Guide de l'interface utilisateur d'administration
Présentation de l'interface d'administration ExtraHop
Le guide de l'interface utilisateur d'administration fournit des informations détaillées sur les caractéristiques d'administration et les fonctionnalités d'ExtraHop capteurs et consoles. Ce guide fournit une vue d'ensemble de la navigation globale et des informations sur les commandes, les champs et les options disponibles dans l' interface utilisateur.
Après avoir déployé votre sonde ou console, consultez le Liste de contrôle après le déploiement des capteurs et des consoles.
Vos commentaires sont importants pour nous. Merci de nous indiquer comment nous pouvons améliorer ce document. Envoyez vos commentaires ou suggestions à documentation@extrahop.com.
Navigateurs pris en charge
Les navigateurs suivants sont compatibles avec tous les systèmes ExtraHop. Appliquez les fonctionnalités d'accessibilité et de compatibilité fournies par votre navigateur pour accéder au contenu par le biais d'outils technologiques d'assistance.
- Firefox
- Google Chrome
- Microsoft Edge
- Safari
Important : | Internet Explorer 11 n'est plus pris en charge. Nous vous recommandons d' installer la dernière version de tout navigateur compatible. |
État et diagnostics
La section État et diagnostics fournit des statistiques sur l'état général de votre système ExtraHop.
Santé
La page Santé fournit un ensemble de statistiques qui vous aident à surveiller le fonctionnement de votre système ExtraHop et permettent au support ExtraHop de résoudre les erreurs du système si nécessaire.
- Système
- Indique les informations suivantes concernant l'utilisation du processeur et du disque dur du système.
- Utilisateur du processeur
- Pourcentage d'utilisation du processeur associé à l'utilisateur du système ExtraHop.
- Système CPU
- Pourcentage d'utilisation du processeur associé au système ExtraHop.
- CPU inactif
- Le pourcentage d'inactivité du processeur associé au système ExtraHop.
- CPU IO
- Pourcentage d'utilisation du processeur associé aux fonctions d'E/S du système ExtraHop.
- État du pont
- Indique les informations suivantes concernant le composant de pont du système ExtraHop.
- VM RSS
- Le pont traite la mémoire physique utilisée.
- Données de machine virtuelle
- Le processus de pont monopolise la mémoire virtuelle utilisée.
- Taille de la machine virtuelle
- Le pont traite la totalité de la mémoire virtuelle utilisée.
- Heure de début
- Spécifie l'heure de début du composant de pont du système ExtraHop.
- État de la capture
- Indique les informations suivantes concernant l'état de capture du réseau du système ExtraHop.
- VM RSS
- Le processus de capture réseau utilise la mémoire physique.
- Données de machine virtuelle
- Le processus de capture réseau occupe un tas de mémoire virtuelle en cours d'utilisation.
- Taille de la machine virtuelle
- Le processus de capture réseau couvre la totalité de la mémoire virtuelle utilisée.
- Heure de début
- Heure de début de la capture du réseau ExtraHop.
- État du service
- Indique l'état des services du système ExtraHop.
- exalertes
- Durée pendant laquelle le service d'alerte du système ExtraHop a fonctionné.
- étendre
- Durée pendant laquelle le service ExtraHop System Trend a fonctionné.
- exconfig
- Durée pendant laquelle le service de configuration du système ExtraHop a été exécuté.
- exporté
- Durée pendant laquelle le service de portail Web du système ExtraHop a été exécuté.
- exshell
- Durée pendant laquelle le service shell du système ExtraHop a été exécuté.
- Interfaces
- Indique l'état des interfaces du système ExtraHop.
- Paquets RX
- Le nombre de paquets reçus par l'interface spécifiée sur le système ExtraHop.
- Erreurs RX
- Le nombre d'erreurs de paquets reçues sur le paquet spécifié interface.
- RX Drops
- Le nombre de paquets reçus supprimés par le paramètre spécifié interface.
- Paquets TX
- Le nombre de paquets transmis par l'interface spécifiée sur le système ExtraHop.
- Erreurs TX
- Le nombre d'erreurs de paquet transmises sur le paquet spécifié interface.
- Texas Drops
- Le nombre de paquets transmis supprimés par le paramètre spécifié interface.
- Octets RX
- Le nombre d'octets reçus par l'interface spécifiée sur Système ExtraHop.
- Octets TX
- Le nombre d'octets transmis par l'interface spécifiée sur le système ExtraHop.
- Cloisons
- Indique la mémoire allouée aux composants du système ExtraHop.
- Nom
- Composants du système dotés d'une partition mémoire dans la mémoire NVRAM.
- Des options
- Les options de lecture-écriture pour les composants du système.
- Taille
- Taille de partition en gigaoctets allouée au composant système.
- Utilisation
- Quantité de mémoire actuellement consommée par les composants du système, en quantité et en pourcentage de la partition totale.
Journal d'audit
Le journal dac.audit fournit des données sur les opérations de votre système ExtraHop, ventilées par composant. Le journal dac.audit répertorie tous les événements connus par horodateur, dans l'ordre chronologique inverse.
Envoyer les données du journal daudit à un serveur Syslog distant
Le journal daudit collecte des données sur le fonctionnement du système ExtraHop, ventilées par composant. Le journal stocké dans le système a une capacité de 10 000 entrées, et les entrées datant de plus de 90 jours sont automatiquement supprimées. Vous pouvez consulter ces entrées dans les paramètres d'administration ou envoyer les événements du journal daudit à un serveur Syslog à des fins de stockage à long terme, de surveillance et d'analyse avancée. Tous les événements enregistrés sont répertoriés dans le tableau ci-dessous.
Les étapes suivantes vous montrent comment configurer le système ExtraHop pour envoyer les données du journal daudit à un serveur Syslog distant.
Que faire ensuite
Après avoir vérifié que vos nouveaux paramètres fonctionnent comme prévu, conservez vos modifications de configuration en enregistrant le fichier de configuration en cours d'exécution.Événements du journal d'audit
Les événements suivants sur un système ExtraHop génèrent une entrée dans le journal d'audit.
Catégorie | Événement |
---|---|
Accords |
|
API |
|
Migration des capteurs |
|
Sessions du navigateur |
|
Services dans le cloud |
|
Console |
|
Tableaux de bord |
|
Banque de données |
|
Détections |
|
Fichiers d'exception |
|
Enregistrements de l'espace de stockage des enregistrements ExtraHop |
|
cluster d'espace de stockage des enregistrements ExtraHop |
|
Service de mise à jour ExtraHop |
|
Micrologiciel |
|
Politiques mondiales |
|
Intégrations |
|
Licence |
|
Connectez-vous au système ExtraHop |
|
Connectez-vous depuis l'API SSH ou REST |
|
Modules |
|
Réseau |
|
Capture hors ligne |
|
PCAP |
|
Accès à distance |
|
RPCAP |
|
Configuration en cours d'exécution |
|
Fournisseur d'identité SAML |
|
Connexion SAML |
|
Privilèges SAML |
|
Décryptage SSL |
|
Clés de session SSL |
|
Compte d'assistance |
|
Script de support |
|
Syslog |
|
État du système et du service |
|
Heure du système |
|
Utilisateur du système |
|
Briefings sur les menaces |
|
stockage des paquets ExtraHop |
|
Tendances |
|
DÉCLENCHEURS |
|
Groupes d'utilisateurs |
|
Empreinte
Les empreintes digitales aident à protéger les appareils contre les attaques par des machines intermédiaires en fournissant un identifiant unique qui peut être vérifié lors de la connexion des appareils ExtraHop.
Lorsque vous connectez une appliance Explore ou Trace à une appliance Discover ou Command, assurez-vous que l'empreinte digitale affichée est exactement la même que celle affichée sur la page de connexion ou de jumelage.
Si les empreintes digitales ne correspondent pas, les communications entre les appareils ont peut-être été interceptées et modifiées.
Fichiers d'exception
Les fichiers d'exception sont un fichier central des données stockées en mémoire. Lorsque vous activez le paramètre Fichier d' exception, le fichier principal est écrit sur le disque si le système s'arrête ou redémarre de façon inattendue. Ce fichier peut aider le support ExtraHop à diagnostiquer le problème.
- Cliquez Activer les fichiers d'exception ou Désactiver les fichiers d'exception pour activer ou désactiver l'enregistrement des fichiers d'exception.
Scripts d'assistance
Le support ExtraHop peut fournir un script d'assistance qui peut appliquer un paramètre spécial, apporter un petit ajustement au système ExtraHop ou fournir de l'aide pour l'assistance à distance ou les paramètres améliorés . Les paramètres d'administration vous permettent de télécharger et d'exécuter des scripts de support.
Réglages réseau
Le Réglages réseau cette section fournit les paramètres de configuration de votre système ExtraHop. Ces paramètres vous permettent de définir un nom d'hôte, de configurer des notifications et de gérer les connexions à votre système.
Connectez-vous aux services cloud ExtraHop
ExtraHop Cloud Services fournit un accès aux services basés sur le cloud ExtraHop via une connexion cryptée. Les services auxquels vous êtes connecté sont déterminés par la licence de votre système.
- Le service d'apprentissage automatique ExtraHop permet de détecter votre système ExtraHop. Dans Reveal (x) Enterprise, vous pouvez activer les détections de sécurité uniquement ou les détections de sécurité et de performance.
- Les utilisateurs de Reveal (x) Enterprise peuvent envoyer des données au service d'apprentissage automatique en activant les services cloud ExtraHop dans les paramètres d'administration. Par exemple, le système peut envoyer des adresses IP externes en texte brut, des noms de domaine et des noms d'hôte associés à un comportement suspect détecté. Ce paramètre est activé dans Reveal (x) 360 par défaut et ne peut pas être désactivé. Voir le FAQ sur l'analyse collective des menaces pour plus d'informations. Pour une liste complète des types de données envoyés au service d'apprentissage automatique ExtraHop et pour voir comment les données sont appliquées pour améliorer la détection des menaces, consultez la section sur l'apprentissage automatique du Présentation de la sécurité, de la confidentialité et de la confiance d'ExtraHop.
- Le service de mise à jour ExtraHop permet de mettre à jour automatiquement les ressources du système ExtraHop, telles que les packages de rançongiciels.
- ExtraHop Remote Access vous permet d'autoriser les membres de l'équipe du compte ExtraHop, les analystes d' ExtraHop Atlas et le support ExtraHop à se connecter à votre système ExtraHop pour obtenir de l'aide à la configuration. Si vous avez souscrit au service d'Analyse distante d' Atlas, les analystes d'ExtraHop peuvent effectuer une analyse impartiale des données de votre réseau et signaler les domaines de votre infrastructure informatique susceptibles d'être améliorés. Voir le FAQ sur l'accès à distance pour plus d'informations sur les utilisateurs d'accès à distance.
Before you begin
- Les systèmes Reveal (x) 360 sont automatiquement connectés aux services cloud ExtraHop, mais vous devrez peut-être autoriser l'accès via des pare-feux réseau.
- Vous devez appliquer la licence correspondante sur le système ExtraHop avant de pouvoir vous connecter à ExtraHop Cloud Services. Voir le FAQ sur les licences pour plus d'informations.
- Vous devez avoir configuré ou privilèges d'administration du système et des accès pour accéder aux paramètres d'administration.
Configurez vos règles de pare-feu
Si votre système ExtraHop est déployé dans un environnement doté d'un pare-feu, vous devez ouvrir l' accès aux services cloud ExtraHop. Pour les systèmes Reveal (x) 360 connectés à des systèmes autogérés capteurs, vous devez également ouvrir l'accès à l'ExtraHop Cloud Recordstore.
Accès ouvert aux services cloud
Pour accéder aux services cloud ExtraHop, votre capteurs doit être capable de résoudre les requêtes DNS pour*.extrahop.com et d'accéder au protocole TCP 443 (HTTPS) à partir de l'adresse IP correspondant à votre sonde licence :
- 35.161.154.247 (Portland, États-Unis)
- 54.66.242,25 (Sydney, Australie)
- 52.59.110.168 (Francfort, Allemagne)
Accès ouvert au Cloud Recordstore
Pour accéder à l'ExtraHop Cloud Recordstore, votre capteurs doit être en mesure d' accéder au protocole TCP 443 (HTTPS) sortant à ces noms de domaine complets :
- bigquery.googleapis.com
- bigquerystorage.googleapis.com
- oauth2.googleapis.com
- www.googleapis.com
- www.mtls.googleapis.com
- iamcredentials.googleapis.com
Vous pouvez également consulter les conseils publics de Google à propos de calcul des plages d'adresses IP possibles pour googleapis.com.
Outre la configuration de l'accès à ces domaines, vous devez également configurer le paramètres globaux du serveur proxy.
Connectez-vous aux services cloud ExtraHop via un proxy
Si vous ne disposez pas d'une connexion Internet directe, vous pouvez essayer de vous connecter aux services cloud ExtraHop via un proxy explicite.
Before you begin
Vérifiez si votre fournisseur de proxy est configuré pour exécuter le protocole MITM (machine-in-the-middle) lors du tunneling SSH via HTTP CONNECT vers localhost:22. Les services cloud ExtraHop déploient un tunnel SSH interne crypté, de sorte que le trafic ne sera pas visible lors de l'inspection MITM. Nous vous recommandons de créer une exception de sécurité et de désactiver l' inspection MITM pour ce trafic.Important : | Si vous ne parvenez pas à désactiver MITM sur votre proxy, vous devez désactiver la validation des certificats dans le fichier de configuration du système ExtraHop en cours d'exécution. Pour plus d'informations, voir Contourner la validation des certificats. |
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Réglages réseau section, cliquez Connectivité.
- Cliquez Activer le proxy cloud ExtraHop.
- Entrez le nom d'hôte de votre serveur proxy, tel que hôte proxy.
- Tapez le port de votre serveur proxy, tel que 8080.
- Facultatif : Si nécessaire, saisissez un nom d'utilisateur et un mot de passe pour votre serveur proxy.
- Cliquez Sauver.
Contourner la validation des certificats
Certains environnements sont configurés de manière à ce que le trafic chiffré ne puisse pas quitter le réseau sans inspection par un équipement tiers. Cet équipement peut agir comme un point de terminaison SSL/TLS qui déchiffre et rechiffre le trafic avant d'envoyer les paquets aux services cloud ExtraHop.
Remarque : | La procédure suivante nécessite de se familiariser avec la modification du fichier de configuration en cours d'exécution d'ExtraHop. |
Connectivité
La page Connectivité contient des commandes pour les connexions de votre appliance et les paramètres réseau.
- État de l'interface
- Sur les appareils physiques, un schéma des connexions d'interface apparaît, qui est mis à jour
dynamiquement en fonction de l'état du port.
- Le port Ethernet bleu est destiné à la gestion
- Un port Ethernet noir indique un port sous licence et activé qui est actuellement en panne
- Un port Ethernet vert indique un port connecté actif
- Un port Ethernet gris indique un port désactivé ou sans licence
- Réglages réseau
-
- Cliquez Modifier les paramètres pour ajouter un nom d'hôte pour votre appliance ExtraHop ou pour ajouter des serveurs DNS.
- Paramètres du proxy
-
- Activez un proxy global pour se connecter à un appareil ExtraHop Command
- Activez un proxy cloud pour vous connecter à ExtraHop Cloud Services
- Paramètres de l'interface Bond
-
- Créez un interface de liaison pour relier plusieurs interfaces en une seule interface logique avec une seule adresse IP.
- Interfaces
- Affichez et configurez vos interfaces de gestion et de surveillance. Cliquez sur n'importe quelle interface pour afficher les options de réglage.
- Paramètres Netskope
-
- Activer l'ingestion de paquets Netskope sur votre sonde pour détecter et surveiller les appareils grâce à une intégration Netskope .
Configuration d'une interface
Débit de l'interface
Plus de houblon sonde les modèles EDA 6100, EDA 8100 et EDA 9100 sont optimisés pour capturer le trafic exclusivement sur les ports 10 GbE.
L'activation des interfaces 1 GbE pour surveiller le trafic peut avoir un impact sur les performances, en fonction de l'ExtraHop sonde. Bien que vous puissiez les optimiser capteurs pour capturer le trafic simultanément sur les ports 10 GbE et les trois ports 1 GbE non gérés, nous vous recommandons de contacter le support ExtraHop pour obtenir de l'aide afin d'éviter une réduction du débit.
Remarque : | Les capteurs EDA 6200, EDA 8200, EDA 9200 et EDA 10200 ne sont pas susceptibles d'être réduits si vous activez des interfaces 1 GbE pour surveiller le trafic. |
Capteur ExtraHop | Débit | Détails |
---|---|---|
À PARTIR DE 910 | Débit standard de 40 Gbit/s | Si les interfaces 1 GbE non destinées à la gestion sont désactivées, vous pouvez utiliser jusqu'à quatre des interfaces 10 GbE pour un débit combiné allant jusqu'à 40 Gbit/s. |
À PARTIR DE 810 | Débit standard de 20 Gbit/s | Si les interfaces 1 GbE non destinées à la gestion sont désactivées, vous pouvez utiliser l'une des interfaces 10 GbE ou les deux pour un débit combiné allant jusqu'à 20 Gbit/s. |
ÉD. 610 | Débit standard de 10 Gbit/s | Si les interfaces 1 GbE non destinées à la gestion sont désactivées, le débit combiné total maximal est de 10 Gbit/s. |
ÉD. 310 | Débit standard de 3 Gbit/s | Pas d'interface 10 GbE |
ÉD. 1100 | Débit standard de 1 Gbit/s | Pas d'interface 10 GbE |
Définissez un itinéraire statique
Before you begin
Vous devez désactiver DHCPv4 avant de pouvoir ajouter une route statique.- Sur le Interface d'édition page, assurez-vous que Adresse IPv4 et Masque de réseau les champs sont remplis et enregistrés, puis cliquez sur Modifier les itinéraires.
- Dans le Ajouter un itinéraire section, saisissez une plage d'adresses réseau en notation CIDR dans le Réseau champ et adresse IPv4 dans le Par IP champ, puis cliquez sur Ajouter.
- Répétez l'étape précédente pour chaque itinéraire que vous souhaitez ajouter.
- Cliquez Enregistrer.
serveur proxy mondial
Si la topologie de votre réseau nécessite un serveur proxy pour permettre à votre système ExtraHop de communiquer soit avec un console ou avec d'autres appareils en dehors du réseau local, vous pouvez activer votre système ExtraHop pour qu'il se connecte à un serveur proxy que vous avez déjà sur votre réseau. La connexion Internet n'est pas requise pour le serveur proxy global.
Remarque : | Un seul serveur proxy global peut être configuré par système ExtraHop. |
Complétez les champs suivants et cliquez sur Enregistrer pour activer un proxy global.
Nom d'hôte : Le nom d'hôte ou l'adresse IP de votre serveur proxy global.
Port : Le numéro de port de votre serveur proxy global.
Nom d'utilisateur : Le nom d'un utilisateur disposant d'un accès privilégié à votre serveur proxy global.
Mot de passe : Le mot de passe de l'utilisateur indiqué ci-dessus.
Proxy ExtraHop Cloud
Si votre système ExtraHop ne dispose pas d'une connexion Internet directe, vous pouvez vous connecter à Internet via un serveur proxy spécialement conçu pour la connectivité des services ExtraHop Cloud. Un seul proxy peut être configuré par système.
Complétez les champs suivants et cliquez sur Enregistrer pour activer un proxy cloud.
Nom d'hôte : Le nom d'hôte ou l'adresse IP de votre serveur proxy cloud.
Port : Le numéro de port de votre serveur proxy cloud.
Nom d'utilisateur : Le nom d'un utilisateur autorisé à accéder à votre serveur proxy cloud.
Mot de passe : Le mot de passe de l'utilisateur indiqué ci-dessus.
Interfaces de liaison
Vous pouvez lier plusieurs interfaces de votre système ExtraHop en une seule interface logique dotée d'une adresse IP pour la bande passante combinée des interfaces membres. Les interfaces de liaison permettent d'augmenter le débit avec une seule adresse IP. Cette configuration est également connue sous le nom d'agrégation de liens, de canalisation de ports, de regroupement de liens, de liaison Ethernet/réseau/NIC ou d'association de cartes d'interface réseau. Les interfaces Bond ne peuvent pas être configurées en mode surveillance.
Remarque : | Lorsque vous modifiez les paramètres de l'interface Bond, vous perdez la connectivité à votre système ExtraHop. Vous devez apporter des modifications à la configuration de votre commutateur réseau pour rétablir la connectivité. Les modifications requises dépendent de votre commutateur. Contactez le support ExtraHop pour obtenir de l'aide avant de créer une interface de liaison. |
- Le collage est uniquement configurable sur les interfaces Management ou Management +.
- Canalisation des ports sur les ports de surveillance du trafic est pris en charge par les capteurs ExtraHop.
Les interfaces choisies en tant que membres d'une interface de liaison ne sont plus configurables indépendamment et sont représentées sous la forme Handicapé (membre obligataire) dans la section Interfaces de la page Connectivité. Une fois qu'une interface de liaison est créée, vous ne pouvez pas ajouter de membres supplémentaires ni supprimer de membres existants. L'interface de liaison doit être détruite et recréée.
Création d'une interface de liaison
Vous pouvez créer une interface de liaison avec au moins un membre d'interface et jusqu'à un nombre de membres disponibles pour la liaison.
Modifier les paramètres de l'interface Bond
Une fois qu'une interface de liaison est créée, vous pouvez modifier la plupart des paramètres comme si l' interface de liaison était une interface unique.
Détruire une interface de liaison
Lorsqu'une interface de liaison est détruite, les différents membres de l'interface de liaison retournent à la fonctionnalité d'interface indépendante. Une interface membre est sélectionnée pour conserver les paramètres d'interface de l'interface de liaison et toutes les autres interfaces membres sont désactivées. Si aucune interface membre n'est sélectionnée pour conserver les paramètres, ceux-ci sont perdus et toutes les interfaces membres sont désactivées.
- Dans le Réglages réseau section, cliquez Connectivité.
- Dans le Section des interfaces de liaison, cliquez sur le rouge X à côté de l'interface que vous souhaitez détruire.
- Sur le Détruire l'interface Bond <interface number>page, sélectionnez l'interface membre vers laquelle déplacer les paramètres de l'interface de liaison. Seule l'interface membre sélectionnée pour conserver les paramètres de l'interface de liaison reste active, et toutes les autres interfaces membres sont désactivées.
- Cliquez Détruire.
Réglages Netskope
Cette intégration vous permet de configurer les capteurs ExtraHop pour qu'ils ingèrent des paquets provenant de votre solution Netskope afin de détecter les menaces, de découvrir et de surveiller les appareils et d' avoir un aperçu du trafic.
Before you begin
Important : | L'intégration de Reveal (x) avec Netskope Intelligent Security Service Edge (SSE) n'est actuellement disponible que pour les participants au programme Netskope Cloud TAP Early Access. Si vous souhaitez en savoir plus sur cette intégration et être averti dès qu'elle sera disponible au public, contactez l'équipe de votre compte ExtraHop. |
- Votre compte utilisateur doit avoir privilèges d'écriture complets ou supérieur sur Reveal (x) Enterprise ou Privilèges d'administration du système et des accès sur Reveal (x) 360.
- Votre système Reveal (x) doit être connecté à une sonde ExtraHop avec la version 9.4 ou ultérieure du firmware.
- Votre sonde ExtraHop doit être dédiée à l'ingestion de paquets Netskope uniquement.
- Vous devez configurer au moins une interface sur votre sonde ExtraHop ; toutes les interfaces doivent spécifier un mode incluant l' encapsulation GENEVE.
- Vous devez configurer le mode TAP dans votre environnement Netskope .
- Connectez-vous aux paramètres d'administration de la sonde via https ://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Paramètres réseau, cliquez sur Connectivité.
- Dans la section Paramètres Netskope, sélectionnez Activer l'ingestion de paquets Netskope .
- Cliquez Enregistrer.
Que faire ensuite
- Sur la page Ressources, vous pouvez recherchez cette sonde pour visualiser le trafic et les détections observés à partir des données Netskope.
- Connectez-vous aux paramètres d'administration sur le Reveal (x) Enterprise ou Révéler (x) 360 console pour vérifier l'état des capteurs intégrés à Netskope.
Réseaux Flow
Vous devez configurer l'interface réseau et les paramètres de port sur le système ExtraHop avant de pouvoir collecter des données NetFlow ou sFlow à partir de réseaux de flux distants (exportateurs de flux). Les réseaux Flow ne peuvent pas être configurés sur les systèmes Reveal (x) Enterprise. Le système ExtraHop prend en charge les technologies de flux suivantes : Cisco NetFlow version 5 (v5) et version 9 (v9), AppFlow, IPFIX et sFlow.
Outre la configuration du système ExtraHop, vous devez configurer vos périphériques réseau pour envoyer du trafic sFlow ou NetFlow. Reportez-vous à la documentation de votre fournisseur ou consultez un exemple Configurations Cisco dans l'annexe.
Collectez le trafic depuis les appareils NetFlow et sFlow
Vous devez configurer l'interface réseau et les paramètres de port sur le système ExtraHop avant de pouvoir collecter des données NetFlow ou sFlow à partir de réseaux de flux distants (exportateurs de flux). Les réseaux Flow ne peuvent pas être configurés sur les systèmes Reveal (x) Enterprise. Le système ExtraHop prend en charge les technologies de flux suivantes : Cisco NetFlow v5 et v9, AppFlow, IPFIX et sFlow.
Remarque : | Pour plus d'informations sur l'appliance virtuelle de la sonde NetFlow EFC 1292v, voir Déployez le capteur NetFlow ExtraHop EFC 1292v. |
Vous devez vous connecter en tant qu'utilisateur avec Privilèges d'administration du système et des accès pour effectuer les étapes suivantes.
Configurez l'interface sur votre système ExtraHop
Ajouter les réseaux de flux en attente
Vous pouvez désormais ajouter des réseaux de flux en attente.
Before you begin
Vous devez vous connecter en tant qu'utilisateur avec Privilèges d'administration du système et des accès pour effectuer les étapes suivantes.- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
- Dans le Paramètres réseau section, cliquez sur Réseaux de flux.
- Dans la section Réseaux de flux en attente, cliquez sur Ajouter un réseau Flow.
- Entrez un nom pour identifier ce réseau de flux dans le champ Flow Network ID.
- Sélectionnez le Enregistrements automatiques case à cocher pour envoyer des enregistrements de ce réseau de flux vers un espace de stockage des enregistrements connecté.
- Sélectionnez le Activer le sondage SNMP case à cocher pour activer le sondage SNMP.
-
Si vous activez le sondage SNMP, sélectionnez l'une des options suivantes dans le menu déroulant des
informations d'identification SNMP :
- Hériter du CIDR. Si vous sélectionnez cette option, les informations d'identification SNMP sont appliquées en fonction des paramètres des informations d'identification SNMP partagées.
- informations dapixidentification personnalisées. Sélectionnez v1, v2 ou v3 dans la liste déroulante des versions SNMP, puis configurez les paramètres restants pour le type de sondage spécifique.
- Cliquez Enregistrer.
Configuration des appareils Cisco NetFlow
Les exemples suivants de configuration de base d'un routeur Cisco pour NetFlow. NetFlow est configuré pour chaque interface. Lorsque NetFlow est configuré sur l'interface, les informations de flux de paquets IP sont exportées vers le système ExtraHop.
Important : | NetFlow tire parti de la valeur IFindex du SNMP pour représenter les informations d'interface d'entrée et de sortie dans les enregistrements de flux. Pour garantir la cohérence des rapports d'interface, activez la persistance SNMP iFindex sur les appareils qui envoient NetFlow au système ExtraHop. Pour plus d' informations sur la façon d'activer la persistance SNMP iFindex sur les périphériques de votre réseau, reportez-vous au guide de configuration fourni par le fabricant de l'équipement. |
Pour plus d'informations sur la configuration de NetFlow sur les commutateurs Cisco, consultez la documentation de votre routeur Cisco ou le site Web de Cisco à l'adresse www.cisco.com.
Configurez des informations d'identification SNMP partagées pour vos réseaux NetFlow ou sFlow
Si vous activez le sondage SNMP dans la configuration de votre réseau de flux, vous devez spécifier les informations d'identification qui vous permettent d'interroger l'équipement réseau. Les identifiants d'authentification SNMP s'appliquent à tous les réseaux de flux d'un bloc CIDR et sont automatiquement appliquées à chaque réseau de flux découvert, sauf si des informations d'identification personnalisées sont configurées.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Réglages réseau section, cliquez Réseaux Flow.
- Dans le Informations d'identification SNMP partagées section, cliquez Ajouter des informations d'identification SNMP.
- Tapez le bloc d'adresse CIDR IPv4 dans CIDR champ. Par exemple, tapez 10,0.0.0/8 pour correspondre à n'importe quelle adresse IP commençant par 10 ou 10,10,0/16 pour correspondre à n'importe quelle adresse IP commençant par 10.10. Vous ne pouvez pas configurer une adresse IP pour qu'elle corresponde à l'ensemble du trafic.
- Sélectionnez v1, v2c, ou v3 depuis le Version SNMP liste déroulante, puis complétez les champs restants.
- Cliquez Enregistrer.
Actualiser manuellement les informations SNMP
Notifications
Le système ExtraHop peut envoyer des notifications concernant les alertes configurées par e-mail, par des interruptions SNMP et par des exportations Syslog vers des serveurs distants. Si un groupe de notification par e-mail est spécifié, les e-mails sont envoyés aux groupes affectés à l'alerte.
Configuration des paramètres d'e-mail pour les notifications
Vous devez configurer un serveur de messagerie et un expéditeur avant que le système ExtraHop puisse envoyer des notifications d'alerte ou des rapports de tableau de bord planifiés.
Que faire ensuite
Après avoir confirmé que vos nouveaux paramètres fonctionnent comme prévu, conservez les modifications de configuration lors des événements de redémarrage et d'arrêt du système en enregistrant le fichier Running Config.Configuration d'un groupe de notification par e-mail
Ajoutez une liste d'adresses e-mail à un groupe, puis sélectionnez le groupe lorsque vous configurez les paramètres d' e-mail pour une alerte ou un rapport de tableau de bord planifié. Bien que vous puissiez spécifier des adresses e-mail individuelles, les groupes d'e-mails constituent un moyen efficace de gérer votre liste de destinataires.
Configurer les paramètres pour envoyer des notifications à un gestionnaire SNMP
L'état du réseau peut être surveillé par le biais du protocole SNMP (Simple Network Management Protocol). Le protocole SNMP collecte des informations en interrogeant les appareils du réseau ou en envoyant des alertes aux stations de gestion SNMP. Les communautés SNMP définissent le groupe auquel appartiennent les appareils et les stations de gestion exécutant le protocole SNMP, qui indique où les informations sont envoyées. Le nom de la communauté identifie le groupe.
Remarque : | La plupart des entreprises disposent d'un système établi pour collecter et afficher les pièges SNMP dans un emplacement central qui peut être surveillé par leurs équipes opérationnelles. Par exemple, les interruptions SNMP sont envoyées à un gestionnaire SNMP et la console de gestion SNMP les affiche. |
Téléchargez le MIB SNMP ExtraHop
Le protocole SNMP ne fournit pas de base de données contenant les informations communiquées par un réseau surveillé par SNMP. Les informations SNMP sont définies par des bases d'informations de gestion (MIB) tierces qui décrivent la structure des données collectées.
Extraire l'OID de l'objet fournisseur ExtraHop
Avant de pouvoir surveiller un équipement à l'aide du SNMP, vous devez ID d'objet Sys, qui contient un OID correspondant à l' identité de l'équipement déclarée par le fournisseur.
Envoyer des notifications système à un serveur Syslog distant
L'option d'exportation Syslog vous permet d'envoyer des alertes depuis un système ExtraHop vers n'importe quel système distant recevant une entrée Syslog pour un archivage à long terme et une corrélation avec d'autres sources.
Que faire ensuite
Après avoir vérifié que vos nouveaux paramètres fonctionnent comme prévu, conservez vos modifications de configuration lors des événements de redémarrage et d'arrêt du système en enregistrant le fichier de configuration en cours d'exécution.Certificat SSL
Les certificats SSL fournissent une authentification sécurisée au système ExtraHop.
Vous pouvez désigner un certificat auto-signé pour l'authentification au lieu d'un certificat signé par une autorité de certification. Sachez toutefois qu'un certificat auto-signé génère une erreur dans le client navigateur, qui indique que l' autorité de signature du certificat est inconnue. Le navigateur fournit un ensemble de pages de confirmation pour approuver le certificat, même s'il est auto-signé. Les certificats auto-signés peuvent également dégrader les performances en empêchant la mise en cache dans certains navigateurs. Nous vous recommandons de créer une demande de signature de certificat depuis votre système ExtraHop et de télécharger le certificat signé à la place.
Important : | Lors du remplacement d'un certificat SSL, le service du serveur Web est redémarré. Les connexions tunnelées entre les appareils Discover et les appareils Command sont perdues puis rétablies automatiquement. |
Téléchargez un certificat SSL
Vous devez télécharger un fichier .pem qui inclut à la fois une clé privée et un certificat auto-signé ou un certificat d'autorité de certification.
Remarque : | Le fichier .pem ne doit pas être protégé par mot de passe. |
Remarque : | Vous pouvez également automatiser cette tâche via l' API REST. |
- Dans le Réglages réseau section, cliquez Certificat SSL.
- Cliquez Gérer les certificats pour développer la section.
- Cliquez Choisissez un fichier et accédez au certificat que vous souhaitez télécharger.
- Cliquez Ouvert.
- Cliquez Téléverser.
Créez une demande de signature de certificat depuis votre système ExtraHop
Une demande de signature de certificat (CSR) est un bloc de texte codé qui est remis à votre autorité de certification (CA) lorsque vous demandez un certificat SSL. Le CSR est généré sur le système ExtraHop où le certificat SSL sera installé et contient des informations qui seront incluses dans le certificat, telles que le nom commun (nom de domaine), l'organisation, la localité et le pays. Le CSR contient également la clé publique qui sera incluse dans le certificat. Le CSR est créé avec la clé privée du système ExtraHop, créant ainsi une paire de clés.
Que faire ensuite
Envoyez le fichier CSR à votre autorité de certification (CA) pour faire signer le CSR. Lorsque vous recevez le certificat SSL de l'autorité de certification, retournez au Certificat SSL page dans les paramètres d'administration et téléchargez le certificat sur le système ExtraHop.Conseil : | Si votre organisation exige que le CSR contienne une nouvelle clé publique, générer un certificat auto-signé pour créer de nouvelles paires de clés avant de créer le CSR. |
Certificats fiables
Les certificats fiables vous permettent de valider les cibles SMTP, LDAP, HTTPS ODS et MongoDB ODS, ainsi que les connexions à l'espace de stockage des enregistrements Splunk depuis votre système ExtraHop.
Ajoutez un certificat fiable à votre système ExtraHop
Votre système ExtraHop ne fait confiance qu'aux pairs qui présentent un certificat TLS (Transport Layer Security) signé par l'un des certificats système intégrés et par tout certificat que vous téléchargez. Les cibles SMTP, LDAP, HTTPS ODS et MongoDB ODS, ainsi que les connexions à l'espace de stockage des enregistrements Splunk peuvent être validées par le biais de ces certificats.
Before you begin
Vous devez vous connecter en tant qu'utilisateur disposant de privilèges d'installation ou d'administration du système et des accès pour ajouter ou supprimer des certificats sécurisés.Important : | Pour faire confiance aux certificats système intégrés et aux certificats téléchargés, vous devez également activer le chiffrement SSL/TLS ou STARTTLS et la validation des certificats lors de la configuration des paramètres du serveur externe. |
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Réglages réseau section, cliquez Certificats fiables.
- Facultatif : Le système ExtraHop est livré avec un ensemble de certificats intégrés. Sélectionnez Certificats du système de confiance si vous souhaitez faire confiance à ces certificats, puis cliquez sur Enregistrer.
- Pour ajouter votre propre certificat, cliquez sur Ajouter un certificat puis collez le contenu de la chaîne de certificats codée PEM dans Certificat champ
- Entrez un nom dans le Nom champ et cliquez Ajouter.
Paramètres d'accès
Dans la section Paramètres d'accès, vous pouvez modifier les mots de passe des utilisateurs, activer le compte d'assistance, gérer les utilisateurs locaux et les groupes d'utilisateurs, configurer l'authentification à distance et gérer l' accès aux API.
Politiques mondiales
Les administrateurs peuvent configurer des politiques globales qui s'appliquent à tous les utilisateurs qui accèdent au système.
Politique de mot de passe
- Choisissez entre deux politiques de mot de passe : la politique de mot de passe par défaut de 5
caractères ou plus ou une politique de mot de passe stricte plus sécurisée comportant les
restrictions suivantes :
- 8 caractères ou plus
- Caractères majuscules et minuscules
- Au moins un chiffre
- Au moins un symbole
Remarque : Si vous sélectionnez une politique de mot de passe stricte de 8 caractères ou plus, les mots de passe expireront tous les 60 jours.
Contrôle de modification des groupes d'appareils
- Contrôlez si les utilisateurs ont privilèges d'écriture limités peut créer et modifier des groupes d'équipements. Lorsque cette règle est sélectionnée, tous les utilisateurs à écriture limitée peuvent créer des groupes d'équipements et ajouter d'autres utilisateurs à écriture limitée en tant qu'éditeurs à leurs groupes d'équipements.
Tableau de bord par défaut
- Spécifiez le tableau de bord que les utilisateurs voient lorsqu'ils se connectent au système. Seuls les tableaux de bord partagés avec tous les utilisateurs peuvent être définis par défaut global. Les utilisateurs peuvent annuler ce paramètre par défaut depuis le menu de commandes de n'importe quel tableau de bord.
Mots de passe
Les utilisateurs autorisés à accéder à la page Administration peuvent modifier le mot de passe des comptes utilisateurs locaux.
- Sélectionnez un utilisateur et modifiez son mot de passe
- Vous ne pouvez modifier les mots de passe que pour les utilisateurs locaux. Vous ne pouvez pas modifier les mots de passe des utilisateurs authentifiés via LDAP ou d'autres serveurs d'authentification à distance.
Pour plus d'informations sur les privilèges accordés à des utilisateurs et à des groupes spécifiques de la page d'administration, consultez le Utilisateurs section.
Modifier le mot de passe par défaut de l'utilisateur d'installation
Il est recommandé de modifier le mot de passe par défaut de l'utilisateur configuré sur le système ExtraHop après votre première connexion. Pour rappeler aux administrateurs d'effectuer cette modification, il y a un symbole bleu Changer le mot de passe bouton en haut de la page lorsque l'utilisateur de l'installation accède aux paramètres d'administration. Une fois le mot de passe utilisateur de configuration modifié, le bouton en haut de la page n'apparaît plus.
Remarque : | Le mot de passe doit comporter au moins 5 caractères. |
Accès au support
Les comptes d'assistance permettent à l'équipe d'assistance ExtraHop d'aider les clients à résoudre les problèmes liés au système ExtraHop.
Ces paramètres ne doivent être activés que si l'administrateur du système ExtraHop demande une assistance pratique à l'équipe de support ExtraHop.
Générer une clé SSH
- Dans le Paramètres d'accès section, cliquez Accès au support.
- Cliquez Générer une clé SSH.
- Cliquez Générer une clé SSH.
- Copiez la clé cryptée depuis la zone de texte et envoyez-la par e-mail à votre représentant ExtraHop.
- Cliquez Terminé.
Régénérer ou révoquer la clé SSH
Pour empêcher l'accès SSH au système ExtraHop avec une clé SSH existante, vous pouvez révoquer la clé SSH actuelle. Une nouvelle clé SSH peut également être régénérée si nécessaire.
- Dans le Paramètres d'accès section, cliquez Accès au support.
- Cliquez Générer une clé SSH.
-
Choisissez l'une des options suivantes :
- Cliquez Régénérer la clé SSH puis cliquez sur
Régénérer.
Copiez la clé cryptée depuis la zone de texte et envoyez-la par e-mail à votre représentant ExtraHop, puis cliquez sur Terminé.
- Cliquez Révoquer la clé SSH pour empêcher l'accès SSH au système avec la clé actuelle.
- Cliquez Régénérer la clé SSH puis cliquez sur
Régénérer.
Utilisateurs
La page Utilisateurs vous permet de contrôler l'accès local à l' appliance ExtraHop.
Utilisateurs et groupes d'utilisateurs
Les utilisateurs peuvent accéder au système ExtraHop de trois manières : via un ensemble de comptes utilisateurs préconfigurés, via des comptes utilisateurs locaux configurés sur l'appliance ou via des comptes utilisateurs distants configurés sur des serveurs d'authentification existants, tels que LDAP, SAML, Radius et TACACS+.
Utilisateurs locaux
Cette rubrique concerne les comptes locaux et par défaut. Voir Authentification à distance pour savoir comment configurer des comptes distants.
- installation
- Ce compte fournit des privilèges complets de lecture et d'écriture du système à l' interface utilisateur basée sur le navigateur et à l'interface de ligne de commande (CLI) ExtraHop. Sur le plan physique capteurs, le mot de passe par défaut pour ce compte est le numéro de série inscrit sur le devant de l' appliance. Sur le virtuel capteurs, le mot de passe par défaut est default.
- coquille
- Le shell Le compte, par défaut, a accès aux commandes shell non administratives dans l'interface de ligne de commande ExtraHop. Sur les capteurs physiques, le mot de passe par défaut pour ce compte est le numéro de série inscrit sur le devant de l'appliance. Sur les capteurs virtuels, le mot de passe par défaut est default.
Remarque : | Le mot de passe ExtraHop par défaut pour l'un ou l'autre des comptes lorsqu'il est déployé dans Amazon Web Services (AWS) et Google Cloud Platform (GCP) est l'ID d'instance de la machine virtuelle. |
Que faire ensuite
Authentification à distance
Le système ExtraHop prend en charge l'authentification à distance pour l'accès des utilisateurs. L'authentification à distance permet aux organisations dotées de systèmes d'authentification tels que LDAP (OpenLDAP ou Active Directory, par exemple) de permettre à tous leurs utilisateurs ou à un sous-ensemble de leurs utilisateurs de se connecter au système avec leurs informations dcredentiatives existantes.
L'authentification centralisée offre les avantages suivants :
- Synchronisation du mot de passe utilisateur.
- Création automatique de comptes ExtraHop pour les utilisateurs sans intervention de l'administrateur.
- Gestion des privilèges ExtraHop en fonction des groupes d'utilisateurs.
- Les administrateurs peuvent accorder l'accès à tous les utilisateurs connus ou restreindre l'accès en appliquant des filtres LDAP .
Utilisateurs distants
Si votre système ExtraHop est configuré pour l'authentification à distance SAML ou LDAP, vous pouvez créer un compte pour ces utilisateurs distants. La préconfiguration des comptes sur le système ExtraHop pour les utilisateurs distants vous permet de partager les personnalisations du système avec ces utilisateurs avant qu'ils ne se connectent.
Si vous choisissez de provisionner automatiquement les utilisateurs lorsque vous configurez l'authentification SAML, l'utilisateur est automatiquement ajouté à la liste des utilisateurs locaux lorsqu'il se connecte pour la première fois. Cependant, vous pouvez créer un compte utilisateur SAML distant sur le système ExtraHop lorsque vous souhaitez approvisionner un utilisateur distant avant que celui-ci ne se soit connecté au système. Les privilèges sont attribués à l'utilisateur par le fournisseur. Une fois l'utilisateur créé, vous pouvez l'ajouter aux groupes d'utilisateurs locaux.
Que faire ensuite
Groupes d'utilisateurs
Les groupes d'utilisateurs vous permettent de gérer l'accès au contenu partagé par groupe plutôt que par utilisateur individuel. Les objets personnalisés tels que les cartes d'activités peuvent être partagés avec un groupe d'utilisateurs, et tout utilisateur ajouté au groupe y a automatiquement accès. Vous pouvez créer un groupe d'utilisateurs local, qui peut inclure des utilisateurs locaux et distants. Sinon, si votre système ExtraHop est configuré pour l'authentification à distance via LDAP, vous pouvez configurer les paramètres pour importer vos groupes d'utilisateurs LDAP.
- Cliquez Créer un groupe d'utilisateurs pour créer un groupe local. Le groupe d'utilisateurs apparaît dans la liste. Ensuite, cochez la case à côté du nom du groupe d'utilisateurs et sélectionnez les utilisateurs dans Filtrer les utilisateurs... liste déroulante. Cliquez Ajouter des utilisateurs au groupe.
- (LDAP uniquement) Cliquez sur Actualiser tous les groupes d'utilisateurs ou sélectionnez plusieurs groupes d' utilisateurs LDAP et cliquez sur Actualiser les utilisateurs dans les groupes.
- Cliquez Réinitialiser le groupe d'utilisateurs pour supprimer tout le contenu partagé d'un groupe d'utilisateurs sélectionné. Si le groupe n'existe plus sur le serveur LDAP distant, il est supprimé de la liste des groupes d'utilisateurs.
- Cliquez Activer le groupe d'utilisateurs ou Désactiver le groupe d'utilisateurs pour contrôler si un membre du groupe peut accéder au contenu partagé pour le groupe d'utilisateurs sélectionné.
- Cliquez Supprimer le groupe d'utilisateurs pour supprimer le groupe d'utilisateurs sélectionné du système.
- Consultez les propriétés suivantes pour les groupes d'utilisateurs répertoriés :
- Nom du groupe
- Affiche le nom du groupe. Pour afficher les membres du groupe, cliquez sur le nom du groupe.
- Type
- Affiche le type de groupe d'utilisateurs local ou distant.
- Membres
- Affiche le nombre d'utilisateurs du groupe.
- Contenu partagé
- Affiche le nombre d'objets créés par l'utilisateur qui sont partagés avec le groupe.
- État
- Indique si le groupe est activé ou désactivé sur le système. Lorsque le statut est Disabled, le groupe d'utilisateurs est considéré comme vide lors des vérifications d'adhésion ; toutefois, le groupe d'utilisateurs peut toujours être spécifié lors du partage de contenu.
- Membres actualisés (LDAP uniquement)
- Affiche le temps écoulé depuis que l'adhésion au groupe a été actualisée. Les
groupes d'utilisateurs sont actualisés dans les conditions suivantes :
- Une fois par heure, par défaut. Le réglage de l'intervalle de rafraîchissement peut être modifié sur le page.
- Un administrateur actualise un groupe en cliquant sur Actualiser tous les groupes d'utilisateurs ou Actualiser les utilisateurs du groupe, ou par programmation via l'API REST. Vous pouvez actualiser un groupe à partir du Groupe d'utilisateurs ou depuis la page Liste des membres page.
- Un utilisateur distant se connecte au système ExtraHop pour la première fois.
- Un utilisateur tente de charger un tableau de bord partagé auquel il n'a pas accès.
Privilèges utilisateur
Les administrateurs déterminent le niveau d'accès au module pour les utilisateurs du système ExtraHop.
Pour plus d'informations sur les privilèges utilisateur pour l'API REST, consultez le Guide de l'API REST.
Pour plus d'informations sur les privilèges des utilisateurs distants, consultez les guides de configuration pour LDAP, RAYON, SAML, et TACACS+.
Niveaux de privilège
Définissez le niveau de privilège de votre utilisateur afin de déterminer les zones du système ExtraHop auxquelles il peut accéder.
- Détection et réponse du réseau (NDR)
- Permet à l'utilisateur d'accéder aux fonctionnalités de sécurité telles que les détections d'attaques, les enquêtes et les briefings sur les menaces.
- Performances et surveillance du réseau (NPM)
- Permet à l'utilisateur d'accéder à des fonctionnalités de performance telles que la détection des opérations et la possibilité de créer des tableaux de bord personnalisés.
- Criminalistique des paquets
- Permet à l'utilisateur de visualiser et de télécharger des paquets et des clés de session, des paquets uniquement ou des tranches de paquets uniquement.
Ces privilèges déterminent le niveau de fonctionnalité des utilisateurs dans les modules auxquels ils ont été autorisés à accéder.
Pour Reveal (x) Enterprise, les utilisateurs disposant d'un accès au système et de privilèges d'administration peuvent accéder à toutes les fonctionnalités, à tous les paquets et à toutes les clés de session de leurs modules sous licence.
Pour Reveal (x) 360, l'accès au système et les privilèges d'administration, l'accès aux modules sous licence, aux paquets et aux clés de session doivent être attribués séparément. Reveal (x) 360 propose également un compte d'administration système supplémentaire qui accorde des privilèges système complets, à l'exception de la possibilité de gérer les utilisateurs et l'accès aux API.
Le tableau suivant contient les fonctionnalités d'ExtraHop et leurs privilèges requis. Si aucune exigence de module n'est notée, la fonctionnalité est disponible à la fois dans les modules NDR et NDM.
Administration du système et des accès | Administration du système (Reveal (x) 360 uniquement) | Écriture complète | Écriture limitée | Rédaction personnelle | Lecture seule complète | Lecture seule restreinte | |
---|---|---|---|---|---|---|---|
Cartes d'activités | |||||||
Création, affichage et chargement de cartes d'activités partagées | Y | Y | Y | Y | Y | Y | N |
Enregistrer les cartes d'activités | Y | Y | Y | Y | Y | N | N |
Partagez des cartes d'activités | Y | Y | Y | Y | N | N | N |
Alertes | Licence et accès au module NPM requis. | ||||||
Afficher les alertes | Y | Y | Y | Y | Y | Y | Y |
Création et modification d'alertes | Y | Y | Y | N | N | N | N |
Priorités d'analyse | |||||||
Afficher la page des priorités d'analyse | Y | Y | Y | Y | Y | Y | N |
Ajouter et modifier des niveaux d'analyse pour les groupes | Y | Y | Y | N | N | N | N |
Ajouter des appareils à une liste de surveillance | Y | Y | Y | N | N | N | N |
Gestion des priorités de transfert | Y | Y | Y | N | N | N | N |
Bundles | |||||||
Création d'un bundle | Y | Y | Y | N | N | N | N |
Téléchargez et appliquez un bundle | Y | Y | Y | N | N | N | N |
Afficher la liste des offres groupées | Y | Y | Y | Y | Y | Y | N |
Tableaux de bord | Licence et accès au module NPM requis pour créer et modifier des tableaux de bord. | ||||||
Afficher et organiser les tableaux de bord | Y | Y | Y | Y | Y | Y | Y |
Création et modification de tableaux de bord | Y | Y | Y | Y | Y | N | N |
Partagez des tableaux de bord | Y | Y | Y | Y | N | N | N |
Détections | Licence et accès au module NDR
nécessaires pour visualiser et régler les détections de sécurité et créer
des enquêtes. Licence et accès au module NPM requis pour visualiser et régler les détections de performances. |
||||||
Afficher les détections | Y | Y | Y | Y | Y | Y | Y |
Reconnaître les détections | Y | Y | Y | Y | Y | N | N |
Modifier l'état de détection et les notes | Y | Y | Y | Y | N | N | N |
Création et modification d'enquêtes | Y | Y | Y | Y | N | N | N |
Création et modification de règles de réglage | Y | Y | Y | N | N | N | N |
Groupes d'appareils | Les administrateurs peuvent configurer Politique globale de contrôle des modifications par groupes d'appareils pour indiquer si les utilisateurs disposant de droits d'écriture limités peuvent créer et modifier des groupes d'équipements. | ||||||
Création et modification de groupes d'équipements | Y | Y | Y | Y (si la politique de privilèges globale est activée) | N | N | N |
Métriques | |||||||
Afficher les métriques | Y | Y | Y | Y | Y | Y | N |
Règles de notification | Licence et accès au module NDR
requis pour créer et modifier les notifications relatives aux
détections de sécurité et aux briefings sur les menaces. Licence et accès au module NPM requis pour créer et modifier des notifications pour les détections de performances. |
||||||
Création et modification de règles de notification de détection | Y | Y | Y | N | N | N | N |
Création et modification des règles de notification des informations sur les menaces | Y | Y | Y | N | N | N | N |
Création et modification des règles de notification du système (Reveal (x) uniquement) | Y | Y | N | N | N | N | N |
Enregistrements | Recordstore requis. | ||||||
Afficher les requêtes d'enregistrement | Y | Y | Y | Y | Y | Y | N |
Afficher les formats d'enregistrement | Y | Y | Y | Y | Y | Y | N |
Création, modification et enregistrement de requêtes d'enregistrement | Y | Y | Y | N | N | N | N |
Création, modification et enregistrement de formats d'enregistrement | Y | Y | Y | N | N | N | N |
Rapports du tableau de bord | Console requise. | ||||||
Création, affichage et gestion de rapports planifiés | Y | Y | Y | Y | N | N | N |
Renseignements sur les menaces | Licence et accès au module NDR requis. | ||||||
Gérez les collections de menaces | Y | Y | N | N | N | N | N |
Afficher les renseignements sur les menaces | Y | Y | Y | Y | Y | Y | N |
DÉCLENCHEURS | |||||||
Création et modification de déclencheurs | Y | Y | Y | N | N | N | N |
Privilèges administratifs | |||||||
Accédez aux paramètres d'administration d'ExtraHop | Y | Y | N | N | N | N | N |
Connexion à d'autres appareils | Y | Y | N | N | N | N | N |
Gérer d'autres appareils (console) | Y | Y | N | N | N | N | N |
Gestion des utilisateurs et de l'accès aux API | Y | N | N | N | N | N | N |
Ajouter un compte utilisateur local
En ajoutant un compte utilisateur local, vous pouvez fournir aux utilisateurs un accès direct à votre système ExtraHop et restreindre leurs privilèges en fonction de leur rôle dans votre organisation.
Conseil : |
|
Ajouter un compte pour un utilisateur distant
Ajoutez un compte utilisateur pour les utilisateurs LDAP ou SAML lorsque vous souhaitez provisionner l'utilisateur distant avant que celui-ci ne se connecte au système ExtraHop. Une fois l'utilisateur ajouté au système, vous pouvez l'ajouter à des groupes locaux ou partager des éléments directement avec lui avant qu'il ne se connecte via le fournisseur LDAP ou SAML.
Séances
Le système ExtraHop fournit des commandes pour afficher et supprimer les connexions utilisateur à l' interface Web. Le Séances la liste est triée par date d'expiration, qui correspond à la date d'établissement des sessions. Si une session expire ou est supprimée, l'utilisateur doit se reconnecter pour accéder à l'interface Web.
Authentification à distance
Le système ExtraHop prend en charge l'authentification à distance pour l'accès des utilisateurs. L'authentification à distance permet aux organisations dotées de systèmes d'authentification tels que LDAP (OpenLDAP ou Active Directory, par exemple) de permettre à tous leurs utilisateurs ou à un sous-ensemble de leurs utilisateurs de se connecter au système avec leurs informations dcredentiatives existantes.
L'authentification centralisée offre les avantages suivants :
- Synchronisation du mot de passe utilisateur.
- Création automatique de comptes ExtraHop pour les utilisateurs sans intervention de l'administrateur.
- Gestion des privilèges ExtraHop en fonction des groupes d'utilisateurs.
- Les administrateurs peuvent accorder l'accès à tous les utilisateurs connus ou restreindre l'accès en appliquant des filtres LDAP .
Que faire ensuite
Configuration de l'authentification à distance via LDAP
Le système ExtraHop prend en charge le protocole LDAP (Lightweight Directory Access Protocol) pour l'authentification et l'autorisation. Au lieu de stocker les informations ddevicdentification de l'utilisateur localement, vous pouvez configurer votre système ExtraHop pour authentifier les utilisateurs à distance auprès d'un serveur LDAP existant. Notez que l'authentification LDAP ExtraHop ne demande que les comptes utilisateurs ; elle ne demande aucune autre entité susceptible de se trouver dans l'annuaire LDAP.
Before you begin
- Cette procédure nécessite de connaître la configuration du LDAP.
- Assurez-vous que chaque utilisateur fait partie d'un groupe doté d'autorisations spécifiques sur le serveur LDAP avant de commencer cette procédure.
- Si vous souhaitez configurer des groupes LDAP imbriqués, vous devez modifier le fichier de configuration en cours d'exécution. Contacter Assistance ExtraHop pour obtenir de l'aide.
Lorsqu'un utilisateur tente de se connecter à un système ExtraHop, le système ExtraHop essaie de l' authentifier de la manière suivante :
- Tente d'authentifier l'utilisateur localement.
- Tente d'authentifier l'utilisateur via le serveur LDAP s'il n'existe pas localement et si le système ExtraHop est configuré pour l' authentification à distance avec LDAP.
- Connecte l'utilisateur au système ExtraHop s'il existe et le mot de passe est validé localement ou via LDAP. Le mot de passe LDAP n'est pas stocké localement sur le système ExtraHop. Notez que vous devez saisir le nom d'utilisateur et le mot de passe dans le format pour lequel votre serveur LDAP est configuré. Le système ExtraHop transmet uniquement les informations au serveur LDAP.
- Si l'utilisateur n'existe pas ou si un mot de passe incorrect est saisi, un message d'erreur apparaît sur la page de connexion.
Important : | Si vous remplacez ultérieurement l'authentification LDAP par une autre méthode d'authentification à distance, les utilisateurs, les groupes d'utilisateurs et les personnalisations associées créés par le biais de l'authentification à distance sont supprimés. Les utilisateurs locaux ne sont pas concernés. |
Configuration des privilèges utilisateur pour l'authentification à distance
Vous pouvez attribuer des privilèges d'utilisateur à des utilisateurs individuels sur votre système ExtraHop ou configurer et gérer des privilèges via votre serveur LDAP.
Le système ExtraHop prend en charge les adhésions à des groupes Active Directory et POSIX. Pour Active Directory, memberOf est pris en charge. Pour POSIX, memberuid, posixGroups, groupofNames, et groupofuniqueNames sont pris en charge.
-
Choisissez l'une des options suivantes dans le
Options d'attribution de privilèges liste déroulante :
-
Obtenir le niveau de privilèges auprès d'un serveur distant
Cette option attribue des privilèges via votre serveur d'authentification à distance. Vous devez remplir au moins l'un des champs de nom distinctif (DN) suivants.
DN d'administration du système et des accès: Créez et modifiez tous les objets et paramètres du système ExtraHop, y compris les paramètres d'administration.
DN d'écriture complet: Créez et modifiez des objets sur le système ExtraHop, sans inclure les paramètres d'administration.
DN d'écriture limité: Créez, modifiez et partagez des tableaux de bord.
Personal Write DN: Créez des tableaux de bord personnels et modifiez les tableaux de bord partagés avec l'utilisateur connecté.
DN complet en lecture seule: Afficher les objets dans le système ExtraHop.
DN en lecture seule restreint: Afficher les tableaux de bord partagés avec l'utilisateur connecté.
DN d'accès aux tranches de paquets: Affichez et téléchargez les 64 premiers octets de paquets capturés via l'appliance ExtraHop Trace.
DN d'accès aux paquets: Affichez et téléchargez les paquets capturés via l' appliance ExtraHop Trace.
DN d'accès aux clés de paquet et de session: Affichez et téléchargez les paquets et toutes les clés de session SSL associées capturés via l'appliance ExtraHop Trace.
DN d'accès au module NDR: Affichez, confirmez et masquez les détections de sécurité qui apparaissent dans le système ExtraHop.
DN d'accès au module NPM: Affichez, confirmez et masquez les détections de performance qui apparaissent dans le système ExtraHop.
-
Les utilisateurs distants disposent d'un accès complet en écriture
Cette option accorde aux utilisateurs distants un accès complet en écriture au système ExtraHop. En outre, vous pouvez accorder un accès supplémentaire pour les téléchargements de paquets, les clés de session SSL, l'accès au module NDR et l'accès au module NPM.
-
Les utilisateurs distants disposent d'un accès complet en lecture seule
Cette option accorde aux utilisateurs distants un accès en lecture seule au système ExtraHop. En outre, vous pouvez accorder un accès supplémentaire pour les téléchargements de paquets, les clés de session SSL, l'accès au module NDR et l'accès au module NPM.
-
Obtenir le niveau de privilèges auprès d'un serveur distant
- Facultatif :
Configurez l'accès aux paquets et aux clés de session. Sélectionnez l'une des options suivantes pour
permettre aux utilisateurs distants de télécharger des captures de paquets et des clés de session SSL.
- Pas d'accès
- Tranches de paquets uniquement
- Paquets uniquement
- Paquets et clés de session
- Facultatif :
Configurez l'accès aux modules NDR et NPM.
- Pas d'accès
- Accès complet
- Cliquez Enregistrer et terminer.
- Cliquez Terminé.
Configuration de l'authentification à distance via SAML
Vous pouvez configurer une authentification unique (SSO) sécurisée sur le système ExtraHop via un ou plusieurs fournisseurs d'identité SAML (Security Assertion Markup Language).
Lorsqu'un utilisateur se connecte à un système ExtraHop configuré en tant que fournisseur de services (SP) pour l'authentification SSO SAML, le système ExtraHop demande l'autorisation au fournisseur d'identité (IdP) approprié. Le fournisseur d'identité authentifie les informations dcredentiation de l'utilisateur, puis renvoie l'autorisation de l'utilisateur au système ExtraHop. L'utilisateur peut alors accéder au système ExtraHop.
Les guides de configuration pour des fournisseurs d'identité spécifiques sont accessibles via les liens ci-dessous. Si votre fournisseur n'est pas répertorié, appliquez les paramètres requis par le système ExtraHop à votre fournisseur d'identité.
- SAML 2.0
- Supporte les flux de connexion initiés par le SP. Les flux de connexion initiés par l'IdP ne sont pas pris en charge.
- Supporte les réponses SAML signées
- Supporte la liaison par redirection HTTP
L'exemple de configuration de cette procédure permet d'accéder au système ExtraHop via des attributs de groupe.
Si votre fournisseur d'identité ne prend pas en charge les instructions d'attributs de groupe, configurez les attributs utilisateur avec les privilèges appropriés pour l'accès aux modules, l'accès au système et l'analyse des paquets .
Activer l'authentification à distance SAML
Avertissement : | Si votre système est déjà configuré avec une méthode d'authentification à distance, la modification de ces paramètres supprimera tous les utilisateurs et les personnalisations associées créés par cette méthode, et les utilisateurs distants ne pourront pas accéder au système. Les utilisateurs locaux ne sont pas concernés. |
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Paramètres d'accès, cliquez sur Authentification à distance.
- Sélectionnez SAML dans la liste déroulante des méthodes d'authentification à distance, puis cliquez sur Poursuivre.
- Cliquez Afficher les métadonnées SP pour afficher l'
URL d'Assertion Consumer Service (ACS) et l'ID d'entité du système ExtraHop. Ces chaînes sont requises par votre fournisseur d'identité
pour configurer l'authentification SSO. Vous pouvez également télécharger un fichier de métadonnées XML complet que vous
pouvez importer dans la configuration de votre fournisseur d'identité.
Remarque : L'URL ACS inclut le nom d'hôte configuré dans les paramètres réseau. Si l'URL ACS contient un nom d'hôte inaccessible, tel que le nom d'hôte du système par défaut extrahop, vous devez modifier l'URL lorsque vous ajoutez l' URL ACS à votre fournisseur d'identité et spécifier le nom de domaine complet (FQDN) du système ExtraHop. - Cliquez Ajouter un fournisseur d'identité pour ajouter les informations suivantes :
Nom du fournisseur: Entrez un nom pour identifier votre fournisseur d'identité spécifique. Ce nom apparaît sur la page de connexion au système ExtraHop après Connectez-vous avec texte.
ID de l'entité: Collez l'ID d'entité fourni par votre fournisseur d'identité dans ce champ.
URL SSO: Collez l'URL d'authentification unique fournie par votre fournisseur d'identité dans ce champ.
Certificat public: Collez le certificat X.509 fourni par votre fournisseur d'identité dans ce champ.
Approvisionnement automatique des utilisateurs: Lorsque cette option est sélectionnée, les comptes utilisateur ExtraHop sont automatiquement créés lorsque l' utilisateur se connecte via le fournisseur d'identité. Pour contrôler manuellement les utilisateurs autorisés à se connecter, décochez cette case et configurez manuellement les nouveaux utilisateurs distants via les paramètres d' administration ExtraHop ou l'API REST. Tout nom d'utilisateur distant créé manuellement doit correspondre au nom d'utilisateur configuré sur le fournisseur d'identité.
Activer ce fournisseur d'identité: Cette option est sélectionnée par défaut et permet aux utilisateurs de se connecter au système ExtraHop. Pour empêcher les utilisateurs de se connecter via ce fournisseur d'identité, décochez la case.
Attributs de privilèges utilisateur: Vous devez configurer les attributs de privilèges utilisateur avant que les utilisateurs puissent se connecter au système ExtraHop via un fournisseur d'identité. Les valeurs ne distinguent pas les majuscules et minuscules et peuvent inclure des espaces.
Les noms et valeurs des attributs de privilèges utilisateur doivent correspondre aux noms et aux valeurs que votre fournisseur d'identité inclut dans les réponses SAML, qui sont configurés lorsque vous ajoutez l' application ExtraHop à un fournisseur. Par exemple, dans Azure AD, vous configurez les noms des demandes et les valeurs des conditions de réclamation qui doivent correspondre aux noms et aux valeurs des attributs de privilèges utilisateur dans le système ExtraHop. Pour des exemples plus détaillés, consultez les rubriques suivantes :
- Configurer l'authentification unique SAML avec JumpCloud
- Configurer l'authentification unique SAML avec Google
- Configurer l'authentification unique SAML avec Okta
- Configurer l'authentification unique SAML avec Azure AD
Remarque : Si un utilisateur correspond à plusieurs valeurs d'attribut, il bénéficie du privilège d'accès le plus permissif. Par exemple, si un utilisateur correspond à la fois aux valeurs d' écriture limitée et d'écriture complète, il se voit accorder des privilèges d'écriture complète. Pour plus d' informations sur les niveaux de privilèges, voir Utilisateurs et groupes d'utilisateurs. Accès au module NDR: Les attributs NDR permettent aux utilisateurs d'accéder aux fonctionnalités NDR.
Accès au module NPM: Les attributs NPM permettent aux utilisateurs d'accéder aux fonctionnalités NPM.
Accès aux paquets et aux clés de session: Les paquets et les attributs de clé de session permettent aux utilisateurs d'accéder aux paquets et aux clés de session. La configuration des paquets et des attributs de clé de session est facultative et n'est requise que lorsque vous avez un magasin de paquets ExtraHop connecté.
Mappage des attributs utilisateur
Vous devez configurer l'ensemble d'attributs utilisateur suivant dans la section de mappage des attributs de l'application sur votre fournisseur d'identité. Ces attributs identifient l'utilisateur dans l'ensemble du système ExtraHop. Reportez-vous à la documentation de votre fournisseur d'identité pour connaître les noms de propriété corrects lors du mappage des attributs.
Nom de l'attribut ExtraHop | Nom convivial | Catégorie | Nom d'attribut du fournisseur d'identité |
---|---|---|---|
urn:oid:0.9.2342.19200300.100.1.3 | courrier | Attribut standard | Adresse e-mail principale |
urn:oid:2.5.4.4 | sn | Attribut standard | Nom |
urn:oid:2.5.4.42 | Nom donné | Attribut standard | Prénom |
Déclarations relatives aux attributs de groupe
Le système ExtraHop prend en charge les déclarations d'attributs de groupe pour associer facilement les privilèges des utilisateurs à tous les membres d'un groupe spécifique. Lorsque vous configurez l'application ExtraHop sur votre fournisseur d'identité, spécifiez un nom d'attribut de groupe. Ce nom est ensuite saisi dans le champ Nom de l'attribut lorsque vous configurez le fournisseur d'identité sur le système ExtraHop.
Si votre fournisseur d'identité ne prend pas en charge les instructions d'attributs de groupe, configurez les attributs utilisateur avec les privilèges appropriés pour l'accès aux modules, l'accès au système et l'analyse des paquets .
Configurer l'authentification unique SAML avec Okta
Vous pouvez configurer votre système ExtraHop pour permettre aux utilisateurs de se connecter au système via le service de gestion des identités Okta.
Before you begin
- Vous devez être familiarisé avec l'administration d'Okta. Ces procédures sont basées sur l'interface utilisateur Okta Classic. Si vous configurez Okta via la Developer Console, la procédure peut être légèrement différente.
- Vous devez être familiarisé avec l'administration des systèmes ExtraHop.
Ces procédures vous obligent à copier-coller des informations entre le système ExtraHop et l'interface utilisateur Okta Classic. Il est donc utile d'ouvrir chaque système côte à côte.
Activez SAML sur le système ExtraHop
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Paramètres d'accès, cliquez sur Authentification à distance.
- Dans la liste déroulante des méthodes d'authentification à distance, sélectionnez SAML.
- Cliquez Poursuivre.
- Cliquez Afficher les métadonnées SP. Vous devrez copier l' URL ACS et l'ID d'entité pour les coller dans la configuration Okta lors de la procédure suivante.
Configurer les paramètres SAML dans Okta
Cette procédure vous oblige à copier-coller des informations entre les paramètres d'administration d'ExtraHop et l'interface utilisateur Okta Classic. Il est donc utile que chaque interface utilisateur soit ouverte côte à côte.
Assignez le système ExtraHop à des groupes Okta
- Dans le menu Répertoire, sélectionnez Groupes.
- Cliquez sur le nom du groupe.
- Cliquez Gérer les applications.
- Localisez le nom de l'application que vous avez configurée pour le système ExtraHop et cliquez sur Attribuer.
- Cliquez Terminé.
Connectez-vous au système ExtraHop
- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
- Cliquez Connectez-vous avec <provider name>.
- Connectez-vous à votre fournisseur à l'aide de votre adresse e-mail et de votre mot de passe. Vous êtes automatiquement dirigé vers la page d'aperçu d'ExtraHop.
Configurer l'authentification unique SAML avec Google
Vous pouvez configurer votre système ExtraHop pour permettre aux utilisateurs de se connecter au système via le service de gestion des identités de Google.
Before you begin
- Vous devez être familiarisé avec l'administration de Google Admin.
- Vous devez être familiarisé avec l'administration des systèmes ExtraHop.
Ces procédures vous obligent à copier-coller des informations entre le système ExtraHop et la console d'administration Google. Il est donc utile d'ouvrir chaque système côte à côte.
Activez SAML sur le système ExtraHop
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Paramètres d'accès, cliquez sur Authentification à distance.
- Dans la liste déroulante des méthodes d'authentification à distance, sélectionnez SAML.
- Cliquez Poursuivre.
- Cliquez Afficher les métadonnées SP.
- Copiez le URL ACS et ID de l'entité dans un fichier texte. Vous collerez ces informations dans la configuration de Google lors d'une procédure ultérieure.
Ajouter des attributs personnalisés pour l'utilisateur
- Connectez-vous à la console d'administration Google.
- Cliquez Utilisateurs.
- Cliquez sur l'icône Gérer les attributs personnalisés .
- Cliquez Ajouter un attribut personnalisé.
- Dans le champ Catégorie, tapez Hop supplémentaire.
- Facultatif : Tapez une description dans le Descriptif champ.
-
Dans le Champs personnalisés section, entrez les
informations suivantes.
- Dans le champ Nom, tapez niveau d'écriture.
- À partir du Type d'information liste déroulante, sélectionnez Texte.
- À partir du Visibilité liste déroulante, sélectionnez Visible par le domaine.
- À partir du Nombre de valeurs liste déroulante, sélectionnez Valeur unique.
-
Activer l'accès au module NDR
- Dans le Nom champ, type niveau NDR.
- À partir du Type d'information liste déroulante, sélectionnez Texte.
- À partir du Visibilité liste déroulante, sélectionnez Visible par le domaine.
- À partir du Nombre de valeurs liste déroulante, sélectionnez Valeur unique.
-
Activer l'accès au module NPM
- Dans le Nom champ, type niveau npm.
- À partir du Type d'information liste déroulante, sélectionnez Texte.
- À partir du Visibilité liste déroulante, sélectionnez Visible par le domaine.
- À partir du Nombre de valeurs liste déroulante, sélectionnez Valeur unique.
- Facultatif :
Si vous avez connecté des magasins de paquets, activez l'accès aux paquets en configurant un
champ personnalisé contenant les informations suivantes.
- Dans le Nom champ, type niveau des paquets.
- À partir du Type d'information liste déroulante, sélectionnez Texte.
- À partir du Visibilité liste déroulante, sélectionnez Visible par le domaine.
- À partir du Nombre de valeurs liste déroulante, sélectionnez Valeur unique.
- Cliquez Ajouter.
Connectez-vous au système ExtraHop
- Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
- Cliquez Connectez-vous avec <provider name>.
- Connectez-vous à votre fournisseur à l'aide de votre adresse e-mail et de votre mot de passe. Vous êtes automatiquement dirigé vers la page d'aperçu d'ExtraHop.
Configuration de l'authentification à distance via RADIUS
Le système ExtraHop prend en charge le service utilisateur RADIUS (Remote Authentication Dial In User Service) pour l'authentification à distance et l'autorisation locale uniquement. Pour l'authentification à distance, le système ExtraHop prend en charge les formats RADIUS non chiffrés et en texte brut.
Configuration de l'authentification à distance via TACACS+
Le système ExtraHop prend en charge le Terminal Access Controller Access-Control System Plus (TACACS+) pour l'authentification et l'autorisation à distance.
Configuration du serveur TACACS+
Outre la configuration de l'authentification à distance sur votre système ExtraHop, vous devez configurer votre serveur TACACS+ avec deux attributs, l'un pour le service ExtraHop et l'autre pour le niveau d'autorisation. Si vous avez un stockage des paquets ExtraHop, vous pouvez éventuellement ajouter un troisième attribut pour la capture des paquets et l'enregistrement des clés de session.
Accès à l'API
La page d'accès à l'API vous permet de générer, de visualiser et de gérer l'accès aux clés d'API requises pour effectuer des opérations via l'API REST ExtraHop.
Gérer l'accès aux clés d'API
Les utilisateurs disposant de privilèges d'administration du système et des accès peuvent configurer s'ils peuvent générer des clés d'API pour le système ExtraHop. Vous pouvez autoriser uniquement les utilisateurs locaux à générer des clés, ou vous pouvez également désactiver complètement la génération de clés d'API.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Paramètres d'accès section, cliquez Accès à l'API.
-
Dans le Gérer l'accès aux API section, sélectionnez l'une des options
suivantes :
- Autoriser tous les utilisateurs à générer une clé d'API: Les utilisateurs locaux et distants peuvent générer des clés d'API.
- Seuls les utilisateurs locaux peuvent générer une clé d'API: Les utilisateurs distants ne peuvent pas générer de clés d'API.
- Aucun utilisateur ne peut générer de clé d'API: aucune clé d'API ne peut être générée par aucun utilisateur.
- Cliquez Enregistrer les paramètres.
Configurer le partage de ressources entre origines (CORS)
Partage de ressources entre origines (CORS) vous permet d'accéder à l'API REST ExtraHop au-delà des limites du domaine et à partir de pages Web spécifiées sans que la demande passe par un serveur proxy.
- Dans le Paramètres d'accès section, cliquez Accès à l'API.
-
Dans le Réglages CORS section, spécifiez l'une des configurations
d'accès suivantes.
- Pour ajouter une URL spécifique, tapez une URL d'origine dans la zone de texte, puis
cliquez sur l'icône plus (+) ou appuyez sur ENTER.
L'URL doit inclure un schéma, tel que HTTP ou HTTPS, et le nom de domaine exact. Vous ne pouvez pas ajouter de chemin, mais vous pouvez fournir un numéro de port.
- Pour autoriser l'accès depuis n'importe quelle URL, sélectionnez Autoriser les demandes d'API
depuis n'importe quelle origine case à cocher.
Remarque : Autoriser l'accès à l'API REST depuis n'importe quelle origine est moins sûr que de fournir une liste d' origines explicites.
- Pour ajouter une URL spécifique, tapez une URL d'origine dans la zone de texte, puis
cliquez sur l'icône plus (+) ou appuyez sur ENTER.
- Cliquez Enregistrer les paramètres puis cliquez sur Terminé.
Génération d'une clé d'API
Vous devez générer une clé d'API avant de pouvoir effectuer des opérations via l' API REST ExtraHop. Les clés ne peuvent être consultées que par l'utilisateur qui les a générées ou par les utilisateurs disposant de privilèges d'administration du système et d'accès. Après avoir généré une clé d'API, ajoutez-la à vos en-têtes de demande ou à l'explorateur d'API REST ExtraHop.
Before you begin
Assurez-vous que le système ExtraHop est configuré pour permettre la génération de clés d'API.- Dans le Paramètres d'accès section, cliquez Accès à l'API.
- Dans le Générer une clé d'API section, tapez une description pour la nouvelle clé, puis cliquez sur Générer.
- Faites défiler la page jusqu'à la section Clés d'API et copiez la clé d'API correspondant à votre description.
Niveaux de privilèges
Les niveaux de privilège utilisateur déterminent le système ExtraHop et les tâches d'administration que l'utilisateur peut effectuer via l'API REST ExtraHop.
Vous pouvez consulter les niveaux de privilèges des utilisateurs par le biais du granted_roles et effective_roles propriétés. Le granted_roles Cette propriété vous indique quels niveaux de privilèges sont explicitement accordés à l'utilisateur. Le effective_roles La propriété affiche tous les niveaux de privilège d'un utilisateur, y compris ceux reçus en dehors du rôle accordé, par exemple via un groupe d'utilisateurs.
Le granted_roles et effective_roles les propriétés sont renvoyées par les opérations suivantes :
- GET /utilisateurs
- GET /users/ {nom d'utilisateur}
Le granted_roles et effective_roles les propriétés prennent en charge les niveaux de privilège suivants. Notez que le type de tâches pour chaque système ExtraHop varie en fonction des ressources répertoriés dans l'explorateur d'API REST et dépendent des modules activés sur le système et des privilèges d'accès aux modules utilisateur.
Niveau de privilège | Actions autorisées |
---|---|
« système » : « complet » |
|
« write » : « complet » |
|
« write » : « limité » |
|
« write » : « personnel » |
|
« metrics » : « complet » |
|
« métriques » : « restreint » |
|
« ndr » : « complet » |
Il s'agit d'un privilège d'accès au module qui peut être accordé à un utilisateur en plus de l'un des niveaux de privilège d'accès au système suivants :
|
« ndr » : « aucun » |
Il s'agit d'un privilège d'accès au module qui peut être accordé à un utilisateur en plus de l'un des niveaux de privilège d'accès au système suivants :
|
« npm » : « complet » |
Il s'agit d'un privilège d'accès au module qui peut être accordé à un utilisateur en plus de l'un des niveaux de privilège d'accès au système suivants :
|
« npm » : « aucun » |
Il s'agit d'un privilège d'accès au module qui peut être accordé à un utilisateur en plus de l'un des niveaux de privilège d'accès au système suivants :
|
« paquets » : « complets » |
Il s'agit d'un privilège supplémentaire qui peut être accordé à un utilisateur possédant l'un des niveaux de privilège suivants :
|
« paquets » : « full_with_keys » |
Il s'agit d'un privilège supplémentaire qui peut être accordé à un utilisateur possédant l'un des niveaux de privilège suivants :
|
« paquets » : « slices_only » |
Il s'agit d'un privilège supplémentaire qui peut être accordé à un utilisateur possédant l'un des niveaux de privilège suivants :
|
Configuration du système
Dans le Configuration du système section, vous pouvez modifier les paramètres suivants.
- Capture
- Configurez les paramètres de capture réseau. (Capteurs uniquement)
- Banque de données
- Configurez une banque de données étendue ou réinitialisez la banque de données locale. (Capteurs uniquement)
- Nom de l'appareil
- Configurez l'ordre de priorité lorsque plusieurs noms sont trouvés pour un équipement.
- Sources inactives
- Supprimez les appareils et les applications inactifs entre 1 et 90 jours des résultats de recherche.
- Suivi des détections
- Choisissez de suivre les enquêtes de détection à l'aide du système ExtraHop ou à partir d'un système de billetterie externe.
- Recherche d'un terminal
- Configurez les liens vers un outil de recherche d'adresse IP externe pour les points de terminaison du système ExtraHop .
- Source de données Geomap
- Modifiez les informations dans les géomaps.
- Flux de données ouverts
- Envoyez les données du journal à un système tiers, tel qu'un système syslog, une base de données MongoDB ou un serveur HTTP. (Capteurs uniquement)
- Tendances
- Réinitialisez toutes les tendances et les alertes basées sur les tendances. (Capteurs uniquement).
- Sauvegarde et restauration
- Créez, visualisez ou restaurez des sauvegardes du système.
Capture
La page Capture fournit des commandes permettant d'ajuster la manière dont le système ExtraHop collecte le trafic de votre réseau à des fins d'analyse.
Exclure les modules de protocole
Par défaut, tous les modules pris en charge sur le système ExtraHop sont inclus dans la capture, sauf si vous les excluez manuellement.
- Cliquez .
- Cliquez Modules de protocole exclus.
- Ajouter Module à exclure.
- Sur le Sélectionnez le module de protocole à exclure page, depuis le Nom du module dans la liste déroulante, sélectionnez le module que vous souhaitez exclure de la capture.
- Cliquez Ajouter.
- Sur le Modules de protocole exclus page, cliquez Redémarrer la capture.
- Après le redémarrage de la capture, cliquez sur OK..
Exclure les adresses MAC
Ajoutez des filtres pour exclure des adresses MAC spécifiques ou le trafic d'équipements du fournisseur de la capture réseau
Exclure une adresse IP ou une plage d'adresses IP
Ajoutez des filtres pour exclure des adresses IP et des plages d'adresses IP spécifiques de la capture réseau sur le système ExtraHop.
- Cliquez .
- Cliquez Filtres d'adresses IP.
- Cliquez Ajouter un filtre.
- Sur le Filtres d'adresses IP page, entrez soit une adresse IP unique que vous souhaitez exclure, soit un masque d'adresse IP au format CIDR pour une plage d'adresses IP que vous souhaitez exclure.
- Cliquez Ajouter.
Exclure un port
Ajoutez des filtres pour exclure le trafic provenant de ports spécifiques de la capture réseau sur le système ExtraHop.
- Dans le Configuration du système section, cliquez Capture.
- Cliquez Filtres de port.
- Cliquez Ajouter un filtre.
-
Sur le Ajouter un filtre de port page, tapez le port que vous souhaitez
exclure.
- Pour spécifier le port source que vous souhaitez exclure, tapez le numéro de port dans le Port source champ.
- Pour spécifier le port de destination que vous souhaitez exclure, tapez le numéro de port dans le Port de destination champ.
- À partir du Protocole IP liste déroulante, sélectionnez le protocole que vous souhaitez exclure sur le port indiqué.
- Cliquez Ajouter.
Filtrage et déduplication
Reportez-vous au tableau suivant pour voir les effets du filtrage et de la déduplication sur les métriques, la capture de paquets et découverte des équipements. La déduplication est activée par défaut sur le système.
Paquet déposé par | Filtre d'adresse MAC | filtre d'adresse IP | Filtre de port | Dédoupage L2 | Dédoublage L3 |
---|---|---|---|---|---|
Métriques L2 du réseau VLAN | Non collecté | Non collecté | Non fragmenté* : Non collecté Fragmenté : collecté |
Non collecté | Recueilli |
Métriques du réseau VLAN L3 | Non collecté | Non collecté | Non fragmenté : Non collecté Fragmenté : collecté |
Non collecté | Recueilli |
Métriques L2/L3 de l'appareil | Non collecté | Non collecté | Non fragmenté : Non collecté Fragmenté, niveau supérieur : collecté Fragmenté, détail : Non collecté |
Non collecté | Recueilli |
Paquets PCAP globaux | Capturé | Capturé | Capturé | Capturé | Capturé |
Paquets PCAP de précision | Non capturé | Non capturé | Non capturé | Non capturé | Capturé |
Découverte des appareils L2 | Aucune découverte | Découverte | Découverte | -- | -- |
Découverte des appareils L3 | Aucune découverte | Aucune découverte | Non fragmenté : aucune découverte Fragmenté : Découverte |
-- | -- |
*Pour les filtres de port, lorsque des fragments IP sont présents dans le flux de données, aucun numéro de port n'est déterminé lors du réassemblage des fragments. Le système ExtraHop peut collecter des métriques, capturer des paquets ou découvrir un équipement même si la règle de filtrage des ports l'interdit autrement.
Les doublons L2 sont des trames Ethernet identiques. Les trames dupliquées n'existent généralement pas sur le fil, mais sont un artefact de la configuration du flux de données. Les doublons L3 sont des trames qui ne diffèrent que par l'en-tête L2 et le TTL IP. Ces trames sont généralement le résultat d'un tapotement des deux côtés d'un routeur. Comme ces trames existent sur le réseau surveillé, elles sont comptées en L2 et L3 aux emplacements référencés ci-dessus. La déduplication L3 est ciblée sur les niveaux L4 et supérieurs, par exemple, pour éviter de considérer les doublons L3 comme des retransmissions TCP.
Classification des protocoles
La classification des protocoles repose sur des charges utiles spécifiques pour identifier les protocoles personnalisés sur des ports spécifiques. Ces protocoles sont des protocoles de couche 7 (couche application) situés au-dessus du protocole de couche 4 (TCP ou UDP). Ces applications ont leur propre protocole personnalisé et utilisent également le protocole TCP.
Le Classification des protocoles Cette page fournit une interface permettant d'exécuter les fonctions suivantes :
- Répertoriez les applications et les ports pour les entités réseau suivantes :
- Applications largement connues mappées à des ports non standard.
- Applications réseau personnalisées et moins connues.
- Applications anonymes avec trafic TCP et UDP (par exemple, TCP 1234).
- Ajoutez un mappage protocole-application personnalisé qui inclut les informations suivantes :
- Nom
- Le nom du protocole spécifié par l'utilisateur.
- Protocole
- Le protocole de couche 4 sélectionné (TCP ou UDP).
- La source
- (Facultatif) Le port source spécifié. Le port 0 indique n'importe quel port source.
- Destination
- Port de destination ou plage de ports.
- Initiation souple
- Cochez cette case si vous souhaitez que le classificateur tente de classer la connexion
sans la voir ouverte. ExtraHop recommande de sélectionner une initiation souple pour les flux de
longue durée.
Par défaut, le système ExtraHop utilise une classification des protocoles mal initiée, il tente donc de classer flux même après l' établissement de la connexion. Vous pouvez désactiver l'initiation automatique pour les ports qui ne transportent pas toujours le trafic du protocole (par exemple, le port générique 0).
- Supprimez de la liste les protocoles portant le nom d'application et le mappage de port sélectionnés.
Le nom et le port de l'application ne s'affichent pas dans le système ExtraHop ni dans les rapports basés sur toute capture de données future. L'équipement apparaîtra dans les rapports contenant des données historiques, s'il était actif et détectable au cours de la période indiquée.
- Redémarrez la capture réseau.
- Vous devez redémarrer la capture réseau avant que les modifications de classification du protocole ne prennent effet.
- Les données de capture précédemment collectées sont préservées.
Le système ExtraHop reconnaît la plupart des protocoles sur leurs ports standard, à quelques exceptions près. Dans l'édition Performance, les protocoles suivants sont reconnus sur tous les ports :
- AJP
- DTLS
- FIX
- HTTP
- HTTP2
- IIOP
- Java RMI
- LDAP
- RPC
- SSH
- SLL
Sur Reveal (x) 360, les protocoles suivants sont reconnus sur tous les ports :
- ethminer
- modèle getblock
- RDP
- RFB
- Strate
- LDAP
- Java RMI
- IIOP
Dans certains cas, si un protocole communique via un port non standard, il est nécessaire d'ajouter le port non standard sur la page Classification des protocoles. Dans ces cas, il est important de nommer correctement le port non standard. Le tableau ci-dessous répertorie les ports standard pour chacun des protocoles, ainsi que le nom du protocole qui doit être spécifié lors de l'ajout des numéros de port personnalisés sur la page Classification des protocoles.
Dans la plupart des cas, le nom que vous entrez est le même que le nom du protocole. Les exceptions les plus courantes à cette règle sont Oracle (où le nom du protocole est TNS) et Microsoft SQL (où le nom du protocole est TDS).
Si vous ajoutez un nom de protocole comportant plusieurs ports de destination, ajoutez la plage de ports complète séparée par un tiret (-). Par exemple, si votre protocole nécessite l'ajout des ports 1434, 1467 et 1489 pour le trafic de base de données, tapez 1434-1489 dans le Port de destination champ. Vous pouvez également ajouter chacun des trois ports dans trois classifications de protocole distinctes portant le même nom.
Nom canonique | Nom du protocole | Transport | Port source par défaut | Port de destination par défaut |
---|---|---|---|---|
ActiveMQ | ActiveMQ | TCP | 0 | 61616 |
AJP | AJP | TCP | 0 | 8009 |
CIFS | CIFS | TCP | 0 | 139, 445 |
DB2 | DB2 | TCP | 0 | 50000, 60000 |
DHCP | DHCP | TCP | 68 | 67 |
Diamètre | AAA | TCP | 0 | 3868 |
DICOM | DICOM | TCP | 0 | 3868 |
DNS | DNS | TCP, UDP | 0 | 53 |
FIX | FIX | TCP | 0 | 0 |
FTP | FTP | TCP | 0 | 21 |
DONNÉES FTP | DONNÉES FTP | TCP | 0 | 20 |
HL7 | HL7 | TCP, UDP | 0 | 2575 |
HTTPS | HTTPS | TCP | 0 | 443 |
IBM MQ | IBMMQ | TCP, UDP | 0 | 1414 |
ICA | ICA | TCP | 0 | 1494, 2598 |
IKE | IKE | UDP | 0 | 500 |
IMAP | IMAP | TCP | 0 | 143 |
IMAPS | IMAPS | TCP | 0 | 993 |
Informix | Informix | TCP | 0 | 1526, 1585 |
IPSEC | IPSEC | TCP, UDP | 0 | 1293 |
IPX | IPX | TCP, UDP | 0 | 213 |
IRC | IRC | TCP | 0 | 6660-6669 |
ISAKMP | ISAKMP | UDP | 0 | 500 |
iSCSI | iSCSI | TCP | 0 | 3260 |
Kerberos | Kerberos | TCP, UDP | 0 | 88 |
LDAP | LDAP | TCP | 0 | 389, 390, 3268 |
LLDP | LLDP | Niveau du lien | S.O. | S.O. |
L2TP | L2TP | UDP | 0 | 1701 |
Memcache | Memcache | TCP | 0 | 11210, 11211 |
Modbus | Modbus | TCP | 0 | 502 |
MongoDB | MongoDB | TCP | 0 | 27017 |
Serveur MS SQL | TDS | TCP | 0 | 1433 |
MSMQ | MSMQ | TCP | 0 | 1801 |
MSRPC | MSRPC | TCP | 0 | 135 |
MySQL | MySQL | TCP | 0 | 3306 |
NetFlow | NetFlow | UDP | 0 | 2055 |
NFS | NFS | TCP | 0 | 2049 |
NFS | NFS | UDP | 0 | 2049 |
NTP | NTP | UDP | 0 | 123 |
OpenVPN | OpenVPN | UDP | 0 | 1194 |
Oracle | TNS | TCP | 0 | 1521 |
PCoIP | PCoIP | UDP | 0 | 4172 |
POP3 | POP3 | TCP | 0 | 143 |
POP3S | POP3S | TCP | 0 | 995 |
PostgreSQL | PostgreSQL | TCP | 0 | 5432 |
RAYON | AAA | TCP | 0 | 1812, 1813 |
RAYON | AAA | UDP | 0 | 1645, 1646, 1812, 1813 |
RDP | RDP | TCP | 0 | 3389 |
Redis | Redis | TCP | 0 | 6397 |
RFB | RFB | TCP | 0 | 5900 |
SCCP | SCCP | TCP | 0 | 2000 |
SIP | SIP | TCP | 0 | 5060, 5061 |
SMPP | SMPP | TCP | 0 | 2775 |
SMTP | SMTP | TCP | 0 | 25 |
SNMP | SNMP | UDP | 0 | 162 |
SSH | SSH | TCP | 0 | 0 |
SLL | SLL | TCP | 0 | 443 |
Sybase | Sybase | TCP | 0 | 10200 |
Sybase IQ | Sybase IQ | TCP | 0 | 2638 |
Syslog | Syslog | UDP | 0 | 514 |
Telnet | Telnet | TCP | 0 | 23 |
VNC | VNC | TCP | 0 | 5900 |
WebSocket | WebSocket | TCP | 0 | 80, 443 |
Optimisation de la diffusion de Windows Update | Optimisation de la diffusion de Windows Update | TCP | 0 | 7860 |
Le nom spécifié dans la colonne Nom du protocole du tableau apparaît sur la page Classification des protocoles pour classer un protocole courant qui communique via des ports non standard.
Les protocoles du système ExtraHop qui ne figurent pas dans ce tableau sont les suivants :
- HTTP
- Le système ExtraHop classe le protocole HTTP sur tous les ports.
- HTTP-AMF
- Ce protocole s'exécute au-dessus du protocole HTTP et est automatiquement classé.
Les protocoles de ce tableau qui n'apparaissent pas dans le système ExtraHop sont les suivants :
- DONNÉES FTP
- Le système ExtraHop ne gère pas les données FTP-DATA sur les ports non standard.
- LLDP
- Comme il s'agit d'un protocole au niveau des liens, la classification basée sur les ports ne s'applique pas.
Ajouter une classification de protocole personnalisée
La procédure suivante décrit comment ajouter un élément personnalisé. protocole étiquettes de classification avec le protocole TDS (MS SQL Server) à titre d' exemple.
Par défaut, le système ExtraHop recherche le trafic TDS sur le port TCP 1533. Pour ajouter l'analyse TDS de MS SQL Server sur un autre port, procédez comme suit.
Configurer Device Discovery
Le système ExtraHop peut découvrir et suivre les appareils par leur adresse MAC (L2 Discovery) ou par leur adresse IP (L3 Discovery). L2 Discovery offre l'avantage de suivre les métriques d'un équipement même si l'adresse IP est modifiée ou réattribuée par le biais d'une requête DHCP. Le système peut également détecter automatiquement les clients VPN.
Before you begin
Découvrez comment découverte d'équipements et Découverte de la L2 fonctionne dans le système ExtraHop. La modification de ces paramètres affecte la manière dont les métriques sont associées aux appareils.Remarque : | Les courtiers en paquets peuvent filtrer les demandes ARP. Le système ExtraHop s'appuie sur les requêtes ARP pour associer les adresses IP L3 aux adresses MAC L2. |
Découvrez les appareils locaux
Si vous activez L3 Discovery, les appareils locaux sont suivis par leur adresse IP. Le système crée une entrée parent L2 pour l'adresse MAC et une entrée enfant L3 pour l'adresse IP. Au fil du temps, si l'adresse IP d'un équipement change, il est possible que vous ne voyiez qu'une seule entrée pour un parent L2 avec une adresse MAC avec plusieurs entrées enfant L3 avec des adresses IP différentes.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Configuration du système section, cliquez Capture.
- Cliquez Découverte des appareils.
-
Dans le Découverte des appareils locaux section, sélectionnez l'une des options
suivantes :
- Sélectionnez le Activer la découverte des équipements locaux case à cocher pour activer L3 Discovery.
- Effacez le Activer la découverte des équipements locaux case à cocher pour activer L2 Discovery.
- Cliquez Enregistrer.
Découvrez les appareils distants par adresse IP
Vous pouvez configurer le système ExtraHop pour détecter automatiquement les appareils sur les sous-réseaux distants en ajoutant une plage d'adresses IP.
Remarque : | Si votre système ExtraHop est configuré pour L2 Discovery et que vos appareils distants demandent des adresses IP via un agent de relais DHCP, vous pouvez suivre les appareils par leur adresse MAC et vous n'avez pas besoin de configurer Remote L3 Discovery. En savoir plus sur découverte d'équipements. |
- Les informations L2, telles que l'adresse MAC de l'équipement et le trafic L2, ne sont pas disponibles si l' équipement se trouve sur un réseau différent de celui surveillé par le système ExtraHop. Ces informations ne sont pas transmises par les routeurs et ne sont donc pas visibles par le système ExtraHop.
- Soyez prudent lorsque vous spécifiez la notation CIDR. Un préfixe de sous-réseau /24 peut entraîner la découverte de 255 nouveaux appareils par le système ExtraHop. Un préfixe de sous-réseau /16 étendu peut entraîner la découverte de 65 535 nouveaux appareils, ce qui peut dépasser votre limite d'équipements.
- Si une adresse IP est supprimée des paramètres Remote L3 Device Discovery, elle restera dans le système ExtraHop en tant qu'équipement L3 distant tant qu'il existe des flux actifs pour cette adresse IP ou jusqu'à ce
que la capture
soit redémarrée.
Après un redémarrage, l'équipement est répertorié comme un
équipement L3 distant inactif.
Si la même adresse IP est ajoutée ultérieurement via le flux de données local, cet équipement L3 distant peut passer à un équipement L3 local, mais uniquement si le processus de capture est redémarré et que le paramètre Local Device Discovery est activé.
Important : | Le processus de capture doit être redémarré lors de la suppression de plages d'adresses IP avant que les modifications ne prennent effet. Nous vous recommandons de supprimer toutes les entrées avant de redémarrer le processus de capture. Il n'est pas nécessaire de redémarrer le processus de capture lors de l'ajout de plages d'adresses IP. |
Découvrez les clients VPN
Activez la découverte des adresses IP internes associées aux appareils clients VPN.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Configuration du système section, cliquez Capture.
- Cliquez Découverte des appareils.
-
Dans le Découverte du client VPN section, sélectionnez l'une des options
suivantes :
- Sélectionnez le Activer la découverte des clients VPN case à cocher pour activer la découverte des clients VPN.
- Effacez le Activer la découverte des clients VPN case à cocher pour désactiver la découverte des clients VPN.
- Cliquez Enregistrer.
Décryptage SSL
Le système ExtraHop prend en charge le décryptage en temps réel du trafic SSL à des fins d'analyse. Avant que le système puisse déchiffrer votre trafic, vous devez configurer le transfert des clés de session ou télécharger un certificat de serveur SSL et une clé privée. Le certificat du serveur et les clés privées sont téléchargés via une connexion HTTPS depuis un navigateur Web vers le système ExtraHop.
Remarque : | Le trafic de votre serveur doit être crypté via l'un des ces suites de chiffrement prises en charge. |
Aide sur cette page
- Déchiffrez le trafic SSL avec le transfert de clé de session sans clé privée.
- Décochez la case pour Exiger des clés privées.
- Installez le logiciel de transfert de clés de session sur votre Linux ou Fenêtres serveurs.
- Ajouter un port global au mappage des protocoles pour chaque protocole que vous souhaitez déchiffrer.
- Déchiffrez le trafic SSL en téléchargeant un certificat et une clé privée.
Remarque : | Le déchiffrement SSL nécessite une licence. Toutefois, si vous possédez une licence pour MS SQL, vous pouvez également télécharger un certificat SSL pour déchiffrer le trafic MS SQL à partir de ces paramètres. |
Téléchargez un certificat PEM et une clé privée RSA
Conseil : | Vous pouvez exporter une clé protégée par mot de passe à ajouter à votre système ExtraHop
en exécutant la commande suivante sur un programme tel qu'OpenSSL :
openssl rsa -in yourcert.pem -out new.key |
Que faire ensuite
Ajoutez les protocoles chiffrés vous souhaitez déchiffrer avec ce certificat.Téléchargez un fichier PKCS #12 /PFX
Les fichiers PKCS #12 /PFX sont archivés dans un conteneur sécurisé sur le système ExtraHop et contiennent des paires de clés publiques et privées, accessibles uniquement par mot de passe.
Conseil : | Pour exporter des clés privées d'un KeyStore Java vers un fichier PKCS #12, exécutez la commande
suivante sur votre serveur, où javakeystore.jks est le
chemin de votre
KeyStore Java :keytool -importkeystore -srckeystore javakeystore.jks -destkeystore pkcs.p12 -srcstoretype jks -deststoretype pkcs12 |
Que faire ensuite
Ajoutez les protocoles chiffrés vous souhaitez déchiffrer avec ce certificat.Ajouter des protocoles chiffrés
Vous devez ajouter chaque protocole que vous souhaitez déchiffrer pour chaque certificat téléchargé.
Ajouter un port global au mappage des protocoles
Ajoutez chaque protocole pour le trafic que vous souhaitez déchiffrer avec vos redirecteurs de clés de session.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Configuration du système, cliquez sur Capture.
- Cliquez Déchiffrement SSL.
- Dans la section Déchiffrement de la clé privée, désactivez Exiger des clés privées case à cocher.
- Dans la section Mappage du protocole global au port, cliquez sur Ajouter un protocole global.
- Dans la liste déroulante Protocole, sélectionnez le protocole pour le trafic que vous souhaitez déchiffrer.
- Dans le champ Port, saisissez le numéro du port. Type 0 pour ajouter tous les ports.
- Cliquez Ajouter.
Installez le redirecteur de clé de session ExtraHop sur un serveur Windows
Le protocole PFS (Perfect Forward Secrets) est une propriété des protocoles de communication sécurisés qui permet des échanges de clés de session à court terme et totalement privés entre les clients et les serveurs. ExtraHop propose un logiciel de transfert de clés de session qui peut envoyer des clés de session au système ExtraHop pour le déchiffrement SSL/TLS. Communication entre le transitaire des clés et le sonde est chiffré avec TLS 1.2 ou TLS 1.3, et il n'y a pas de limite au nombre de clés de session que le système ExtraHop peut recevoir.
Vous devez configurer le système ExtraHop pour le transfert des clés de session, puis installer le logiciel du redirecteur sur le Fenêtres et Linux serveurs qui contiennent le trafic SSL/TLS que vous souhaitez déchiffrer.
Avant de commencer- Lisez à propos de Décryptage SSL/TLS et consultez la liste des suites de chiffrement prises en charge.
- Assurez-vous que le système ExtraHop possède une licence pour le déchiffrement SSL et les secrets partagés SSL.
- Assurez-vous que votre environnement de serveur est pris en charge par le logiciel de
transfert de clés de session ExtraHop :
- Package de sécurité Microsoft Secure Channel (Schannel)
- Java SSL/TLS (versions 8 à 13 de Java). Ne passez pas à cette version du redirecteur de clé de session si vous surveillez actuellement des environnements Java 6 ou Java 7. La version 7.9 du redirecteur de clé de session prend en charge Java 6 et Java 7 et est compatible avec le dernier firmware ExtraHop.
- Bibliothèques OpenSSL (1.0.x et 1.1.x) liées dynamiquement. OpenSSL est uniquement pris en charge sur les systèmes Linux dotés des versions 4.4 et ultérieures du noyau et RHEL 7.6 et versions ultérieures.
- Assurez-vous que le serveur sur lequel vous installez le redirecteur de clé de session fait confiance au certificat SSL de l'ExtraHop sonde.
- Assurez-vous que les règles de votre pare-feu autorisent l'établissement de connexions par le serveur surveillé au port TCP 4873 de la sonde.
Important : | Le système ExtraHop ne peut pas déchiffrer le trafic TDS chiffré par TLS via le transfert de clé de session. Au lieu de cela, vous pouvez télécharger un RSA clé privée. |
- Installez le redirecteur de clé de session sur un ou plusieurs serveurs Windows 2016 ou Windows 2019 qui exécutent des services SSL avec l'infrastructure SSL Windows native. OpenSSL sous Windows n'est actuellement pas pris en charge.
Important : | Après avoir installé le logiciel de transfert de clé de session, les applications qui
incluent des fonctionnalités SSL, telles que les agents EDR et les applications du Windows Store, peuvent ne pas fonctionner
correctement. Validez la compatibilité du redirecteur de clé de session dans votre environnement de test Windows avant de le déployer dans votre environnement de production. |
Installez le logiciel à l'aide de l'assistant d'installation
Les étapes suivantes vous indiquent comment installer le redirecteur de clé de session à partir d'une invite de commande Windows ou de Windows PowerShell.
Activer le service de réception des clés de session SSL
Vous devez activer le service de réception des clés de session sur le système ExtraHop avant que le système puisse recevoir et déchiffrer les clés de session à partir du redirecteur de clé de session. Par défaut, ce service est désactivé.
Ajouter un port global au mappage des protocoles
Ajoutez chaque protocole pour le trafic que vous souhaitez déchiffrer avec vos redirecteurs de clés de session.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Configuration du système, cliquez sur Capture.
- Cliquez Déchiffrement SSL.
- Dans la section Déchiffrement de la clé privée, désactivez Exiger des clés privées case à cocher.
- Dans la section Mappage du protocole global au port, cliquez sur Ajouter un protocole global.
- Dans la liste déroulante Protocole, sélectionnez le protocole pour le trafic que vous souhaitez déchiffrer.
- Dans le champ Port, saisissez le numéro du port. Type 0 pour ajouter tous les ports.
- Cliquez Ajouter.
Afficher les redirecteurs de clés de session connectés
Vous pouvez consulter les redirecteurs de clé de session récemment connectés après avoir installé le redirecteur de clé de session sur votre serveur et activé le service de réception de clé de session SSL sur le système ExtraHop. Notez que cette page affiche uniquement les redirecteurs de clé de session qui se sont connectés au cours des dernières minutes, pas tous les redirecteurs de clé de session actuellement connectés.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Configuration du système, cliquez sur Capture.
- Cliquez Secrets partagés SSL.
Valider le transfert des clés de session
Effectuez ces étapes pour vous assurer que l'installation a réussi et que le redirecteur de clés de session transmet les clés au système ExtraHop.
- Connectez-vous au serveur Windows.
-
Ouvrez le composant logiciel enfichable Services MMC. Assurez-vous que les deux services, « ExtraHop Session Key Forwarder »
et « ExtraHop Registry Service », affichent le statut « En cours d'exécution ».
-
Si l'un des services n'est pas en cours d'exécution, résolvez le problème
en effectuant les étapes suivantes.
- Ouvrez le composant logiciel enfichable Event Viewer MMC et accédez à Windows Logs > Application.
- Localisez les entrées les plus récentes pour la source ExtraHopAgent. Les causes courantes d'échec et les messages d'erreur associés sont répertoriés dans le Résoudre les problèmes liés aux messages d'erreur courants section ci-dessous.
- Si le composant logiciel enfichable Services et Observateur d'événements n'indique aucun problème, appliquez une charge de travail aux services surveillés et accédez au système ExtraHop pour vérifier que le déchiffrement secret fonctionne.
Dans les cas où vous pourriez rencontrer des problèmes de configuration, le binaire du redirecteur de clé de session inclut un mode de test auquel vous pouvez accéder depuis la ligne de commande pour tester votre configuration.
Principaux indicateurs de santé du système récepteur
Le système ExtraHop fournit des indicateurs clés sur les récepteurs que vous pouvez ajouter à un tableau de bord pour surveiller l'état et les fonctionnalités des principaux destinataires.
Pour afficher la liste des mesures disponibles, cliquez sur l'icône Paramètres système puis cliquez sur Catalogue métrique. Type récepteur clé dans le champ de filtre pour afficher toutes les mesures de réception clés disponibles.
Conseil : | Pour savoir comment créer un nouveau graphique de tableau de bord, voir Modifier un graphique avec l'explorateur de métriques. |
Intégrez le redirecteur à l'application SSL basée sur Java
Par exemple, Apache Tomcat prend en charge la personnalisation des options Java dans les propriétés du gestionnaire de services Tomcat. Dans l'exemple suivant, en ajoutant le -javaagent L'option de la section Options Java amène le moteur d'exécution Java à partager les secrets de session SSL avec le processus de transfert de clés, qui transmet ensuite les secrets au système ExtraHop afin qu'ils puissent être déchiffrés.
-javaagent:C:\Program Files\ExtraHop\exagent.jar
Appendice
Les messages d'erreur sont enregistrés dans des fichiers journaux aux emplacements suivants, où TMP est la valeur de votre variable d'environnement TMP :
- TMP\ExtraHopSessionKeyForwarderSetup.log
- TMP\ExtraHopSessionKeyForwarderMsi.log
Le tableau suivant présente les messages d'erreur courants que vous pouvez résoudre. Si vous voyez une erreur différente ou si la solution proposée ne résout pas votre problème, contactez le support ExtraHop.
Message | Cause | Solution |
---|---|---|
connect: dial tcp <IP address>:4873: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond | Le serveur surveillé ne peut acheminer aucun trafic vers le sonde. | Assurez-vous que les règles de pare-feu autorisent le serveur surveillé à établir des connexions vers le port TCP 4873 du sonde. |
connect: dial tcp <IP address>:4873: connectex: No connection could be made because the target machine actively refused it | Le serveur surveillé peut acheminer le trafic vers sonde, mais le processus de réception n'écoute pas. | Assurez-vous que sonde est concédé sous licence pour les fonctionnalités SSL Decryption et SSL Shared Secrets. |
connect: x509: certificate signed by unknown authority | Le serveur surveillé n'est pas en mesure de relier les sonde certificat auprès d'une autorité de certification (CA) de confiance. | Assurez-vous que le magasin de certificats Windows associé au compte de l'ordinateur dispose d'autorités de certification racine approuvées qui établissent une chaîne de confiance pour le sonde. |
connect: x509: cannot validate certificate for <IP address> because it doesn't contain any IP SANs | Une adresse IP a été fournie en tant que EDA_HOSTNAME paramètre lors de l'installation du redirecteur, mais le certificat SSL présenté par la sonde n'inclut pas d'adresse IP en tant que nom alternatif du sujet (SAN). | Choisissez l'une des trois solutions suivantes.
|
|
||
|
Si vous ne souhaitez plus installer le logiciel de transfert de clé de session ExtraHop, ou si l'un des paramètres d'installation d'origine a changé (nom d'hôte de la sonde ou certificat) et que vous devez réinstaller le logiciel avec de nouveaux paramètres, procédez comme suit :
Important : | Vous devez redémarrer le serveur pour que les modifications de configuration soient prises en compte. |
- Connectez-vous au serveur Windows.
- Facultatif : Si vous avez intégré le redirecteur de clé de session à Apache Tomcat, supprimez le -javaagent:C:\Program Files\ExtraHop\exagent.jar entrée depuis Tomcat pour empêcher l'arrêt du service Web.
-
Choisissez l'une des options suivantes pour supprimer le logiciel :
- Ouvrez le panneau de configuration et cliquez sur Désinstaller un programme. Sélectionnez Transmetteur de clés de session ExtraHop dans la liste, puis cliquez sur Désinstaller.
-
Ouvrez une invite de commande PowerShell et exécutez les commandes suivantes pour supprimer le logiciel et les entrées de registre associées :
-
$app=Get-WMIObject -class win32_product | where-object {$_.name -eq "ExtraHop Session Key Forwarder"}
-
$app.Uninstall()
-
- Cliquez Oui pour confirmer.
- Une fois le logiciel supprimé, cliquez sur Oui pour redémarrer le système
Vous pouvez spécifier les paramètres MSI suivants :
Paramètre d'installation MSI | EDA_HOSTNAME |
Entrée de registre | HKEY_LOCAL_MACHINE\SOFTWARE\ExtraHop\EDAHost |
Descriptif | Le sonde nom d'hôte ou adresse IP où les clés de session SSL seront envoyées. Ce paramètre est obligatoire. |
Paramètre d'installation MSI | EDA_CERTIFICATEPATH |
Entrée de registre | N/A |
Descriptif |
Le serveur surveillé doit faire confiance à l'émetteur du sonde Certificat SSL via le magasin de certificats du serveur. Dans certains environnements, sonde fonctionne avec le certificat auto-signé que le microprogramme ExtraHop génère lors de l'installation. Dans ce cas, le certificat doit être ajouté au magasin de certificats. Le EDA_CERTIFICATEPATH Ce paramètre permet d'importer un certificat codé PEM basé sur un fichier dans le magasin de certificats Windows lors de l'installation. Si le paramètre n'est pas spécifié lors de l'installation et qu'un certificat auto-signé ou un autre certificat CA doit être placé manuellement dans le magasin de certificats, l' administrateur doit importer le certificat dans Certificats (compte d'ordinateur) > Autorités de certification racine de confiance sur le système surveillé. Ce paramètre est facultatif si le serveur surveillé a été précédemment configuré pour faire confiance au certificat SSL du sonde via le magasin de certificats Windows. |
Paramètre d'installation MSI | SERVERNAMEOVERRIDE |
Entrée de registre | HKEY_LOCAL_MACHINE\SOFTWARE\ExtraHop\ServerNameOverride |
Descriptif |
S'il y a un décalage entre sonde nom d'hôte connu par le redirecteur (EDA_HOSTNAME) et nom commun (CN) qui figure dans le certificat SSL du sonde, le transitaire doit alors être configuré avec le bon CN. Ce paramètre est facultatif. Nous vous recommandons de régénérer le certificat auto-signé SSL en fonction du nom d'hôte figurant dans la section Certificat SSL des paramètres d'administration au lieu de spécifier ce paramètre. |
Paramètre d'installation MSI | TCPLISTENPORT |
Entrée de registre | HKEY_LOCAL_MACHINE\SOFTWARE\ExtraHop\TCPListenPort |
Descriptif | Le redirecteur de clés reçoit les clés de session localement depuis l'environnement Java
via un écouteur TCP sur localhost (127.0.0.1) et le port spécifié dans
TCPListenPort entrée. Nous avons recommandé de conserver la valeur par défaut
de 598 pour ce port. Ce paramètre est facultatif. |
Le système ExtraHop peut déchiffrer le trafic SSL/TLS chiffré avec des suites de chiffrement PFS ou RSA. Toutes les suites de chiffrement prises en charge peuvent être déchiffrées en installant le redirecteur de clé de session sur un serveur et en configurant le système ExtraHop.
Les suites de chiffrement pour RSA peuvent également déchiffrer le trafic à l'aide d'un certificat et d'une clé privée, avec ou sans transfert de clé de session.
- PFS+GPP: le système ExtraHop peut déchiffrer ces suites de chiffrement grâce au transfert de clé de session et mappage global du protocole au port
- Certificat PFS +: le système ExtraHop peut déchiffrer ces suites de chiffrement grâce au transfert de clé de session et au certificat et clé privée
- Certificat RSA +: le système ExtraHop peut déchiffrer ces suites de chiffrement sans transfert de clé de session tant que vous avez téléchargé le certificat et clé privée
Valeur hexadécimale | Nom (IANA) | Nom (OpenSSL) | Déchiffrement pris en charge |
---|---|---|---|
0x04 | TLS_RSA_WITH_RC4_128_MD5 | RC4-MD5 | PFS + GPP PFS + Certificat RSA + Certificat |
0x05 | TLS_RSA_WITH_RC4_128_SHA | RC4-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0x0A | TLS_RSA_WITH_3DES_EDE_CBC_SHA | DES-CBC3-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0 x 16 | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | EDH-RSA-DES-CBC3-SHA | Certificat PFS + GPP PFS + |
0 x 2 F | TLS_RSA_WITH_AES_128_CBC_SHA | AES128-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0x33 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DHE-RSA-AES128-SHA | Certificat PFS + GPP PFS + |
0x35 | TLS_RSA_WITH_AES_256_CBC_SHA | AES256-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0x39 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DHE-RSA-AES256-SHA | Certificat PFS + GPP PFS + |
0 x 3 C | TLS_RSA_WITH_AES_128_CBC_SHA256 | AES128-SHA255 | PFS + GPP PFS + Certificat RSA + Certificat |
0x3D | TLS_RSA_WITH_AES_256_CBC_SHA256 | AES256-SHA255 | PFS + GPP PFS + Certificat RSA + Certificat |
0x67 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DHE-RSA-AES128-SHA256 | Certificat PFS + GPP PFS + |
0 x 6 B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DHE-RSA-AES256-SHA256 | Certificat PFS + GPP PFS + |
0 x 9C | TLS_RSA_WITH_AES_128_GCM_SHA256 | AES128-GCM-SHA255 | PFS + GPP PFS + Certificat RSA + Certificat |
0 x 9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | PFS + GPP PFS + Certificat RSA + Certificat |
0 x 9E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DHE-RSA-AES128-GCM-SHA256 | Certificat PFS + GPP PFS + |
0 x 9F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DHE-RSA-AES256-GCM-SHA384 | Certificat PFS + GPP PFS + |
0x1301 | TLS_AES_128_GCM_SHA255 | TLS_AES_128_GCM_SHA255 | Certificat PFS + GPP PFS + |
0x1302 | TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | Certificat PFS + GPP PFS + |
0x1303 | TLS_CHACHA20_POLY1305_SHA256 | TLS_CHACHA20_POLY1305_SHA256 | Certificat PFS + GPP PFS + |
0xC007 | TLS_ECDHE_ECDSA_WITH_RC4_128_SHA | ECDHE-ECDSA-RC4-SHA | PFS+GPP |
0xC008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDHE-ECDSA-DES-CBC3-SHA | PFS+GPP |
0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA | PFS+GPP |
0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA | PFS+GPP |
0 x C011 | TLS_ECDHE_RSA_WITH_RC4_128_SHA | ECDHE-RSA-RC4-SHA | Certificat PFS + GPP PFS + |
0 x C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE-RSA-DES-CBC3-SHA | Certificat PFS + GPP PFS + |
0 x C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | Certificat PFS + GPP PFS + |
0 x C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | Certificat PFS + GPP PFS + |
0xC023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 | PFS+GPP |
0xC024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDHE-ECDSA-AES256-SHA384 | PFS+GPP |
0 x C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | Certificat PFS + GPP PFS + |
0 x C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | Certificat PFS + GPP PFS + |
0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 | PFS+GPP |
0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 | PFS+GPP |
0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | Certificat PFS + GPP PFS + |
0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | Certificat PFS + GPP PFS + |
0 x CCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | Certificat PFS + GPP PFS + |
0 x CCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 | PFS+GPP |
0 x CCAA | TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | DHE-RSA-CHACHA20-POLY1305 | Certificat PFS + GPP PFS + |
Vous pouvez exporter le fichier MSI à partir du fichier exécutable pour prendre en charge un flux de travail d'installation personnalisé.
ExtraHopSessionKeyForwarderSetup.exe -e
Remarque : | Vous pouvez ajouter <directory> à
la -e paramètre pour enregistrer le .msi fichier
dans un répertoire autre que le répertoire de travail actuel. Par exemple, la commande
suivante enregistre le fichier dans install_dir
annuaire :ExtraHopSessionKeyForwarderSetup.exe -e install_dir |
Installez le redirecteur de clé de session ExtraHop sur un serveur Linux
Le protocole PFS (Perfect Forward Secrets) est une propriété des protocoles de communication sécurisés qui permet des échanges de clés de session à court terme et totalement privés entre les clients et les serveurs. ExtraHop propose un logiciel de transfert de clés de session qui peut envoyer des clés de session au système ExtraHop pour le déchiffrement SSL/TLS. Communication entre le transitaire des clés et le sonde est chiffré avec TLS 1.2 ou TLS 1.3, et il n'y a pas de limite au nombre de clés de session que le système ExtraHop peut recevoir.
Vous devez configurer le système ExtraHop pour le transfert des clés de session, puis installer le logiciel du redirecteur sur le Fenêtres et Linux serveurs qui contiennent le trafic SSL/TLS que vous souhaitez déchiffrer.
Avant de commencer- Lisez à propos de Décryptage SSL/TLS et consultez la liste des suites de chiffrement prises en charge.
- Assurez-vous que le système ExtraHop possède une licence pour le déchiffrement SSL et les secrets partagés SSL.
- Assurez-vous que votre environnement de serveur est pris en charge par le logiciel de
transfert de clés de session ExtraHop :
- Package de sécurité Microsoft Secure Channel (Schannel)
- Java SSL/TLS (versions 8 à 13 de Java). Ne passez pas à cette version du redirecteur de clé de session si vous surveillez actuellement des environnements Java 6 ou Java 7. La version 7.9 du redirecteur de clé de session prend en charge Java 6 et Java 7 et est compatible avec le dernier firmware ExtraHop.
- Bibliothèques OpenSSL (1.0.x et 1.1.x) liées dynamiquement. OpenSSL est uniquement pris en charge sur les systèmes Linux dotés des versions 4.4 et ultérieures du noyau et RHEL 7.6 et versions ultérieures.
- Assurez-vous que le serveur sur lequel vous installez le redirecteur de clé de session fait confiance au certificat SSL de l'ExtraHop sonde.
- Assurez-vous que les règles de votre pare-feu autorisent l'établissement de connexions par le serveur surveillé au port TCP 4873 de la sonde.
Important : | Le système ExtraHop ne peut pas déchiffrer le trafic TDS chiffré par TLS via le transfert de clé de session. Au lieu de cela, vous pouvez télécharger un RSA clé privée. |
- Installez le redirecteur de clé de session sur les distributions Linux RHEL, CentOS, Fedora ou Debian-Ubuntu. Le redirecteur de clé de session peut ne pas fonctionner correctement sur d'autres distributions.
- Le redirecteur de clé de session n'a pas été testé de manière approfondie avec SELinux et risque de ne pas être compatible lorsqu'il est activé sur certaines distributions Linux.
Activer le service de réception des clés de session SSL
Vous devez activer le service de réception des clés de session sur le système ExtraHop avant que le système puisse recevoir et déchiffrer les clés de session à partir du redirecteur de clé de session. Par défaut, ce service est désactivé.
Ajouter un port global au mappage des protocoles
Ajoutez chaque protocole pour le trafic que vous souhaitez déchiffrer avec vos redirecteurs de clés de session.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Configuration du système, cliquez sur Capture.
- Cliquez Déchiffrement SSL.
- Dans la section Déchiffrement de la clé privée, désactivez Exiger des clés privées case à cocher.
- Dans la section Mappage du protocole global au port, cliquez sur Ajouter un protocole global.
- Dans la liste déroulante Protocole, sélectionnez le protocole pour le trafic que vous souhaitez déchiffrer.
- Dans le champ Port, saisissez le numéro du port. Type 0 pour ajouter tous les ports.
- Cliquez Ajouter.
Installez le logiciel
Conseil : | Vous pouvez installer le redirecteur sans intervention de l'utilisateur en en précisant variables d'environnement dans la commande d'installation. |
Conseil : | Vous pouvez installer le redirecteur sans intervention de l'utilisateur en en précisant variables d'environnement dans la commande d'installation. |
À titre d'exemple, de nombreux environnements Tomcat prise en charge de la personnalisation des options Java dans le /etc/default/tomcat7 dossier. Dans l'exemple suivant, en ajoutant le -javaagent l'option de la ligne JAVA_OPTS provoque le Exécution Java pour partager les secrets de session SSL avec le processus de transfert de clés, qui puis transmet les secrets au système ExtraHop afin que les secrets puissent être déchiffré.
JAVA_OPTS="... -javaagent:/opt/extrahop/lib/exagent.jar
Validez et dépannez votre installation
Si votre serveur Linux dispose d'un accès réseau au système ExtraHop et que la configuration SSL du serveur approuve le certificat présenté par le système ExtraHop que vous avez spécifié lors de l'installation du redirecteur de clé de session, la configuration est terminée.
Dans les cas où vous pourriez rencontrer des problèmes avec la configuration, le binaire du redirecteur de clé de session inclut un mode de test auquel vous pouvez accéder depuis la ligne de commande pour tester votre configuration.
S'il existe une incompatibilité entre le nom d'hôte du système ExtraHop connu par le redirecteur (SERVEUR) et le nom commun (CN) présenté dans le certificat SSL du système ExtraHop, le redirecteur doit être configuré avec le CN correct.
Principaux indicateurs de santé du système récepteur
Le système ExtraHop fournit des indicateurs clés sur les récepteurs que vous pouvez ajouter à un tableau de bord pour surveiller l'état et les fonctionnalités des principaux destinataires.
Pour afficher la liste des mesures disponibles, cliquez sur l'icône Paramètres système puis cliquez sur Catalogue métrique. Type récepteur clé dans le champ de filtre pour afficher toutes les mesures de réception clés disponibles.
Conseil : | Pour savoir comment créer un nouveau graphique de tableau de bord, voir Modifier un graphique avec l'explorateur de métriques. |
Afficher les redirecteurs de clés de session connectés
Vous pouvez consulter les redirecteurs de clé de session récemment connectés après avoir installé le redirecteur de clé de session sur votre serveur et activé le service de réception de clé de session SSL sur le système ExtraHop. Notez que cette page affiche uniquement les redirecteurs de clé de session qui se sont connectés au cours des dernières minutes, pas tous les redirecteurs de clé de session actuellement connectés.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Configuration du système, cliquez sur Capture.
- Cliquez Secrets partagés SSL.
Désinstallez le logiciel
Si vous ne souhaitez plus installer le logiciel de transfert de clé de session ExtraHop, procédez comme suit.
- Connectez-vous au serveur Linux.
-
Ouvrez une application de terminal et choisissez l'une des options suivantes pour supprimer
le logiciel.
- Pour les serveurs basés sur le RPM, exécutez la commande suivante :
sudo rpm --erase extrahop-key-forwarder
- Pour les serveurs Debian et Ubuntu, exécutez la
commande suivante :
sudo apt-get --purge remove extrahop-key-forwarder
Type Y à l'invite pour confirmer la suppression du logiciel, puis appuyez sur ENTER.
- Pour les serveurs basés sur le RPM, exécutez la commande suivante :
- Cliquez Oui pour confirmer.
- Une fois le logiciel supprimé, cliquez sur Oui pour redémarrer le système
Messages d'erreur courants
Les erreurs créées par le redirecteur de clé de session sont enregistrées dans le fichier journal du système Linux.
Un message | Cause | Solution |
---|---|---|
connect: dial tcp <IP address>:4873: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond | Le serveur surveillé ne peut acheminer aucun trafic vers sonde. | Assurez-vous que les règles de pare-feu autorisent le serveur surveillé à établir des connexions au port TCP 4873 du sonde. |
connect: dial tcp <IP address>:4873: connectex: No connection could be made because the target machine actively refused it | Le serveur surveillé peut acheminer le trafic vers sonde, mais le processus de réception n'écoute pas. | Assurez-vous que sonde est licencié pour les fonctionnalités de déchiffrement SSL et de SSL Shared Secrets. |
connect: x509: certificate signed by unknown authority | Le serveur surveillé n'est pas en mesure d'enchaîner sonde certificat auprès d'une autorité de certification (CA) fiable. | Assurez-vous que le magasin de certificats Linux du compte d'ordinateur dispose d'autorités de certification racine fiables qui établissent une chaîne de confiance pour le sonde. |
connect: x509: cannot validate certificate for <IP address> because it doesn't contain any IP SANs | Une adresse IP a été fournie en tant que SERVER paramètre lors de l'installation du redirecteur, mais le certificat SSL présenté par la sonde n'inclut pas d'adresse IP en tant que nom alternatif du sujet (SAN). | Choisissez l'une des trois solutions suivantes.
|
|
||
|
Suites de chiffrement SSL/TLS prises en charge
Le système ExtraHop peut déchiffrer le trafic SSL/TLS chiffré avec des suites de chiffrement PFS ou RSA. Toutes les suites de chiffrement prises en charge peuvent être déchiffrées en installant le redirecteur de clé de session sur un serveur et en configurant le système ExtraHop.
Les suites de chiffrement pour RSA peuvent également déchiffrer le trafic à l'aide d'un certificat et d'une clé privée, avec ou sans transfert de clé de session.
- PFS+GPP: le système ExtraHop peut déchiffrer ces suites de chiffrement grâce au transfert de clé de session et mappage global du protocole au port
- Certificat PFS +: le système ExtraHop peut déchiffrer ces suites de chiffrement grâce au transfert de clé de session et au certificat et clé privée
- Certificat RSA +: le système ExtraHop peut déchiffrer ces suites de chiffrement sans transfert de clé de session tant que vous avez téléchargé le certificat et clé privée
Valeur hexadécimale | Nom (IANA) | Nom (OpenSSL) | Déchiffrement pris en charge |
---|---|---|---|
0x04 | TLS_RSA_WITH_RC4_128_MD5 | RC4-MD5 | PFS + GPP PFS + Certificat RSA + Certificat |
0x05 | TLS_RSA_WITH_RC4_128_SHA | RC4-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0x0A | TLS_RSA_WITH_3DES_EDE_CBC_SHA | DES-CBC3-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0 x 16 | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | EDH-RSA-DES-CBC3-SHA | Certificat PFS + GPP PFS + |
0 x 2 F | TLS_RSA_WITH_AES_128_CBC_SHA | AES128-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0x33 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DHE-RSA-AES128-SHA | Certificat PFS + GPP PFS + |
0x35 | TLS_RSA_WITH_AES_256_CBC_SHA | AES256-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0x39 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DHE-RSA-AES256-SHA | Certificat PFS + GPP PFS + |
0 x 3 C | TLS_RSA_WITH_AES_128_CBC_SHA256 | AES128-SHA255 | PFS + GPP PFS + Certificat RSA + Certificat |
0x3D | TLS_RSA_WITH_AES_256_CBC_SHA256 | AES256-SHA255 | PFS + GPP PFS + Certificat RSA + Certificat |
0x67 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DHE-RSA-AES128-SHA256 | Certificat PFS + GPP PFS + |
0 x 6 B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DHE-RSA-AES256-SHA256 | Certificat PFS + GPP PFS + |
0 x 9C | TLS_RSA_WITH_AES_128_GCM_SHA256 | AES128-GCM-SHA255 | PFS + GPP PFS + Certificat RSA + Certificat |
0 x 9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | PFS + GPP PFS + Certificat RSA + Certificat |
0 x 9E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DHE-RSA-AES128-GCM-SHA256 | Certificat PFS + GPP PFS + |
0 x 9F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DHE-RSA-AES256-GCM-SHA384 | Certificat PFS + GPP PFS + |
0x1301 | TLS_AES_128_GCM_SHA255 | TLS_AES_128_GCM_SHA255 | Certificat PFS + GPP PFS + |
0x1302 | TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | Certificat PFS + GPP PFS + |
0x1303 | TLS_CHACHA20_POLY1305_SHA256 | TLS_CHACHA20_POLY1305_SHA256 | Certificat PFS + GPP PFS + |
0xC007 | TLS_ECDHE_ECDSA_WITH_RC4_128_SHA | ECDHE-ECDSA-RC4-SHA | PFS+GPP |
0xC008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDHE-ECDSA-DES-CBC3-SHA | PFS+GPP |
0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA | PFS+GPP |
0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA | PFS+GPP |
0 x C011 | TLS_ECDHE_RSA_WITH_RC4_128_SHA | ECDHE-RSA-RC4-SHA | Certificat PFS + GPP PFS + |
0 x C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE-RSA-DES-CBC3-SHA | Certificat PFS + GPP PFS + |
0 x C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | Certificat PFS + GPP PFS + |
0 x C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | Certificat PFS + GPP PFS + |
0xC023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 | PFS+GPP |
0xC024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDHE-ECDSA-AES256-SHA384 | PFS+GPP |
0 x C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | Certificat PFS + GPP PFS + |
0 x C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | Certificat PFS + GPP PFS + |
0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 | PFS+GPP |
0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 | PFS+GPP |
0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | Certificat PFS + GPP PFS + |
0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | Certificat PFS + GPP PFS + |
0 x CCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | Certificat PFS + GPP PFS + |
0 x CCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 | PFS+GPP |
0 x CCAA | TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | DHE-RSA-CHACHA20-POLY1305 | Certificat PFS + GPP PFS + |
Options du redirecteur des clés de session
Vous pouvez configurer le redirecteur de clé de session en modifiant le /opt/extrahop/etc/extrahop-key-forwarder.conf dossier.
Important : | Si vous ajoutez des options à
extrahop-key-forwarder.conf qui n'ont pas de variables dédiées, ils
doit se trouver dans ADDITIONAL_ARGS champ. Pour
exemple :ADDITIONAL_ARGS="-v=true -libcrypto=/some/path/libcrypto.so -libcrypto=/some/other/path/libcrypto.so" |
Option | Descriptif |
---|---|
-cert <path> | Spécifie le chemin d'accès au certificat du serveur. Spécifiez uniquement ceci option si le certificat du serveur n'est pas signé par un certificat de confiance autorité. |
-containerd-enable | Permet l'énumération des conteneurs gérés avec le runtime containerd. Ce l'option est désactivée par défaut. Vous devez taper -containerd-enable pour activer le support conteneurisé. |
-containerd-socket <string> | Le chemin complet du fichier socket contenu. |
-containerd-state <string> | Le chemin complet du répertoire d'état du conteneur. |
-containerd-state-rootfs-subdir <string> | Le chemin relatif du rootfs sous-répertoire du conteneur annuaire de l'État. |
-docker-enable | Permet l'énumération des conteneurs Docker. Cette option est activée par par défaut. Vous devez taper -docker-enable=faux pour désactiver Docker soutien. |
-docker-envoy <path> | Spécifie des chemins Envoy supplémentaires dans les conteneurs Docker. Vous pouvez le spécifier option plusieurs fois. |
-docker-go-binary <value> | Spécifie les modèles globulaires permettant de rechercher les binaires Go dans les conteneurs Docker. Tu peux spécifiez cette option plusieurs fois. |
-docker-libcrypto <path> | Spécifie le chemin d'accès à libcrypto dans les conteneurs Docker. Vous pouvez le spécifier option plusieurs fois. |
-envoy <path> | Spécifie des chemins Envoy supplémentaires sur l'hôte. Vous pouvez spécifier cette option plusieurs fois. |
-go-binary <value> | Spécifie les modèles globulaires pour rechercher les binaires Go. Vous pouvez spécifier cette option plusieurs fois. |
-hearbeat-interval | Spécifie l'intervalle de temps en secondes entre les messages relatifs aux pulsations cardiaques. L'intervalle par défaut est de 30 secondes. |
-host-mount-path <path> | Spécifie le chemin sur lequel le système de fichiers hôte est monté lors de l'exécution de redirecteur de clé de session à l'intérieur d'un conteneur. |
-hosted <platform> | Spécifie que l'agent s'exécute sur la plateforme hébergée spécifiée. Le la plateforme est actuellement limitée à aws. |
-ldconfig-cache <path> | Spécifie le chemin d'accès au cache ldconfig, ld.so.cache. Le chemin par défaut est /etc/ld.so.cache. Vous pouvez spécifier cette option plusieurs fois. |
-libcrypto <path> | Spécifie le chemin d'accès à la bibliothèque OpenSSL, libcrypto. Vous pouvez spécifier cette option plusieurs fois si vous avez plusieurs installations d'OpenSSL. |
-no-docker-envoy | Désactive la prise en charge d'Envoy dans les conteneurs Docker. |
-no-envoy | Désactive le support Envoy sur l'hôte. |
-openssl-discover | Découvre automatiquement libcrypto implémentations. La valeur par défaut est « true ». Vous devez taper -openssl-discover=faux pour désactiver OpenSSL décryptage. |
-pidfile <path> | Spécifie le fichier dans lequel ce serveur enregistre son identifiant de processus (PAYÉ). |
-port <value> | Spécifie le port TCP sur lequel sonde est à l'écoute pour être transféré clés de session. Le port par défaut est 4873. |
-server <string> | Spécifie le nom de domaine complet de l'ExtraHop Discover appareil. |
-server-name-override <value> | Spécifie le nom du sujet tiré du sonde certificat. Spécifiez ceci option si ce serveur ne peut se connecter qu'au paquet sonde par adresse IP. |
-syslog <facility> | Spécifie la fonction envoyée par le redirecteur de clés. La valeur par défaut l'installation est local3. |
-t | Effectuez un test de connectivité. Vous devez taper -t = vrai pour exécutez avec cette option. |
-tcp-listen-port <value> | Spécifie le port TCP que le redirecteur de clé écoute clés de session transférées. |
-username <string> | Spécifie l'utilisateur sous lequel le redirecteur de clé de session s'exécute après le logiciel du transitaire est installé. |
-v | Activez la journalisation détaillée. Vous devez taper -v=true pour exécuter avec cette option. |
Les variables d'environnement suivantes vous permettent d'installer le redirecteur de clé de session sans interaction avec l'utilisateur.
Variable | Descriptif | Exemple |
---|---|---|
EXTRAHOP_CONNECTION_MODE | Spécifie le mode de connexion au récepteur de clé de session. Les options sont direct pour les capteurs autogérés et hébergé pour les capteurs gérés par ExtraHop. | sudo EXTRAHOP_CONNECTION_MODE=hosted rpm --install extrahop-key-forwarder.x86_64.rpm |
EXTRAHOP_EDA_HOSTNAME | Spécifie le nom de domaine complet de l'autogéré sonde. | sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com dpkg --install extrahop-key-forwarder_amd64.deb |
EXTRAHOP_LOCAL_LISTENER_PORT | Le redirecteur de clés reçoit les clés de session localement depuis l'environnement Java. via un écouteur TCP sur localhost (127.0.0.1) et le port spécifié dans LOCAL_LISTENER_PORT champ. Nous avons recommandé que ce port reste défini sur la valeur par défaut de 598. Si vous modifiez le numéro de port, vous devez modifier le -javaagent argument pour tenir compte du nouveau port. | sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com EXTRAHOP_LOCAL_LISTENER_PORT=900 rpm --install extrahop-key-forwarder.x86_64.rpm |
EXTRAHOP_SYSLOG | Spécifie l'installation, ou le processus machine, qui a créé l'événement syslog. Le la fonction par défaut est local3, qui est un daemon système processus. | sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com EXTRAHOP_SYSLOG=local1 dpkg --install extrahop-key-forwarder_amd64.deb |
EXTRAHOP_ADDITIONAL_ARGS | Spécifie des options supplémentaires pour le redirecteur de clés. | sudo EXTRAHOP_CONNECTION_MODE=hosted EXTRAHOP_ADDITIONAL_ARGS="-v=true -libcrypto=/some/path/libcrypto.so libcrypto=/some/other/path/libcrypto.so" rpm --install extrahop-key-forwarder.x86_64.rpm |
Suites de chiffrement SSL/TLS prises en charge
Le système ExtraHop peut déchiffrer le trafic SSL/TLS chiffré avec des suites de chiffrement PFS ou RSA. Toutes les suites de chiffrement prises en charge peuvent être déchiffrées en installant le redirecteur de clé de session sur un serveur et en configurant le système ExtraHop.
Les suites de chiffrement pour RSA peuvent également déchiffrer le trafic à l'aide d'un certificat et d'une clé privée, avec ou sans transfert de clé de session.
Méthodes de déchiffrement
- PFS+GPP: le système ExtraHop peut déchiffrer ces suites de chiffrement grâce au transfert de clé de session et mappage global du protocole au port
- Certificat PFS +: le système ExtraHop peut déchiffrer ces suites de chiffrement grâce au transfert de clé de session et au certificat et clé privée
- Certificat RSA +: le système ExtraHop peut déchiffrer ces suites de chiffrement sans transfert de clé de session tant que vous avez téléchargé le certificat et clé privée
Valeur hexadécimale | Nom (IANA) | Nom (OpenSSL) | Déchiffrement pris en charge |
---|---|---|---|
0x04 | TLS_RSA_WITH_RC4_128_MD5 | RC4-MD5 | PFS + GPP PFS + Certificat RSA + Certificat |
0x05 | TLS_RSA_WITH_RC4_128_SHA | RC4-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0x0A | TLS_RSA_WITH_3DES_EDE_CBC_SHA | DES-CBC3-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0 x 16 | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | EDH-RSA-DES-CBC3-SHA | Certificat PFS + GPP PFS + |
0 x 2 F | TLS_RSA_WITH_AES_128_CBC_SHA | AES128-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0x33 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DHE-RSA-AES128-SHA | Certificat PFS + GPP PFS + |
0x35 | TLS_RSA_WITH_AES_256_CBC_SHA | AES256-SHA | PFS + GPP PFS + Certificat RSA + Certificat |
0x39 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DHE-RSA-AES256-SHA | Certificat PFS + GPP PFS + |
0 x 3 C | TLS_RSA_WITH_AES_128_CBC_SHA256 | AES128-SHA255 | PFS + GPP PFS + Certificat RSA + Certificat |
0x3D | TLS_RSA_WITH_AES_256_CBC_SHA256 | AES256-SHA255 | PFS + GPP PFS + Certificat RSA + Certificat |
0x67 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DHE-RSA-AES128-SHA256 | Certificat PFS + GPP PFS + |
0 x 6 B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DHE-RSA-AES256-SHA256 | Certificat PFS + GPP PFS + |
0 x 9C | TLS_RSA_WITH_AES_128_GCM_SHA256 | AES128-GCM-SHA255 | PFS + GPP PFS + Certificat RSA + Certificat |
0 x 9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | PFS + GPP PFS + Certificat RSA + Certificat |
0 x 9E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DHE-RSA-AES128-GCM-SHA256 | Certificat PFS + GPP PFS + |
0 x 9F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DHE-RSA-AES256-GCM-SHA384 | Certificat PFS + GPP PFS + |
0x1301 | TLS_AES_128_GCM_SHA255 | TLS_AES_128_GCM_SHA255 | Certificat PFS + GPP PFS + |
0x1302 | TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | Certificat PFS + GPP PFS + |
0x1303 | TLS_CHACHA20_POLY1305_SHA256 | TLS_CHACHA20_POLY1305_SHA256 | Certificat PFS + GPP PFS + |
0xC007 | TLS_ECDHE_ECDSA_WITH_RC4_128_SHA | ECDHE-ECDSA-RC4-SHA | PFS+GPP |
0xC008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDHE-ECDSA-DES-CBC3-SHA | PFS+GPP |
0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA | PFS+GPP |
0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA | PFS+GPP |
0 x C011 | TLS_ECDHE_RSA_WITH_RC4_128_SHA | ECDHE-RSA-RC4-SHA | Certificat PFS + GPP PFS + |
0 x C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE-RSA-DES-CBC3-SHA | Certificat PFS + GPP PFS + |
0 x C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | Certificat PFS + GPP PFS + |
0 x C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | Certificat PFS + GPP PFS + |
0xC023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 | PFS+GPP |
0xC024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDHE-ECDSA-AES256-SHA384 | PFS+GPP |
0 x C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | Certificat PFS + GPP PFS + |
0 x C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | Certificat PFS + GPP PFS + |
0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 | PFS+GPP |
0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 | PFS+GPP |
0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | Certificat PFS + GPP PFS + |
0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | Certificat PFS + GPP PFS + |
0 x CCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | Certificat PFS + GPP PFS + |
0 x CCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 | PFS+GPP |
0 x CCAA | TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | DHE-RSA-CHACHA20-POLY1305 | Certificat PFS + GPP PFS + |
Stockez les clés de session SSL sur les packetstores connectés
Lorsque le transfert de clés de session est configuré sur un système ExtraHop connecté à un magasin de paquets, le système ExtraHop peut stocker des clés de session cryptées avec les paquets collectés.
Before you begin
En savoir plus sur déchiffrer des paquets avec des clés stockées.- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Configuration du système, cliquez sur Capture.
- Cliquez Stockage des clés de session SSL.
- Sélectionnez Activer le stockage des clés de session SSL.
- Cliquez Enregistrer.
Que faire ensuite
Pour plus d'informations sur le téléchargement des clés de session, voir Télécharger les clés de session avec captures de paquets.
Afficher les redirecteurs de clés de session connectés
Vous pouvez consulter les redirecteurs de clé de session récemment connectés après avoir installé le redirecteur de clé de session sur votre serveur et activé le service de réception de clé de session SSL sur le système ExtraHop. Notez que cette page affiche uniquement les redirecteurs de clé de session qui se sont connectés au cours des dernières minutes, pas tous les redirecteurs de clé de session actuellement connectés.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Configuration du système, cliquez sur Capture.
- Cliquez Secrets partagés SSL.
Déchiffrez le trafic de domaine à l'aide d'un contrôleur de domaine Windows
Le système ExtraHop peut être configuré pour récupérer et stocker les clés de domaine à partir d'un contrôleur de domaine. Lorsque le système observe un trafic chiffré correspondant aux clés stockées, tout le trafic crypté Kerberos du domaine est déchiffré pour les protocoles pris en charge. Le système synchronise uniquement les clés de déchiffrement Kerberos et NTLM et ne modifie aucune autre propriété du domaine.
Un contrôleur de domaine tel qu'Active Directory est une cible fréquente pour les attaquants, car une campagne d'attaque réussie génère des cibles de grande valeur. Les attaques critiques peuvent être masquées par le déchiffrement Kerberos ou NTLM, comme Golden Ticket, PrintNightmare et Bloodhound. Le déchiffrement de ce type de trafic peut fournir des informations plus détaillées pour les détections de sécurité.
Vous pouvez activer le déchiffrement sur un individu sonde ou via une intégration sur Reveal (x) 360.
Les conditions suivantes doivent être remplies pour le déchiffrement :
- Vous devez disposer d'un contrôleur de domaine Active Directory (DC) qui n'est pas configuré en tant que contrôleur de domaine en lecture seule (RODC).
- Seuls Windows Server 2016 et Windows Server 2019 sont pris en charge.
- Un seul contrôleur de domaine peut être configuré sur sonde, ce qui signifie que vous pouvez déchiffrer le trafic d'un domaine par sonde.
- Le système ExtraHop synchronise les clés d'un maximum de 50 000 comptes dans un domaine configuré . Si votre DC possède plus de 50 000 comptes, une partie du trafic ne sera pas déchiffrée.
- Le système ExtraHop doit observer le trafic réseau entre le DC et les clients et serveurs connectés.
- Le système ExtraHop doit pouvoir accéder au contrôleur de domaine via les ports suivants : TCP 88 (Kerberos), TCP 445 (SMB), TCP 135 (RPC) et ports TCP 49152-65535 (plage dynamique RPC).
Avertissement : | Si vous activez ces paramètres, le système ExtraHop a accès à
toutes les clés de compte du domaine Windows. Le système ExtraHop doit être déployé
au même niveau de sécurité que le contrôleur de domaine. Voici quelques bonnes pratiques à prendre en
compte :
|
Connecter un contrôleur de domaine à une sonde
Before you begin
Vous devez disposer d'un compte utilisateur configuré ou privilèges d'administration du système et des accès sur la sonde.Connecter un contrôleur de domaine à une sonde Reveal (x) 360
Before you begin
Votre compte utilisateur doit avoir privilèges sur Reveal (x) 360 pour l'administration des systèmes et des accès.Valider les paramètres de configuration
Pour vérifier que le système ExtraHop est capable de déchiffrer le trafic avec le contrôleur de domaine, créez un tableau de bord qui identifie les tentatives de déchiffrement réussies.
- Création d'un nouveau tableau de bord.
- Cliquez sur le widget graphique pour ajouter la source métrique.
- Cliquez Ajouter une source.
- Dans le champ Sources, saisissez le nom du sonde en communiquant avec un contrôleur de domaine, puis en sélectionnant sonde depuis la liste.
- Dans le champ Métriques, tapez DC dans le champ de recherche , puis sélectionnez État du déchiffrement assisté par DC - Tentatives de déchiffrement Kerberos réussies par SPN .
- Cliquez Enregistrer.
Indicateurs de santé supplémentaires du système
Pour afficher la liste des mesures disponibles, cliquez sur l'icône Paramètres système puis cliquez sur Catalogue métrique. Type Assisté par DC dans le champ du filtre pour afficher toutes les mesures de déchiffrement assisté par DC disponibles.
Importez des données externes dans votre système ExtraHop
L'API Open Data Context d'ExtraHop vous permet d'importer des données d'un hôte externe dans le tableau de session de votre ExtraHop sonde. Ces données sont ensuite accessibles pour créer des métriques personnalisées que vous pouvez ajouter aux graphiques ExtraHop, stocker dans des enregistrements sur un espace de stockage des enregistrements ou exporter vers un outil d'analyse externe.
Après avoir activé l'API Open Data Context sur votre sonde, vous pouvez importer des données en exécutant un script Python à partir d'un client Memcached sur un hôte externe. Ces données externes sont stockées dans des paires clé-valeur et sont accessibles en écrivant un déclencheur.
Par exemple, vous pouvez exécuter un script client memcached sur un hôte externe pour importer les données de charge du processeur dans la table de session de votre sonde. Vous pouvez ensuite écrire un déclencheur qui accède à la table de session et valide les données sous forme de métriques personnalisées.
Avertissement : | La connexion entre l'hôte externe et le système ExtraHop n'est pas cryptée et ne doit pas transmettre d'informations sensibles. |
Activer l'API Open Data Context
Vous devez activer l'API Open Data Context sur votre sonde avant de pouvoir recevoir des données d'un hôte externe.
Before you begin
- Vous devez avoir configuré ou privilèges d'administration du système et des accès pour accéder à la page d'administration de votre système ExtraHop.
- Si vous disposez d'un pare-feu, vos règles de pare-feu doivent autoriser les hôtes externes à accéder aux ports TCP et UDP spécifiés. Le numéro de port par défaut est 11211.
Écrire un script Python pour importer des données externes
Avant de pouvoir importer des données externes dans le tableau des sessions de votre sonde, vous devez écrire un script Python qui identifie votre sonde et contient les données que vous souhaitez importer dans le tableau de session. Le script est ensuite exécuté à partir d'un client Memcached sur l'hôte externe .
Cette rubrique fournit des conseils sur la syntaxe et les meilleures pratiques pour écrire le script Python. UN exemple de script complet est disponible à la fin de ce guide.
Before you begin
Assurez-vous que vous disposez d'un client Memcached sur la machine hôte externe. Vous pouvez installer n'importe quelle bibliothèque client Memcached standard, telle que http://libmemcached.org/ ou https://pypi.python.org/pypi/pymemcache. La sonde agit comme un serveur Memcached version 1.4.
Voici quelques considérations importantes concernant l'API Open Data Context :- L'API Open Data Context prend en charge la plupart des commandes memcached, telles que get, set, et increment.
- Toutes les données doivent être insérées sous forme de chaînes lisibles par sonde. Certains clients
Memcached tentent de stocker des informations de type dans les valeurs. Par exemple,
la bibliothèque de cache de Python stocke les flottants sous forme de valeurs sélectionnées, ce qui entraîne des résultats non valides
lors de l'appel Session.lookup dans les déclencheurs. La syntaxe
Python suivante insère correctement un float sous forme de
chaîne :
mc.set("my_float", str(1.5))
- Bien que la taille des valeurs de la table de session puisse être presque illimitée, l'ajout de valeurs importantes à la table de session peut entraîner une dégradation des performances. En outre, les métriques enregistrées dans la banque de données doivent être de 4 096 octets ou moins, et les valeurs de table surdimensionnées peuvent entraîner des métriques tronquées ou imprécises.
- Les rapports statistiques de base sont pris en charge, mais les rapports statistiques détaillés par taille d' élément ou par préfixe clé ne sont pas pris en charge.
- La définition de l'expiration des éléments lors de l'ajout ou de la mise à jour d'éléments est prise en charge, mais l' expiration groupée via flush la commande n'est pas prise en charge.
- Les clés expirent toutes les 30 secondes. Par exemple, si une clé est configurée pour expirer dans 50 secondes, elle peut prendre de 50 à 79 secondes pour expirer.
- Toutes les clés définies avec l'API Open Data Context sont exposées via SESSION_EXPIRE événement déclencheur lorsqu'ils expirent. Ce comportement contraste avec l'API Trigger, qui n'expose pas les clés arrivant à expiration via le SESSION_EXPIRE événement.
Écrire un déclencheur pour accéder aux données importées
Vous devez écrire un déclencheur avant de pouvoir accéder aux données de la table de session.
Before you begin
Cette rubrique suppose une expérience de l'écriture de déclencheurs. Si les déclencheurs ne vous sont pas familiers, consultez les rubriques suivantes :Que faire ensuite
Vous devez attribuer le déclencheur à un équipement ou à un groupe de dispositifs. Le déclencheur ne sera pas lancé tant qu'il n'aura pas été attribué.Exemple d'API Open Data Context
Dans cet exemple, vous allez apprendre à vérifier le score de réputation et le risque potentiel des domaines qui communiquent avec les appareils de votre réseau. Tout d'abord, l'exemple de script Python vous montre comment importer des données de réputation de domaine dans la table de session de votre sonde. L'exemple de script déclencheur vous montre ensuite comment vérifier les adresses IP des événements DNS par rapport aux données de réputation de domaine importées et comment créer une métrique personnalisée à partir des résultats.
Exemple de script Python
Ce script Python contient une liste de 20 noms de domaine populaires et peut faire référence aux scores de réputation de domaine obtenus à partir d'une source telle que Outils de domaine.
Ce script est une API REST qui accepte une opération POST dont le corps est le nom de domaine. Lors d'une opération POST, le client memcached met à jour la table de session avec les informations de domaine .
#!/usr/bin/python import flask import flask_restful import memcache import sqlite3 top20 = { "google.com", "facebook.com", "youtube.com", "twitter.com", "microsoft.com", "wikipedia.org", "linkedin.com", "apple.com","adobe.com", "wordpress.org", "instagram.com", "wordpress.com", "vimeo.com", "blogspot.com", "youtu.be", "pinterest.com", "yahoo.com", "goo.gl", "amazon.com", "bit.ly} dnsnames = {} mc = memcache.Client(['10.0.0.115:11211']) for dnsname in top20: dnsnames[dnsname] = 0.0 dbc = sqlite3.Connection('./dnsreputation.db') cur = dbc.cursor() cur.execute('select dnsname, score from dnsreputation;') for row in cur: dnsnames[row[0]] = row[1] dbc.close() app = flask.Flask(__name__) api = flask_restful.Api(app) class DnsReputation(flask_restful.Resource): def post(self): dnsname = flask.request.get_data() #print dnsname mc.set(dnsname, str(dnsnames.get(dnsname, 50.0)), 120) return 'added to session table' api.add_resource(DnsReputation, '/dnsreputation') if __name__ == '__main__': app.run(debug=True,host='0.0.0.0')
Exemple de script de déclencheur
Cet exemple de script de déclencheur canonise (ou convertit) les adresses IP renvoyées lors d'événements DNS en noms de domaine, puis vérifie le domaine et son score de réputation dans le tableau de session. Si la valeur du score est supérieure à 75, le déclencheur ajoute le domaine à un conteneur d'application appelé « DNSReputation » sous la forme d'une métrique détaillée appelée « Mauvaise réputation DNS ».
//Configure the following trigger settings: //Name: DNSReputation //Debugging: Enabled //Events: DNS_REQUEST, DNS_RESPONSE if (DNS.errorNum != 0 || DNS.qname == null || DNS.qname.endsWith("in-addr.arpa") || DNS.qname.endsWith("local") || DNS.qname.indexOf('.') == -1 ) { // error or null or reverse lookup, or lookup of local namereturn return; } //var canonicalname = DNS.qname.split('.').slice(-2).join('.'); var canonicalname = DNS.qname.substring(DNS.qname.lastIndexOf('.', DNS.qname.lastIndexOf('.')-1)+1) //debug(canonicalname); //Look for this DNS name in the session table var score = Session.lookup(canonicalname) if (score === null) { // Send to the service for lookup Remote.HTTP("dnsrep").post({path: "/dnsreputation", payload: canonicalname}); } else { debug(canonicalname + ':' +score); if (parseFloat(score) > 75) { //Create an application in the ExtraHop system and add custom metrics //Note: The application is not displayed in the ExtraHop system after the //initial request, but is displayed after subsequent requests. Application('DNSReputation').metricAddDetailCount('Bad DNS reputation', canonicalname + ':' + score, 1); } }
Installation du redirecteur de paquets sur un serveur Linux
Vous devez installer le logiciel de transfert de paquets sur chaque serveur à surveiller pour transférer les paquets vers le système ExtraHop.
Téléchargement et installation sur d'autres systèmes Linux
Installation du redirecteur de paquets sur un serveur Windows
Vous devez installer le logiciel de transfert de paquets sur chaque serveur à surveiller afin de transférer les paquets vers le système ExtraHop.
Surveillance de plusieurs interfaces sur un serveur Linux
Pour les serveurs dotés de plusieurs interfaces, vous pouvez configurer le redirecteur de paquets pour qu'il transfère des paquets depuis une interface particulière ou depuis plusieurs interfaces en modifiant son fichier de configuration sur le serveur.
Pour modifier le fichier de configuration, procédez comme suit.
Surveillance de plusieurs interfaces sur un serveur Windows
Pour les serveurs dotés de plusieurs interfaces, vous pouvez configurer le redirecteur de paquets pour qu'il transfère des paquets depuis une interface particulière ou depuis plusieurs interfaces en modifiant son fichier de configuration sur le serveur.
Pour modifier le fichier de configuration, procédez comme suit.
Activer la décapsulation par superposition du réseau
L'encapsulation par superposition réseau enveloppe les paquets réseau standard vers l'extérieur protocole en-têtes pour exécuter des fonctions spécialisées, telles que le routage intelligent et la gestion réseau des machines virtuelles. La décapsulation par superposition réseau permet au système ExtraHop de supprimer ces en-têtes d'encapsulation externes, puis de traiter les paquets internes.
Remarque : | L'activation de l'encapsulation de routage générique (GRE), de la virtualisation du réseau à l'aide de l' encapsulation de routage générique (NVGRE), de VXLAN et de la décapsulation GENEVE sur votre système ExtraHop peut augmenter le nombre de vos équipements à mesure que des périphériques virtuels sont découverts sur le réseau. La découverte de ces périphériques virtuels peut affecter les capacités d'Analyse avancée et d'analyse standard, et le traitement des métriques supplémentaires peut entraîner une dégradation des performances dans des cas extrêmes. |
Les protocoles MPLS, TRILL et Cisco FabricPath sont automatiquement décapsulés par le système ExtraHop.
Activer la décapsulation VXLAN
VXLAN est un protocole de tunneling UDP configuré pour des ports de destination spécifiques. La décapsulation n'est pas tentée à moins que le port de destination d'un paquet ne corresponde au port de destination UDP ou aux ports répertoriés dans les paramètres de décapsulation VXLAN.
Activer la décapsulation GENEVE
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Configuration du système section, cliquez Capturez.
- Cliquez Décapsulation par superposition réseau.
- Dans le Réglages section, sélectionnez Activé case à cocher à côté de GENEVE. Le port de destination par défaut est 6081.
- Cliquez Enregistrer.
- Cliquez OK..
Analyser un fichier de capture de paquets
Le mode de capture hors ligne permet aux administrateurs de télécharger et d'analyser un fichier de capture enregistré par un logiciel d'analyse de paquets, tel que Wireshark ou tcpdump, dans le système ExtraHop.
Voici quelques points importants à prendre en compte avant d'activer le mode de capture hors ligne :
- Lorsque la capture est définie en mode hors ligne, la banque de données système est réinitialisée. Toutes les mesures enregistrées précédemment sont supprimées de la banque de données. Lorsque le système est configuré en mode en ligne, la banque de données est à nouveau réinitialisée.
- En mode hors ligne, aucune métrique n'est collectée depuis l'interface de capture tant que le système n'est pas reconfiguré en mode en ligne.
- Seuls les fichiers de capture au format pcap sont pris en charge. Les autres formats tels que pcpapng ne sont pas pris en charge.
Définissez le mode de capture hors ligne
Remettre le système en mode Live Capture
- Dans le Configuration du système section, cliquez Capture (hors ligne).
- Cliquez Redémarrer la capture.
- Sélectionnez En direct, puis cliquez sur Enregistrer.
Banque de données
Le système ExtraHop inclut une banque de données autonome en streaming pour stocker et récupérer les indicateurs de performance et de santé en temps réel. Cette banque de données locale contourne le système d'exploitation et accède directement aux périphériques en mode bloc sous-jacents, au lieu de passer par une base de données relationnelle classique.
Datastores locaux et étendus
Le système ExtraHop inclut une banque de données autonome en streaming pour stocker et récupérer les indicateurs de performance et de santé en temps réel. Cette banque de données locale contourne le système d'exploitation et accède directement aux périphériques en mode bloc sous-jacents, au lieu de passer par une base de données relationnelle classique.
La banque de données locale conserve les entrées de tous les appareils découverts par le système ExtraHop ainsi que les métriques de ces appareils. En stockant ces informations, le système ExtraHop est en mesure de fournir à la fois un accès rapide aux dernières captures du réseau et des informations historiques et basées sur les tendances sur les appareils sélectionnés.
Banque de données étendue
Le système ExtraHop peut se connecter à un équipement de stockage externe pour étendre votre stockage métrique. Par défaut, le système ExtraHop stocke localement les métriques rapides (30 secondes), moyennes (5 minutes) et lentes (1 heure). Cependant, vous pouvez stocker des métriques sur 5 minutes, 1 heure et 24 heures sur une banque de données étendue.
Pour stocker des métriques en externe, vous devez d'abord monter une banque de données externe, puis configurez le système ExtraHop pour stocker les données dans le répertoire monté. Vous pouvez monter une banque de données externe via NFS v4 (avec authentification Kerberos en option) ou CIFS (avec authentification facultative).
Notez que vous ne pouvez configurer qu'une seule banque de données étendue active à la fois pour collecter tous les cycles métriques configurés. Par exemple, si vous configurez votre banque de données étendue pour collecter des métriques sur 5 minutes, 1 heure et 24 heures, les trois cycles métriques sont stockés dans la même banque de données étendue . En outre, vous pouvez archiver une banque de données étendue et ces métriques sont disponibles pour les demandes en lecture seule provenant de plusieurs systèmes ExtraHop.
Voici quelques informations importantes à connaître sur la configuration d'une banque de données externe :
- Si une banque de données étendue contient plusieurs fichiers dont les horodatages se chevauchent, les mesures seront incorrectes.
- Si une banque de données étendue contient des métriques validées par un système ExtraHop exécutant une version ultérieure du microprogramme, le système doté de l'ancien microprogramme ne peut pas lire ces métriques.
- Si une banque de données étendue devient inaccessible, le système ExtraHop met en mémoire tampon les métriques jusqu'à ce que la mémoire allouée soit pleine. Lorsque la mémoire est pleine, le système remplace les anciens blocs jusqu'à ce que la connexion soit rétablie. Lorsque le support se reconnecte, toutes les métriques stockées en mémoire sont écrites dans le support.
- Si un fichier de banque de données étendu est perdu ou endommagé, les métriques contenues dans ce fichier sont perdues. Les autres fichiers de la banque de données étendue restent intacts.
- Par mesure de sécurité, le système n'autorise pas l'accès au mot de passe en texte clair enregistré pour la banque de données.
Calculez la taille requise pour votre banque de données étendue
La banque de données étendue doit disposer de suffisamment d'espace pour contenir la quantité de données générée par le système ExtraHop. La procédure suivante explique comment calculer approximativement l'espace libre dont vous avez besoin pour votre banque de données étendue.
Before you begin
Familiarisez-vous avec ExtraHop concepts de banque de données.Que faire ensuite
Configuration d'une banque de données CIFS ou NFS étendue.Configuration d'une banque de données CIFS ou NFS étendue
Les procédures suivantes vous montrent comment configurer une banque de données externe pour le système ExtraHop.
Before you begin
Calculez la taille requise pour votre banque de données étendue- Vous devez d'abord monter le partage NFS ou CIFS dans lequel vous souhaitez stocker les données.
- Pour NFS, configurez éventuellement l'authentification Kerberos avant d'ajouter le montage NFS.
- Enfin, spécifiez le montage récemment ajouté comme banque de données active.
(Facultatif) Configurer Kerberos pour NFS
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Configuration du système section, cliquez Banque de données et personnalisations.
- Dans le Paramètres étendus de la banque de données section, cliquez Configuration d'une banque de données étendue.
-
Cliquez Ajouter une configuration Kerberos, puis complétez les informations
suivantes.
- Dans le Serveur d'administration dans ce champ, saisissez l'adresse IP ou le nom d'hôte du serveur Kerberos principal qui émet les tickets.
- Dans le Centre de distribution de clés (KDC) dans ce champ, saisissez l'adresse IP ou le nom d'hôte du serveur qui contient les clés.
- Dans le Royaume dans ce champ, saisissez le nom du domaine Kerberos pour votre configuration.
- Dans le Domaine dans ce champ, saisissez le nom du domaine Kerberos correspondant à votre configuration.
- Dans le Fichier Keytab section, cliquez Choisissez un fichier, sélectionnez un fichier keytab enregistré, puis cliquez sur Ouvert.
- Cliquez Téléverser.
Ajouter un montage NFS
Before you begin
- Configurez toute authentification Kerberos applicable avant d'ajouter un montage NFS.
- Autorisez l'accès en lecture/écriture à tous les utilisateurs du partage ou attribuez à l'utilisateur « extrahop » le propriétaire du partage et autorisez l'accès en lecture/écriture.
- Vous devez disposer de la version 4 de NFS.
- Dans le Configuration du système section, cliquez Banque de données et personnalisations.
- Dans le Paramètres étendus de la banque de données section, cliquez Configuration d'une banque de données étendue.
- Cliquez Ajouter un montage NFSv4.
-
Sur le Configurer le montage NFSv4 page, complétez les informations
suivantes :
- Dans le champ Nom du montage, saisissez un nom pour le montage, tel que EXDS.
- Dans le champ Remote Share Point, saisissez le chemin du montage au format suivant : host:/mountpoint, tels que herring:/mnt/extended-datastore.
-
Dans le menu déroulant Authentification, sélectionnez l'une des options suivantes :
- Aucune, Sans authentification
- Kerberos, Pour la sécurité de krb5.
- Kerberos (authentification sécurisée et intégrité des données), pour la sécurité de krb5i.
- Kerberos (authentification sécurisée, intégrité des données, confidentialité) , pour la sécurité krb5p
- Cliquez Enregistrer.
Spécifier un montage en tant que banque de données étendue active
Remarque : | Si vous décidez de stocker les métriques de 5 minutes et d'une heure sur la banque de données étendue, cette option entraîne la migration de toutes les métriques de 5 minutes et 1 heure collectées dans la banque de données du système ExtraHop local vers la banque de données étendue. La migration de métriques de 5 minutes et d'une heure vers une banque de données étendue laisse plus de place pour stocker des métriques de 30 secondes dans la banque de données locale, ce qui augmente la quantité de rétrospective en haute résolution disponible. |
Archiver une banque de données étendue pour un accès en lecture seule
En déconnectant une banque de données active d'un système ExtraHop, vous pouvez créer une archive en lecture seule des données de métriques stockées. N'importe quel nombre de systèmes ExtraHop peuvent lire à partir d'une banque de données archivée.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Configuration du système section, cliquez Banque de données et personnalisations.
- Dans le Paramètres étendus de la banque de données section, cliquez Configuration d'une banque de données étendue.
- Cliquez sur le nom du montage qui contient la banque de données que vous souhaitez archiver.
- Dans la ligne de cette banque de données, cliquez sur Déconnecter la banque de données étendue.
- Type OUI pour confirmer, puis cliquez sur OK..
Connectez votre système ExtraHop à la banque de données archivée
Avertissement : | Pour se connecter à une banque de données archivée, le système ExtraHop doit
parcourir les données contenues dans la banque de données. En fonction de la quantité de
données stockée dans la banque de données archivée, la connexion à la banque de données archivée
peut prendre un certain temps. Lors de la connexion à la banque de données archivée, le système
ne collecte pas de données et les performances du système sont dégradées. Le processus de connexion
prend plus de temps dans les cas suivants :
|
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Configuration du système, cliquez Banque de données et personnalisations.
- Dans le Paramètres étendus de la banque de données section, cliquez Configuration d'une banque de données étendue.
- Cliquez sur le nom du montage qui contient la banque de données archivée.
- Dans le Répertoire des banques de données dans ce champ, saisissez le chemin du répertoire de la banque de données archivée.
- Cliquez Archive (lecture seule).
- Cliquez Configurez.
Importer des métriques depuis une banque de données étendue
Si vous avez stocké des données métriques sur une banque de données étendue connectée à votre système ExtraHop, vous pouvez déplacer ces données lors d'une mise à niveau ou d'une réinitialisation de la banque de données.
Réinitialisez la banque de données locale et supprimez toutes les métriques de l'équipement du système ExtraHop
Dans certaines circonstances, telles que le déménagement d'un sonde d'un réseau à l'autre, vous devrez peut-être effacer les métriques dans les banques de données locales et étendues. La réinitialisation de la banque de données locale supprime toutes les métriques, les bases de référence, les analyses de tendances et les appareils découverts, et affecte toutes les personnalisations de votre système ExtraHop.
Before you begin
Familiarisez-vous avec ExtraHop concepts de base de données.Si les identifiants de vos équipements sont stockés dans la banque de données étendue et que cette banque de données est déconnectée lorsque la banque de données locale est réinitialisée, puis reconnectée ultérieurement, ces identifiants d'équipement sont restaurés dans la banque de données locale et vous n'avez pas besoin de réattribuer les personnalisations restaurées.
Les alertes configurées sont conservées sur le système, mais elles sont désactivées et doivent être activées et réappliquées au réseau, à l'équipement ou au groupe de périphériques approprié. Les paramètres système et les comptes utilisateurs ne sont pas affectés.
Avertissement : | Cette procédure supprime les identifiants et les métriques des équipements du système ExtraHop . |
Résoudre les problèmes liés à la banque de données étendue
Pour consulter l'état de vos montages et de vos banques de données, et identifier les étapes de dépannage applicables, procédez comme suit.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Configuration du système, cliquez sur Banque de données et personnalisations .
- Dans la section Paramètres étendus de la banque de données, cliquez sur Configuration d'une banque de données étendue.
- Dans le tableau Extended Datastores, consultez l'entrée dans la colonne Status pour chaque montage ou banque de données. Le tableau suivant fournit des conseils sur chaque entrée et identifie les mesures applicables.
État | Descriptif | Action de l'utilisateur |
---|---|---|
Monté | La configuration de montage s'est déroulée correctement. | Aucune n'est requise |
NON MONTÉ | La configuration du montage a échoué. |
|
NON LISIBLE | Le support présente des autorisations ou des problèmes liés au réseau qui empêchent la lecture. |
|
AUCUN ESPACE DISPONIBLE | Il ne reste plus d'espace sur le support. | Détachez le support et créez-en un nouveau. |
ESPACE INSUFFISANT |
|
Détachez le support et créez-en un nouveau. |
AVERTISSEMENT RELATIF À L'ESPACE DISPONIBLE | Moins de 1 Go d'espace est disponible. | Détachez le support et créez-en un nouveau. |
NON INSCRIPTIBLE | Le montage présente des autorisations ou des problèmes liés au réseau qui empêchent l' écriture. |
|
État | Descriptif | Action de l'utilisateur |
---|---|---|
Nominale | La banque de données est dans un état normal. | Aucun requis |
ESPACE INSUFFISANT sur : <MOUNT NAME> | La banque de données ne dispose pas d'un espace suffisant sur le support indiqué et il est impossible d'y écrire. | Créez une nouvelle banque de données. Pour la nouvelle banque de données, pensez à sélectionner Overwrite option, le cas échéant. |
NON LISIBLE | La banque de données présente des autorisations ou des problèmes liés au réseau qui empêchent la lecture. |
|
NON INSCRIPTIBLE | La banque de données présente des autorisations ou des problèmes liés au réseau qui empêchent l'écriture. |
|
Priorité du nom de l'appareil
Les appareils découverts sont automatiquement nommés en fonction de plusieurs sources de données réseau. Lorsque plusieurs noms sont trouvés pour un équipement, un ordre de priorité par défaut est appliqué. Vous pouvez modifier l'ordre de priorité.
Sources inactives
Les appareils et les applications apparaissent dans les résultats de recherche jusqu'à ce qu'ils soient inactifs pendant plus de 90 jours. Si vous souhaitez supprimer des sources des résultats de recherche avant l'expiration des 90 jours, vous pouvez supprimer à la demande toutes les sources inactives entre 1 et 90 jours.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Entrez une valeur comprise entre 1 et 90 dans le champ jours inactifs.
- Cliquez Supprimer.
Suivi des détections
Le suivi des détections vous permet d'attribuer une détection à un utilisateur, de définir le statut et d'ajouter des notes. Vous pouvez suivre les détections avec ExtraHop ou avec un système de billetterie externe tiers.
- Sélectionnez Suivez les détections avec le système ExtraHop pour gérer le suivi des détections avec ExtraHop.
- Sélectionnez Suivez les détections avec un système de billetterie externe pour créer
et gérer les tickets dans un système de suivi des tickets tiers et consulter le cessionnaire et son statut
dans le système ExtraHop.
Facultatif : pour créer un lien HTML entre la détection et le ticket dans votre système de suivi des tickets, spécifiez un modèle d'URL. Tapez l'URL dans le champ du modèle de votre système de billetterie et ajoutez le $ticket_id variable à l'emplacement approprié. Entrez une URL complète, telle que https://jira.example.com/browse/$ticket_id. Le $ticket_id la variable est remplacée par l'identifiant du ticket associé à la détection.
Une fois le modèle d'URL configuré, vous pouvez cliquer sur l'ID du ticket lors d'une détection pour ouvrir le ticket dans un nouvel onglet du navigateur.
Bien que vous puissiez activer le suivi des tickets et configurer un modèle d'URL via les paramètres d' administration, le suivi des tickets nécessite une configuration supplémentaire via les déclencheurs ExtraHop et l'API REST. Pour plus d'informations sur le suivi des tickets, voir Configurer le suivi des tickets pour les détections.
Remarque : | Vous devez activer le suivi des tickets sur tous les capteurs connectés. |
Si vous désactivez le suivi externe des tickets en passant au suivi de détection avec le système ExtraHop, le statut précédemment stocké et les informations des tickets assignés sont convertis en suivi de détection ExtraHop. Vous pourrez consulter les tickets qui existaient déjà lorsque vous avez désactivé le suivi externe des tickets, mais les modifications apportées à ce ticket externe n'apparaîtront pas dans le système ExtraHop.
Configurer les liens de recherche des points de terminaison
La recherche de point de terminaison vous permet de spécifier des outils d' adresse IP externes disponibles pour récupérer des informations sur les points de terminaison au sein du système ExtraHop. Par exemple, lorsque vous cliquez ou placez le pointeur sur une adresse IP, les liens des outils de recherche s' affichent afin que vous puissiez facilement trouver des informations sur ce point de terminaison.
- Recherche Whois ARIN
- Recherche VirusTotal
Source de données Geomap
Les géomaps et les déclencheurs font référence à une base de données GeoIP pour identifier l'emplacement approximatif d'une adresse IP.
Modifier la base de données GeoIP
Vous pouvez télécharger votre propre base de données GeoIP sur le système ExtraHop pour vous assurer que vous disposez de la dernière version de la base de données ou si votre base de données contient des adresses IP internes dont vous ou votre entreprise êtes les seuls à connaître l'emplacement.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Configuration du système, cliquez sur Source de données Geomap .
- Cliquez Base de données GeoIP.
- Dans le Base de données au niveau des villes section, sélectionnez Télécharger une nouvelle base de données.
- Cliquez Choisissez un fichier et accédez au nouveau fichier de base de données au niveau de la ville sur votre ordinateur.
- Cliquez Enregistrer.
Que faire ensuite
Pour plus d'informations sur les cartes géographiques, consultez les ressources suivantes :Ignorer un emplacement IP
Vous pouvez remplacer les adresses IP manquantes ou incorrectes figurant dans la base de données GeoIP. Vous pouvez saisir une liste de dérogations séparées par des virgules ou des onglets dans la zone de texte.
- adresse IP (adresse IP unique ou notation CIDR)
- Latitude
- Longitude
- Ville
- État ou région
- Nom du pays
- Code de pays ISO alpha-2
Vous pouvez modifier et supprimer des éléments si nécessaire, mais vous devez vous assurer que des données sont présentes pour chacune des sept colonnes. Pour plus d'informations sur les codes de pays ISO, reportez-vous à https://www.iso.org/obp/ui/#search et cliquez Codes de pays.
Flux de données ouverts
En configurant un flux de données ouvert, vous pouvez envoyer les données collectées par votre système ExtraHop à un système tiers externe, tel que des systèmes Syslog, des bases de données MongoDB, des serveurs HTTP, des serveurs Kafka. En outre, vous pouvez envoyer des données brutes à n'importe quel serveur externe en configurant la cible avec les spécifications de port et de protocole.
Vous pouvez configurer jusqu'à 16 cibles de flux de données ouvertes pour chaque type de système externe.
Important : | Après avoir configuré un flux de données ouvert (ODS) pour un système externe, vous
devez créer un déclencheur qui indique les données à gérer via le flux. De même, si vous supprimez un flux de données ouvert, vous devez également supprimer le déclencheur associé pour éviter de consommer inutilement les ressources du système. Pour plus d'informations, voir Classes de flux de données ouvertes dans le Référence de l'API ExtraHop Trigger . |
Configuration d'une cible HTTP pour un flux de données ouvert
Vous pouvez exporter les données d'un système ExtraHop vers un serveur HTTP distant pour un archivage à long terme et une comparaison avec d'autres sources.
Que faire ensuite
Créez un déclencheur qui spécifie les données du message HTTP à envoyer et lance la transmission des données vers la cible. Pour plus d'informations, consultez le Remote.HTTP cours dans le Référence de l'API ExtraHop Trigger .Configuration d'une cible Kafka pour un flux de données ouvert
Vous pouvez exporter les données d'un système ExtraHop vers n'importe quel serveur Kafka pour un archivage à long terme et une comparaison avec d'autres sources.
Que faire ensuite
Créez un déclencheur qui spécifie les données du message Kafka à envoyer et lance la transmission des données vers la cible. Pour plus d'informations, consultez le Remote.Kafka cours dans le Référence de l'API ExtraHop Trigger .Configuration d'une cible MongoDB pour un flux de données ouvert
Vous pouvez exporter les données d'un système ExtraHop vers n'importe quel système recevant MongoDB saisie pour un archivage à long terme et comparaison avec d'autres sources.
Que faire ensuite
Créez un déclencheur qui spécifie les données de message MongoDB à envoyer et lance la transmission des données vers la cible. Pour plus d'informations, consultez le Remote.MongoDB cours dans le Référence de l'API ExtraHop Trigger .Configuration d'une cible de données brutes pour un flux de données ouvert
Vous pouvez exporter les données brutes d'un système ExtraHop vers n'importe quel serveur pour un archivage à long terme et une comparaison avec d'autres sources. En outre, vous pouvez sélectionner une option pour compresser les données via GZIP.
Que faire ensuite
Créez un déclencheur qui spécifie les données de message brutes à envoyer et lance la transmission des données vers la cible. Pour plus d'informations, consultez le Remote.Raw cours dans le Référence de l'API ExtraHop Trigger .Configuration d'une cible Syslog pour un flux de données ouvert
Vous pouvez exporter les données d'un système ExtraHop vers n'importe quel système recevant des entrées Syslog (comme Splunk, ArcSight ou Q1 Labs) à des fins d'archivage à long terme et de comparaison avec d'autres sources.
Que faire ensuite
Créez un déclencheur qui spécifie les données du message Syslog à envoyer et lance la transmission des données vers la cible. Pour plus d'informations, consultez le Remote.Syslog cours dans le Référence de l'API ExtraHop Trigger .Détails de l'ODS
La page de détails de l'Open Data Stream (ODS) fournit des informations sur la quantité de données envoyées à la cible ODS et sur le nombre d'erreurs survenues.
Remarque : | La page Détails de l'ODS n'est actuellement disponible que pour les cibles HTTP ODS. |
- Tentatives de connexion
- Nombre de fois que le système ExtraHop a tenté de se connecter à la cible ODS.
- Erreurs de connexion
- Nombre d'erreurs survenues lors des tentatives de connexion à la cible ODS.
- Erreurs IPC
- Nombre d'erreurs survenues lors du transfert de données entre les déclencheurs et le processus exremote. Si des erreurs IPC se produisent, contactez le support ExtraHop pour obtenir de l'aide.
- Octets envoyés à la cible
- Nombre d'octets transférés par le processus exremote à la cible ODS.
- Messages envoyés à la cible
- Nombre de messages transférés par le processus exremote à la cible ODS.
- Octets envoyés par des déclencheurs
- Nombre d'octets qui déclenchent l'envoi au processus exremote pour être transmis à la cible ODS.
- Messages envoyés depuis des déclencheurs
- Nombre de messages déclencheurs envoyés au processus exremote pour être transférés à la cible ODS.
- Messages déposés par exremote
- Nombre de messages déclencheurs envoyés au processus exremote mais qui n'ont jamais été transmis à la cible ODS.
- Détails de l'erreur
-
- Heure
- Heure à laquelle l'erreur s'est produite.
- URL
- URL de la cible ODS.
- État
- Le code d'état HTTP renvoyé par la cible ODS.
- En-têtes de requête
- Les en-têtes de la requête HTTP envoyée à la cible ODS.
- Organisme de la demande
- Le corps de la requête HTTP envoyée à la cible ODS.
- En-têtes de réponse
- Les en-têtes de la Réponse HTTP envoyée par la cible ODS.
- Organisme de réponse
- Le corps de la Réponse HTTP envoyée par la cible ODS.
Tendances
Des alertes basées sur les tendances sont générées lorsqu'une métrique surveillée s'écarte des tendances normales observées par le système ExtraHop. Si nécessaire, vous pouvez supprimer toutes les tendances configurées et les alertes basées sur les tendances.
- Cliquez Réinitialiser les tendances pour effacer toutes les données de tendance du système ExtraHop.
Sauvegarder et restaurer une sonde ou une console
Après avoir configuré votre ExtraHop console et une sonde dotée de personnalisations telles que des ensembles, des déclencheurs et des tableaux de bord ou de modifications administratives telles que l'ajout de nouveaux utilisateurs, ExtraHop vous recommande de sauvegarder régulièrement vos paramètres afin de faciliter la restauration en cas de panne du système.
Sauvegarder un capteur ou une machine virtuelle ECA
Créez une sauvegarde du système et stockez le fichier de sauvegarde dans un emplacement sécurisé.
Important : | Les sauvegardes du système contiennent des informations sensibles, notamment des clés SSL. Lorsque vous créez une sauvegarde du système, assurez-vous de stocker le fichier de sauvegarde dans un emplacement sécurisé. |
- Personnalisations utilisateur telles que les ensembles, les déclencheurs et les tableaux de bord.
- Configurations effectuées à partir des paramètres d'administration, tels que les utilisateurs créés localement et les groupes d'utilisateurs importés à distance, l'exécution des paramètres des fichiers de configuration, les certificats SSL et les connexions aux magasins de disques et de paquets ExtraHop.
- Informations de licence pour le système. Si vous restaurez les paramètres d'une nouvelle cible, vous devez attribuer manuellement une licence à la nouvelle cible.
- Captures de paquets de précision. Vous pouvez télécharger manuellement les captures de paquets enregistrées en suivant les étapes décrites dans Afficher et télécharger des captures de paquets.
- Lors de la restauration d'une console de machine virtuelle ECA dotée d'une connexion par tunnel à partir d'un sonde, le tunnel doit être rétabli une fois la restauration terminée et toutes les personnalisations effectuées sur la console à cet effet sonde doit être recréé manuellement.
- Clés SSL téléchargées par l'utilisateur pour le déchiffrement du trafic.
- Données de keystore sécurisées, qui contiennent des mots de passe. Si vous restaurez un fichier de
sauvegarde sur la même cible que celle qui a créé la sauvegarde et que le keystore est intact, il n'est
pas nécessaire de saisir à nouveau les informations didentification. Toutefois, si vous restaurez un fichier de sauvegarde vers une
nouvelle cible ou si vous migrez vers une nouvelle cible, vous devez saisir à nouveau les informations dcredentiatives suivantes :
- Toutes les chaînes de communauté SNMP fournies pour l'interrogation SNMP des réseaux de flux.
- Tout mot de passe de liaison fourni pour se connecter au LDAP à des fins d' authentification à distance.
- Tout mot de passe fourni pour se connecter à un serveur SMTP où l'authentification SMTP est requise.
- Tout mot de passe fourni pour se connecter à une banque de données externe.
- Tout mot de passe fourni pour accéder aux ressources externes via le proxy global configuré.
- Tout mot de passe fourni pour accéder aux services cloud ExtraHop via le proxy cloud ExtraHop configuré.
- Tous les identifiants ou clés d'authentification fournis pour configurer les cibles Open Data Stream.
Restaurer une sonde ou une console à partir d'une sauvegarde du système
Vous pouvez restaurer le système ExtraHop à partir des sauvegardes enregistrées par l'utilisateur ou des sauvegardes automatiques stockées sur le système. Vous pouvez effectuer deux types d'opérations de restauration : vous pouvez restaurer uniquement les personnalisations (modifications apportées aux alertes, aux tableaux de bord, aux déclencheurs, aux mesures personnalisées, par exemple) ou vous pouvez restaurer à la fois les personnalisations et les ressources système.
Before you begin
La cible doit exécuter la même version de microprogramme, correspondant aux premier et deuxième chiffres du microprogramme qui a généré le fichier de sauvegarde. Si les versions ne sont pas identiques, l'opération de restauration échouera.Le tableau suivant présente des exemples d'opérations de restauration prises en charge.
Micrologiciel source | Micrologiciel cible | Soutenu |
---|---|---|
7.7.0 | 7,7.5 | Oui |
7.7.0 | 7,8.0 | Non |
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Configuration du système section, cliquez Sauvegarde et restauration.
- Cliquez Afficher ou restaurer les sauvegardes du système.
- Cliquez Restaurer à côté de la sauvegarde utilisateur ou de la sauvegarde automatique que vous souhaitez restaurer.
-
Sélectionnez l'une des options de restauration suivantes :
Option Description Restaurer les personnalisations du système Sélectionnez cette option si, par exemple, un tableau de bord a été supprimé accidentellement ou si tout autre paramètre utilisateur doit être restauré. Les personnalisations effectuées après la création du fichier de sauvegarde ne sont pas remplacées lors de la restauration des personnalisations. Restaurez les personnalisations et les ressources du système Sélectionnez cette option si vous souhaitez restaurer le système dans l'état dans lequel il se trouvait lors de la création de la sauvegarde. Avertissement : Toutes les personnalisations effectuées après la création du fichier de sauvegarde sont remplacées lors de la restauration des personnalisations et des ressources. - Cliquez OK..
- Facultatif : Si vous avez sélectionné Restaurer les personnalisations du système, cliquez Afficher le journal d'importation pour voir quelles personnalisations ont été restaurées.
-
Redémarrez le système.
- Revenez aux paramètres d'administration.
- Dans la section Paramètres de l'appliance, cliquez sur Arrêter ou redémarrer.
- Dans le Actions colonne pour le Système entrée, cliquez Redémarrer.
- Cliquez Redémarrer pour confirmer.
Restaurer une sonde ou une console à partir d'un fichier de sauvegarde
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Configuration du système section, cliquez Sauvegarde et restauration.
- Cliquez Télécharger le fichier de sauvegarde pour restaurer le système.
-
Sélectionnez l'une des options de restauration suivantes :
Option Description Restaurer les personnalisations du système Sélectionnez cette option si, par exemple, un tableau de bord a été supprimé accidentellement ou si tout autre paramètre utilisateur doit être restauré. Les personnalisations effectuées après la création du fichier de sauvegarde ne sont pas remplacées lors de la restauration des personnalisations. Restaurez les personnalisations et les ressources du système Sélectionnez cette option si vous souhaitez restaurer le système dans l'état dans lequel il se trouvait lors de la création de la sauvegarde. Avertissement : Toutes les personnalisations effectuées après la création du fichier de sauvegarde sont remplacées lors de la restauration des personnalisations et des ressources. - Cliquez sur Choisir un fichier et accédez à un fichier de sauvegarde que vous avez enregistré précédemment.
- Cliquez Restaurer.
- Facultatif : Si vous avez sélectionné Restaurer les personnalisations du système, cliquez Afficher le journal d'importation pour voir quelles personnalisations ont été restaurées.
-
Redémarrez le système.
- Revenez aux paramètres d'administration.
- Dans la section Paramètres de l'appliance, cliquez sur Arrêter ou redémarrer.
- Dans le Actions colonne pour le Système entrée, cliquez Redémarrer.
- Cliquez Redémarrer pour confirmer.
Transférer les paramètres vers une nouvelle console ou une nouvelle sonde
Cette procédure décrit les étapes nécessaires pour restaurer un fichier de sauvegarde sur une nouvelle console ou sonde. Uniquement les paramètres système de votre console existante ou sonde sont transférés. Les métriques de la banque de données locale ne sont pas transférées.
Before you begin
- Créez une sauvegarde du système et enregistrez le fichier de sauvegarde dans un emplacement sécurisé.
- Supprimer la source sonde ou console depuis le réseau avant de
transférer les paramètres. La cible et la source ne peuvent pas être actives simultanément sur
le réseau.
Important : Ne déconnectez aucun capteurs qui sont déjà connectés à une console. -
Déployer et s'inscrire la
sonde ou la console cible.
- Assurez-vous que la cible est du même type de sonde ou console (physique ou virtuelle) comme source.
- Assurez-vous que la cible est de la même taille ou plus grande ( débit maximal sur la sonde ; capacité du processeur, de la RAM et du disque sur la console) que la source.
- Assurez-vous que la cible possède une version du microprogramme correspondant à la version du
microprogramme qui a généré le fichier de sauvegarde. Si les deux premiers chiffres
des versions du microprogramme ne sont pas identiques, l'opération de restauration
échouera.
Le tableau suivant présente des exemples de configurations prises en charge.
Micrologiciel source Micrologiciel cible Soutenu 7.7.0 7.7.0 Oui 7.7.0 7,7.5 Oui 7,7.5 7.7.0 Non 7.7.0 7.6.0 Non 7.7.0 7,8.0 Non
- Après avoir transféré les paramètres vers une console cible, vous devez reconnecter manuellement tous capteurs.
- Lorsque vous transférez des paramètres vers une console cible configurée pour une connexion par tunnel au capteurs, nous vous recommandons de configurer la console cible avec le même nom d'hôte et la même adresse IP que la console source.
Reconnectez les capteurs à la console
Before you begin
Important : | Si votre console et vos capteurs sont configurés pour une connexion par tunnel, nous vous recommandons de configurer les consoles source et cible avec la même adresse IP et le même nom d'hôte. Si vous ne pouvez pas définir la même adresse IP et le même nom d'hôte, ignorez cette procédure et créez une nouvelle connexion par tunnel avec la nouvelle adresse IP ou le nouveau nom d'hôte de la console. |
Paramètres de l'appareil
Vous pouvez configurer les composants suivants de l'appliance ExtraHop dans Paramètres de l'appareil section.
Tous les appareils comportent les composants suivants :
- Configuration en cours d'exécution
- Téléchargez et modifiez le fichier de configuration en cours d'exécution.
- Des services
- Activez ou désactivez le Web Shell, l'interface graphique de gestion, le service SNMP, l'accès SSH et le récepteur de clé de session SSL. L'option SSL Session Key Receiver apparaît uniquement sur l'appliance Discover.
- Micrologiciel
- Mettez à jour le firmware du système ExtraHop.
- Heure du système
- Configurez l'heure du système.
- Arrêter ou redémarrer
- Arrêtez et redémarrez les services du système.
- Licence
- Mettez à jour la licence pour activer les modules complémentaires.
- Disques
- Fournit des informations sur les disques de l'appliance.
Les composants suivants apparaissent uniquement sur les appareils spécifiés :
- Surnom de commande
- Attribuez un surnom à l'appliance Command. Ce paramètre n'est disponible que sur l' appliance Command.
- Réinitialiser Packetstore
- Supprimez tous les paquets stockés sur l'appliance ExtraHop Trace. Le Réinitialiser Packetstore la page apparaît uniquement sur l'appliance Trace.
Configuration en cours d'exécution
Le fichier de configuration en cours indique la configuration système par défaut. Lorsque vous modifiez les paramètres système, vous devez enregistrer le fichier de configuration en cours afin de conserver ces modifications après le redémarrage du système.
Remarque : | Il n'est pas recommandé de modifier la configuration du code depuis la page d'édition. Vous pouvez apporter la plupart des modifications au système via d'autres pages des paramètres d'administration. |
Enregistrez les paramètres système dans le fichier de configuration en cours d'exécution
Lorsque vous modifiez l'un des paramètres de configuration du système sur un système ExtraHop, vous devez confirmer les mises à jour en enregistrant le fichier de configuration en cours d'exécution. Si vous n'enregistrez pas les paramètres, les modifications sont perdues au redémarrage de votre système ExtraHop.
- Cliquez Afficher et enregistrer les modifications.
-
Vérifiez la comparaison entre l'ancienne configuration en cours d'exécution et la configuration en cours d'exécution actuelle
(non enregistrée), puis sélectionnez l'une des
options suivantes :
- Si les modifications sont correctes, cliquez sur Enregistrer.
- Si les modifications ne sont pas correctes, cliquez sur Annuler puis annulez les modifications en cliquant sur Rétablir la configuration .
Modifier la configuration en cours
Les paramètres d'administration d'ExtraHop fournissent une interface permettant d'afficher et de modifier le code qui spécifie la configuration système par défaut. En plus d'apporter des modifications au fichier de configuration en cours via les paramètres d'administration, des modifications peuvent également être apportées sur Configuration en cours page.
Remarque : | Il n'est pas recommandé d'apporter des modifications à la configuration du code depuis la page Modifier. Vous pouvez effectuer la plupart des modifications du système via d'autres paramètres d'administration. |
Téléchargez la configuration en cours sous forme de fichier texte
Vous pouvez télécharger le fichier de configuration en cours d'exécution sur votre poste de travail. Vous pouvez ouvrir ce fichier texte et y apporter des modifications localement, avant de copier ces modifications dans le Configuration en cours fenêtre.
- Cliquez Configuration en cours.
- Cliquez Télécharger la configuration sous forme de fichier.
Désactiver les messages inaccessibles relatifs à la destination ICMPv6
Vous pouvez empêcher le système ExtraHop de générer des messages ICMPv6 Destination Unreachable. Vous souhaiterez peut-être désactiver les messages ICMPv6 Destination Unreachable pour des raisons de sécurité conformément à la RFC 4443.
Pour désactiver les messages ICMPv6 Destination Unreachable, vous devez modifier la configuration en cours. Cependant, nous vous recommandons de ne pas modifier manuellement le fichier de configuration en cours d'exécution sans les instructions du support ExtraHop. La modification manuelle incorrecte du fichier de configuration en cours d'exécution peut entraîner l'indisponibilité du système ou l'arrêt de la collecte de données. Vous pouvez contacter Assistance ExtraHop.
Désactiver des messages ICMPv6 Echo Reply spécifiques
Vous pouvez empêcher le système ExtraHop de générer des messages Echo Reply en réponse aux messages de demande d'écho ICMPv6 qui sont envoyés à une adresse IPv6 multicast ou anycast. Vous pouvez désactiver ces messages afin de réduire le trafic réseau inutile.
Pour désactiver des messages ICMPv6 Echo Reply spécifiques, vous devez modifier le fichier de configuration en cours d'exécution. Cependant, nous vous recommandons de ne pas modifier manuellement le fichier de configuration en cours sans l'autorisation du support ExtraHop. Toute modification manuelle incorrecte de ce fichier peut entraîner l'indisponibilité du système ou l'arrêt de la collecte de données. Vous pouvez contacter Assistance ExtraHop .
Services
Ces services s'exécutent en arrière-plan et exécutent des fonctions qui ne nécessitent aucune intervention de l'utilisateur . Ces services peuvent être démarrés et arrêtés via les paramètres d'administration.
- Activer ou désactiver l'interface graphique de gestion
- L'interface graphique de gestion fournit un accès au système ExtraHop via un navigateur. Par défaut, ce
service est activé afin que les utilisateurs d'ExtraHop puissent accéder au système ExtraHop via un navigateur Web
. Si ce service est désactivé, la session du serveur Web Apache est interrompue et tous les accès
par navigateur sont désactivés.
Avertissement : Ne désactivez ce service que si vous êtes un administrateur ExtraHop expérimenté et que vous connaissez l'interface de ligne de commande ExtraHop . - Activer ou désactiver le service SNMP
- Activez le service SNMP sur le système ExtraHop lorsque vous souhaitez que votre
logiciel de surveillance des équipements réseau collecte des informations sur le système ExtraHop. Ce service est désactivé par
défaut.
- Activez le service SNMP depuis la page Services en cochant la case Désactivé, puis en cliquant sur Enregistrer. Une fois la page actualisée, la case Activé apparaît.
- Configuration du service SNMP et téléchargez le fichier MIB ExtraHop
- Activer ou désactiver l'accès SSH
- L'accès SSH est activé par défaut pour permettre aux utilisateurs de se connecter en toute sécurité à l'interface de
ligne de commande (CLI) ExtraHop.
Remarque : Le service SSH et le service d'interface graphique de gestion ne peuvent pas être désactivés en même temps. Au moins l'un de ces services doit être activé pour permettre l' accès au système. - Activer ou désactiver le récepteur de clé de session SSL (capteur uniquement)
- Vous devez activer le service de réception des clés de session via les paramètres d'administration avant que
le système ExtraHop puisse recevoir et déchiffrer les clés de session à partir du redirecteur de clé de session. Par
défaut, ce service est désactivé.
Remarque : Si vous ne voyez pas cette case à cocher et que vous avez acheté la licence de déchiffrement SSL, contactez Assistance ExtraHop pour mettre à jour votre licence.
Service SNMP
Configurez le service SNMP sur votre système ExtraHop afin de pouvoir configurer votre logiciel de surveillance des équipements réseau pour collecter des informations sur votre système ExtraHop via le protocole SNMP (Simple Network Management Protocol).
Par exemple, vous pouvez configurer votre logiciel de surveillance pour déterminer la quantité d'espace libre disponible sur un système ExtraHop et envoyer une alerte si le système est plein à plus de 95 %. Importez le fichier MIB SNMP ExtraHop dans votre logiciel de surveillance pour surveiller tous les objets SNMP spécifiques à ExtraHop. Vous pouvez configurer les paramètres pour SNMPv1/SNMPv2 et SNMPv3
Configuration des services SNMPv1 et SNMPv2
Vous pouvez configurer les services SNMPv1 et SNMPv2 sur votre système ExtraHop.
Que faire ensuite
Téléchargez le fichier MIB SNMP ExtraHop depuis la page de configuration du service SNMP.Configuration du service SNMPv3
Vous pouvez configurer le service SNMPv3 sur votre système ExtraHop. Le modèle de sécurité SNMPv3 fournit un support supplémentaire pour les protocoles d'authentification et de confidentialité .
Que faire ensuite
Téléchargez le fichier MIB SNMP ExtraHop depuis la page de configuration du service SNMP.Micrologiciel
Les paramètres d'administration fournissent une interface pour télécharger et supprimer le firmware sur les appareils ExtraHop. Le fichier du microprogramme doit être accessible depuis l'ordinateur sur lequel vous allez effectuer la mise à niveau.
Before you begin
Assurez-vous de lire le notes de version pour la version du microprogramme que vous souhaitez installer. Les notes de mise à jour contiennent des conseils de mise à niveau ainsi que des problèmes connus susceptibles d'affecter les flux de travail critiques de votre organisation.Mettez à jour le firmware de votre système ExtraHop
La procédure suivante vous montre comment mettre à niveau votre système ExtraHop vers la dernière version du microprogramme. Bien que le processus de mise à niveau du microprogramme soit similaire sur tous les appareils ExtraHop, certains appareils comportent des considérations ou des étapes supplémentaires que vous devez prendre en compte avant d'installer le micrologiciel dans votre environnement. Si vous avez besoin d'aide pour votre mise à niveau, contactez le support ExtraHop.
Important : | Lorsque la migration des paramètres échoue lors de la mise à niveau du microprogramme, la version du microprogramme précédemment installée et les paramètres du système ExtraHop sont restaurés. |
Liste de contrôle préalable à la mise à niveau
Voici quelques considérations et exigences importantes concernant la mise à niveau des appareils ExtraHop.
- Une notice système apparaît sur les consoles et capteurs connecté à ExtraHop Cloud Services lorsqu'une nouvelle version du firmware est disponible.
- Vérifiez que votre système Reveal (x) 360 a été mis à niveau vers la version 9,2 avant de mettre à niveau votre système autogéré capteurs.
- Si vous effectuez une mise à niveau à partir de la version 8.7 ou antérieure du firmware, contactez le support ExtraHop pour obtenir des conseils de mise à niveau supplémentaires.
- Si vous possédez plusieurs types d'appareils ExtraHop, vous devez les mettre à niveau dans l'ordre
suivant :
- Console
- Capteurs (EDA et Ultra)
- Disquaires
- Magasins de colis
Remarque : | Il est possible que votre navigateur s'éteigne après 5 minutes d'inactivité. Actualisez la page du navigateur si
la mise à jour semble incomplète. Si la session du navigateur expire avant que le système ExtraHop ne puisse terminer le processus de mise à jour, vous pouvez essayer les tests de connectivité suivants pour confirmer l'état du processus de mise à niveau :
|
Améliorations de console
- Pour les déploiements de consoles de grande envergure (gestion de 50 000 appareils ou plus), réservez un minimum d' une heure pour effectuer la mise à niveau.
- La version du microprogramme de la console doit être supérieure ou égale à la version du microprogramme de tous les appareils connectés. Pour garantir la compatibilité des fonctionnalités, tous les appareils connectés doivent exécuter la version 8.7 ou ultérieure du microprogramme.
Améliorations du magasin de disques
- Ne mettez pas à niveau les magasins de disques vers une version du microprogramme plus récente que celle installée sur les consoles et capteurs connectés.
- Après la mise à niveau de la console et capteurs, désactiver l'ingestion d'enregistrements sur l'espace de stockage des enregistrements avant de mettre à niveau l'espace de stockage des enregistrements.
- Vous devez mettre à niveau tous les nœuds d'espace de stockage des enregistrements d'un cluster d'enregistrements. Le cluster ne
fonctionnera pas correctement si les nœuds utilisent des versions de microprogramme différentes.
Important : Le message Could not determine ingest status on some nodes et Error apparaissent sur la page Gestion des données du cluster dans les paramètres d' administration des nœuds mis à niveau jusqu'à ce que tous les nœuds du cluster soient mis à niveau. Ces erreurs sont attendues et peuvent être ignorées. - Vous devez activer l'ingestion d'enregistrements et la réallocation de partitions à partir du Gestion des données du cluster page après la mise à niveau de tous les nœuds de l'espace de stockage des enregistrements.
Mettre à jour le microprogramme d'une console et d'une sonde
Mettre à jour le firmware sur les disquaires
Que faire ensuite
Une fois que tous les nœuds du cluster d'enregistrements ont été mis à niveau, réactivez l'ingestion d'enregistrements et la réallocation des partitions sur le cluster. Vous ne devez effectuer ces étapes que sur un seul nœud d'espace de stockage des enregistrements.- Dans la section Explorer les paramètres du cluster, cliquez sur Gestion des données du cluster.
- Cliquez Activer l'ingestion d'enregistrements.
- Cliquez Activer la réallocation des partitions.
Améliorez les capteurs connectés dans Reveal (x) 360
Les administrateurs peuvent mettre à niveau capteurs connectés à Reveal (x) 360.
Before you begin
- Votre compte utilisateur doit disposer de privilèges sur Reveal (x) 360 pour l' administration du système et des accès ou pour l'administration du système.
- Les capteurs doivent être connectés aux services cloud ExtraHop
- Des notifications apparaissent lorsqu'une nouvelle version du microprogramme est disponible
- Vous pouvez mettre à niveau plusieurs capteurs en même temps
Heure du système
La page Heure du système affiche les paramètres d'heure actuels configurés pour votre système ExtraHop. Consultez les paramètres d'heure actuels du système, l'heure d'affichage par défaut pour les utilisateurs et les détails des serveurs NTP configurés.
L'heure du système est l'heure et la date suivies par les services exécutés sur le système ExtraHop afin de garantir des calculs d'heure précis. Par défaut, l'heure système sur la sonde ou la console est configurée localement. Pour une meilleure précision, nous vous recommandons de configurer l'heure du système via un serveur de temps NTP.
Lors de la capture de données, l'heure du système doit correspondre à l'heure indiquée sur les capteurs connectés afin de garantir que les horodatages sont corrects et complets dans les rapports de tableau de bord planifiés, les tableaux de bord exportés et les indicateurs graphiques. En cas de problème de synchronisation horaire, vérifiez que l' heure système configurée, les serveurs de temps externes ou les serveurs NTP sont exacts. Réinitialisez l'heure du système ou serveurs NTP de synchronisation si nécessaire
Le tableau ci-dessous contient des informations détaillées sur la configuration horaire actuelle du système. Cliquez Configurer l'heure pour configurer les paramètres d'heure du système.
Détail | Descriptif |
---|---|
Fuseau horaire | Affiche le fuseau horaire actuellement sélectionné. |
Heure du système | Affiche l'heure actuelle du système. |
Serveurs temporels | Affiche une liste séparée par des virgules des serveurs de temps configurés. |
Durée d'affichage par défaut pour les utilisateurs
La section Temps d'affichage par défaut pour les utilisateurs indique l'heure affichée à tous les utilisateurs du système ExtraHop, sauf pour un utilisateur manuellement. change leur fuseau horaire affiché.
Pour modifier la durée d'affichage par défaut, sélectionnez l'une des options suivantes, puis cliquez sur Enregistrer les modifications:
- Heure du navigateur
- Heure du système
- UTC
État du NTP
Le tableau d'état NTP affiche la configuration et l'état actuels de tous les serveurs NTP qui synchronisent l'horloge du système. Le tableau ci-dessous contient des informations détaillées sur chaque serveur NTP configuré. Cliquez Synchronisez maintenant pour synchroniser l'heure actuelle du système avec un serveur distant.
éloigné | Le nom d'hôte ou l'adresse IP du serveur NTP distant avec lequel vous avez configuré la synchronisation. |
saint | Le niveau de strate, de 0 à 16. |
t | Type de connexion. Cette valeur peut être u pour monodiffusion ou multidiffusion , b pour diffusion ou multidiffusion, l pour l'horloge de référence locale, s pour un pair symétrique, A pour un serveur Manycast, B pour un serveur de diffusion, ou M pour un serveur de multidiffusion. |
quand | La dernière fois que le serveur a été interrogé pour connaître l'heure. La valeur par défaut est de secondes, ou m s'affiche pendant quelques minutes, h pendant des heures, et d pendant des jours. |
sondage | Fréquence à laquelle le serveur est interrogé selon l'heure, entre un minimum de 16 secondes et un maximum de 36 heures. |
atteindre | Valeur indiquant le taux de réussite et d'échec de la communication avec le serveur distant. Le succès signifie que le bit est défini, l'échec signifie que le bit n'est pas défini. 377 est la valeur la plus élevée. |
retard | Le temps de trajet aller-retour (RTT) de l'appliance ExtraHop communiquant avec le serveur distant, en millisecondes. |
décalage | Indique à quelle distance se trouve l'horloge de l'appliance ExtraHop par rapport à l'heure indiquée par le serveur. La valeur peut être positive ou négative, affichée en millisecondes. |
gigue | Indique la différence, en millisecondes, entre deux échantillons. |
Configurer l'heure du système
Par défaut, le système ExtraHop synchronise l'heure du système via les serveurs du protocole NTP (Network Time Protocol) *.extrahop.pool.ntp.org. Si votre environnement réseau empêche le système ExtraHop de communiquer avec ces serveurs temporels, vous devez configurer une autre source de serveur horaire.
Before you begin
Important : | Configurez toujours plusieurs serveurs NTP pour augmenter la précision et la fiabilité du temps passé sur le système. |
Le État du NTP le tableau affiche la liste des serveurs NTP qui synchronisent l'horloge du système. Pour synchroniser l'heure système actuelle d'un serveur distant, cliquez sur le Synchronisez maintenant bouton.
Arrêter ou redémarrer
Les paramètres d'administration fournissent une interface permettant d'arrêter, d'arrêter et de redémarrer le système ExtraHop et ses composants système. Pour chaque composant du système ExtraHop, le tableau inclut un horodatage indiquant l'heure de début.
- Redémarrer ou arrêter le système pour suspendre ou arrêter et redémarrer le système ExtraHop.
- Redémarrez l'état du pont (capteur uniquement) pour redémarrer le composant du pont ExtraHop.
- Redémarrez Capture (capteur uniquement) pour redémarrer le composant de capture ExtraHop.
- Redémarrez Portal Status pour redémarrer le portail Web ExtraHop.
- Redémarrez les rapports de tableau de bord (console uniquement) pour redémarrer le composant de rapports de tableau de bord planifiés ExtraHop.
Migration des capteurs
Vous pouvez migrer vos métriques stockées, vos personnalisations et vos ressources système sur votre ExtraHop physique existant sonde vers un nouveau sonde.
Migrer une sonde ExtraHop
Lorsque vous êtes prêt à mettre à niveau votre existant sonde, vous pouvez facilement migrer vers un nouveau matériel sans perdre les indicateurs critiques de l'entreprise et les configurations système fastidieuses.
- Informations de licence pour le système. Si vous restaurez les paramètres d'une nouvelle cible, vous devez attribuer manuellement une licence à la nouvelle cible.
- Captures de paquets de précision. Vous pouvez télécharger manuellement les captures de paquets enregistrées en suivant les étapes décrites dans Afficher et télécharger des captures de paquets.
- Lors de la restauration d'une console de machine virtuelle ECA dotée d'une connexion par tunnel à partir d'un sonde, le tunnel doit être rétabli une fois la restauration terminée et toutes les personnalisations effectuées sur la console à cet effet sonde doit être recréé manuellement.
- Clés SSL téléchargées par l'utilisateur pour le déchiffrement du trafic.
- Données de keystore sécurisées, qui contiennent des mots de passe. Si vous restaurez un fichier de
sauvegarde sur la même cible que celle qui a créé la sauvegarde et que le keystore est intact, il n'est
pas nécessaire de saisir à nouveau les informations didentification. Toutefois, si vous restaurez un fichier de sauvegarde vers une
nouvelle cible ou si vous migrez vers une nouvelle cible, vous devez saisir à nouveau les informations dcredentiatives suivantes :
- Toutes les chaînes de communauté SNMP fournies pour l'interrogation SNMP des réseaux de flux.
- Tout mot de passe de liaison fourni pour se connecter au LDAP à des fins d' authentification à distance.
- Tout mot de passe fourni pour se connecter à un serveur SMTP où l'authentification SMTP est requise.
- Tout mot de passe fourni pour se connecter à une banque de données externe.
- Tout mot de passe fourni pour accéder aux ressources externes via le proxy global configuré.
- Tout mot de passe fourni pour accéder aux services cloud ExtraHop via le proxy cloud ExtraHop configuré.
- Tous les identifiants ou clés d'authentification fournis pour configurer les cibles Open Data Stream.
Avant de commencer
Important : | Si la sonde source possède une banque de données externe et que la banque de données est configurée sur un serveur CIFS/SMB nécessitant une authentification par mot de passe, contactez le support ExtraHop pour vous aider dans votre migration. |
- Source et cible capteurs doit exécuter la même version du microprogramme.
- Migrer uniquement vers la même édition capteurs, comme Reveal (x). Si vous devez passer d'une édition à une autre, contactez votre équipe commerciale ExtraHop pour obtenir de l'aide.
- La migration n'est prise en charge qu'entre des sites physiques capteurs. Virtuel sonde les migrations ne sont pas prises en charge.
- Les chemins de migration pris en charge sont répertoriés dans les tableaux suivants.
Source | Cible | ||||
---|---|---|---|---|---|
ÉD. 1200 | À PARTIR DE 620 | À PARTIR DE 820 | À PARTIR DE 920 | À PARTIR DE 10200 | |
ÉD. 1200 | OUI | OUI | OUI | OUI | OUI |
À PARTIR DE 620 | NON | OUI* | OUI | OUI | OUI |
À PARTIR DE 820 | NON | NON | OUI* | OUI* | OUI |
À PARTIR DE 920 | NON | NON | NON | OUI* | OUI |
À PARTIR DE 10200 | NON | NON | NON | NON | OUI* |
*La migration n'est prise en charge que si la source et la cible sonde ont été fabriqués en mai 2019 ou plus tard. Contactez le support ExtraHop pour vérifier la compatibilité.
Source | Cible | |||
---|---|---|---|---|
À PARTIR DE 620 | À PARTIR DE 820 | À PARTIR DE 920 | À PARTIR DE 10200 | |
EH3000 | OUI | OUI | OUI | OUI |
EH6000 | OUI | OUI | OUI | OUI |
EH8000 | NON | OUI | OUI | OUI |
ÉD. 1100 | OUI | OUI | OUI | OUI |
ÉD. 310 | OUI | OUI | OUI | OUI |
ÉD. 610 | OUI | OUI | OUI | OUI |
À PARTIR DE 810 | NON | OUI | OUI | OUI |
À PARTIR DE 910 | NON | NON | OUI | OUI |
À PARTIR DE 620 | OUI* | OUI | OUI | OUI |
À PARTIR DE 820 | NON | OUI* | OUI* | OUI |
À PARTIR DE 920 | NON | NON | OUI* | OUI |
À PARTIR DE 10200 | NON | NON | NON | OUI* |
* La migration n'est prise en charge que si la source et la cible sonde ont été fabriqués en mai 2019 ou plus tard. Contactez le support ExtraHop pour vérifier la compatibilité.
Préparez les capteurs source et cible
- Suivez les instructions du guide de déploiement pour que votre modèle de capteur déploie le capteur cible.
- S'inscrire la sonde cible.
- Assurez-vous que la cible et la source sonde exécutent exactement la même version de microprogramme. Vous pouvez télécharger le firmware actuel et précédent à partir du Portail client ExtraHop.
-
Choisissez l'une des méthodes de mise en réseau suivantes pour effectuer la migration vers la cible
sonde.
- (Recommandé) Pour terminer la migration le plus rapidement possible, connectez directement les capteurs aux interfaces de gestion 10G.
-
Création d'une interface de liaison (facultatif) des interfaces de
gestion 1G disponibles. À l'aide des câbles réseau appropriés, connectez directement
le ou les ports disponibles de la sonde source à des ports similaires de la sonde
cible. La figure ci-dessous montre un exemple de configuration avec des interfaces
1G liées.
Important : Assurez-vous que votre adresse IP et la configuration de sous-réseau des deux capteurs acheminent le trafic de gestion vers votre poste de gestion et le trafic de migration vers le lien direct. - Faites migrer la sonde sur votre réseau existant. Les capteurs source et cible doivent être capables de communiquer entre eux via votre réseau. Notez que la migration peut prendre beaucoup plus de temps avec cette configuration.
Création d'une interface de liaison (facultatif)
Suivez les instructions ci-dessous pour lier les interfaces 1G. La création d'une interface de liaison réduit le temps nécessaire pour terminer la migration sur les interfaces 1G.
- Dans la section Paramètres réseau de la source sonde, cliquez Connectivité.
- Dans la section Paramètres de l'interface Bond, cliquez sur Créer une interface Bond.
- Dans la section Membres, sélectionnez les membres de l'interface de liaison en fonction du sonde type. N'incluez pas l'interface de gestion actuelle, généralement l'interface 1 ou l'interface 3, dans l'interface de liaison.
- Dans la liste déroulante Take Settings From, sélectionnez l'un des membres de la nouvelle interface de liaison.
- Pour le type de liaison, sélectionnez Statique.
- Cliquez Créez.
- Sur la page Connectivité, dans la section Bond Interfaces, cliquez sur Interface de liaison 1.
- Dans le menu déroulant Mode d'interface, sélectionnez Gestion.
- Entrez l'adresse IPv4, le masque réseau et la passerelle de votre réseau de migration.
- Cliquez Enregistrer.
- Répétez cette procédure sur la cible sonde.
Démarrez la migration
La migration peut prendre plusieurs heures. Pendant ce temps, ni la source ni la cible sonde peut collecter des données. Le processus de migration ne peut pas être suspendu ou annulé.
Configuration de la sonde cible
Si sonde la mise en réseau n'est pas configurée via DHCP, assurez-vous que les paramètres de connectivité sont mis à jour, y compris les adresses IP, les serveurs DNS et les itinéraires statiques attribués. Connexions à ExtraHop consoles, les magasins de disques et les magasins de paquets sur la source sonde sont automatiquement établis sur la cible sonde lorsque les paramètres réseau sont configurés.
- Connectez-vous aux paramètres d'administration de la cible sonde.
- Dans le Paramètres réseau section, cliquez sur Connectivité.
- Dans la section Interfaces, cliquez sur l'interface de gestion (généralement l'interface 1 ou l'interface 3, selon sonde modèle).
- Entrez l'adresse IP de la source sonde dans le champ Adresse IPv4.
- Si des routes statiques ont été configurées sur la source sonde, cliquez Modifier les itinéraires, ajoutez les informations d'itinéraire requises, puis cliquez sur Enregistrer.
- Cliquez Enregistrer pour enregistrer les paramètres de l'interface.
- Si vous deviez modifier des paramètres d'interface pour effectuer la migration avec des interfaces liées, assurez-vous que les modes d'interface sont configurés comme vous le souhaitez.
- Restaurez tous les paramètres supplémentaires qui ne sont pas automatiquement restaurés.
Licence
La page d'administration des licences vous permet de visualiser et de gérer les licences de votre système ExtraHop. Vous devez disposer d'une licence active pour accéder au système ExtraHop, et votre système doit être en mesure de se connecter au serveur de licences ExtraHop pour des mises à jour périodiques et des vérifications de l' état de votre licence.
Pour en savoir plus sur les licences ExtraHop, consultez le FAQ sur les licences.
Enregistrez votre système ExtraHop
Ce guide fournit des instructions sur la façon d'appliquer une nouvelle clé de produit et d'activer tous les modules que vous avez achetés. Vous devez disposer de privilèges sur le système ExtraHop pour accéder aux paramètres d' administration.
Enregistrez l'appareil
Before you begin
Remarque : | Si vous enregistrez une sonde ou une console, vous pouvez éventuellement saisir la clé de produit après avoir accepté le CLUF et vous être connecté au système ExtraHop ( https://<extrahop_ip_address>/). |
Que faire ensuite
Vous avez d'autres questions sur les œuvres sous licence ExtraHop ? Voir le FAQ sur les licences.Résoudre les problèmes de connectivité au serveur de licences
Pour les systèmes ExtraHop sous licence et configurés pour se connecter aux services cloud ExtraHop, l'enregistrement et la vérification sont effectués via une requête HTTPS adressée aux services cloud ExtraHop.
Si votre système ExtraHop ne possède pas de licence pour les services cloud ExtraHop ou ne l'est pas encore , le système tente d'enregistrer le système via une demande DNS TXT pour regions.hopcloud.extrahop.com et une requête HTTPS pour tous Régions des services cloud ExtraHop. Si cette demande échoue, le système essaie de se connecter au serveur de licences ExtraHop via le port 53 du serveur DNS. La procédure suivante est utile pour vérifier que le système ExtraHop peut communiquer avec le serveur de licences via le DNS.
nslookup -type=NS d.extrahop.com
Non-authoritative answer: d.extrahop.com nameserver = ns0.use.d.extrahop.com. d.extrahop.com nameserver = ns0.usw.d.extrahop.com.Si la résolution du nom échoue, assurez-vous que votre serveur DNS est correctement configuré pour rechercher le
Appliquer une licence mise à jour
Lorsque vous achetez un nouveau module de protocole, un nouveau service ou une nouvelle fonctionnalité, la licence mise à jour est automatiquement disponible sur le système ExtraHop. Cependant, vous devez appliquer la licence mise à jour au système via les paramètres d'administration pour que les nouvelles modifications prennent effet.
Mettre à jour une licence
Si ExtraHop Support vous fournit un fichier de licence, vous pouvez installer ce fichier sur votre appliance pour mettre à jour la licence.
Remarque : | Si vous souhaitez mettre à jour la clé de produit de votre appliance, vous devez enregistrez votre système ExtraHop. |
Disques
La page Disques affiche une carte des disques du système ExtraHop et répertorie leurs états. Ces informations peuvent vous aider à déterminer si les lecteurs doivent être installés ou remplacés. Les vérifications automatiques de l'état du système et les notifications par e-mail (si elles sont activées) permettent de signaler en temps voulu la présence d'un disque dans un état dégradé. Les contrôles de santé du système affichent les erreurs de disque en haut de la page des paramètres.
Disques à chiffrement automatique (SED)
Pour les capteurs qui incluent des disques à chiffrement automatique (SED), le Hardware Disk Encryption le statut peut être défini sur Disabled ou Enabled. Ce statut est défini sur Unsupported pour les capteurs qui n'incluent pas de SED.
Ces capteurs sont compatibles avec les SED :
- À PARTIR DE 930
- À PARTIR DE 1030
- IDS 9380
Pour plus d'informations sur la configuration des SED, voir Configurer des disques à chiffrement automatique.
RAID
Pour plus d'informations sur la configuration et la réparation de la fonctionnalité RAID10 sur l'EDA 6200 capteurs, voir Mise à niveau du RAID 0 vers le RAID 10.
Pour obtenir de l'aide pour remplacer un disque RAID 0 ou installer un disque SSD, reportez-vous aux instructions ci-dessous. Les instructions RAID 0 s'appliquent aux types de disques suivants :
- Banque de données
- Capture de paquets
- Micrologiciel
N'essayez pas d'installer ou de remplacer le lecteur dans l'emplacement 0 sauf indication contraire de l' assistance ExtraHop.
Remarque : | Assurez-vous que votre équipement est équipé d'un contrôleur RAID avant de suivre la procédure suivante. En cas de doute, contactez Assistance ExtraHop. Il est possible qu'un disque endommagé de façon persistante ne soit pas remplaçable avec cette procédure. |
Surnom de la console
Par défaut, votre ExtraHop console est identifié par son nom d'hôte sur les capteurs connectés. Toutefois, vous pouvez éventuellement configurer un nom personnalisé pour identifier votre console.
Choisissez l'une des options suivantes pour configurer le nom d'affichage :
- Sélectionnez Afficher un surnom personnalisé et saisissez le nom dans le champ que vous souhaitez afficher pour cette console.
- Sélectionnez Afficher le nom d'hôte pour afficher le nom d'hôte configuré pour cette console.
Configurer la capture de paquets
La capture de paquets vous permet de collecter, de stocker et de récupérer des paquets de données à partir de votre trafic réseau. Vous pouvez télécharger un fichier de capture de paquets pour analyse dans un outil tiers, tel que Wireshark. Les paquets peuvent être inspectés pour diagnostiquer et résoudre les problèmes de réseau et pour vérifier que les politiques de sécurité sont respectées.
En ajoutant un disque de capture de paquets à l'ExtraHop sonde, vous pouvez stocker les données de charge utile brutes envoyées à votre système ExtraHop. Ce disque peut être ajouté à votre espace virtuel sonde ou un SSD installé dans votre ordinateur sonde.
Ces instructions s'appliquent uniquement aux systèmes ExtraHop dotés d'un disque de capture de paquets de précision. Pour stocker des paquets sur une appliance de stockage de paquets ExtraHop, consultez le guides de déploiement du stockage des paquets.
Important : | Les systèmes dotés de disques à chiffrement automatique (SED) ne peuvent pas être configurés pour le chiffrement logiciel des captures de paquets. Pour plus d'informations sur l'activation de la sécurité sur ces systèmes, voir Configurer des disques à chiffrement automatique. |
Tranchage de paquets
Par défaut, le stockage des paquets enregistre des paquets entiers. Si les paquets ne sont pas déjà découpés, vous pouvez configurer la sonde pour stocker les paquets découpés en un nombre fixe d'octets afin d'améliorer la confidentialité et la rétrospective.
Pour plus d'informations sur la configuration de cette fonctionnalité dans votre fichier de configuration en cours d'exécution, contactez le support ExtraHop.
Activer la capture de paquets
Votre système ExtraHop doit disposer d'une licence pour la capture de paquets et être configuré avec un disque de stockage dédié. Physique capteurs nécessitent un disque de stockage SSD et les capteurs virtuels nécessitent un disque configuré sur votre hyperviseur.
Before you begin
- Vérifiez que votre système ExtraHop possède une licence pour la capture de paquets en vous connectant aux paramètres d'administration et en cliquant sur Licence. La capture de paquets est répertoriée sous Fonctionnalités et Activé devrait apparaître.
Important : | Le processus de capture redémarre lorsque vous activez le disque de capture de paquets. |
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Paramètres de l'appliance, cliquez sur Disques.
-
En fonction de votre sonde options de type et de menu, configurez les
paramètres suivants.
- Pour les capteurs physiques, cliquez Activer à côté de Capture de paquets assistée par SSD, puis cliquez sur OK..
- Pour les capteurs virtuels, vérifiez que running apparaît dans la colonne État et que la taille du disque que vous avez configurée pour la capture de paquets apparaît dans la colonne Taille. Cliquez Activer à côté de Capture de paquets déclenchée, puis cliquez sur OK..
Que faire ensuite
Votre disque de capture de paquets est désormais activé et prêt à stocker des paquets. Cliquez Configurez si vous souhaitez chiffrer le disque, ou configurer globaux ou paquet de précision capture.Chiffrer le disque de capture de paquets
Les disques de capture de paquets peuvent être sécurisés à l'aide d'un chiffrement AES 256 bits.
- Vous ne pouvez pas déchiffrer un disque de capture de paquets une fois qu'il a été chiffré. Vous pouvez effacer le chiffrement, mais le disque est formaté et toutes les données sont supprimées.
- Vous pouvez verrouiller un disque chiffré pour empêcher tout accès en lecture ou en écriture aux fichiers de capture de paquets stockés. Si le système ExtraHop est redémarré, les disques chiffrés sont automatiquement verrouillés et restent verrouillés jusqu'à ce qu'ils soient déverrouillés avec la phrase secrète. Les disques non chiffrés ne peuvent pas être verrouillés.
- Vous pouvez reformater un disque chiffré, mais toutes les données sont définitivement supprimées. Vous pouvez reformater un disque verrouillé sans le déverrouiller au préalable.
- Vous pouvez effectuer une suppression sécurisée (ou un effacement du système) de toutes les données du système. Pour obtenir des instructions, consultez le Guide multimédia d'ExtraHop Rescue.
Important : | Les systèmes dotés de disques à chiffrement automatique (SED) ne peuvent pas être configurés pour le chiffrement logiciel des captures de paquets. Pour plus d'informations sur l'activation de la sécurité sur ces systèmes, voir Configurer des disques à chiffrement automatique. |
- Dans le Paramètres de l'appliance section, cliquez Disques.
-
Sur la page Disques, sélectionnez l'une des options suivantes en fonction de votre
type de sonde.
- Pour les capteurs virtuels, cliquez Configurez à côté de Triggered Packet Capture.
- Pour les capteurs physiques, cliquez Configurez à côté de la capture de paquets assistée par SSD.
- Cliquez Chiffrer le disque.
-
Spécifiez une clé de chiffrement de disque à l'aide de l'une des options suivantes :
- Entrez une phrase secrète dans les champs Phrase secrète et Confirmer.
- Cliquez Choisissez un fichier et sélectionnez un fichier de clé de chiffrement.
- Cliquez Chiffrer.
Que faire ensuite
Vous pouvez modifier la clé de chiffrement du disque en retournant à la page Disques et en cliquant sur Configurez et puis Modifier la clé de chiffrement du disque.Formater le disque de capture de paquets
Vous pouvez formater un disque de capture de paquets chiffré pour supprimer définitivement toutes les captures de paquets. Le formatage d'un disque chiffré supprime le chiffrement. Si vous souhaitez formater un disque de capture de paquets non chiffré, vous devez le retirer, puis le réactiver.
Avertissement : | Cette action ne peut pas être annulée. |
- Dans le Paramètres de l'appareil section, cliquez Disques.
-
Sur la page Disques, choisissez l'une des options suivantes en fonction de la
plate-forme de votre appliance.
- Pour les capteurs virtuels, cliquez sur Configurez à côté de Triggered Packet Capture.
- Pour les capteurs physiques, cliquez Configurez à côté de la capture de paquets assistée par SSD.
- Cliquez Effacer le chiffrement du disque.
- Cliquez Formater.
Retirez le disque de capture de paquets
Si vous souhaitez remplacer un disque de capture de paquets, vous devez d'abord le retirer du système. Lorsqu'un disque de capture de paquets est retiré du système, toutes les données qu'il contient sont définitivement supprimées.
- Dans le Paramètres de l'appareil section, cliquez Disques.
-
Sur la page Disques, choisissez l'une des options suivantes en fonction de la
plate-forme de votre appliance.
- Pour les appareils virtuels, cliquez sur Configurez à côté de Triggered Packet Capture.
- Pour les appareils physiques, cliquez sur Configurez à côté de la capture de paquets assistée par SSD.
- Cliquez Supprimer le disque.
-
Sélectionnez l'une des options de format suivantes :
- Formatage rapide
- Effacement sécurisé
- Cliquez Supprimer.
Configuration d'une capture globale de paquets
Une capture globale de paquets collecte chaque paquet envoyé au système ExtraHop pendant la durée correspondant aux critères.
- Sur les systèmes Reveal (x) Enterprise, cliquez sur Paquets dans le menu
supérieur, puis cliquez sur Télécharger PCAP.
Pour localiser votre capture de paquets, cliquez et faites glisser le pointeur sur la chronologie de la requête par paquets pour sélectionner la plage de temps pendant laquelle vous avez commencé la capture de paquets.
- Sur les systèmes ExtraHop Performance, cliquez sur l'icône Paramètres système , cliquez Toute l'administration, puis cliquez sur Afficher et télécharger des captures de paquets dans la section Capture de paquets.
Configuration d'une capture précise des paquets
Les captures de paquets de précision nécessitent des déclencheurs ExtraHop, qui vous permettent de capturer uniquement les paquets qui répondent à vos spécifications. Les déclencheurs sont du code défini par l'utilisateur hautement personnalisable qui s'exécute sur des événements système définis.
Before you begin
La capture de paquets doit être autorisée et activée sur votre système ExtraHop.- Concepts de déclenchement
- Créez un déclencheur
- Référence de l'API Trigger
- Visite guidée : Initiez des captures de paquets de précision pour analyser les conditions de fenêtre zéro
Dans l'exemple suivant, le déclencheur capture un flux HTTP portant le nom HTTP host <hostname> et arrête la capture une fois qu'un maximum de 10 paquets ont été collectés.
Que faire ensuite
Téléchargez le fichier de capture de paquets.- Sur les systèmes Reveal (x) Enterprise, cliquez sur Enregistrements depuis le menu supérieur. Sélectionnez Capture de paquets à partir du Type d'enregistrement liste déroulante. Une fois que les enregistrements associés à votre capture de paquets apparaissent, cliquez sur l'icône Paquets , puis cliquez sur Télécharger PCAP.
- Sur les systèmes ExtraHop Performance, cliquez sur l'icône Paramètres système , cliquez Toute l'administration, puis cliquez sur Afficher et télécharger des captures de paquets dans la section Capture de paquets.
Afficher et télécharger des captures de paquets
Si des captures de paquets sont stockées sur un disque virtuel ou sur un disque SSD dans votre sonde, vous pouvez gérer ces fichiers depuis la page Afficher les captures de paquets dans les paramètres d'administration. Pour les systèmes Reveal (x) et sur les magasins de paquets ExtraHop, consultez la page Packets.
La section Afficher et télécharger les captures de paquets apparaît uniquement sur les systèmes ExtraHop Performance. Sur les systèmes Reveal (x), les fichiers de capture de paquets de précision sont trouvés en recherchant le type d'enregistrement de capture de paquets dans Records.
- Cliquez Configuration des paramètres de capture de paquets pour supprimer automatiquement les captures de paquets stockées après la durée spécifiée (en minutes).
- Consultez les statistiques relatives à votre disque de capture de paquets.
- Spécifiez des critères pour filtrer les captures de paquets et limitez le nombre de fichiers affichés dans la liste de capture de paquets.
- Sélectionnez un fichier dans la liste de capture de paquets, puis téléchargez-le ou supprimez-le.
Remarque : Vous ne pouvez pas supprimer des fichiers de capture de paquets individuels des systèmes Reveal (x ).
magasin de disques
Vous pouvez envoyer des enregistrements au niveau des transactions écrits par le système ExtraHop à un espace de stockage des enregistrements compatible, puis interroger ces enregistrements depuis la page Records ou l'API REST de votre console et capteurs.
Envoyer des enregistrements depuis ExtraHop vers Google BigQuery
Vous pouvez configurer votre système ExtraHop pour envoyer des enregistrements au niveau des transactions à un serveur Google BigQuery pour un stockage à long terme, puis interroger ces enregistrements à partir du système ExtraHop et de l'API REST ExtraHop. Les enregistrements enregistrés dans les magasins de disques BigQuery expirent au bout de 90 jours .
Before you begin
- Vous avez besoin de l'identifiant du projet BigQuery
- Vous avez besoin du fichier d'identification (JSON) de votre compte de service BigQuery. Le compte de service nécessite les rôles BigQuery Data Editor, BigQuery Data Viewer et BigQuery User.
- Pour accéder à l'ExtraHop Cloud Recordstore, votre capteurs doit être en mesure d'accéder au protocole TCP 443 (HTTPS)
sortant à ces noms de domaine complets :
- bigquery.googleapis.com
- bigquerystorage.googleapis.com
- oauth2.googleapis.com
- www.googleapis.com
- www.mtls.googleapis.com
- iamcredentials.googleapis.com
Vous pouvez également consulter les conseils publics de Google à propos de calcul des plages d'adresses IP possibles pour googleapis.com.
- Si vous souhaitez configurer les paramètres de l'espace de stockage des enregistrements BigQuery avec l'authentification par fédération d'identité de charge de travail Google
Cloud, vous avez besoin du fichier
de configuration provenant de votre pool d'identités de charge de travail.
Remarque : Le fournisseur d'identité de charge de travail doit être configuré pour fournir un jeton d'identification OIDC entièrement valide en réponse à une demande d'informations d'identification du client. Pour plus d'informations sur la fédération des identités de charge de travail, voir https://cloud.google.com/iam/docs/workload-identity-federation.
Envoyer des enregistrements depuis ExtraHop vers BigQuery
Remarque : | Tous les déclencheurs configurés pour envoyer des enregistrements via commitRecord vers un espace de stockage des enregistrements ExtraHop sont automatiquement redirigés vers BigQuery. Aucune autre configuration n'est requise. |
Important : | Si votre système ExtraHop inclut une console, configurez tous les appareils avec les mêmes paramètres d'espace de stockage des enregistrements ou gérez les transferts pour gérer les paramètres depuis la console. |
Important : | Ne modifiez ni ne supprimez la table dans BigQuery dans laquelle les enregistrements sont stockés. La suppression de la table entraîne la suppression de tous les enregistrements enregistrés. |
Transférer les paramètres de l'espace de stockage des enregistrements
Si vous avez un ExtraHop console connecté à vos capteurs ExtraHop, vous pouvez configurer et gérer les paramètres de l'espace de stockage des enregistrements sur le capteur, ou transférer la gestion des paramètres au console. Le transfert et la gestion des paramètres de l'espace de stockage des enregistrements sur la console vous permettent de maintenir les paramètres de l'espace de stockage à jour sur plusieurs capteurs.
Envoyer des enregistrements depuis ExtraHop vers Splunk
Vous pouvez configurer le système ExtraHop pour envoyer des enregistrements au niveau des transactions à un serveur Splunk pour un stockage à long terme, puis interroger ces enregistrements depuis le système ExtraHop et l'API REST ExtraHop.
Before you begin
- Vous devez disposer de la version 7.0.3 ou d'une version ultérieure de Splunk Enterprise et d'un compte utilisateur doté de privilèges d'administrateur.
- Vous devez configurer le collecteur d'événements HTTP Splunk pour que votre serveur Splunk puisse recevoir des enregistrements ExtraHop. Voir le Collecteur d'événements HTTP Splunk documentation pour les instructions.
Remarque : | Tous les déclencheurs configurés pour envoyer des enregistrements via commitRecord vers un espace de stockage des enregistrements sont automatiquement redirigés vers le serveur Splunk. Aucune autre configuration n' est requise. |
Envoyer des enregistrements depuis ExtraHop vers Splunk
Important : | Si votre système ExtraHop inclut une console ou Reveal (x) 360, configurez tous les capteurs avec les mêmes paramètres d'espace de stockage des enregistrements ou gérez les transferts pour gérer les paramètres depuis la console ou Reveal (x) 360. |
Transférer les paramètres de l'espace de stockage des enregistrements
Si vous avez un ExtraHop console connecté à vos capteurs ExtraHop, vous pouvez configurer et gérer les paramètres de l'espace de stockage des enregistrements sur le capteur, ou transférer la gestion des paramètres au console. Le transfert et la gestion des paramètres de l'espace de stockage des enregistrements sur la console vous permettent de maintenir les paramètres de l'espace de stockage à jour sur plusieurs capteurs.
Paramètres de commande ExtraHop
Le Paramètres de commande ExtraHop la section du capteur ExtraHop vous permet de connecter un capteur ExtraHop à une console. Selon la configuration de votre réseau, vous pouvez établir une connexion depuis la sonde (connexion par tunnel) ou depuis la console (connexion directe).
- Nous vous recommandons de vous connecter aux paramètres d'administration de votre console et créez une connexion directe avec la sonde. Les connexions directes sont établies à partir du console via HTTPS sur le port 443 et ne nécessitent pas d'accès spécial. Pour obtenir des instructions, voir Connecter une console ExtraHop à une sonde ExtraHop.
- Si votre sonde se trouve derrière un pare-feu, vous pouvez créer une connexion par tunnel SSH à partir de ce sonde à votre console. Pour obtenir des instructions, voir Connexion à une console à partir d'une sonde.
Générer un jeton
Vous devez générer un jeton sur un sonde avant de pouvoir vous connecter à un console. Le jeton garantit une connexion sécurisée, ce qui rend le processus de connexion moins vulnérable aux attaques MITM ( Machine-in-the-Middle).
Cliquez Générer un jeton puis terminer la configuration sur votre console.
Connexion à une console à partir d'une sonde
Vous pouvez connecter l'ExtraHop sonde au console via un tunnel SSH.
Before you begin
- Vous ne pouvez établir une connexion qu'avec sonde qui est concédé sous licence pour la même édition du système que le console. Par exemple, un console sur Reveal (x) Enterprise ne peut se connecter qu'à capteurs sur Reveal (x) Enterprise.
Connecter une console ExtraHop à une sonde ExtraHop
Vous pouvez gérer plusieurs ExtraHop capteurs à partir d'un console. Une fois que vous avez connecté capteurs, vous pouvez consulter et modifier sonde propriétés, attribuez un surnom, mettez à niveau le microprogramme, vérifiez l'état de la licence et créez un package d'assistance au diagnostic.
Vidéo : | Consultez la formation associée : Connecter une appliance à une console Reveal (x) Enterprise (ECA) |
Before you begin
Vous pouvez uniquement établir une connexion avec un sonde qui est concédé sous licence pour la même édition système que le console. Par exemple, un console sur Reveal (x) Enterprise ne peut se connecter qu'à capteurs sur Reveal (x) Enterprise.Important : | Nous recommandons vivement configuration d'un nom d'hôte unique. Si l'adresse IP du système change, la console ExtraHop peut facilement rétablir la connexion au système par nom d'hôte. |
Générez un jeton sur la sonde
- Connectez-vous aux paramètres d'administration sur le sonde à travers https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Paramètres de commande ExtraHop section, cliquez sur Générer un jeton.
- Cliquez Générer un jeton.
- Copiez le jeton et passez à la procédure suivante.
Gérer les appareils Discover
À partir de l'appliance Command, vous pouvez afficher les appliances Discover connectées et gérer certaines tâches administratives.
Cochez la case correspondant à un ou plusieurs appareils Discover connectés. Sélectionnez ensuite l'une des tâches administratives suivantes.
- Cliquez Vérifier la licence pour vous connecter au serveur de licences ExtraHop et récupérer le dernier statut des appareils Discover sélectionnés. Si votre appliance Command ne parvient pas à accéder aux données d'une appliance Discover connectée, la licence n'est peut-être pas valide.
- Cliquez Exécuter le script de support puis sélectionnez l'une des
options suivantes :
- Cliquez Exécuter le script de support par défaut pour collecter des informations sur les appareils Discover sélectionnés. Vous pouvez envoyer ce fichier de diagnostic au support ExtraHop pour analyse.
- Cliquez Exécuter un script de support personnalisé pour télécharger un fichier depuis le support ExtraHop qui apporte de petites modifications ou améliorations au système.
- Cliquez Mettre à jour le firmware pour mettre à niveau l' appliance Discover sélectionnée. Vous pouvez saisir l'URL du microprogramme sur Portail client site Web ou téléchargez le fichier du microprogramme depuis votre ordinateur. Quelle que soit l'option choisie, nous vous recommandons vivement de lire le firmware notes de version et le guide de mise à niveau du firmware.
- Cliquez Désactiver ou Activer pour modifier temporairement la connexion entre les appareils Discover et Command. Lorsque cette connexion est désactivée, l'appliance Command n'affiche pas l'appliance Discover et ne peut pas accéder aux données de l'appliance Discover.
- Cliquez Supprimer l'appareil pour déconnecter définitivement certains appareils Discover.
Paramètres ExtraHop Recordstore
Cette section contient les paramètres de configuration suivants pour l'espace de stockage des enregistrements ExtraHop.
- Configuration des enregistrements de flux automatiques (Capteurs uniquement)
- Connectez-vous à un espace de stockage des enregistrements ExtraHop
- Gérer un espace de stockage des enregistrements ExtraHop (Console uniquement)
Connectez la console et les capteurs aux magasins de disques ExtraHop
Après avoir déployé un espace de stockage des enregistrements ExtraHop, vous devez établir une connexion depuis tous les ExtraHop capteurs et le console aux nœuds de l'espace de stockage des enregistrements avant de pouvoir rechercher des enregistrements stockés.
Important : | Si votre cluster d'espace de stockage des enregistrements est configuré avec nœuds réservés au gestionnaire, connectez uniquement les capteurs et la console aux nœuds de données uniquement. Ne vous connectez pas aux nœuds réservés au gestionnaire . |
Déconnectez l'espace de stockage des enregistrements
Pour arrêter l'ingestion d'enregistrements dans l'espace de stockage des enregistrements, déconnectez tous les nœuds de l'espace de stockage des console et capteurs.
Remarque : | Si les connexions à l'espace de stockage des enregistrements sont gérées par une console, vous ne pouvez exécuter cette procédure que sur la console. |
Gérer les appliances Explore
À partir de l'appliance Command, vous pouvez afficher les appliances Explore connectées et gérer certaines tâches administratives.
Affichez des informations sur les appliances Explore connectées en tant qu'appliances individuelles ou en tant que partie d'un cluster.
- Cliquez Découvrez Cluster dans le champ Nom pour ouvrir les propriétés du cluster. Vous pouvez ajouter un surnom personnalisé à l'appliance Explore et afficher l'ID du cluster.
- Cliquez sur le nom de n'importe quel nœud pour ouvrir les propriétés du nœud. En cliquant Ouvrez l' interface utilisateur d'administration, vous pouvez accéder aux paramètres d'administration de l'appliance Explore spécifique.
- Affichez la date et l'heure auxquelles l'appliance a été ajoutée à cette appliance de commande.
- Consultez le statut de licence de vos appareils.
- Consultez la liste des actions que vous pouvez effectuer sur cette appliance.
- Consultez la colonne Job pour connaître l'état de tous les scripts de support en cours d'exécution.
Sélectionnez le cluster Explore ou un seul nœud du cluster en cliquant sur une zone vide du tableau, puis en sélectionnant l'une des tâches administratives suivantes.
- Cliquez Exécuter le script de support puis sélectionnez l'une des
options suivantes :
- Sélectionnez Exécuter le script de support par défaut pour collecter des informations sur l'appliance Explore sélectionnée. Vous pouvez envoyer ce fichier de diagnostic au support ExtraHop pour analyse.
- Sélectionnez Exécuter un script de support personnalisé pour télécharger un fichier depuis le support ExtraHop qui apporte de petites modifications ou améliorations au système.
- Cliquez Supprimer le cluster pour déconnecter définitivement l' appliance Explore sélectionnée. Cette option vous empêche uniquement d'effectuer les tâches administratives de cette page à partir de l'appliance Command. L'appliance Explore reste connectée à votre appliance Discover et continue de collecter des enregistrements.
Collectez les enregistrements de flux
Vous pouvez collecter et stocker automatiquement tous les enregistrements de flux, qui sont des communications au niveau réseau entre deux appareils via un protocole IP. Si vous activez ce paramètre, mais que vous n'ajoutez aucune adresse IP ou plage de ports, tous les enregistrements de flux détectés sont capturés. La configuration des enregistrements de flux pour la collecte automatique est relativement simple et peut constituer un bon moyen de tester la connectivité à votre espace de stockage des enregistrements.
Before you begin
Vous devez avoir accès à un système ExtraHop avec Privilèges d'administration du système et des accès.État du Recordstore ExtraHop
Si vous avez connecté un espace de stockage des enregistrements ExtraHop à votre sonde ou console, vous pouvez accéder aux informations relatives à l'espace de stockage des enregistrements.
Le tableau de cette page fournit les informations suivantes concernant tous les magasins de disques connectés.
- Activité depuis
- Affiche le horodateur lorsque la collecte des enregistrements a commencé. Cette valeur est automatiquement réinitialisée toutes les 24 heures.
- Enregistrement envoyé
- Affiche le nombre d'enregistrements envoyés à l'espace de stockage des enregistrements depuis un sonde.
- Erreurs d'E/S
- Affiche le nombre d'erreurs générées.
- File d'attente pleine (enregistrements supprimés)
- Affiche le nombre d'enregistrements supprimés lorsque les enregistrements sont créés plus rapidement qu'ils ne peuvent être envoyés à l'espace de stockage des enregistrements.
Paramètres ExtraHop Packetstore
Les magasins de paquets ExtraHop collectent et stockent en permanence les données brutes des paquets provenant de votre capteurs. Connectez le sonde au magasin de paquets pour commencer à stocker des paquets.
Connectez les capteurs et la console au stockage des paquets
Avant de pouvoir demander des paquets, vous devez connecter console et tous les capteurs vers le stockage des paquets.
Connecté à une sonde
Connecté à la sonde et à la console
Gérer les appareils Trace
Depuis l'appliance Command, vous pouvez consulter les appliances Trace connectées et gérer certaines tâches administratives.
Consultez les informations sur les appareils Trace connectés.
- Cliquez Cluster de traces dans le champ Nom pour ouvrir les propriétés du cluster. Vous pouvez ajouter un surnom personnalisé à l'appliance Trace et afficher l'ID du cluster.
- Cliquez sur n'importe quel appareil pour en afficher les propriétés. En cliquant Ouvrez l' interface utilisateur d'administration, vous pouvez accéder aux paramètres d'administration de l'appliance Trace spécifique.
- Affichez la date et l'heure auxquelles l'appliance a été ajoutée à cette appliance de commande.
- Consultez le statut de licence de vos appareils.
- Consultez la liste des actions que vous pouvez effectuer sur cette appliance.
- Consultez la colonne Job pour connaître l'état de tous les scripts de support en cours d'exécution.
Sélectionnez un appareil Trace. Sélectionnez ensuite l'une des tâches administratives suivantes.
- Cliquez Exécuter le script de support puis sélectionnez l'une des
options suivantes :
- Cliquez Exécuter le script de support par défaut pour collecter des informations sur l'appliance Trace sélectionnée. Vous pouvez envoyer ce fichier de diagnostic au support ExtraHop pour analyse.
- Cliquez Exécuter un script de support personnalisé pour télécharger un fichier depuis le support ExtraHop qui apporte de petites modifications ou améliorations au système.
- Cliquez Mettre à jour le firmware pour mettre à niveau l' appliance Trace sélectionnée. Vous pouvez saisir l'URL du microprogramme sur le Portail client site Web ou téléchargez le fichier du microprogramme depuis votre ordinateur. Quelle que soit l'option, nous vous recommandons vivement de lire le firmware notes de version et le guide de mise à niveau du firmware.
- Cliquez Supprimer l'appareil pour déconnecter définitivement l' appliance Trace sélectionnée. Cette option vous empêche uniquement d'effectuer les tâches administratives de cette page à partir de l'appliance Command. L'appliance Trace reste connectée à votre appliance Discover et continue de collecter des paquets.
Annexe
Acronymes courants
Les acronymes de protocoles informatiques et réseau courants suivants sont utilisés dans ce guide.
sigle | Nom complet |
---|---|
AAA | Authentification, autorisation et comptabilité |
AMF | Format du message d'action |
CIFS | Système de fichiers Internet commun |
CLI | Interface de ligne de commande |
CPU | Unité centrale de traitement |
BASE DE DONNÉES | Base de données |
DHCP | Protocole de configuration dynamique de l'hôte |
DNS | Système de noms de domaine |
ERSPAN | Analyseur de ports commutés à distance encapsulé |
FIX | Échange d'informations financières |
FTP | FTP |
HTTP | Protocole de transfert hypertexte |
IBMMQ | Intergiciel orienté message IBM |
ICA | Architecture informatique indépendante |
IP | Protocole Internet |
iSCSI | Interface système Internet pour petits ordinateurs |
L2 | Couche 2 |
L3 | couche 3 |
L7 | Couche 7 |
LDAP | Protocole léger d'accès aux annuaires |
MAC | Contrôle d'accès aux médias |
MIB | Base d'informations de gestion |
NFS | NFS |
NVRAM | Mémoire à accès aléatoire non volatile |
RAYON | Service utilisateur d'authentification à distance |
RPC | Appel de procédure à distance |
RPCAP | Capture de paquets à distance |
RSS | Taille de l'ensemble pour résidents |
SMPP | Protocole d'égal à égal pour messages courts |
SMTP | Protocole de transport de messages simple |
SNMP | Protocole de gestion réseau simple |
SPAN | Analyseur de ports commutés |
SSD | Disque SSD |
SSH | Coque sécurisée |
SLL | Secure Socket Layer |
TACACS+ | Contrôleur d'accès au terminal Access-Control System Plus |
TCP | TCP |
INTERFACE UTILISATEUR | Interface utilisateur |
VLAN | VLAN |
VM | Machine virtuelle |
Configuration des appareils Cisco NetFlow
Voici des exemples de configuration de base d'un routeur Cisco pour NetFlow. NetFlow est configuré pour chaque interface. Lorsque NetFlow est configuré sur l'interface, paquet IP flux les informations seront exportées vers la sonde ExtraHop.
Important : | NetFlow tire parti de la valeur IFindex du SNMP pour représenter les informations d'interface d'entrée et de sortie dans les enregistrements de flux. Pour garantir la cohérence des rapports d'interface, activez la persistance SNMP iFindex sur les appareils qui envoient NetFlow à la sonde. Pour plus d'informations sur la façon d'activer la persistance SNMP iFindex sur les périphériques de votre réseau, reportez-vous au guide de configuration fourni par le fabricant de l'équipement. |
Pour plus d'informations sur la configuration de NetFlow sur les commutateurs Cisco, consultez la documentation de votre routeur Cisco ou le site Web de Cisco à l'adresse www.cisco.com.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?