
SNMP-Dienst
Konfigurieren Sie den SNMP-Dienst auf Ihrem ExtraHop-System, sodass Sie Ihre Netzwerkgeräteüberwachungssoftware so konfigurieren können, dass Informationen über Ihr ExtraHop-System über das Simple Network Management Protocol (SNMP) erfasst werden.
Beispielsweise können Sie Ihre Monitoring-Software so konfigurieren, dass sie bestimmt, wie viel freier Speicherplatz auf einem ExtraHop-System verfügbar ist, und eine Alarm senden, wenn das System zu über 95% voll ist. Importieren Sie die ExtraHop SNMP MIB-Datei in Ihre Monitoring-Software, um alle ExtraHop-spezifischen SNMP-Objekte zu überwachen. Sie können Einstellungen für SNMPv1/SNMPv2 und SNMPv3 konfigurieren
Konfigurieren Sie den SNMPv1- und SNMPv2-Dienst
Mit der folgenden Konfiguration können Sie das System mit einem SNMP-Manager überwachen, der SNMPv1 und SNMPv2 unterstützt.
Nächste Maßnahme
Laden Sie die ExtraHop SNMP MIB-Datei von der Seite SNMP Service Configuration herunter.Konfigurieren Sie den SNMPv3-Dienst
Mit der folgenden Konfiguration können Sie das System mit einem SNMP-Manager überwachen, der SNMPv3 unterstützt. Das SNMPv3-Sicherheitsmodell bietet zusätzliche Unterstützung für Authentifizierung - und Datenschutzprotokolle.
Nächste Maßnahme
Laden Sie die ExtraHop SNMP MIB-Datei von der Seite SNMP Service Configuration herunter.Firmware
Die Administrationseinstellungen bieten eine Schnittstelle zum Hochladen und Löschen der Firmware auf ExtraHop-Geräten. Die Firmware-Datei muss von dem Computer aus zugänglich sein, auf dem Sie das Upgrade durchführen werden.
Before you begin
Lesen Sie unbedingt die Versionshinweise für die Firmware-Version, die Sie installieren möchten. Die Versionshinweise enthalten Anleitungen zum Upgrade sowie bekannte Probleme, die sich auf kritische Workflows in Ihrem Unternehmen auswirken können.Aktualisieren Sie die Firmware auf Ihrem ExtraHop-System
Das folgende Verfahren zeigt Ihnen, wie Sie Ihr ExtraHop-System auf die neueste Firmware-Version aktualisieren. Während der Firmware-Upgrade-Prozess für alle ExtraHop-Appliances ähnlich ist, müssen Sie bei einigen Appliances zusätzliche Überlegungen oder Schritte beachten, bevor Sie die Firmware in Ihrer Umgebung installieren. Wenn Sie Hilfe bei Ihrem Upgrade benötigen, wenden Sie sich an den ExtraHop Support.
Video: | Sehen Sie sich die entsprechende Schulung an: Firmware aktualisieren |
Wichtig: | Wenn die Einstellungsmigration während des Firmware-Upgrades fehlschlägt, werden die zuvor installierte Firmware-Version und die ExtraHop-Systemeinstellungen wiederhergestellt. |
Checkliste vor dem Upgrade
Im Folgenden finden Sie einige wichtige Überlegungen und Anforderungen zur Aktualisierung von ExtraHop-Appliances.
- Ein Systemhinweis erscheint auf Konsolen und Sensoren verbunden mit ExtraHop Cloud Services, wenn eine neue Firmware-Version verfügbar ist.
- Stellen Sie sicher, dass Ihr Reveal (x) 360-System auf Version 1 aktualisiert wurde 9.2 vor dem Upgrade Ihres selbstverwalteten Sensoren.
- Wenn Sie ein Upgrade von Firmware-Version 8.7 oder früher durchführen, wenden Sie sich an den ExtraHop-Support, um weitere Informationen zum Upgrade zu erhalten.
- Wenn Sie mehrere Typen von ExtraHop-Appliances haben, müssen Sie diese in der
folgenden Reihenfolge aktualisieren:
- Konsole
- Sensoren (EDA und Ultra)
- Plattenläden
- Geschäfte für Pakete
Hinweis: | Ihr Browser läuft möglicherweise nach 5 Minuten Inaktivität ab. Aktualisieren Sie die Browserseite, wenn
das Update unvollständig erscheint. Wenn bei der Browsersitzung ein Timeout auftritt, bevor das ExtraHop-System den Aktualisierungsvorgang abschließen kann, können Sie die folgenden Verbindungstests durchführen, um den Status des Upgrade-Vorgangs zu überprüfen:
|
Konsolen-Upgrades
- Für umfangreiche Konsolenbereitstellungen (Verwaltung von 50.000 Geräten oder mehr) sollten Sie mindestens eine Stunde einplanen, um das Upgrade durchzuführen.
- Die Firmware-Version der Konsole muss größer oder gleich der Firmware-Version aller angeschlossenen Geräte sein. Um die Funktionskompatibilität sicherzustellen, sollte auf allen angeschlossenen Geräten die Firmware-Version 8.7 oder höher ausgeführt werden.
Recordstore-Upgrades
- Aktualisieren Sie Recordstores nicht auf eine Firmware-Version, die neuer ist als die Version, die auf den angeschlossenen Konsolen und Sensoren installiert ist.
- Nach dem Upgrade der Konsole und Sensoren, deaktiviere die Datensatz von Datensätzen im Recordstore bevor Sie den Recordstore aktualisieren.
- Sie müssen alle Recordstore-Knoten in einem Recordstore-Cluster aktualisieren. Der Cluster
funktioniert nicht richtig, wenn die Knoten unterschiedliche Firmware-Versionen verwenden.
Wichtig: Die Botschaft Could not determine ingest status on some nodes und Error erscheinen auf der Seite Cluster-Datenmanagement in den Verwaltungseinstellungen der aktualisierten Knoten, bis alle Knoten im Cluster aktualisiert sind. Diese Fehler werden erwartet und können ignoriert werden. - Sie müssen die Aufnahme von Datensätzen und die Neuzuweisung von Shards von der Cluster-Datenmanagement Seite, nachdem alle Knoten im Recordstore-Cluster aktualisiert wurden.
Aktualisieren Sie die Firmware auf einer Konsole und einem Sensor
Aktualisieren Sie die Firmware in Plattenläden
Nächste Maßnahme
Nachdem alle Knoten im Recordstore-Cluster aktualisiert wurden, aktivieren Sie die Datensatzaufnahme und die Shard-Neuzuweisung auf dem Cluster erneut. Sie müssen diese Schritte nur auf einem Datensatzspeicherknoten ausführen.- Klicken Sie im Abschnitt Clustereinstellungen erkunden auf Cluster-Datenmanagement.
- klicken Record Ingest aktivieren.
- klicken Shard-Neuzuweisung aktivieren.
Vernetzte Sensoren in Reveal (x) 360 aufrüsten
Administratoren können ein Upgrade durchführen Sensoren die mit Reveal (x) 360 verbunden sind.
Before you begin
- Ihr Benutzerkonto muss über Rechte für Reveal (x) 360 für die System- und Zugriffsverwaltung oder die Systemadministration verfügen.
- Die Sensoren müssen mit den ExtraHop Cloud Services verbunden sein
- Benachrichtigungen werden angezeigt, wenn eine neue Firmware-Version verfügbar ist
- Sie können mehrere aktualisieren Sensoren zur gleichen Zeit
Systemzeit
Auf der Seite Systemzeit werden die aktuellen Zeiteinstellungen angezeigt, die für Ihr ExtraHop-System konfiguriert sind. Zeigen Sie die aktuellen Systemzeiteinstellungen, die Standardanzeigezeit für Benutzer und Details für konfigurierte NTP-Server an.
Systemzeit ist die Uhrzeit und das Datum, die von Diensten verfolgt werden, die auf dem ExtraHop-System ausgeführt werden, um genaue Zeitberechnungen zu gewährleisten. Standardmäßig ist die Systemzeit auf dem Sensor oder der Konsole lokal konfiguriert. Für eine bessere Genauigkeit empfehlen wir, die Systemzeit über einen NTP-Zeitserver zu konfigurieren.
Bei der Datenerfassung muss die Systemzeit mit der Uhrzeit der angeschlossenen Sensoren übereinstimmen, um sicherzustellen , dass die Zeitstempel in geplanten Berichten, exportierten Dashboards und Diagrammmetriken korrekt und vollständig sind. Wenn Probleme mit der Zeitsynchronisierung auftreten, überprüfen Sie, ob die konfigurierte Systemzeit, externe Zeitserver oder NTP-Server korrekt sind. Setzen Sie die Systemzeit zurück oder NTP-Server synchronisieren bei Bedarf
Die folgende Tabelle enthält Details zur aktuellen Systemzeitkonfiguration. Klicken Sie Zeit konfigurieren zu Systemzeiteinstellungen konfigurieren.
Detail | Beschreibung |
---|---|
Zeitzone | Zeigt die aktuell gewählte Zeitzone an. |
Systemzeit | Zeigt die aktuelle Systemzeit an. |
Zeitserver | Zeigt eine kommagetrennte Liste der konfigurierten Zeitserver an. |
Standardanzeigezeit für Benutzer
Im Abschnitt Standardanzeigezeit für Benutzer wird die Uhrzeit angezeigt, die allen Benutzern im ExtraHop-System angezeigt wird, es sei denn, ein Benutzer manuell ändert ihre angezeigte Zeitzone.
Um die Standardanzeigezeit zu ändern, wählen Sie eine der folgenden Optionen und klicken Sie dann auf Änderungen speichern:
- Uhrzeit des Browsers
- Systemzeit
- UTC
NTP-Status
Die NTP-Statustabelle zeigt die aktuelle Konfiguration und den Status aller NTP-Server an, die die Systemuhr synchron halten. Die folgende Tabelle enthält Details zu jedem konfigurierten NTP-Server. Klicken Sie Jetzt synchronisieren um die aktuelle Systemzeit mit einem Remote-Server zu synchronisieren.
Fernbedienung | Der Hostname oder die IP-Adresse des Remote-NTP-Servers, mit dem Sie die Synchronisierung konfiguriert haben. |
st | Die Stratum-Ebene, 0 bis 16. |
t | Die Art der Verbindung. Dieser Wert kann u für Unicast oder Manycast, b für Broadcast oder Multicast, l für lokale Referenzuhr, s für symmetrischen Peer, A für einen Manycast-Server B für einen Broadcast-Server, oder M für einen Multicast-Server. |
wenn | Das letzte Mal, als der Server für diese Uhrzeit abgefragt wurde. Der Standardwert ist Sekunden, oder m wird minutenlang angezeigt, h stundenlang und d tagelang. |
Umfrage | Wie oft der Server nach der Uhrzeit abgefragt wird, mindestens 16 Sekunden bis maximal 36 Stunden. |
erreichen | Wert, der die Erfolgs- und Ausfallrate der Kommunikation mit dem Remoteserver Server. Erfolg bedeutet, dass das Bit gesetzt ist, Misserfolg bedeutet, dass das Bit nicht gesetzt ist. 377 ist der höchste Wert. |
Verzögerung | Die Roundtrip-Zeit (RTT) der ExtraHop-Appliance, die mit dem Remote-Server kommuniziert, in Millisekunden. |
Offset | Gibt an, wie weit die Uhr der ExtraHop-Appliance von der vom Server gemeldeten Uhrzeit entfernt ist. Der Wert kann positiv oder negativ sein und wird in Millisekunden angezeigt. |
Jitter | Gibt den Unterschied zwischen zwei Stichproben in Millisekunden an. |
Systemzeit konfigurieren
Standardmäßig synchronisiert das ExtraHop-System die Systemzeit über die NTP-Server (Netzwerk Time Protokoll ) *.extrahop.pool.ntp.org. Wenn Ihre Netzwerkumgebung verhindert, dass das ExtraHop-System mit diesen Zeitservern kommuniziert, müssen Sie eine alternative Zeitserverquelle konfigurieren.
Before you begin
Wichtig: | Konfigurieren Sie immer mehr als einen NTP-Server , um die Genauigkeit und Zuverlässigkeit der auf dem System gespeicherten Zeit zu erhöhen. |
Die NTP-Status Die Tabelle zeigt eine Liste von NTP-Servern, die die Systemuhr synchron halten. Um die aktuelle Systemzeit eines Remoteservers zu synchronisieren, klicken Sie auf Jetzt synchronisieren knopf.
Herunterfahren oder Neustarten
Die Administrationseinstellungen bieten eine Schnittstelle zum Anhalten, Herunterfahren und Neustarten des ExtraHop-Systems und seiner Systemkomponenten. Für jede ExtraHop-Systemkomponente enthält die Tabelle einen Zeitstempel zur Anzeige der Startzeit.
- Starten Sie das System neu oder fahren Sie es herunter, um das ExtraHop-System anzuhalten oder herunterzufahren und neu zu starten.
- Starten Sie Bridge Status (nur Sensor) neu, um die ExtraHop Bridge-Komponente neu zu starten.
- Starten Sie Capture neu (nur Sensor), um die ExtraHop-Capture-Komponente neu zu starten.
- Starten Sie Portal Status neu, um das ExtraHop-Webportal neu zu starten.
- Starten Sie Scheduled Reports (nur Konsole) neu, um die ExtraHop-Komponente für geplante Berichte neu zu starten.
Sensormigration
Sie können Ihre gespeicherten Metriken, Anpassungen und Systemressourcen auf Ihren vorhandenen physischen ExtraHop migrieren Sensor zu einem neuen Sensor.
Migrieren Sie einen ExtraHop-Sensor
Wenn Sie bereit sind, Ihr bestehendes zu aktualisieren Sensor, können Sie problemlos auf neue Hardware migrieren, ohne geschäftskritische Kennzahlen und zeitaufwändige Systemkonfigurationen zu verlieren.
- Lizenzinformationen für das System. Wenn Sie Einstellungen für ein neues Ziel wiederherstellen, müssen Sie das neue Ziel manuell lizenzieren.
- Präzise Paketerfassung. Sie können gespeicherte Paketerfassungen manuell herunterladen, indem Sie die Schritte unter Paketerfassungen anzeigen und herunterladen.
- Bei der Wiederherstellung einer virtuellen ExtraHop-Konsole, die eine getunnelte Verbindung von einem Sensor, der Tunnel muss nach Abschluss der Wiederherstellung und aller Anpassungen an der Konsole dafür neu eingerichtet werden Sensor muss manuell neu erstellt werden.
- Vom Benutzer hochgeladene SSL-Schlüssel für die Entschlüsselung des Datenverkehrs.
- Sichere Keystore-Daten, die Passwörter enthalten. Wenn Sie eine
Sicherungsdatei auf demselben Ziel wiederherstellen, das das Backup erstellt hat, und der Keystore intakt ist, müssen Sie die
Anmeldedaten nicht erneut eingeben. Wenn Sie jedoch eine Sicherungsdatei auf einem neuen Ziel wiederherstellen oder zu einem
neuen Ziel migrieren, müssen Sie die folgenden Anmeldedaten erneut eingeben:
- Alle SNMP-Community-Zeichenketten, die für die SNMP-Abfrage von Flow-Netzwerken bereitgestellt werden.
- Jedes Bindkennwort, das für die Verbindung mit LDAP für Fernauthentifizierungszwecke bereitgestellt wird.
- Jedes Passwort, das für die Verbindung zu einem SMTP-Server bereitgestellt wird, für den eine SMTP-Authentifizierung erforderlich ist.
- Jedes Passwort, das für die Verbindung zu einem externen Datenspeicher angegeben wurde.
- Jedes Passwort, das für den Zugriff auf externe Ressourcen über den konfigurierten globalen Proxy bereitgestellt wird.
- Jedes Passwort, das für den Zugriff auf ExtraHop Cloud Services über den konfigurierten ExtraHop-Cloud-Proxy angegeben wurde.
- Alle Authentifizierungsdaten oder Schlüssel, die zur Konfiguration von Open Data Stream-Zielen bereitgestellt werden.
Bevor du anfängst
Wichtig: | Wenn der Quellsensor über einen externen Datenspeicher verfügt und der Datenspeicher auf einem CIFS/SMB-Server konfiguriert ist, der eine Passwortauthentifizierung erfordert, wenden Sie sich an den ExtraHop-Support, um Sie bei der Migration zu unterstützen. |
- Quelle und Ziel Sensoren muss dieselbe Firmware-Version ausführen.
- Nur zur gleichen Edition migrieren Sensoren, wie Reveal (x). Wenn Sie zwischen den Editionen migrieren müssen, wenden Sie sich an Ihr ExtraHop-Vertriebsteam, um Unterstützung zu erhalten.
- Die Migration wird nur zwischen physischen Geräten unterstützt Sensoren. Virtuell Sensor Migrationen werden nicht unterstützt.
- Die unterstützten Migrationspfade sind in den folgenden Tabellen aufgeführt.
Quelle | Ziel | ||||
---|---|---|---|---|---|
VON 120 | VON 620 | VON 820 | VON 920 | VON 1020 | |
VON 120 | JA | JA | JA | JA | JA |
VON 620 | NEIN | JA* | JA | JA | JA |
VON 820 | NEIN | NEIN | JA* | JA* | JA |
VON 920 | NEIN | NEIN | NEIN | JA* | JA |
VON 1020 | NEIN | NEIN | NEIN | NEIN | JA* |
*Migration wird nur unterstützt, wenn Quelle und Ziel Sensor wurden im Mai 2019 oder später hergestellt. Wenden Sie sich an den ExtraHop-Support, um die Kompatibilität zu überprüfen.
Quelle | Ziel | |||
---|---|---|---|---|
VON 620 | VON 820 | VON 920 | VON 1020 | |
EH3000 | JA | JA | JA | JA |
EH6000 | JA | JA | JA | JA |
EH8000 | NEIN | JA | JA | JA |
VON 100 | JA | JA | JA | JA |
VON 310 | JA | JA | JA | JA |
VON 610 | JA | JA | JA | JA |
VON 810 | NEIN | JA | JA | JA |
VON 910 | NEIN | NEIN | JA | JA |
VON 620 | JA* | JA | JA | JA |
VON 820 | NEIN | JA* | JA* | JA |
VON 920 | NEIN | NEIN | JA* | JA |
VON 1020 | NEIN | NEIN | NEIN | JA* |
* Migration wird nur unterstützt, wenn Quelle und Ziel Sensor wurden im Mai 2019 oder später hergestellt. Wenden Sie sich an den ExtraHop-Support, um die Kompatibilität zu überprüfen.
Bereiten Sie die Quelle- und Zielsensoren vor
- Folgen Sie den Anweisungen in der Leitfaden zur Bereitstellung damit Ihr Sensormodell den Zielsensor einsetzen kann.
- Registriere dich der Zielsensor.
- Stellen Sie sicher, dass das Ziel und die Quelle Sensor verwenden genau dieselbe Firmware-Version. Sie können aktuelle und vorherige Firmware von der ExtraHop Kundenportal.
-
Wählen Sie eine der folgenden Netzwerkmethoden, um zum Ziel zu migrieren
Sensor.
- (Empfohlen) Um die Migration so schnell wie möglich abzuschließen, verbinden Sie die Sensoren direkt mit 10G-Managementschnittstellen.
-
Erstellen Sie eine Bond-Schnittstelle (optional) der verfügbaren
1G-Managementschnittstellen. Verbinden Sie mit den entsprechenden Netzwerkkabeln
den oder die verfügbaren Anschlüsse am Quellsensor direkt mit ähnlichen Anschlüssen am
Zielsensor. Die folgende Abbildung zeigt eine Beispielkonfiguration mit gebündelten
1G-Schnittstellen.
Wichtig: Stellen Sie sicher, dass Ihre IP-Adresse und Subnetzkonfiguration auf beiden Sensoren den Verwaltungsdatenverkehr an Ihre Management-Workstation und den Migrationsverkehr an den Direktlink weiterleiten. - Migrieren Sie den Sensor über Ihr bestehendes Netzwerk. Die Quelle- und Zielsensoren müssen in der Lage sein, über Ihr Netzwerk miteinander zu kommunizieren. Beachten Sie , dass die Migration mit dieser Konfiguration erheblich länger dauern kann.
Erstellen Sie eine Bond-Schnittstelle (optional)
Folgen Sie den nachstehenden Anweisungen, um 1G-Schnittstellen zu verbinden. Durch die Erstellung einer Bond-Schnittstelle wird der Zeitaufwand für den Abschluss der Migration über 1G-Schnittstellen verringert.
- Im Bereich Netzwerkeinstellungen auf der Quelle Sensor, klicken Konnektivität.
- Klicken Sie im Abschnitt Bond-Interface-Einstellungen auf Bond-Schnittstelle erstellen.
- Wählen Sie im Bereich Mitglieder die Mitglieder der Bond-Schnittstelle aus, abhängig von Sensor Typ. Nehmen Sie die aktuelle Verwaltungsschnittstelle, normalerweise Schnittstelle 1 oder Schnittstelle 3, nicht in die Bond-Schnittstelle auf.
- Wählen Sie in der Dropdownliste Einstellungen übernehmen von eines der Mitglieder der neuen Bond-Schnittstelle aus.
- Wählen Sie als Anleihentyp Statisch.
- klicken Erstellen.
- Klicken Sie auf der Seite Konnektivität im Abschnitt Bond Interfaces auf Bond-Schnittstelle 1.
- Wählen Sie im Drop-down-Menü Schnittstellenmodus die Option Verwaltung.
- Geben Sie die IPv4-Adresse, die Netzmaske und das Gateway für Ihr Migrationsnetzwerk Netzwerk.
- klicken Speichern.
- Wiederholen Sie diesen Vorgang am Ziel Sensor.
Starten Sie die Migration
Der Abschluss der Migration kann mehrere Stunden dauern. Während dieser Zeit weder die Quelle noch das Ziel Sensor kann Daten sammeln. Der Migrationsprozess kann nicht angehalten oder abgebrochen werden.
Den Zielsensor konfigurieren
Wenn Sensor Das Netzwerk ist nicht über DHCP konfiguriert. Stellen Sie sicher, dass die Konnektivitätseinstellungen aktualisiert sind, einschließlich aller zugewiesenen IP-Adressen, DNS-Server und statischen Routen. Verbindungen zu ExtraHop Konsolen, Plattenläden und Packetstores auf der Quelle Sensor werden automatisch auf dem Ziel eingerichtet Sensor wenn die Netzwerkeinstellungen konfiguriert sind.
- Melden Sie sich bei den Administrationseinstellungen auf dem Ziel an Sensor.
- In der Netzwerkeinstellungen Abschnitt, klicken Sie Konnektivität.
- Klicken Sie im Abschnitt Schnittstellen auf die Verwaltungsschnittstelle (normalerweise Schnittstelle 1 oder Schnittstelle 3, je nach Sensor Modell).
- Geben Sie die IP-Adresse der Quelle ein Sensor im Feld IPv4-Adresse.
- Wenn statische Routen auf der Quelle konfiguriert wurden Sensor, klicken Routen bearbeiten, fügen Sie alle erforderlichen Routeninformationen hinzu, und klicken Sie dann auf Speichern.
- klicken Speichern um die Schnittstelleneinstellungen zu speichern.
- Wenn Sie Schnittstelleneinstellungen ändern mussten, um die Migration mit gebündelten Schnittstellen durchzuführen, stellen Sie sicher, dass die Schnittstellenmodi erwartungsgemäß konfiguriert sind.
- Stellen Sie alle zusätzlichen Einstellungen wieder her, die werden nicht automatisch wiederhergestellt.
Lizenz
Auf der Seite Lizenzverwaltung können Sie Lizenzen für Ihr ExtraHop-System einsehen und verwalten. Sie benötigen eine aktive Lizenz, um auf das ExtraHop-System zugreifen zu können, und Ihr System muss in der Lage sein, eine Verbindung zum ExtraHop-Lizenzserver herzustellen, um regelmäßige Updates und Check-ins über Ihren Lizenzstatus zu erhalten.
Weitere Informationen zu ExtraHop-Lizenzen finden Sie in der Häufig gestellte Fragen zur Lizenz.
Registrieren Sie Ihr ExtraHop-System
Dieses Handbuch enthält Anweisungen zum Anwenden eines neuen Produktschlüssels und zur Aktivierung aller von Ihnen gekauften Module. Sie müssen über Rechte auf dem ExtraHop-System verfügen, um auf die Administrationseinstellungen zugreifen zu können.
Registrieren Sie das Gerät
Before you begin
Hinweis: | Wenn Sie einen Sensor oder eine Konsole registrieren, können Sie optional den Produktschlüssel eingeben, nachdem Sie die EULA akzeptiert und sich beim ExtraHop-System angemeldet haben ( https://<extrahop_ip_address>/). |
Nächste Maßnahme
Haben Sie weitere Fragen zu ExtraHop Licensing Works? Sehen Sie die Häufig gestellte Fragen zur Lizenz.Problembehandlung bei der Lizenzserverkonnektivität
Bei ExtraHop-Systemen, die für die Verbindung mit ExtraHop Cloud Services lizenziert und konfiguriert sind, erfolgt die Registrierung und Überprüfung über eine HTTPS-Anfrage an ExtraHop Cloud Services.
Wenn Ihr ExtraHop-System nicht oder noch nicht für ExtraHop Cloud Services lizenziert ist, versucht das System, das System über eine DNS-TXT-Anfrage für zu registrieren regions.hopcloud.extrahop.com und eine HTTPS-Anfrage an alle ExtraHop Cloud Services-Regionen. Wenn diese Anfrage fehlschlägt, versucht das System, über DNS-Serverport 53 eine Verbindung zum ExtraHop-Lizenzserver herzustellen. Das folgende Verfahren ist nützlich, um zu überprüfen, ob das ExtraHop-System über DNS mit dem Lizenzserver kommunizieren kann.
nslookup -type=NS d.extrahop.com
Non-authoritative answer: d.extrahop.com nameserver = ns0.use.d.extrahop.com. d.extrahop.com nameserver = ns0.usw.d.extrahop.com.Wenn die Namensauflösung nicht erfolgreich ist, stellen Sie sicher, dass Ihr DNS-Server richtig konfiguriert ist, um nach
Wenden Sie eine aktualisierte Lizenz an
Wenn Sie ein neues Protokollmodul, einen neuen Dienst oder eine neue Funktion erwerben, ist die aktualisierte Lizenz automatisch auf dem ExtraHop-System verfügbar. Sie müssen die aktualisierte Lizenz jedoch über die Administrationseinstellungen auf das System anwenden, damit die neuen Änderungen wirksam werden.
Eine Lizenz aktualisieren
Wenn ExtraHop Support Ihnen eine Lizenzdatei zur Verfügung stellt, können Sie diese Datei auf Ihrem Gerät installieren, um die Lizenz zu aktualisieren.
Hinweis: | Wenn Sie den Produktschlüssel für Ihr Gerät aktualisieren möchten, müssen Sie registrieren Sie Ihr ExtraHop-System. |
Festplatten
Die Seite Festplatten zeigt eine Übersicht der Laufwerke auf dem ExtraHop-System und listet deren Status auf. Anhand dieser Informationen können Sie feststellen, ob Laufwerke installiert oder ausgetauscht werden müssen. Automatische Systemzustandsprüfungen und E-Mail-Benachrichtigungen (falls aktiviert) können rechtzeitig über eine Festplatte informieren, die sich in einem heruntergefahrenen Zustand befindet. Bei Systemzustandsprüfungen werden Festplattenfehler oben auf der Seite „Einstellungen" angezeigt.
Selbstverschlüsselnde Festplatten (SEDs)
Für Sensoren, die selbstverschlüsselnde Festplatten (SEDs) enthalten, ist Hardware Disk Encryption Status kann gesetzt werden auf Disabled oder Enabled. Dieser Status wurde auf gesetzt Unsupported für Sensoren, die keine SEDs enthalten.
Diese Sensoren unterstützen SEDs:
- SEIT 9300
- VON 10300
- Intrusion Detection System 980
Hinweise zur Konfiguration von SEDs finden Sie unter Konfigurieren Sie selbstverschlüsselnde Festplatten (SEDs).
ÜBERFALL
Für Informationen zur Konfiguration und Reparatur der RAID10-Funktionalität auf dem EDA 6200 Sensoren, siehe Upgrade von RAID 0 auf RAID 10.
Hilfe beim Austauschen einer RAID 0-Festplatte oder beim Installieren eines SSD-Laufwerks finden Sie in den folgenden Anweisungen. Die RAID 0-Anweisungen gelten für die folgenden Festplattentypen:
- Datenspeicher
- Paketerfassung
- Firmware
Versuchen Sie nicht, das Laufwerk in Steckplatz 0 zu installieren oder auszutauschen, es sei denn, Sie werden vom ExtraHop-Support dazu aufgefordert.
Hinweis: | Stellen Sie sicher, dass Ihr Gerät über einen RAID-Controller verfügt, bevor Sie das folgende Verfahren ausführen. Wenn Sie unsicher sind, wenden Sie sich an ExtraHop-Unterstützung. Eine dauerhaft beschädigte Festplatte kann mit diesem Verfahren möglicherweise nicht ausgetauscht werden. |
Spitzname der Konsole
Standardmäßig ist Ihr ExtraHop Konsole wird auf angeschlossenen Sensoren anhand seines Hostnamens identifiziert. Sie können jedoch optional einen benutzerdefinierten Namen konfigurieren, um Ihre Konsole.
Wählen Sie aus den folgenden Optionen, um den Anzeigenamen zu konfigurieren:
- Wählen Benutzerdefinierten Spitznamen anzeigen und geben Sie den Namen in das Feld ein, das Sie für diese Konsole anzeigen möchten.
- Wählen Hostnamen anzeigen um den für diese Konsole konfigurierten Hostnamen anzuzeigen.
PCAP konfigurieren
Mit der Paketerfassung können Sie Datenpakete aus Ihrem Netzwerkverkehr sammeln, speichern und abrufen. Sie können eine Paketerfassungsdatei zur Analyse in einem Drittanbieter-Tool wie Wireshark herunterladen. Pakete können überprüft werden, um Netzwerkprobleme zu diagnostizieren und zu lösen und um sicherzustellen , dass die Sicherheitsrichtlinien eingehalten werden.
Durch Hinzufügen einer Paketerfassungsdiskette zum ExtraHop Sensor, können Sie die an Ihr ExtraHop-System gesendeten Rohdaten speichern. Diese Festplatte kann zu Ihrer virtuellen Festplatte hinzugefügt werden Sensor oder eine SSD, die in Ihrem physischen Gerät installiert ist Sensor.
Diese Anweisungen gelten nur für ExtraHop-Systeme, die über eine Precision Paket Capture Disk verfügen. Informationen zum Speichern von Paketen auf einer ExtraHop PacketStore-Appliance finden Sie in der Anleitungen zur Bereitstellung von Packetstore.
Wichtig: | Systeme mit selbstverschlüsselnden Festplatten (SEDs) können nicht für die Softwareverschlüsselung bei Paketerfassungen konfiguriert werden. Informationen zur Aktivierung der Sicherheit auf diesen Systemen finden Sie unter Konfigurieren Sie selbstverschlüsselnde Festplatten (SEDs). |
Päckchen schneiden
Standardmäßig speichert der Packetstore ganze Pakete. Wenn Pakete noch nicht in Scheiben geschnitten sind, können Sie den Sensor so konfigurieren, dass er Pakete speichert, die auf eine feste Anzahl von Byte aufgeteilt sind, um den Datenschutz und das Lookback zu verbessern.
Weitere Informationen zur Konfiguration dieser Funktion in Ihrer laufenden Konfigurationsdatei erhalten Sie vom ExtraHop-Support.
PCAP aktivieren
Ihr ExtraHop-System muss für die PCAP lizenziert und mit einer dedizierten Speicherplatte konfiguriert sein. Körperlich Sensoren erfordern eine SSD-Speicherfestplatte und virtuelle Sensoren erfordern eine Festplatte, die auf Ihrem Hypervisor konfiguriert ist.
Before you begin
- Stellen Sie sicher, dass Ihr ExtraHop-System für Packet Capture lizenziert ist, indem Sie sich bei den Administrationseinstellungen anmelden und auf Lizenz. Packet Capture ist unter Funktionen aufgeführt und Aktiviert sollte erscheinen.
Wichtig: | Der Erfassungsvorgang wird neu gestartet, wenn Sie die Paketerfassungsdiskette aktivieren. |
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- Klicken Sie im Abschnitt Appliance-Einstellungen auf Festplatten.
-
Abhängig von deinem Sensor Typ- und Menüoptionen, konfigurieren Sie die folgenden
Einstellungen.
- Für physische Sensoren klicken Sie Aktivieren neben SSD Assisted Packet Capture, und klicken Sie dann auf OK.
- Stellen Sie für virtuelle Sensoren sicher, dass running wird in der Spalte Status angezeigt und dass die Festplattengröße, die Sie für die PCAP konfiguriert haben, in der Spalte Größe angezeigt wird. klicken Aktivieren neben Triggered Packet Capture, und klicken Sie dann auf OK.
Nächste Maßnahme
Ihre Paketerfassungsdiskette ist jetzt aktiviert und bereit, Pakete zu speichern. klicken konfigurieren wenn Sie die Festplatte verschlüsseln oder konfigurieren möchten weltweite oder Präzisionspaket erfasst.Verschlüsseln Sie die Paketerfassungsdiskette
Festplatten zur Paketerfassung können mit 256-Bit-AES-Verschlüsselung gesichert werden.
- Sie können eine Paketerfassungsdiskette nicht entschlüsseln, nachdem sie verschlüsselt wurde. Sie können die Verschlüsselung löschen, aber die Festplatte ist formatiert und alle Daten werden gelöscht.
- Sie können eine verschlüsselte Festplatte sperren, um jeglichen Lese- oder Schreibzugriff auf gespeicherte Paketerfassungsdateien zu verhindern. Wenn das ExtraHop-System neu gestartet wird, werden verschlüsselte Festplatten automatisch gesperrt und bleiben gesperrt, bis sie mit der Passphrase entsperrt werden. Unverschlüsselte Festplatten können nicht gesperrt werden.
- Sie können eine verschlüsselte Festplatte neu formatieren, aber alle Daten werden dauerhaft gelöscht. Sie können eine gesperrte Festplatte neu formatieren, ohne sie zuerst zu entsperren.
- Sie können alle Systemdaten sicher löschen (oder das System löschen). Anweisungen finden Sie in der Medienleitfaden für ExtraHop Rescue.
Wichtig: | Systeme mit selbstverschlüsselnden Festplatten (SEDs) können nicht für die Softwareverschlüsselung bei Paketerfassungen konfiguriert werden. Informationen zur Aktivierung der Sicherheit auf diesen Systemen finden Sie unter Konfigurieren Sie selbstverschlüsselnde Festplatten (SEDs). |
- In der Einstellungen der Appliance Abschnitt, klicken Festplatten.
-
Wählen Sie auf der Seite Festplatten je nach
Sensortyp eine der folgenden Optionen aus.
- Für virtuelle Sensoren klicken Sie auf Konfigurieren neben Triggered Packet Capture.
- Für physische Sensoren klicken Sie auf Konfigurieren neben SSD Assisted Packet Capture.
- Klicken Festplatte verschlüsseln.
-
Geben Sie einen Festplattenverschlüsselungsschlüssel aus einer der folgenden Optionen an:
- Geben Sie eine Passphrase in die Felder Passphrase und Bestätigen ein.
- Klicken Wählen Sie Datei und wählen Sie eine Verschlüsselungsschlüsseldatei aus.
- Klicken Verschlüsseln.
Nächste Maßnahme
Sie können den Festplattenverschlüsselungsschlüssel ändern, indem Sie zur Seite Festplatten zurückkehren und auf Konfigurieren und dann Festplattenverschlüsselungsschlüssel ändern.Formatieren Sie die Paketerfassungsdiskette
Sie können eine verschlüsselte Paketerfassungsdiskette so formatieren, dass alle Paketerfassungen dauerhaft entfernt werden. Durch das Formatieren einer verschlüsselten Festplatte wird die Verschlüsselung entfernt. Wenn Sie einen unverschlüsselten Paketerfassungsdatenträger formatieren möchten, müssen Sie den Datenträger entfernen und ihn dann erneut aktivieren.
Warnung: | Diese Aktion kann nicht rückgängig gemacht werden. |
- In der Einstellungen der Appliance Abschnitt, klicken Festplatten.
-
Wählen Sie auf der Seite Festplatten je nach
Appliance-Plattform eine der folgenden Optionen aus.
- Für virtuelle Sensoren klicken Sie konfigurieren neben Triggered Packet Capture.
- Für physische Sensoren klicken Sie auf konfigurieren neben SSD Assisted Packet Capture.
- klicken Festplattenverschlüsselung löschen.
- klicken Format.
Entfernen Sie die Paketerfassungsdiskette
Wenn Sie eine Paketerfassungsdiskette ersetzen möchten, müssen Sie zuerst die Festplatte aus dem System entfernen. Wenn eine Paketerfassungsdiskette aus dem System entfernt wird, werden alle Daten auf der Festplatte dauerhaft gelöscht.
- In der Einstellungen der Appliance Abschnitt, klicken Festplatten.
-
Wählen Sie auf der Seite Festplatten je nach
Appliance-Plattform eine der folgenden Optionen aus.
- Für virtuelle Appliances klicken Sie auf konfigurieren neben Triggered Packet Capture.
- Für physische Geräte klicken Sie auf konfigurieren neben SSD Assisted Packet Capture.
- klicken Festplatte entfernen.
-
Wählen Sie eine der folgenden Formatoptionen aus:
- Schnelles Formatieren
- Sicheres Löschen
- klicken entfernen.
Konfigurieren Sie eine globale PCAP
Eine globale PCAP sammelt jedes Paket, das an das ExtraHop-System gesendet wird, für die Dauer, die den Kriterien entspricht.
- Klicken Sie auf Reveal (x) Enterprise systems auf Pakete aus dem
oberen Menü und dann klicken PCAP herunterladen.
Um Ihre PCAP zu finden, klicken und ziehen Sie auf die Zeitleiste der Paketabfrage, um den Zeitraum auszuwählen, in dem Sie die PCAP gestartet haben.
- Klicken Sie auf ExtraHop Performance-Systemen auf das Symbol Systemeinstellungen , klicken Die gesamte Verwaltung, und klicken Sie dann auf Paketerfassungen anzeigen und herunterladen im Abschnitt Packet Capture.
Konfigurieren Sie eine präzise PCAP
Präzise Paketerfassungen erfordern ExtraHop-Trigger, mit denen Sie nur die Pakete erfassen können, die Ihren Spezifikationen entsprechen. Trigger sind hochgradig anpassbarer benutzerdefinierter Code, der bei definierten Systemereignissen ausgeführt wird.
Before you begin
Die Paketerfassung muss auf Ihrem ExtraHop-System lizenziert und aktiviert sein.- Trigger-Konzepte
- Einen Auslöser erstellen
- Trigger-API-Referenz
- Gehen Sie durch: Initiieren Sie präzise Paketerfassungen, um Bedingungen ohne Fenster zu analysieren
Im folgenden Beispiel erfasst der Auslöser einen HTTP-Flow mit dem Namen HTTP host <hostname> und stoppt die Erfassung, nachdem maximal 10 Pakete gesammelt wurden.
Nächste Maßnahme
Laden Sie die Paketerfassungsdatei herunter.- Klicken Sie auf Reveal (x) Enterprise systems auf Rekorde aus dem oberen Menü. Wählen Erfassung von Paketen von der Art des Datensatzes Drop-down-Liste. Nachdem die mit Ihrer PCAP verknüpften Datensätze angezeigt wurden, klicken Sie auf das Paketsymbol , und klicken Sie dann auf PCAP herunterladen.
- Klicken Sie auf ExtraHop Performance-Systemen auf das Symbol Systemeinstellungen , klicken Gesamte Verwaltung, und klicken Sie dann auf Paketerfassungen anzeigen und herunterladen im Abschnitt Packet Capture.
Paketerfassungen anzeigen und herunterladen
Wenn Sie Paketerfassungen auf einer virtuellen Festplatte oder auf einer SSD-Festplatte in Ihrem Sensor, können Sie diese Dateien auf der Seite „Paketerfassungen anzeigen" in den Administrationseinstellungen verwalten. Sehen Sie sich für Reveal (x) -Systeme und ExtraHop-Packetstores die Seite Pakete an.
Der Abschnitt Paketerfassungen anzeigen und herunterladen wird nur auf ExtraHop Performance-Systemen angezeigt. Auf Reveal (x) -Systemen werden präzise Paketerfassungsdateien gefunden, indem Datensätze nach dem Datensatztyp für die PCAP durchsucht werden.
- klicken Einstellungen für die PCAP konfigurieren um gespeicherte Paketerfassungen nach der angegebenen Dauer (in Minuten) automatisch zu löschen.
- Sehen Sie sich Statistiken über Ihre Paketerfassungsdiskette an.
- Geben Sie Kriterien an, um Paketerfassungen zu filtern und die Anzahl der in der Paketerfassungsliste angezeigten Dateien zu begrenzen.
- Wählen Sie eine Datei aus der Packet Capture-Liste aus und laden Sie die Datei herunter oder löschen Sie sie.
Hinweis: Sie können keine einzelnen Paketerfassungsdateien aus Reveal (x) -Systemen löschen.
Plattenladen
Sie können vom ExtraHop-System geschriebene Datensätze auf Transaktionsebene an einen unterstützten Recordstore senden und diese Datensätze dann von der Datensatzseite oder der REST-API auf Ihrer Konsole abfragen und Sensoren.
Datensätze von ExtraHop an Google BigQuery senden
Sie können Ihr ExtraHop-System so konfigurieren, dass Datensätze auf Transaktionsebene zur Langzeitspeicherung an einen Google BigQuery-Server gesendet werden, und diese Datensätze dann vom ExtraHop-System und der ExtraHop-REST-API abfragen. Datensätze in BigQuery-Datensatzspeichern laufen nach 90 Tagen ab.
Before you begin
- Auf jeder Konsole und allen angeschlossenen Sensoren muss dieselbe ExtraHop-Firmware-Version ausgeführt werden.
- Sie benötigen die BigQuery-Projekt-ID
- Sie benötigen die Anmeldeinformationsdatei (JSON) von Ihrem BigQuery-Dienstkonto. Für das Dienstkonto sind die Rollen BigQuery Data Editor, BigQuery Data Viewer und BigQuery User erforderlich.
- Für den Zugriff auf den ExtraHop Cloud Recordstore ist Ihr Sensoren muss in der Lage sein, auf
ausgehendes TCP 443 (HTTPS) auf diese vollständig qualifizierten Domainnamen zuzugreifen:
- bigquery.googleapis.com
- bigquerystorage.googleapis.com
- oauth2.googleapis.com
- www.googleapis.com
- www.mtls.googleapis.com
- iamcredentials.googleapis.com
Sie können auch die öffentlichen Leitlinien von Google zu folgenden Themen lesen Berechnung möglicher IP-Adressbereiche für googleapis.com.
- Wenn Sie die BigQuery-Recordstore-Einstellungen mit der Google
Cloud-Workload-Identitätsverbundauthentifizierung konfigurieren möchten, benötigen Sie die Konfigurationsdatei aus
Ihrem Workload-Identitätspool.
Hinweis: Der Workload-Identitätsanbieter muss so eingerichtet sein, dass er als Antwort auf eine Anfrage mit Client-Anmeldeinformationen ein vollständig gültiges OIDC-ID-Token bereitstellt. Weitere Informationen zum Workload-Identitätsverbund finden Sie unter https://cloud.google.com/iam/docs/workload-identity-federation.
BigQuery als Recordstore aktivieren
Hinweis: | Alle Trigger, die für das Senden von Datensätzen konfiguriert sind commitRecord zu einem ExtraHop-Recordstore werden automatisch zu BigQuery umgeleitet. Es ist keine weitere Konfiguration erforderlich. |
Wichtig: | Wenn Ihr ExtraHop-System eine Konsole enthält, konfigurieren Sie alle Appliances mit denselben Recordstore-Einstellungen oder übertragen Sie die Verwaltung, um die Einstellungen von der Konsole aus zu verwalten. |
Wichtig: | Ändern oder löschen Sie die Tabelle in BigQuery, in der die Datensätze gespeichert sind, nicht. Durch das Löschen der Tabelle werden alle gespeicherten Datensätze gelöscht. |
Recordstore-Einstellungen übertragen
Wenn du einen ExtraHop hast Konsole Wenn Sie an Ihre ExtraHop-Sensoren angeschlossen sind, können Sie die Recordstore-Einstellungen auf dem Sensor konfigurieren und verwalten oder die Verwaltung der Einstellungen an den Konsole. Durch die Übertragung und Verwaltung der Recordstore-Einstellungen auf der Konsole können Sie die Recordstore-Einstellungen für mehrere Sensoren auf dem neuesten Stand halten.
Datensätze von ExtraHop an Splunk senden
Sie können das ExtraHop-System so konfigurieren, dass Datensätze auf Transaktionsebene zur Langzeitspeicherung an einen Splunk-Server gesendet werden, und diese Datensätze dann vom ExtraHop-System und der ExtraHop-REST-API abfragen.
- Alle Trigger, die für das Senden von Datensätzen konfiguriert sind commitRecord zu einem Recordstore werden automatisch zum Splunk-Server umgeleitet. Es ist keine weitere Konfiguration erforderlich.
- Wenn Sie von einem verbundenen ExtraHop-Recordstore zu Splunk migrieren, können Sie nicht mehr auf die im Recordstore gespeicherten Datensätze zugreifen.
- Wenn Sie ExtraHop-Daten wie Metriken und Erkennungen in einer Splunk-Oberfläche anzeigen und analysieren möchten, konfigurieren Sie eine Splunk oder Splunk SOAR Integration.
Splunk als Recordstore aktivieren
Wichtig: | Wenn Ihr ExtraHop-System eine Konsole oder Reveal (x) 360 enthält, konfigurieren Sie alle Sensoren mit denselben Recordstore-Einstellungen oder Übertragungsmanagement, um die Einstellungen von der Konsole oder Reveal (x) 360 aus zu verwalten. |
Before you begin
- Auf jeder Konsole und allen angeschlossenen Sensoren muss dieselbe ExtraHop-Firmware-Version ausgeführt werden.
- Sie benötigen Version 7.0.3 oder höher von Splunk Enterprise und ein Benutzerkonto mit Administratorrechte.
- Sie müssen den Splunk HTTP Event Collector konfigurieren, bevor Ihr Splunk-Server ExtraHop-Datensätze empfangen kann. Sehen Sie die Splunk HTTP-Event-Collector Dokumentation für Anweisungen.
Recordstore-Einstellungen übertragen
Wenn du einen ExtraHop hast Konsole Wenn Sie an Ihre ExtraHop-Sensoren angeschlossen sind, können Sie die Recordstore-Einstellungen auf dem Sensor konfigurieren und verwalten oder die Verwaltung der Einstellungen an den Konsole. Durch die Übertragung und Verwaltung der Recordstore-Einstellungen auf der Konsole können Sie die Recordstore-Einstellungen für mehrere Sensoren auf dem neuesten Stand halten.
ExtraHop-Befehlseinstellungen
Das ExtraHop-Befehlseinstellungen Ein Abschnitt auf dem ExtraHop-Sensor ermöglicht es Ihnen, einen Paketsensor mit einer ExtraHop-Konsole zu verbinden. Abhängig von Ihrer Netzwerkkonfiguration können Sie eine Verbindung vom Sensor (getunnelte Verbindung) oder von der Konsole (direkte Verbindung) herstellen.
- Wir empfehlen Ihnen, sich in den Administrationseinstellungen auf Ihrem Konsole und stellen Sie eine direkte Verbindung zum Sensor her. Direkte Verbindungen werden hergestellt von Konsole über HTTPS auf Port 443 und benötigen keinen speziellen Zugriff. Anweisungen dazu finden Sie unter Eine ExtraHop-Konsole mit einem ExtraHop-Sensor verbinden.
- Wenn dein Sensor befindet sich hinter einer Firewall, daraus können Sie eine SSH-Tunnelverbindung herstellen Sensor zu deinem Konsole. Anweisungen dazu finden Sie unter Über einen Sensor eine Verbindung zu einer Konsole herstellen.
Token generieren
Sie müssen ein Token auf einem generieren Sensor bevor Sie eine Verbindung zu einem herstellen können Konsole. Das Token gewährleistet eine sichere Verbindung und macht den Verbindungsprozess weniger anfällig für Machine-in-the-Middle-Angriffe (MITM).
klicken Token generieren und dann vervollständigen Sie die Konfiguration auf Ihrer Konsole.
Über einen Sensor eine Verbindung zu einer Konsole herstellen
Sie können den ExtraHop verbinden Sensor zu der Konsole durch einen SSH-Tunnel.
Before you begin
- Sie können nur eine Verbindung zu einem herstellen Sensor das ist für dieselbe Systemedition lizenziert wie das Konsole. Zum Beispiel ein Konsole auf Reveal (x) kann Enterprise nur eine Verbindung herstellen mit Sensoren auf Reveal (x) Enterprise.
Eine ExtraHop-Konsole mit einem ExtraHop-Sensor verbinden
Du kannst mehrere ExtraHop verwalten Sensoren von einem Konsole. Nachdem Sie das angeschlossen haben Sensoren, können Sie das ansehen und bearbeiten Sensor Eigenschaften, weisen Sie einen Spitznamen zu, aktualisieren Sie die Firmware, überprüfen Sie den Lizenzstatus und erstellen Sie ein Diagnose-Support-Paket.
Video: | Sehen Sie sich die entsprechende Schulung an: Eine Appliance mit einer Reveal (x) Enterprise Console (ECA) verbinden |
Before you begin
Sie können nur eine Verbindung herstellen zu einem Sensor die für dieselbe Systemedition lizenziert ist wie die Konsole. Zum Beispiel ein Konsole auf Reveal (x) Enterprise kann nur eine Verbindung herstellen zu Sensoren auf Reveal (x) Enterprise.Wichtig: | Wir empfehlen dringend Konfiguration eines eindeutigen Hostnamens. Wenn sich die System-IP-Adresse ändert, kann die ExtraHop-Konsole die Verbindung zum System einfach über den Hostnamen wiederherstellen. |
Generieren Sie ein Token auf dem Sensor
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der ExtraHop-Befehlseinstellungen Abschnitt, klicken Sie Token generieren.
- Klicken Sie Token generieren.
- Kopieren Sie das Token und fahren Sie mit dem nächsten Verfahren fort.
Paketsensoren verwalten
Von der ExtraHop-Konsole aus können Sie die angeschlossenen Sensoren anzeigen und einige Verwaltungsaufgaben verwalten.
Markieren Sie das Kontrollkästchen für einen oder mehrere angeschlossene Sensoren. Wählen Sie dann eine der folgenden Verwaltungsaufgaben aus.
- Klicken Sie Lizenz überprüfen um eine Verbindung zum ExtraHop-Lizenzierungsserver herzustellen und den neuesten Status für die ausgewählten Sensoren abzurufen. Wenn Ihre Command-Appliance nicht auf Daten von einem angeschlossenen Sensor zugreifen kann, ist die Lizenz möglicherweise ungültig.
- Klicken Sie Unterstützungsskript ausführen und wählen Sie dann aus den folgenden
Optionen:
- Klicken Sie Standard-Support-Skript ausführen um Informationen über die ausgewählten Sensoren zu sammeln. Sie können diese Diagnosedatei zur Analyse an den ExtraHop Support senden.
- Klicken Sie Benutzerdefiniertes Support-Skript ausführen um eine Datei vom ExtraHop Support hochzuladen, die kleine Systemänderungen oder -verbesserungen enthält.
- Klicken Sie Firmware aktualisieren um den ausgewählten Sensor zu aktualisieren. Sie können eine URL zur Firmware auf dem Kundenportal Website oder laden Sie die Firmware-Datei von Ihrem Computer hoch. Bei beiden Optionen empfehlen wir dringend, die Firmware zu lesen Versionshinweise und die Anleitung zum Firmware-Upgrade.
- Klicken Sie Deaktiviert oder Aktiviere um die Verbindung zwischen Sensoren und Konsolen vorübergehend zu ändern. Wenn diese Verbindung deaktiviert ist, zeigt die Command-Appliance den Sensor nicht an und kann nicht auf die Sensordaten zugreifen.
- Klicken Sie Gerät entfernen um ausgewählte Sensoren dauerhaft abzuschalten.
ExtraHop Recordstore-Einstellungen
Dieser Abschnitt enthält die folgenden Konfigurationseinstellungen für den ExtraHop Recordstore.
Verbinde die Konsole und die Sensoren mit ExtraHop Recordstores
Nachdem Sie einen ExtraHop-Recordstore bereitgestellt haben, müssen Sie eine Verbindung von allen ExtraHop herstellen Sensoren und die Konsole zu den Recordstore-Knoten, bevor Sie nach gespeicherten Datensätzen abfragen können.
Wichtig: | Wenn Ihr Recordstore-Cluster konfiguriert ist mit Knoten nur für Manager, verbinden Sie nur die Sensoren und die Konsole mit den reinen Datenknoten. Stellen Sie keine Verbindung zu den Knoten her, die nur für Manager bestimmt sind. |
Plattenläden verwalten
Von der ExtraHop-Konsole aus können Sie verbundene Recordstores anzeigen und einige administrative Aufgaben verwalten.
Sehen Sie sich Informationen über verbundene Recordstores als einzelne Appliances oder als Teil eines Cluster an.
- Klicken Sie Erkunden Sie Cluster im Feld Name, um die Cluster-Eigenschaften zu öffnen. Sie können einen benutzerdefinierten Spitznamen für den Recordstore hinzufügen und die Cluster-ID anzeigen.
- Klicken Sie auf einen beliebigen Knotennamen, um die Knoteneigenschaften zu öffnen. Durch Anklicken Admin-UI öffnen, können Sie auf die Administrationseinstellungen für den jeweiligen Recordstore zugreifen.
- Zeigen Sie das Datum und die Uhrzeit an, zu denen die Appliance zu dieser Konsole hinzugefügt wurde.
- Sehen Sie sich den Lizenzstatus für Ihre Appliances an.
- Sehen Sie sich die Liste der Aktionen an, die Sie auf dieser Appliance ausführen können.
- In der Spalte Job können Sie den Status aller laufenden Support-Skripts einsehen.
Wählen Sie den Recordstore-Cluster oder einen einzelnen Knoten im Cluster aus, indem Sie auf einen leeren Bereich in der Tabelle klicken, und wählen Sie dann eine der folgenden Verwaltungsaufgaben aus.
- Klicken Sie Unterstützungsskript ausführen und wählen Sie dann aus den folgenden
Optionen:
- Wählen Standard-Support-Skript ausführen um Informationen über den ausgewählten Recordstore zu sammeln. Sie können diese Diagnosedatei zur Analyse an den ExtraHop Support senden.
- Wählen Benutzerdefiniertes Support-Skript ausführen um eine Datei vom ExtraHop Support hochzuladen, die kleine Systemänderungen oder -verbesserungen enthält.
- Klicken Sie Cluster entfernen um den ausgewählten Recordstore dauerhaft zu trennen. Diese Option verhindert nur, dass Sie die Verwaltungsaufgaben auf dieser Seite von der Konsole aus ausführen. Der Recordstore bleibt mit Ihrem Paketsensor verbunden und sammelt weiterhin Datensätze.
Flow-Aufzeichnungen sammeln
Sie können automatisch alle Datenflussdatensätze sammeln und speichern. Dabei handelt es sich um Kommunikationsdaten auf Netzwerkebene zwischen zwei Geräten über ein IP-Protokoll. Wenn Sie diese Einstellung aktivieren, aber keine IP-Adressen oder Portbereiche hinzufügen, werden alle erkannten Flow-Datensätze erfasst. Die Konfiguration von Flow-Datensätzen für die automatische Erfassung ist ziemlich einfach und kann eine gute Möglichkeit sein, die Konnektivität zu Ihrem Recordstore zu testen.
Before you begin
Sie benötigen Zugriff auf ein ExtraHop-System mit Rechte für die System- und Zugriffsadministration.Status des ExtraHop Recordstore
Wenn Sie einen ExtraHop-Plattenladen Recordstore Ihrem verbunden haben Sensor oder Konsole, können Sie auf Informationen über den Recordstore zugreifen.
Die Tabelle auf dieser Seite enthält die folgenden Informationen zu allen verbundenen Datensatzspeichern.
- Aktivität seit
- Zeigt die Zeitstempel als die Plattensammlung begann. Dieser Wert wird automatisch alle 24 Stunden zurückgesetzt.
- Datensatz gesendet
- Zeigt die Anzahl der Datensätze an, die von einem an den Recordstore gesendet wurden Sensor.
- I/O-Fehler
- Zeigt die Anzahl der generierten Fehler an.
- Warteschlange voll (Datensätze gelöscht)
- Zeigt die Anzahl der gelöschten Datensätze an, wenn Datensätze schneller erstellt werden, als sie an den Recordstore gesendet werden können.
ExtraHop Packetstore-Einstellungen
ExtraHop Packetstores sammeln und speichern kontinuierlich unformatierte Paketdaten von Ihrem Sensoren. Verbinde den Sensor zum Packetstore, um mit dem Speichern von Paketen zu beginnen.
Sensoren und Konsole mit dem Packetstore verbinden
Bevor Sie Pakete abfragen können, müssen Sie die Konsole und alle Sensoren zum Packetstore.
An einen Sensor angeschlossen
Mit Sensor und Konsole verbunden
Paketspeicher verwalten
Von der ExtraHop-Konsole aus können Sie verbundene Paketspeicher anzeigen und einige Verwaltungsaufgaben verwalten.
Zeigt Informationen über verbundene Packetstores an.
- klicken Cluster verfolgen im Feld Name, um die Cluster-Eigenschaften zu öffnen. Sie können einen benutzerdefinierten Spitznamen für den Packetstore hinzufügen und die Cluster-ID anzeigen.
- Klicken Sie auf ein beliebiges Gerät, um die Eigenschaften anzuzeigen. Durch Anklicken Admin-UI öffnen, können Sie auf die Administrationseinstellungen für den jeweiligen Packetstore zugreifen.
- Zeigen Sie das Datum und die Uhrzeit an, zu denen die Appliance zu dieser Command-Appliance hinzugefügt wurde.
- Sehen Sie sich den Lizenzstatus für Ihre Appliances an.
- Sehen Sie sich die Liste der Aktionen an, die Sie auf dieser Appliance ausführen können.
- In der Spalte Job können Sie den Status aller laufenden Support-Skripts einsehen.
Wählen Sie einen Packetstore aus. Wählen Sie dann eine der folgenden Verwaltungsaufgaben aus.
- klicken Unterstützungsskript ausführen und wählen Sie dann aus den folgenden
Optionen:
- klicken Standard-Support-Skript ausführen um Informationen über den ausgewählten Packetstore zu sammeln. Sie können diese Diagnosedatei zur Analyse an den ExtraHop Support senden.
- klicken Benutzerdefiniertes Support-Skript ausführen um eine Datei vom ExtraHop Support hochzuladen, die kleine Systemänderungen oder -verbesserungen enthält.
- klicken Firmware aktualisieren um den ausgewählten Packetstore zu aktualisieren. Sie können eine URL zur Firmware auf dem Kundenportal Website oder laden Sie die Firmware-Datei von Ihrem Computer hoch. Bei beiden Optionen empfehlen wir Ihnen dringend, die Firmware zu lesen Versionshinweise und die Anleitung zum Firmware-Upgrade.
- klicken Gerät entfernen um den ausgewählten Packetstore dauerhaft zu trennen. Diese Option verhindert nur, dass Sie die Verwaltungsaufgaben auf dieser Seite von der Konsole aus ausführen. Der Packetstore bleibt mit Ihrem Paketsensor verbunden und sammelt weiterhin Pakete.
Anlage
Allgemeine Akronyme
In diesem Handbuch werden die folgenden gebräuchlichen Akronyme für Computer- und Netzwerkprotokolle verwendet.
Abkürzung | Vollständiger Name |
---|---|
AAA | Authentifizierung, Autorisierung und Abrechnung |
AMF | Format der Aktionsmeldung |
CIFS | Gemeinsames Internet-Dateisystem |
CLI | Befehlszeilenschnittstelle |
CPU | Zentrale Verarbeitungseinheit |
DB | Datenbank |
DHCP | Dynamisches Host-Konfigurationsprotokoll |
DNS | Domainnamensystem |
ERSPAN | Gekapselter RSPAN |
FIX | Austausch von Finanzinformationen |
FTP | FTP |
HTTP | Hypertext-Übertragungsprotokoll |
IBMMQ | IBM Nachrichtenorientierte Middleware |
ICA | Unabhängige Computerarchitektur |
IP | Internet-Protokoll |
iSCSI | Internet-Systemschnittstelle für kleine Computer |
L2 | Schicht 2 |
L3 | Schicht 3 |
L7 | Schicht 7 |
LDAP | Lightweight Directory Access Protocol |
MAC | Medienzugriffskontrolle |
MIB | Informationsbasis für das Management |
NFS | NFS |
NVRAM | Nichtflüchtiger Direktzugriffsspeicher |
RADIUS | Dial-In-Benutzerdienst mit Remoteauthentifizierung |
RPC | Prozeduraufruf aus der Ferne |
RPCAP | Paketerfassung aus der Ferne |
RSS | Größe des Resident-Sets |
SMPP | Peer-to-Peer-Protokoll für Kurznachrichten |
SMTP | Einfaches Nachrichtenübertragungsprotokoll |
SNMP | Einfaches Netzwerkmanagement-Protokoll |
SPAN | Analysator für geschaltete Ports |
SSD | Solid-State-Laufwerk |
SSH | Sichere Shell |
SSL | Sicherer Socket-Layer |
TACACS+ | Terminal Access Controller Zutrittskontrollsystem Plus |
TCP | TCP |
UI | Benutzerschnittstelle |
VLAN | VLAN |
VM | Virtuelle Maschine |
Cisco NetFlow-Geräte konfigurieren
Im Folgenden finden Sie Beispiele für die grundlegende Cisco-Router-Konfiguration für NetFlow. NetFlow wird pro Schnittstelle konfiguriert. Wenn NetFlow auf der Schnittstelle konfiguriert ist, IP-Paket Fluss Informationen werden auf den ExtraHop-Sensor exportiert.
Wichtig: | NetFlow nutzt den SNMP ifIndex-Wert, um Eingangs- und Ausgangsschnittstelleninformationen in Flow-Datensätzen darzustellen. Um die Konsistenz der Schnittstellenberichte zu gewährleisten, aktivieren Sie die SNMP ifIndex-Persistenz auf Geräten, die NetFlow an den Sensor senden. Weitere Informationen zur Aktivierung der SNMP ifIndex-Persistenz auf Ihren Netzwerkgeräten finden Sie in der Konfigurationsanleitung des Geräteherstellers. |
Weitere Informationen zur Konfiguration von NetFlow auf Cisco Switches finden Sie in der Dokumentation zu Ihrem Cisco Router oder auf der Cisco-Website unter www.cisco.com.
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?