Stellen Sie den ExtraHop Packetstore in AWS bereit
In diesem Handbuch erfahren Sie, wie Sie das ExtraHop Packetstore AMI in Ihrer Amazon Web Services (AWS) -Umgebung starten.
Ihre Umgebung muss die folgenden Anforderungen erfüllen, um einen virtuellen
Packetstore in AWS bereitzustellen:
- Ein AWS-Konto
- Zugriff auf das Amazon Machine Image (AMI) der ExtraHop Trace Appliance
- Ein Extrahop Packetstore-Produktschlüssel
- Ein AWS-Instanztyp, der der Packetstore-VM-Größe am ehesten entspricht, wie
folgt:
Paketspeicher Unterstützte Instanztypen ETA 1150 v m 5,x groß, m 5,2 x groß Hinweis: Sie können die Größe Ihrer Instanz ändern, ohne den Packetstore erneut bereitzustellen. Sehen Sie die AWS-Dokumentation für Einzelheiten.
Before you begin
Die Amazon Machine Images (AMIs) von ExtraHop-Appliances werden nicht öffentlich geteilt. Bevor Sie mit dem Bereitstellungsverfahren beginnen können, müssen Sie Ihre AWS-Konto-ID an Ihren ExtraHop-Vertreter senden. Ihre Konto-ID wird mit dem ExtraHop AMI verknüpft.Nächste Maßnahme
- Registrieren Sie Ihr ExtraHop-System
- Überprüfen Sie die Checkliste für die Trace-Appliance nach der Bereitstellung .
- Verbinden Sie die Command and Discover-Appliances mit der Trace-Appliance.
- Konfigurieren Sie Remote Packet Capture (RPCAP), um den Datenverkehr von Remote-Geräten an Ihren virtuellen Packetstore weiterzuleiten. Weitere Informationen finden Sie unter RPCAP für einen ExtraHop-Packetstore konfigurieren.
- (Empfohlen) Konfigurieren Spiegelung des AWS-Datenverkehrs um den Netzwerkverkehr von Ihren EC2-Instances auf eine RPCAP/ERSPAN/VXLAN/GENEVE-Schnittstelle in Ihrem Packetstore zu kopieren.
Erstellen Sie ein Traffic Mirror-Ziel
Führen Sie diese Schritte für jedes Elastic Netzwerk Interface (ENI) aus, das Sie erstellt haben.
- Klicken Sie in der AWS-Managementkonsole im oberen Menü auf Dienstleistungen.
- Klicken Sie .
- Klicken Sie im linken Bereich unter Traffic Mirroring auf Ziele spiegeln.
- Klicken Sie Verkehrsspiegelziel erstellen.
- Optional: Geben Sie im Feld Namens-Tag einen beschreibenden Namen für das Ziel ein.
- Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Ziel ein.
- Aus dem Typ des Ziels Wählen Sie im Dropdownmenü Network Load Balancer aus.
- Aus dem Ziel Wählen Sie im Dropdownmenü den Elastic Load Balancer aus, den Sie zuvor erstellt haben.
- Klicken Sie Erstellen.
Notieren Sie sich die Ziel-ID für jeden Elastic Load Balancer. Sie
benötigen die ID, wenn Sie eine Traffic Mirror-Sitzung erstellen.
Erstellen Sie einen Verkehrsspiegelfilter
Sie müssen einen Filter erstellen, um den Verkehr von Ihren ENI-Traffic-Spiegelquellen zu Ihrem ExtraHop-System zuzulassen oder einzuschränken.
Wir empfehlen die folgenden Filterregeln, um zu verhindern, dass doppelte Frames
von Peer-EC2-Instances, die sich in einer einzelnen VPC befinden, auf die Sensor.
- Der gesamte ausgehender Datenverkehr wird gespiegelt auf Sensor, ob der Datenverkehr von einem Peer-Gerät zu einem anderen im Subnetz gesendet wird oder ob der Verkehr an ein Gerät außerhalb des Subnetzes gesendet wird.
- Eingehender Verkehr wird nur gespiegelt auf Sensor wenn der Verkehr von einem externen Gerät stammt. Diese Regel stellt beispielsweise sicher, dass eine App-Serveranfrage nicht zweimal gespiegelt wird: einmal vom sendenden App-Server und einmal von der Datenbank, die die Anfrage erhalten hat.
- Regelnummern bestimmen die Reihenfolge, in der die Filter angewendet werden. Regeln mit niedrigeren Zahlen, z. B. 100, werden zuerst angewendet.
Wichtig: | Diese Filter sollten nur angewendet werden, wenn alle Instanzen in einem CIDR-Block gespiegelt werden. |
- Klicken Sie in der AWS-Managementkonsole im linken Bereich unter Traffic Mirroring auf Spiegelfilter.
- klicken Verkehrsspiegelfilter erstellen.
- In der Namensschild Feld, geben Sie einen Namen für den Filter ein.
- In der Beschreibung Feld, geben Sie eine Beschreibung für den Filter ein.
- Unter Netzwerkdienste, wählen Sie die Amazon-DNS Ankreuzfeld.
- In der Regeln für eingehenden Verkehr Abschnitt, klicken Regel hinzufügen.
-
Konfigurieren Sie eine Regel für eingehenden Verkehr:
- In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 100.
- Aus dem Regelaktion Drop-down-Menü, wählen ablehnen.
- Aus dem Protokoll Drop-down-Menü, wählen Alle Protokolle.
- In der Quell-CIDR-Block Feld, geben Sie den CIDR-Block für das Subnetz ein.
- In der Ziel-CIDR-Block Feld, geben Sie den CIDR-Block für das Subnetz ein.
- In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
- Klicken Sie in den Abschnitten „Regeln für eingehenden Verkehr" auf Regel hinzufügen.
-
Konfigurieren Sie eine zusätzliche Regel für eingehenden Datenverkehr:
- In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 200.
- Aus dem Regelaktion Drop-down-Menü, wählen akzeptieren.
- Aus dem Protokoll Drop-down-Menü, wählen Alle Protokolle.
- In der Quell-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Ziel-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
- Klicken Sie im Abschnitt Regeln für ausgehenden Datenverkehr auf Regel hinzufügen.
-
Konfigurieren Sie eine Regel für ausgehenden Datenverkehr:
- In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 100.
- Aus dem Regelaktion Drop-down-Menü, wählen akzeptieren.
- Aus dem Protokoll Drop-down-Menü, wählen Alle Protokolle.
- In der Quell-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Ziel-CIDR-Block Feld, Typ 0,0,0,0/0.
- In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
- Klicken Sie Erstellen.
Erstellen Sie eine Traffic Mirror-Sitzung
Sie müssen eine Sitzung für die AWS-Ressource erstellen, die Sie überwachen möchten. Sie können maximal 500 Traffic Mirror-Sitzungen pro Sitzung erstellen. Sensor. Sie müssen nur eine eingehende und eine ausgehende Regel erstellen, und beide müssen den gesamten Datenverkehr von jedem Protokoll zulassen.
Wichtig: | Um zu verhindern, dass Spiegelpakete gekürzt werden, legen Sie den MTU-Wert der Traffic Mirror-Quellschnittstelle auf 54 Byte unter dem Ziel-MTU-Wert für IPv4 und 74 Byte unter dem MTU des Traffic Mirror-Zielwerts für IPv6 fest. Weitere Informationen zur Konfiguration des Netzwerk-MTU-Werts finden Sie in der folgenden AWS-Dokumentation: Network Maximum Transmission Unit (MTU) für Ihre EC2-Instance . |
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?