Demo Starten

Stellen Sie den ExtraHop Packetstore in AWS bereit

In diesem Handbuch erfahren Sie, wie Sie das ExtraHop Packetstore AMI in Ihrer Amazon Web Services (AWS) -Umgebung starten.

Ihre Umgebung muss die folgenden Anforderungen erfüllen, um einen virtuellen Packetstore in AWS bereitzustellen:
  • Ein AWS-Konto
  • Zugriff auf das Amazon Machine Image (AMI) der ExtraHop Trace Appliance
  • Ein Extrahop Packetstore-Produktschlüssel
  • Ein AWS-Instanztyp, der der Packetstore-VM-Größe am ehesten entspricht, wie folgt:
    Paketspeicher Unterstützte Instanztypen
    ETA 1150 v m 5,x groß, m 5,2 x groß
    Hinweis:Sie können die Größe Ihrer Instanz ändern, ohne den Packetstore erneut bereitzustellen. Sehen Sie die AWS-Dokumentation für Einzelheiten.

Before you begin

Die Amazon Machine Images (AMIs) von ExtraHop-Appliances werden nicht öffentlich geteilt. Bevor Sie mit dem Bereitstellungsverfahren beginnen können, müssen Sie Ihre AWS-Konto-ID an Ihren ExtraHop-Vertreter senden. Ihre Konto-ID wird mit dem ExtraHop AMI verknüpft.
  1. Melden Sie sich mit Ihrem Benutzernamen und Passwort bei AWS an.
  2. Klicken Sie EC2.
  3. Im linken Navigationsbereich unter Bilder, klicken AMIs.
  4. Ändern Sie über der AMI-Tabelle das Filter von Gehört mir zu Private Bilder.
  5. Geben Sie in das Filterfeld ein ExtraHop und drücken Sie dann ENTER.
  6. Markieren Sie das Kontrollkästchen neben dem ExtraHop Packetstore AMI und klicken Sie auf Starten.
  7. Wählen Sie einen der folgenden unterstützten Instance-Typen aus:
    Instanztyp Einzelheiten
    m5.x groß Für die meisten Installationen empfohlen.
    m 5,2 x groß Wählen Sie m 5,2 x groß wenn Sie einen höheren Durchsatz benötigen. Die Kosten für diese Instanz sind höher als für m5.x groß.
  8. Klicken Sie auf Netzwerk Drop-down-Menü und wählen Sie die Standardeinstellung oder eine der VPCs für Ihre Organisation aus.
  9. Optional: Klicken Sie auf IAM-Rolle Drop-down-Menü und wählen Sie eine IAM-Rolle aus.
  10. Aus dem Verhalten beim Herunterfahren Drop-down-Menü, wählen Stopp.
  11. Wählen Sie die Vor versehentlicher Kündigung schützen Ankreuzfeld.
  12. Klicken Sie Weiter: Speicher hinzufügen.
  13. In der Größe (GiB) Feld für den Wurzel Volumen, geben Sie die Größe des Speichervolumens ein. Die minimale Paketspeichergröße beträgt 1000 GiB (1 TB) und die maximale Datenspeichergröße beträgt 2047 GiB (2 TB).
  14. Aus dem Datenträgertyp Drop-down-Menü, wählen Sie entweder Magnetisch oder Allzweck-SSD (GP2). Wenn Sie eine Größe von mehr als 1024 GiB angeben, müssen Sie auswählen Allzweck-SSD (GP2). GP2 bietet eine bessere Speicherleistung, allerdings zu höheren Kosten.
  15. Klicken Sie Weiter: Schlagworte hinzufügen.
  16. Klicken Sie Tag hinzufügen.
  17. In der Wert Feld, geben Sie einen Namen für die Instanz ein.
  18. Klicken Sie Weiter: Sicherheitsgruppe konfigurieren.
  19. Wählen Sie eine vorhandene Sicherheitsgruppe aus oder erstellen Sie eine neue Sicherheitsgruppe mit den erforderlichen Ports.
  20. Klicken Sie Regel hinzufügen und fügen Sie die folgenden Ports hinzu:
    Typ Port-Bereich
    SSH 22
    Benutzerdefiniertes TCP 443
    Benutzerdefiniertes TCP 2003
    Benutzerdefiniertes UDP 2003

    Die TCP-Ports 22 und 443 sind für die Verwaltung des ExtraHop-Systems erforderlich. Der TCP- und UDP-Port 2003 ist für die Paketweiterleitung erforderlich.

  21. Klicken Sie Überprüfung und Markteinführung.
  22. Wählen Sie die Startvolumenoption, die Sie in Schritt 14 ausgewählt haben, und klicken Sie dann auf Weiter.
    Hinweis:Wenn Sie wählen Allzweckmodell (SSD) herstellen... (empfohlen), Sie werden diesen Schritt bei nachfolgenden Instance-Starts nicht sehen.
  23. Überprüfen Sie die AMI-Details, den Instance-Typ und die Sicherheitsgruppeninformationen und klicken Sie dann auf Starten.
  24. Klicken Sie im Popup-Fenster auf das erste Drop-down-Menü und wählen Sie Fahren Sie ohne Schlüsselpaar fort.
  25. Klicken Sie auf Ich erkenne an... Ankreuzen und dann klicken Instanzen starten.
  26. Klicken Sie Instanzen anzeigen um zur AWS-Managementkonsole zurückzukehren.

    Von der AWS-Managementkonsole aus können Sie Ihre Instance auf der Initialisieren Bildschirm.

    Unter dem Tisch, auf dem Beschreibung Auf der Registerkarte finden Sie eine Adresse oder einen Hostnamen für das ExtraHop-System, auf das von Ihrer Umgebung aus zugegriffen werden kann.

Nächste Maßnahme

Erstellen Sie ein Traffic Mirror-Ziel

Führen Sie diese Schritte für jedes Elastic Netzwerk Interface (ENI) aus, das Sie erstellt haben.

  1. Klicken Sie in der AWS-Managementkonsole im oberen Menü auf Dienstleistungen.
  2. Klicken Sie Netzwerke und Inhaltsbereitstellung > VPC.
  3. Klicken Sie im linken Bereich unter Traffic Mirroring auf Ziele spiegeln.
  4. Klicken Sie Verkehrsspiegelziel erstellen.
  5. Optional: Geben Sie im Feld Namens-Tag einen beschreibenden Namen für das Ziel ein.
  6. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Ziel ein.
  7. Aus dem Typ des Ziels Wählen Sie im Dropdownmenü Network Load Balancer aus.
  8. Aus dem Ziel Wählen Sie im Dropdownmenü den Elastic Load Balancer aus, den Sie zuvor erstellt haben.
  9. Klicken Sie Erstellen.
Notieren Sie sich die Ziel-ID für jeden Elastic Load Balancer. Sie benötigen die ID, wenn Sie eine Traffic Mirror-Sitzung erstellen.

Erstellen Sie einen Verkehrsspiegelfilter

Sie müssen einen Filter erstellen, um den Verkehr von Ihren ENI-Traffic-Spiegelquellen zu Ihrem ExtraHop-System zuzulassen oder einzuschränken.

Wir empfehlen die folgenden Filterregeln, um zu verhindern, dass doppelte Frames von Peer-EC2-Instances, die sich in einer einzelnen VPC befinden, auf die Sensor.
  • Der gesamte ausgehender Datenverkehr wird gespiegelt auf Sensor, ob der Datenverkehr von einem Peer-Gerät zu einem anderen im Subnetz gesendet wird oder ob der Verkehr an ein Gerät außerhalb des Subnetzes gesendet wird.
  • Eingehender Verkehr wird nur gespiegelt auf Sensor wenn der Verkehr von einem externen Gerät stammt. Diese Regel stellt beispielsweise sicher, dass eine App-Serveranfrage nicht zweimal gespiegelt wird: einmal vom sendenden App-Server und einmal von der Datenbank, die die Anfrage erhalten hat.
  • Regelnummern bestimmen die Reihenfolge, in der die Filter angewendet werden. Regeln mit niedrigeren Zahlen, z. B. 100, werden zuerst angewendet.
Wichtig:Diese Filter sollten nur angewendet werden, wenn alle Instanzen in einem CIDR-Block gespiegelt werden.
  1. Klicken Sie in der AWS-Managementkonsole im linken Bereich unter Traffic Mirroring auf Spiegelfilter.
  2. klicken Verkehrsspiegelfilter erstellen.
  3. In der Namensschild Feld, geben Sie einen Namen für den Filter ein.
  4. In der Beschreibung Feld, geben Sie eine Beschreibung für den Filter ein.
  5. Unter Netzwerkdienste, wählen Sie die Amazon-DNS Ankreuzfeld.
  6. In der Regeln für eingehenden Verkehr Abschnitt, klicken Regel hinzufügen.
  7. Konfigurieren Sie eine Regel für eingehenden Verkehr:
    1. In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 100.
    2. Aus dem Regelaktion Drop-down-Menü, wählen ablehnen.
    3. Aus dem Protokoll Drop-down-Menü, wählen Alle Protokolle.
    4. In der Quell-CIDR-Block Feld, geben Sie den CIDR-Block für das Subnetz ein.
    5. In der Ziel-CIDR-Block Feld, geben Sie den CIDR-Block für das Subnetz ein.
    6. In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
  8. Klicken Sie in den Abschnitten „Regeln für eingehenden Verkehr" auf Regel hinzufügen.
  9. Konfigurieren Sie eine zusätzliche Regel für eingehenden Datenverkehr:
    1. In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 200.
    2. Aus dem Regelaktion Drop-down-Menü, wählen akzeptieren.
    3. Aus dem Protokoll Drop-down-Menü, wählen Alle Protokolle.
    4. In der Quell-CIDR-Block Feld, Typ 0,0,0,0/0.
    5. In der Ziel-CIDR-Block Feld, Typ 0,0,0,0/0.
    6. In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
  10. Klicken Sie im Abschnitt Regeln für ausgehenden Datenverkehr auf Regel hinzufügen.
  11. Konfigurieren Sie eine Regel für ausgehenden Datenverkehr:
    1. In der Zahl Feld, geben Sie eine Zahl für die Regel ein, z. B. 100.
    2. Aus dem Regelaktion Drop-down-Menü, wählen akzeptieren.
    3. Aus dem Protokoll Drop-down-Menü, wählen Alle Protokolle.
    4. In der Quell-CIDR-Block Feld, Typ 0,0,0,0/0.
    5. In der Ziel-CIDR-Block Feld, Typ 0,0,0,0/0.
    6. In der Beschreibung Feld, geben Sie eine Beschreibung für die Regel ein.
  12. Klicken Sie Erstellen.

Erstellen Sie eine Traffic Mirror-Sitzung

Sie müssen eine Sitzung für die AWS-Ressource erstellen, die Sie überwachen möchten. Sie können maximal 500 Traffic Mirror-Sitzungen pro Sitzung erstellen. Sensor. Sie müssen nur eine eingehende und eine ausgehende Regel erstellen, und beide müssen den gesamten Datenverkehr von jedem Protokoll zulassen.

Wichtig:Um zu verhindern, dass Spiegelpakete gekürzt werden, legen Sie den MTU-Wert der Traffic Mirror-Quellschnittstelle auf 54 Byte unter dem Ziel-MTU-Wert für IPv4 und 74 Byte unter dem MTU des Traffic Mirror-Zielwerts für IPv6 fest. Weitere Informationen zur Konfiguration des Netzwerk-MTU-Werts finden Sie in der folgenden AWS-Dokumentation: Network Maximum Transmission Unit (MTU) für Ihre EC2-Instance .
  1. Klicken Sie in der AWS-Managementkonsole im linken Bereich unter Traffic Mirroring auf Spiegelsitzungen.
  2. Klicken Sie Traffic Mirror-Sitzung erstellen.
  3. In der Namensschild Feld, geben Sie einen beschreibenden Namen für die Sitzung ein.
  4. In der Beschreibung Feld, geben Sie eine Beschreibung für die Sitzung ein.
  5. Aus dem Spiegelquelle Wählen Sie im Drop-down-Menü die Quell-ENI aus.
    Die Quell-ENI ist normalerweise an die EC2-Instance angehängt, die Sie überwachen möchten.
  6. Aus dem Spiegelziel Wählen Sie im Dropdownmenü die für die Ziel-ENI generierte Traffic Mirror-Ziel-ID aus.
  7. In der Nummer der Sitzung Feld, Typ 1.
  8. Für die VNI-Feld, lass dieses Feld leer.
    Das System weist eine zufällige eindeutige VNI zu.
  9. Für die Länge des Pakets Feld, lasse dieses Feld leer.
    Dies spiegelt das gesamte Paket wider.
  10. Aus dem Filter Wählen Sie im Dropdownmenü die ID für den von Ihnen erstellten Traffic Mirror-Filter aus.
  11. Klicken Sie Erstellen.
Last modified 2025-02-04