Guide de l'interface utilisateur d'ExtraHop Trace
Présentation de l'interface utilisateur d'ExtraHop Trace
Le guide de l'interface utilisateur d'ExtraHop Trace fournit des informations détaillées sur les caractéristiques d'administration et les fonctionnalités de l'appliance ExtraHop Trace.
En outre, ce guide fournit une vue d'ensemble de la navigation globale et des informations sur les commandes, les champs et les options disponibles dans les paramètres de Trace Administration.
Après avoir déployé votre appliance Trace, consultez le Liste de contrôle du suivi après le déploiement.
Vos commentaires sont importants pour nous. Merci de nous indiquer comment nous pouvons améliorer ce document. Envoyez vos commentaires ou suggestions à documentation@extrahop.com.
Navigateurs pris en charge
Les navigateurs suivants sont compatibles avec tous les systèmes ExtraHop. Appliquez les fonctionnalités d'accessibilité et de compatibilité fournies par votre navigateur pour accéder au contenu par le biais d'outils technologiques d'assistance.
- Firefox
- Google Chrome
- Microsoft Edge
- Safari
Important : | Internet Explorer 11 n'est plus pris en charge. Nous vous recommandons d' installer la dernière version de tout navigateur compatible. |
État et diagnostics
Le État et diagnostics cette section inclut des métriques et des données de journalisation sur l'état actuel du stockage des paquets ExtraHop et permet aux administrateurs système de visualiser l'état général du système.
- Santé
- Fournit des mesures sur l'efficacité opérationnelle du stockage des paquets ExtraHop.
- Journal d'audit
- Vous permet d'afficher les données de journalisation des événements et de modifier les paramètres Syslog.
- Empreinte
- Fournit le matériel unique empreinte digitale pour le stockage des paquets ExtraHop.
- Scripts d'assistance
- Vous permet de télécharger et d'exécuter des scripts de support.
- Fichiers d'exception
- Activez ou désactivez les fichiers d'exception du stockage des paquets ExtraHop.
Santé
Le Santé La page fournit un ensemble de mesures qui vous permettent de vérifier le fonctionnement de l'appliance Trace.
Les statistiques de cette page peuvent vous aider à résoudre les problèmes et à déterminer pourquoi l' appliance ExtraHop ne fonctionne pas comme prévu.
- Système
- Indique les informations suivantes concernant l'utilisation du processeur et des unités de disque du système.
-
- Utilisateur du processeur
- Affiche le pourcentage d'utilisation du processeur associé à l'utilisateur de l'appliance Trace.
- Système CPU
- Affiche le pourcentage d'utilisation du processeur associé à l'appliance Trace.
- CPU inactif
- Affiche le pourcentage d'inactivité du processeur associé à l'appliance Trace.
- CPU IO
- Affiche le pourcentage d'utilisation du processeur associé aux fonctions d'E/S de l'appliance Trace.
- État du service
- Indique l'état des services du système de stockage des paquets ExtraHop.
-
- exadmin
- Affiche l'heure à laquelle le service de portail Web de stockage des paquets ExtraHop a démarré.
- exconfig
- Affiche l'heure à laquelle le service de configuration du stockage des paquets ExtraHop a démarré.
- excap
- Affiche l'heure à laquelle le service de capture des paquets ExtraHop a démarré.
- Interfaces
- Indique l'état des interfaces réseau de stockage des paquets ExtraHop.
-
- Paquets RX
- Affiche le nombre de paquets reçus par le stockage des paquets ExtraHop sur l'interface spécifiée.
- Erreurs RX
- Affiche le nombre d'erreurs de paquet reçues sur l'interface spécifiée.
- RX Drops
- Affiche le nombre de paquets reçus déposés sur l'interface spécifiée.
- Paquets TX
- Affiche le nombre de paquets transmis par le stockage des paquets ExtraHop sur l'interface spécifiée.
- Erreurs TX
- Affiche le nombre d'erreurs de paquets transmis sur l' interface spécifiée.
- Texas Drops
- Affiche le nombre de paquets transmis déposés sur l' interface spécifiée.
- Octets RX
- Affiche le nombre d'octets reçus par le stockage des paquets ExtraHop sur l'interface spécifiée.
- octets TX
- Affiche le nombre d'octets transmis par le stockage des paquets ExtraHop sur l'interface spécifiée.
- Cloisons
- Indique l'état et l'utilisation des composants du stockage des paquets ExtraHop. Les paramètres de configuration de ces composants sont stockés sur disque et conservés même lorsque l'alimentation du stockage des paquets est coupée.
-
- Nom
- Affiche les paramètres de stockage des paquets ExtraHop qui sont stockés sur le disque.
- Des options
- Affiche les options de lecture-écriture pour les paramètres stockés sur le disque.
- Taille
- Affiche la taille en gigaoctets du composant identifié.
- Utilisation
- Affiche la quantité de mémoire utilisée pour chacun des composants sous forme de quantité et de pourcentage de l'espace disque total.
Journal d'audit
Le journal dqu`audit fournit des données sur le fonctionnement de votre système ExtraHop, ventilées par composant. Le journal d'audit répertorie tous les événements connus par horodateur, dans l'ordre chronologique inverse.
Empreinte
Les empreintes digitales aident à protéger les appliances contre les attaques de type « machine in-the-middle » en fournissant un identifiant unique qui peut être vérifié lors de la connexion des appliances ExtraHop.
Lorsque vous connectez une appliance Explore ou Trace à une appliance Discover ou Command, assurez-vous que l'empreinte digitale affichée est exactement la même que celle indiquée sur la page de jointure ou de couplage.
Si les empreintes digitales ne correspondent pas, les communications entre les appareils ont peut-être été interceptées et modifiées.
Scripts d'assistance
Le support ExtraHop peut fournir un script d'assistance qui peut appliquer un paramètre spécial, apporter un petit ajustement au système ExtraHop ou fournir de l'aide pour l'assistance à distance ou les paramètres améliorés . Les paramètres d'administration vous permettent de télécharger et d'exécuter des scripts de support.
Fichiers d'exceptions
Les fichiers d'exception sont un fichier de base contenant les données stockées en mémoire. Lorsque vous activez le paramètre Fichier d' exception, le fichier principal est écrit sur le disque si le système s'arrête ou redémarre de manière inattendue. Ce fichier peut aider le support ExtraHop à diagnostiquer le problème.
- Cliquez Activer les fichiers d'exception ou Désactiver les fichiers d'exception pour activer ou désactiver l'enregistrement des fichiers d'exception.
Réglages réseau
La section Paramètres réseau fournit les paramètres de connectivité réseau configurables suivants.
- Connectivité
- Configurez les connexions réseau.
- Certificat SSL
- Générez et téléchargez un certificat auto-signé.
- Notifications
- Configurez des notifications d'alerte par e-mail et par le biais de pièges SNMP.
L'appliance Trace possède deux ports réseau 10/100/1000BaseT et quatre ports réseau SFP+ 10 GbE. Par défaut, le port Gb3 est configuré comme port de gestion et nécessite une adresse IP. Le port 5 est l'interface de surveillance (ou de capture) par défaut.
Avant de commencer à configurer les paramètres réseau, vérifiez qu'un câble correctif réseau connecte le port Gb3 de l'appliance Trace au réseau de gestion. Pour plus d'informations sur l'installation d'un dispositif Trace, consultez le Guide de déploiement de l'appliance ExtraHop Trace ou contactez Assistance ExtraHop pour obtenir de l'aide.
Pour les spécifications, les guides d'installation et plus d'informations sur votre appliance, consultez la documentation complète d'ExtraHop disponible à l'adresse docs.extrahop.com.
Connectez-vous aux services cloud ExtraHop
ExtraHop Cloud Services permet d'accéder aux services cloud ExtraHop via une connexion cryptée. Les services auxquels vous êtes connecté sont déterminés par votre licence système.
- Le service d'apprentissage automatique ExtraHop permet de détecter votre système ExtraHop. Dans Reveal (x) Enterprise, vous pouvez activer les détections de sécurité uniquement ou les détections de sécurité et de performance.
- Les utilisateurs de Reveal (x) Enterprise peuvent envoyer des données au service d'apprentissage automatique en activant les services cloud ExtraHop dans les paramètres d'administration. Par exemple, le système peut envoyer des adresses IP externes en texte brut, des noms de domaine et des noms d'hôte associés à un comportement suspect détecté. Ce paramètre est activé par défaut dans Reveal (x) 360 et ne peut pas être désactivé. Consultez les FAQ sur l'analyse collective des menaces pour plus d'informations. Pour obtenir la liste complète des types de données envoyés au service d'apprentissage automatique ExtraHop et pour voir comment les données sont utilisées pour améliorer la détection des menaces, consultez la section Machine Learning du Présentation de la sécurité, de la confidentialité et de la confiance d'ExtraHop.
- Le service de mise à jour ExtraHop permet de mettre à jour automatiquement les ressources du système ExtraHop, telles que les packages de rançongiciels.
- L'accès à distance ExtraHop vous permet d'autoriser les membres de l'équipe du compte ExtraHop, les analystes de l'Atlas ExtraHop et le support ExtraHop à se connecter à votre système ExtraHop pour obtenir de l'aide à la configuration. Si vous vous êtes inscrit au service d'analyse distante Atlas, les analystes d'ExtraHop peuvent effectuer une analyse impartiale des données de votre réseau et établir des rapports sur les domaines de votre infrastructure informatique dans lesquels des améliorations peuvent être apportées. Consultez les FAQ sur l'accès à distance pour plus d'informations sur les utilisateurs d'accès à distance.
Vidéo : | Consultez la formation associée : Connectez-vous aux services cloud ExtraHop |
Before you begin
- Les systèmes Reveal (x) 360 sont automatiquement connectés aux services cloud ExtraHop, mais vous devrez peut-être autoriser l'accès via des pare-feux réseau.
- Vous devez appliquer la licence appropriée sur le système ExtraHop avant de pouvoir vous connecter aux services ExtraHop Cloud. Consultez les FAQ sur les licences pour plus d'informations.
- Vous devez avoir configuré ou privilèges d'administration du système et des accès pour accéder aux paramètres d'administration.
Configurez vos règles de pare-feu
Si votre système ExtraHop est déployé dans un environnement doté d'un pare-feu, vous devez ouvrir l' accès aux services cloud ExtraHop. Pour les systèmes Reveal (x) 360 connectés à des systèmes autogérés capteurs, vous devez également ouvrir l'accès à l'ExtraHop Cloud Recordstore.
Accès ouvert aux services cloud
Pour accéder aux services cloud ExtraHop, votre capteurs doit être capable de résoudre les requêtes DNS pour*.extrahop.com et d'accéder au protocole TCP 443 (HTTPS) à partir de l'adresse IP correspondant à votre sonde licence :
- 35.161.154.247 (Portland, États-Unis)
- 54.66.242,25 (Sydney, Australie)
- 52.59.110.168 (Francfort, Allemagne)
Accès ouvert au Cloud Recordstore
Pour accéder à l'ExtraHop Cloud Recordstore, votre capteurs doit être en mesure d' accéder au protocole TCP 443 (HTTPS) sortant à ces noms de domaine complets :
- bigquery.googleapis.com
- bigquerystorage.googleapis.com
- oauth2.googleapis.com
- www.googleapis.com
- www.mtls.googleapis.com
- iamcredentials.googleapis.com
Vous pouvez également consulter les conseils publics de Google à propos de calcul des plages d'adresses IP possibles pour googleapis.com.
Outre la configuration de l'accès à ces domaines, vous devez également configurer le paramètres globaux du serveur proxy.
Connectez-vous aux services cloud ExtraHop via un proxy
Si vous ne disposez pas d'une connexion Internet directe, vous pouvez essayer de vous connecter aux services cloud ExtraHop via un proxy explicite.
Before you begin
Vérifiez si votre fournisseur de proxy est configuré pour exécuter le protocole MITM (machine-in-the-middle) lors du tunneling SSH via HTTP CONNECT vers localhost:22. Les services cloud ExtraHop déploient un tunnel SSH interne crypté, de sorte que le trafic ne sera pas visible lors de l'inspection MITM. Nous vous recommandons de créer une exception de sécurité et de désactiver l' inspection MITM pour ce trafic.Important : | Si vous ne parvenez pas à désactiver MITM sur votre proxy, vous devez désactiver la validation des certificats dans le fichier de configuration du système ExtraHop en cours d'exécution. Pour plus d'informations, voir Contourner la validation des certificats. |
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Réglages réseau section, cliquez Connectivité.
- Cliquez Activer le proxy cloud ExtraHop.
- Entrez le nom d'hôte de votre serveur proxy, tel que hôte proxy.
- Tapez le port de votre serveur proxy, tel que 8080.
- Facultatif : Si nécessaire, saisissez un nom d'utilisateur et un mot de passe pour votre serveur proxy.
- Cliquez Sauver.
Contourner la validation des certificats
Certains environnements sont configurés de manière à ce que le trafic chiffré ne puisse pas quitter le réseau sans inspection par un équipement tiers. Cet équipement peut agir comme un point de terminaison SSL/TLS qui déchiffre et rechiffre le trafic avant d'envoyer les paquets aux services cloud ExtraHop.
Remarque : | La procédure suivante nécessite de se familiariser avec la modification du fichier de configuration en cours d'exécution d'ExtraHop. |
Connectivité
La page Connectivité contient des commandes pour les connexions et les paramètres réseau de votre appliance.
- État de l'interface
- Sur les appliances physiques, un schéma des connexions d'interface apparaît, qui est mis à jour
dynamiquement en fonction de l'état du port.
- Le port Ethernet bleu est destiné à la gestion
- Un port Ethernet noir indique qu'un port autorisé et activé est actuellement hors service
- Un port Ethernet vert indique un port connecté actif
- Un port Ethernet gris indique un port désactivé ou sans licence
- Paramètres réseau
-
- Cliquez Modifier les paramètres pour ajouter un nom d'hôte pour votre appliance ExtraHop ou pour ajouter des serveurs DNS.
- Paramètres du proxy
-
- Activez un proxy mondial pour se connecter à une appliance ExtraHop Command
- Activez un proxy cloud pour vous connecter aux services cloud ExtraHop
- Paramètres de l'interface Bond
-
- Créez un interface de liaison pour relier plusieurs interfaces en une seule interface logique avec une seule adresse IP.
- Interfaces
- Consultez et configurez vos interfaces de gestion et de surveillance. Cliquez sur n'importe quelle interface pour afficher les options de réglage.
- Paramètres Netskope
-
- Activer l'ingestion de paquets Netskope sur votre sonde pour détecter et surveiller les appareils via une intégration Netskope .
Configuration d'une interface
Débit de l'interface
Plus de houblon sonde les modèles EDA 6100, EDA 8100 et EDA 9100 sont optimisés pour capturer le trafic exclusivement sur les ports 10 GbE.
L'activation des interfaces 1 GbE pour surveiller le trafic peut avoir un impact sur les performances, en fonction de l'ExtraHop sonde. Bien que vous puissiez les optimiser capteurs pour capturer le trafic simultanément sur les ports 10 GbE et les trois ports 1 GbE non gérés, nous vous recommandons de contacter le support ExtraHop pour obtenir de l'aide afin d'éviter une réduction du débit.
Remarque : | Les capteurs EDA 6200, EDA 8200, EDA 9200 et EDA 10200 ne sont pas susceptibles d'être réduits si vous activez des interfaces 1 GbE pour surveiller le trafic. |
Capteur ExtraHop | Débit | Détails |
---|---|---|
À PARTIR DE 910 | Débit standard de 40 Gbit/s | Si les interfaces 1 GbE non destinées à la gestion sont désactivées, vous pouvez utiliser jusqu'à quatre des interfaces 10 GbE pour un débit combiné allant jusqu'à 40 Gbit/s. |
À PARTIR DE 810 | Débit standard de 20 Gbit/s | Si les interfaces 1 GbE non destinées à la gestion sont désactivées, vous pouvez utiliser l'une des interfaces 10 GbE ou les deux pour un débit combiné allant jusqu'à 20 Gbit/s. |
ÉD. 610 | Débit standard de 10 Gbit/s | Si les interfaces 1 GbE non destinées à la gestion sont désactivées, le débit combiné total maximal est de 10 Gbit/s. |
ÉD. 310 | Débit standard de 3 Gbit/s | Pas d'interface 10 GbE |
ÉD. 1100 | Débit standard de 1 Gbit/s | Pas d'interface 10 GbE |
Définissez un itinéraire statique
Before you begin
Vous devez désactiver DHCPv4 avant de pouvoir ajouter une route statique.- Sur le Interface d'édition page, assurez-vous que Adresse IPv4 et Masque de réseau les champs sont remplis et enregistrés, puis cliquez sur Modifier les itinéraires.
- Dans le Ajouter un itinéraire section, saisissez une plage d'adresses réseau en notation CIDR dans le Réseau champ et adresse IPv4 dans le Par IP champ, puis cliquez sur Ajouter.
- Répétez l'étape précédente pour chaque itinéraire que vous souhaitez ajouter.
- Cliquez Enregistrer.
serveur proxy mondial
Si la topologie de votre réseau nécessite un serveur proxy pour permettre à votre système ExtraHop de communiquer soit avec un console ou avec d'autres appareils extérieurs au réseau local, vous pouvez activer votre système ExtraHop pour qu'il se connecte à un serveur proxy que vous avez déjà sur votre réseau. La connectivité Internet n'est pas requise pour le serveur proxy global.
Remarque : | Un seul serveur proxy global peut être configuré par système ExtraHop. |
Renseignez les champs suivants et cliquez sur Enregistrer pour activer un proxy global.
Nom d'hôte : Le nom d'hôte ou l'adresse IP de votre serveur proxy global.
Port : Le numéro de port de votre serveur proxy mondial.
Nom d'utilisateur : Le nom d'un utilisateur qui dispose d'un accès privilégié à votre serveur proxy global.
Mot de passe : Le mot de passe de l'utilisateur spécifié ci-dessus.
Proxy ExtraHop Cloud
Si votre système ExtraHop ne dispose pas d'une connexion Internet directe, vous pouvez vous connecter à Internet via un serveur proxy spécialement conçu pour la connectivité des services ExtraHop Cloud. Un seul proxy peut être configuré par système.
Complétez les champs suivants et cliquez sur Enregistrer pour activer un proxy cloud.
Nom d'hôte : Le nom d'hôte ou l'adresse IP de votre serveur proxy cloud.
Port : Le numéro de port de votre serveur proxy cloud.
Nom d'utilisateur : Le nom d'un utilisateur autorisé à accéder à votre serveur proxy cloud.
Mot de passe : Le mot de passe de l'utilisateur indiqué ci-dessus.
Interfaces de liaison
Vous pouvez relier plusieurs interfaces de votre système ExtraHop en une seule interface logique dotée d'une adresse IP pour la bande passante combinée des interfaces membres. Les interfaces de liaison permettent d'augmenter le débit avec une seule adresse IP. Cette configuration est également connue sous le nom d'agrégation de liens, de canalisation de ports, de regroupement de liens, de liaison Ethernet/réseau/carte réseau ou d'association de cartes réseau. Les interfaces Bond ne peuvent pas être réglées en mode surveillance.
Remarque : | Lorsque vous modifiez les paramètres de l'interface de liaison, vous perdez la connectivité à votre système ExtraHop. Vous devez modifier la configuration de votre commutateur réseau pour rétablir la connectivité. Les modifications requises dépendent de votre commutateur. Contactez le support ExtraHop pour obtenir de l'aide avant de créer une interface Bond. |
- La liaison n'est configurable que sur les interfaces Management ou Management +.
- Canalisation portuaire sur les ports de surveillance du trafic est pris en charge par les capteurs ExtraHop.
Les interfaces choisies comme membres d'une interface de liaison ne sont plus configurables indépendamment et sont affichées comme Handicapé (membre obligataire) dans la section Interfaces de la page Connectivité. Une fois qu'une interface de liaison est créée, vous ne pouvez pas ajouter de membres supplémentaires ni supprimer des membres existants. L'interface de liaison doit être détruite et recréée.
Création d'une interface de liaison
Vous pouvez créer une interface de liaison avec au moins un membre d'interface et jusqu'à un nombre de membres disponibles pour la liaison.
Modifier les paramètres de l'interface Bond
Une fois qu'une interface de liaison est créée, vous pouvez modifier la plupart des paramètres comme si l' interface de liaison était une interface unique.
Détruire une interface de liaison
Lorsqu'une interface de liaison est détruite, les différents membres de l'interface de liaison retournent à la fonctionnalité d'interface indépendante. Une interface membre est sélectionnée pour conserver les paramètres d'interface de l'interface de liaison et toutes les autres interfaces membres sont désactivées. Si aucune interface membre n'est sélectionnée pour conserver les paramètres, ceux-ci sont perdus et toutes les interfaces membres sont désactivées.
- Dans le Réglages réseau section, cliquez Connectivité.
- Dans le Section des interfaces de liaison, cliquez sur le rouge X à côté de l'interface que vous souhaitez détruire.
- Sur le Détruire l'interface Bond <interface number>page, sélectionnez l'interface membre vers laquelle déplacer les paramètres de l'interface de liaison. Seule l'interface membre sélectionnée pour conserver les paramètres de l'interface de liaison reste active, et toutes les autres interfaces membres sont désactivées.
- Cliquez Détruire.
Notifications
Le système ExtraHop peut envoyer des notifications concernant les alertes configurées par e-mail, par des interruptions SNMP et par des exportations Syslog vers des serveurs distants. Si un groupe de notifications par e-mail est spécifié, les e-mails sont envoyés aux groupes affectés à l'alerte.
Configuration des paramètres d'e-mail pour les notifications
Vous devez configurer un serveur de messagerie et un expéditeur avant que le système ExtraHop puisse envoyer des notifications d'alerte ou des rapports de tableau de bord planifiés.
Que faire ensuite
Après avoir confirmé que vos nouveaux paramètres fonctionnent comme prévu, conservez les modifications de configuration lors des événements de redémarrage et d'arrêt du système en enregistrant le fichier Running Config.Ajouter une nouvelle adresse e-mail de notification sur une appliance Explore ou Trace
Vous pouvez envoyer des alertes de stockage du système à des destinataires individuels. Les alertes sont envoyées dans les conditions suivantes :
- Un disque physique est dans un état dégradé.
- Le nombre d'erreurs d'un disque physique augmente.
- (Appliance Explore uniquement) Un disque virtuel est dans un état dégradé.
- (Appliance Explore uniquement) Un nœud Explore enregistré est absent du cluster. Le nœud est peut-être tombé en panne ou il est hors tension.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Réglages réseau section, cliquez Notifications.
- Sous Notifications, cliquez Adresses e-mail.
- Dans le Adresse e-mail zone de texte, saisissez l' adresse e-mail du destinataire.
- Cliquez Enregistrer.
Configurer les paramètres pour envoyer des notifications à un gestionnaire SNMP
L'état du réseau peut être surveillé via le protocole SNMP (Simple Network Management Protocol). Le SNMP collecte des informations en interrogeant les périphériques du réseau. Les appareils compatibles SNMP peuvent également envoyer des alertes aux stations de gestion SNMP. Les communautés SNMP définissent le groupe auquel appartiennent les appareils et les stations de gestion exécutant le protocole SNMP, qui spécifie l'endroit où les informations sont envoyées. Le nom de la communauté identifie le groupe.
Remarque : | La plupart des organisations disposent d'un système bien établi pour collecter et afficher les interruptions SNMP dans un emplacement central qui peut être surveillé par leurs équipes opérationnelles. Par exemple, les interruptions SNMP sont envoyées à un gestionnaire SNMP et la console de gestion SNMP les affiche. |
Téléchargez la MIB SNMP ExtraHop
Le protocole SNMP ne fournit pas de base de données contenant les informations transmises par un réseau surveillé par SNMP. Les informations SNMP sont définies par des bases d'informations de gestion (MIB) tierces qui décrivent la structure des données collectées.
Envoyer des notifications système à un serveur Syslog distant
L'option d'exportation Syslog vous permet d'envoyer des alertes depuis un système ExtraHop vers n'importe quel système distant recevant une entrée Syslog pour un archivage à long terme et une corrélation avec d'autres sources.
Que faire ensuite
Après avoir vérifié que vos nouveaux paramètres fonctionnent comme prévu, conservez vos modifications de configuration lors des événements de redémarrage et d'arrêt du système en enregistrant le fichier de configuration en cours d'exécution.Certificat SSL
Les certificats SSL fournissent une authentification sécurisée au système ExtraHop.
Vous pouvez désigner un certificat auto-signé pour l'authentification au lieu d'un certificat signé par une autorité de certification. Sachez toutefois qu'un certificat auto-signé génère une erreur dans le client navigateur, qui indique que l' autorité de certification signataire est inconnue. Le navigateur propose un ensemble de pages de confirmation pour approuver le certificat, même s'il est auto-signé. Les certificats auto-signés peuvent également dégrader les performances en empêchant la mise en cache dans certains navigateurs. Nous vous recommandons de créer une demande de signature de certificat depuis votre système ExtraHop et de télécharger le certificat signé à la place.
Important : | Lors du remplacement d'un certificat SSL, le service du serveur Web est redémarré. Les connexions par tunnel entre les appliances Discover et les appliances Command sont perdues puis rétablies automatiquement. |
Téléchargez un certificat SSL
Vous devez télécharger un fichier .pem qui inclut à la fois une clé privée et un certificat auto-signé ou un certificat d'autorité de certification.
Remarque : | Le fichier .pem ne doit pas être protégé par mot de passe. |
Remarque : | Vous pouvez également automatiser cette tâche via l' API REST. |
- Dans le Réglages réseau section, cliquez Certificat SSL.
- Cliquez Gérer les certificats pour développer la section.
- Cliquez Choisissez un fichier et accédez au certificat que vous souhaitez télécharger.
- Cliquez Ouvert.
- Cliquez Téléverser.
Créez une demande de signature de certificat depuis votre système ExtraHop
Une demande de signature de certificat (CSR) est un bloc de texte codé qui est remis à votre autorité de certification (CA) lorsque vous demandez un certificat SSL. Le CSR est généré sur le système ExtraHop où le certificat SSL sera installé et contient des informations qui seront incluses dans le certificat, telles que le nom commun (nom de domaine), l'organisation, la localité et le pays. Le CSR contient également la clé publique qui sera incluse dans le certificat. Le CSR est créé avec la clé privée du système ExtraHop, créant ainsi une paire de clés.
Que faire ensuite
Envoyez le fichier CSR à votre autorité de certification (CA) pour faire signer le CSR. Lorsque vous recevez le certificat SSL de l'autorité de certification, retournez au Certificat SSL page dans les paramètres d'administration et téléchargez le certificat sur le système ExtraHop.Conseil : | Si votre organisation exige que le CSR contienne une nouvelle clé publique, générer un certificat auto-signé pour créer de nouvelles paires de clés avant de créer le CSR. |
Certificats fiables
Les certificats fiables vous permettent de valider les cibles SMTP, LDAP, HTTPS ODS et MongoDB ODS, ainsi que les connexions à l'espace de stockage des enregistrements Splunk depuis votre système ExtraHop.
Ajoutez un certificat fiable à votre système ExtraHop
Votre système ExtraHop ne fait confiance qu'aux pairs qui présentent un certificat TLS (Transport Layer Security) signé par l'un des certificats système intégrés et par tout certificat que vous téléchargez. Les cibles SMTP, LDAP, HTTPS ODS et MongoDB ODS, ainsi que les connexions à l'espace de stockage des enregistrements Splunk peuvent être validées par le biais de ces certificats.
Before you begin
Vous devez vous connecter en tant qu'utilisateur disposant de privilèges d'installation ou d'administration du système et des accès pour ajouter ou supprimer des certificats sécurisés.Important : | Pour faire confiance aux certificats système intégrés et aux certificats téléchargés, vous devez également activer le chiffrement SSL/TLS ou STARTTLS et la validation des certificats lors de la configuration des paramètres du serveur externe. |
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Réglages réseau section, cliquez Certificats fiables.
- Facultatif : Le système ExtraHop est livré avec un ensemble de certificats intégrés. Sélectionnez Certificats du système de confiance si vous souhaitez faire confiance à ces certificats, puis cliquez sur Enregistrer.
- Pour ajouter votre propre certificat, cliquez sur Ajouter un certificat puis collez le contenu de la chaîne de certificats codée PEM dans Certificat champ
- Entrez un nom dans le Nom champ et cliquez Ajouter.
Paramètres d'accès
Dans la section Paramètres d'accès, vous pouvez modifier les mots de passe des utilisateurs, activer le compte d'assistance, gérer les utilisateurs locaux et les groupes d'utilisateurs, configurer l'authentification à distance et gérer l' accès aux API.
Mots de passe
Les utilisateurs disposant de privilèges d'accès à la page Administration peuvent modifier le mot de passe des comptes utilisateurs locaux.
- Sélectionnez n'importe quel utilisateur et modifiez son mot de passe
- Vous ne pouvez modifier les mots de passe que pour les utilisateurs locaux. Vous ne pouvez pas modifier les mots de passe des utilisateurs authentifiés via LDAP ou d'autres serveurs d'authentification à distance.
Pour plus d'informations sur les privilèges accordés à des utilisateurs et à des groupes spécifiques de la page Administration, consultez Les utilisateurs section.
Modifier le mot de passe par défaut de l'utilisateur d'installation
Il est recommandé de modifier le mot de passe par défaut de l'utilisateur configuré sur le système ExtraHop après votre première connexion. Pour rappeler aux administrateurs d'effectuer cette modification, il y a un symbole bleu Changer le mot de passe bouton en haut de la page lorsque l'utilisateur de l'installation accède aux paramètres d'administration. Une fois le mot de passe utilisateur de configuration modifié, le bouton en haut de la page n'apparaît plus.
Remarque : | Le mot de passe doit comporter au moins 5 caractères. |
Accès au support
Les comptes d'assistance permettent à l'équipe d'assistance ExtraHop d'aider les clients à résoudre les problèmes liés au système ExtraHop.
Ces paramètres ne doivent être activés que si l'administrateur du système ExtraHop demande une assistance pratique à l'équipe de support ExtraHop.
Générer une clé SSH
- Dans le Paramètres d'accès section, cliquez Accès au support.
- Cliquez Générer une clé SSH.
- Cliquez Générer une clé SSH.
- Copiez la clé cryptée depuis la zone de texte et envoyez-la par e-mail à votre représentant ExtraHop.
- Cliquez Terminé.
Régénérer ou révoquer la clé SSH
Pour empêcher l'accès SSH au système ExtraHop avec une clé SSH existante, vous pouvez révoquer la clé SSH actuelle. Une nouvelle clé SSH peut également être régénérée si nécessaire.
- Dans le Paramètres d'accès section, cliquez Accès au support.
- Cliquez Générer une clé SSH.
-
Choisissez l'une des options suivantes :
- Cliquez Régénérer la clé SSH puis cliquez sur
Régénérer.
Copiez la clé cryptée depuis la zone de texte et envoyez-la par e-mail à votre représentant ExtraHop, puis cliquez sur Terminé.
- Cliquez Révoquer la clé SSH pour empêcher l'accès SSH au système avec la clé actuelle.
- Cliquez Régénérer la clé SSH puis cliquez sur
Régénérer.
Utilisateurs
La page Utilisateurs vous permet de contrôler l'accès local à l' appliance ExtraHop.
Ajouter un compte utilisateur local
En ajoutant un compte utilisateur local, vous pouvez fournir aux utilisateurs un accès direct à votre système ExtraHop et restreindre leurs privilèges en fonction de leur rôle dans votre organisation.
Conseil : |
|
Utilisateurs et groupes d'utilisateurs
Les utilisateurs peuvent accéder au système ExtraHop de trois manières : via un ensemble de comptes utilisateur préconfigurés, via des comptes utilisateurs locaux configurés sur l'appliance ou via des comptes utilisateurs distants configurés sur des serveurs d'authentification existants, tels que LDAP, SAML, Radius et TACACS+.
Vidéo : | Consultez les formations associées : |
Utilisateurs locaux
Cette rubrique concerne les comptes locaux et par défaut. Voir Authentification à distance pour savoir comment configurer des comptes distants.
- installation
- Ce compte fournit des privilèges complets de lecture et d'écriture du système à l' interface utilisateur basée sur le navigateur et à l'interface de ligne de commande (CLI) ExtraHop. Sur le plan physique capteurs, le mot de passe par défaut pour ce compte est le numéro de série inscrit sur le devant de l' appliance. Sur le virtuel capteurs, le mot de passe par défaut est default.
- coquille
- Le shell Le compte, par défaut, a accès aux commandes shell non administratives dans l'interface de ligne de commande ExtraHop. Sur les capteurs physiques, le mot de passe par défaut pour ce compte est le numéro de série inscrit sur le devant de l'appliance. Sur les capteurs virtuels, le mot de passe par défaut est default.
Remarque : | Le mot de passe ExtraHop par défaut pour l'un ou l'autre des comptes lorsqu'il est déployé dans Amazon Web Services (AWS) et Google Cloud Platform (GCP) est l'ID d'instance de la machine virtuelle. |
Que faire ensuite
Authentification à distance
Le système ExtraHop prend en charge l'authentification à distance pour l'accès des utilisateurs. L'authentification à distance permet aux organisations dotées de systèmes d'authentification tels que LDAP (OpenLDAP ou Active Directory, par exemple) de permettre à tous leurs utilisateurs ou à un sous-ensemble de leurs utilisateurs de se connecter au système avec leurs informations dcredentiatives existantes.
L'authentification centralisée offre les avantages suivants :
- Synchronisation du mot de passe utilisateur.
- Création automatique de comptes ExtraHop pour les utilisateurs sans intervention de l'administrateur.
- Gestion des privilèges ExtraHop en fonction des groupes d'utilisateurs.
- Les administrateurs peuvent accorder l'accès à tous les utilisateurs connus ou restreindre l'accès en appliquant des filtres LDAP .
Utilisateurs distants
Si votre système ExtraHop est configuré pour l'authentification à distance SAML ou LDAP, vous pouvez créer un compte pour ces utilisateurs distants. La préconfiguration des comptes sur le système ExtraHop pour les utilisateurs distants vous permet de partager les personnalisations du système avec ces utilisateurs avant qu'ils ne se connectent.
Si vous choisissez de provisionner automatiquement les utilisateurs lorsque vous configurez l'authentification SAML, l'utilisateur est automatiquement ajouté à la liste des utilisateurs locaux lorsqu'il se connecte pour la première fois. Cependant, vous pouvez créer un compte utilisateur SAML distant sur le système ExtraHop lorsque vous souhaitez approvisionner un utilisateur distant avant que celui-ci ne se soit connecté au système. Les privilèges sont attribués à l'utilisateur par le fournisseur. Une fois l'utilisateur créé, vous pouvez l'ajouter aux groupes d'utilisateurs locaux.
Que faire ensuite
Groupes d'utilisateurs
Les groupes d'utilisateurs vous permettent de gérer l'accès au contenu partagé par groupe plutôt que par utilisateur individuel. Les objets personnalisés tels que les cartes d'activités peuvent être partagés avec un groupe d'utilisateurs, et tout utilisateur ajouté au groupe y a automatiquement accès. Vous pouvez créer un groupe d'utilisateurs local, qui peut inclure des utilisateurs locaux et distants. Sinon, si votre système ExtraHop est configuré pour l'authentification à distance via LDAP, vous pouvez configurer les paramètres pour importer vos groupes d'utilisateurs LDAP.
- Cliquez Créer un groupe d'utilisateurs pour créer un groupe local. Le groupe d'utilisateurs apparaît dans la liste. Ensuite, cochez la case à côté du nom du groupe d'utilisateurs et sélectionnez les utilisateurs dans Filtrer les utilisateurs... liste déroulante. Cliquez Ajouter des utilisateurs au groupe.
- (LDAP uniquement) Cliquez sur Actualiser tous les groupes d'utilisateurs ou sélectionnez plusieurs groupes d' utilisateurs LDAP et cliquez sur Actualiser les utilisateurs dans les groupes.
- Cliquez Réinitialiser le groupe d'utilisateurs pour supprimer tout le contenu partagé d'un groupe d'utilisateurs sélectionné. Si le groupe n'existe plus sur le serveur LDAP distant, il est supprimé de la liste des groupes d'utilisateurs.
- Cliquez Activer le groupe d'utilisateurs ou Désactiver le groupe d'utilisateurs pour contrôler si un membre du groupe peut accéder au contenu partagé pour le groupe d'utilisateurs sélectionné.
- Cliquez Supprimer le groupe d'utilisateurs pour supprimer le groupe d'utilisateurs sélectionné du système.
- Consultez les propriétés suivantes pour les groupes d'utilisateurs répertoriés :
- Nom du groupe
- Affiche le nom du groupe. Pour afficher les membres du groupe, cliquez sur le nom du groupe.
- Type
- Affiche le type de groupe d'utilisateurs local ou distant.
- Membres
- Affiche le nombre d'utilisateurs du groupe.
- Contenu partagé
- Affiche le nombre d'objets créés par l'utilisateur qui sont partagés avec le groupe.
- État
- Indique si le groupe est activé ou désactivé sur le système. Lorsque le statut est Disabled, le groupe d'utilisateurs est considéré comme vide lors des vérifications d'adhésion ; toutefois, le groupe d'utilisateurs peut toujours être spécifié lors du partage de contenu.
- Membres actualisés (LDAP uniquement)
- Affiche le temps écoulé depuis que l'adhésion au groupe a été actualisée. Les
groupes d'utilisateurs sont actualisés dans les conditions suivantes :
- Une fois par heure, par défaut. Le réglage de l'intervalle de rafraîchissement peut être modifié sur le page.
- Un administrateur actualise un groupe en cliquant sur Actualiser tous les groupes d'utilisateurs ou Actualiser les utilisateurs du groupe, ou par programmation via l'API REST. Vous pouvez actualiser un groupe à partir du Groupe d'utilisateurs ou depuis la page Liste des membres page.
- Un utilisateur distant se connecte au système ExtraHop pour la première fois.
- Un utilisateur tente de charger un tableau de bord partagé auquel il n'a pas accès.
Privilèges utilisateur
Les administrateurs déterminent le niveau d'accès au module pour les utilisateurs du système ExtraHop.
Pour plus d'informations sur les privilèges utilisateur pour l'API REST, consultez le Guide de l'API REST.
Pour plus d'informations sur les privilèges des utilisateurs distants, consultez les guides de configuration pour LDAP, RAYON, SAML, et TACACS+.
Niveaux de privilèges
Définissez le niveau de privilège de votre utilisateur afin de déterminer les zones du système ExtraHop auxquelles il peut accéder.
- Accès au module NDR
- Permet à l'utilisateur d'accéder à des fonctionnalités de sécurité telles que la détection des attaques, les enquêtes et les briefings sur les menaces.
- Accès au module NPM
- Permet à l'utilisateur d'accéder à des fonctionnalités de performance telles que la détection des opérations et la possibilité de créer des tableaux de bord personnalisés.
- Accès aux paquets et aux clés de session
- Permet à l'utilisateur de visualiser et de télécharger des paquets et des clés de session, des paquets uniquement ou des tranches de paquets uniquement.
Ces privilèges déterminent le niveau de fonctionnalité dont disposent les utilisateurs dans les modules auxquels l'accès leur a été accordé.
Pour Reveal (x) Enterprise, les utilisateurs disposant de privilèges d'accès au système et d'administration peuvent accéder à toutes les fonctionnalités, paquets et clés de session de leurs modules sous licence.
Pour Reveal (x) 360, les privilèges d'accès au système et d'administration, l'accès aux modules sous licence, aux paquets et aux clés de session doivent être attribués séparément. Reveal (x) 360 propose également un compte d'administration système supplémentaire qui accorde tous les privilèges du système, à l'exception de la possibilité de gérer les utilisateurs et l'accès aux API.
Le tableau suivant contient les fonctionnalités ExtraHop et leurs privilèges requis. Si aucune exigence de module n'est notée, la fonctionnalité est disponible à la fois dans les modules NDR et NDM.
Administration des systèmes et des accès | Administration du système (Reveal (x) 360 uniquement) | Écriture complète | Écriture limitée | Rédaction personnelle | Lecture seule complète | Lecture seule restreinte | |
---|---|---|---|---|---|---|---|
Cartes d'activités | |||||||
Créez, consultez et chargez des cartes d'activités partagées | Y | Y | Y | Y | Y | Y | N |
Enregistrer des cartes d'activité | Y | Y | Y | Y | Y | N | N |
Partagez des cartes d'activités | Y | Y | Y | Y | N | N | N |
Alertes | Licence et accès au module NPM requis. | ||||||
Afficher les alertes | Y | Y | Y | Y | Y | Y | Y |
Création et modification d'alertes | Y | Y | Y | N | N | N | N |
Priorités d'analyse | |||||||
Afficher la page Priorités d'analyse | Y | Y | Y | Y | Y | Y | N |
Ajouter et modifier des niveaux d'analyse pour les groupes | Y | Y | Y | N | N | N | N |
Ajouter des appareils à une liste de surveillance | Y | Y | Y | N | N | N | N |
Gestion des priorités de transfert | Y | Y | Y | N | N | N | N |
Lots | |||||||
Création d'un bundle | Y | Y | Y | N | N | N | N |
Téléchargez et appliquez un bundle | Y | Y | Y | N | N | N | N |
Afficher la liste des offres groupées | Y | Y | Y | Y | Y | Y | N |
Tableaux de bord | Licence et accès au module NPM requis pour créer et modifier des tableaux de bord. | ||||||
Afficher et organiser les tableaux de bord | Y | Y | Y | Y | Y | Y | Y |
Création et modification de tableaux de bord | Y | Y | Y | Y | Y | N | N |
Partagez des tableaux de bord | Y | Y | Y | Y | N | N | N |
Détections | Licence et accès au module NDR
nécessaires pour visualiser et régler les détections de sécurité et créer
des enquêtes. Licence et accès au module NPM requis pour afficher et régler les détections de performances. |
||||||
Afficher les détections | Y | Y | Y | Y | Y | Y | Y |
Reconnaître les détections | Y | Y | Y | Y | Y | N | N |
Modifier l'état de détection et les notes | Y | Y | Y | Y | N | N | N |
Création et modification d'enquêtes | Y | Y | Y | Y | N | N | N |
Création et modification de règles d'exceptions | Y | Y | Y | N | N | N | N |
Groupes d'appareils | Les administrateurs peuvent configurer Politique globale de contrôle des modifications des groupes d'appareils pour spécifier si les utilisateurs disposant de privilèges d'écriture limités peuvent créer et modifier des groupes d'équipements. | ||||||
Création et modification de groupes d'équipements | Y | Y | Y | Y (Si la politique de privilèges globale est activée) | N | N | N |
Métriques | |||||||
Afficher les statistiques | Y | Y | Y | Y | Y | Y | N |
Règles de notification | Licence et accès au module NDR
requis pour créer et modifier des notifications pour les
détections de sécurité et les briefings sur les menaces. Licence et accès au module NPM requis pour créer et modifier des notifications pour les détections de performances. |
||||||
Création et modification de règles de notification de détection | Y | Y | Y | N | N | N | N |
Création et modification des règles de notification des informations sur les menaces | Y | Y | Y | N | N | N | N |
Création et modification des règles de notification du système (Reveal (x) uniquement) | Y | Y | N | N | N | N | N |
Disques | Disquaire requis. | ||||||
Afficher les requêtes d'enregistrement | Y | Y | Y | Y | Y | Y | N |
Afficher les formats d'enregistrement | Y | Y | Y | Y | Y | Y | N |
Créer, modifier et enregistrer des requêtes d'enregistrement | Y | Y | Y | N | N | N | N |
Création, modification et enregistrement de formats d'enregistrement | Y | Y | Y | N | N | N | N |
Rapports de tableau de bord | Console requise. | ||||||
Créez, consultez et gérez des rapports planifiés | Y | Y | Y | Y | N | N | N |
Renseignements sur les menaces | Licence et accès au module NDR requis. | ||||||
Gérez les collections de menaces | Y | Y | N | N | N | N | N |
Afficher les renseignements sur les menaces | Y | Y | Y | Y | Y | Y | N |
éléments déclencheurs | |||||||
Création et modification de déclencheurs | Y | Y | Y | N | N | N | N |
Privilèges administratifs | |||||||
Accédez aux paramètres d'administration d'ExtraHop | Y | Y | N | N | N | N | N |
Connexion à d'autres appareils | Y | Y | N | N | N | N | N |
Gérer les autres appareils (console) | Y | Y | N | N | N | N | N |
Gérez les utilisateurs et l'accès aux API | Y | N | N | N | N | N | N |
Séances
Le système ExtraHop fournit des commandes pour afficher et supprimer les connexions utilisateur à l' interface Web. Le Séances la liste est triée par date d'expiration, qui correspond à la date d'établissement des sessions. Si une session expire ou est supprimée, l'utilisateur doit se reconnecter pour accéder à l'interface Web.
Authentification à distance
Le système ExtraHop prend en charge l'authentification à distance pour l'accès des utilisateurs. L'authentification à distance permet aux organisations dotées de systèmes d'authentification tels que LDAP (OpenLDAP ou Active Directory, par exemple) de permettre à tous leurs utilisateurs ou à un sous-ensemble de leurs utilisateurs de se connecter au système avec leurs informations dcredentiatives existantes.
L'authentification centralisée offre les avantages suivants :
- Synchronisation du mot de passe utilisateur.
- Création automatique de comptes ExtraHop pour les utilisateurs sans intervention de l'administrateur.
- Gestion des privilèges ExtraHop en fonction des groupes d'utilisateurs.
- Les administrateurs peuvent accorder l'accès à tous les utilisateurs connus ou restreindre l'accès en appliquant des filtres LDAP .
Que faire ensuite
Configuration de l'authentification à distance via LDAP
Le système ExtraHop prend en charge le protocole LDAP (Lightweight Directory Access Protocol) pour l'authentification et l'autorisation. Au lieu de stocker les informations ddevicdentification de l'utilisateur localement, vous pouvez configurer votre système ExtraHop pour authentifier les utilisateurs à distance auprès d'un serveur LDAP existant. Notez que l'authentification LDAP ExtraHop ne demande que les comptes utilisateurs ; elle ne demande aucune autre entité susceptible de se trouver dans l'annuaire LDAP.
Before you begin
- Cette procédure nécessite de connaître la configuration du LDAP.
- Assurez-vous que chaque utilisateur fait partie d'un groupe doté d'autorisations spécifiques sur le serveur LDAP avant de commencer cette procédure.
- Si vous souhaitez configurer des groupes LDAP imbriqués, vous devez modifier le fichier de configuration en cours d'exécution. Contacter Assistance ExtraHop pour obtenir de l'aide.
Lorsqu'un utilisateur tente de se connecter à un système ExtraHop, le système ExtraHop essaie de l' authentifier de la manière suivante :
- Tente d'authentifier l'utilisateur localement.
- Tente d'authentifier l'utilisateur via le serveur LDAP s'il n'existe pas localement et si le système ExtraHop est configuré pour l' authentification à distance avec LDAP.
- Connecte l'utilisateur au système ExtraHop s'il existe et le mot de passe est validé localement ou via LDAP. Le mot de passe LDAP n'est pas stocké localement sur le système ExtraHop. Notez que vous devez saisir le nom d'utilisateur et le mot de passe dans le format pour lequel votre serveur LDAP est configuré. Le système ExtraHop transmet uniquement les informations au serveur LDAP.
- Si l'utilisateur n'existe pas ou si un mot de passe incorrect est saisi, un message d'erreur apparaît sur la page de connexion.
Important : | Si vous remplacez ultérieurement l'authentification LDAP par une autre méthode d'authentification à distance, les utilisateurs, les groupes d'utilisateurs et les personnalisations associées créés par le biais de l'authentification à distance sont supprimés. Les utilisateurs locaux ne sont pas concernés. |
Configuration des privilèges utilisateur pour l'authentification à distance
Vous pouvez attribuer des privilèges d'utilisateur à des utilisateurs individuels sur votre système ExtraHop ou configurer et gérer des privilèges via votre serveur LDAP.
Le système ExtraHop prend en charge les adhésions à des groupes Active Directory et POSIX. Pour Active Directory, memberOf est pris en charge. Pour POSIX, memberuid, posixGroups, groupofNames, et groupofuniqueNames sont pris en charge.
-
Choisissez l'une des options suivantes dans le
Options d'attribution de privilèges liste déroulante :
-
Obtenir le niveau de privilèges auprès d'un serveur distant
Cette option attribue des privilèges via votre serveur d'authentification à distance. Vous devez remplir au moins l'un des champs de nom distinctif (DN) suivants.
DN d'administration du système et des accès: Créez et modifiez tous les objets et paramètres du système ExtraHop, y compris les paramètres d'administration.
DN d'écriture complet: Créez et modifiez des objets sur le système ExtraHop, sans inclure les paramètres d'administration.
DN d'écriture limité: Créez, modifiez et partagez des tableaux de bord.
Personal Write DN: Créez des tableaux de bord personnels et modifiez les tableaux de bord partagés avec l'utilisateur connecté.
DN complet en lecture seule: Afficher les objets dans le système ExtraHop.
DN en lecture seule restreint: Afficher les tableaux de bord partagés avec l'utilisateur connecté.
DN d'accès aux tranches de paquets: Affichez et téléchargez les 64 premiers octets de paquets capturés via l'appliance ExtraHop Trace.
DN d'accès aux paquets: Affichez et téléchargez les paquets capturés via l' appliance ExtraHop Trace.
DN d'accès aux clés de paquet et de session: Affichez et téléchargez les paquets et toutes les clés de session SSL associées capturés via l'appliance ExtraHop Trace.
DN d'accès au module NDR: Affichez, confirmez et masquez les détections de sécurité qui apparaissent dans le système ExtraHop.
DN d'accès au module NPM: Affichez, confirmez et masquez les détections de performance qui apparaissent dans le système ExtraHop.
-
Les utilisateurs distants disposent d'un accès complet en écriture
Cette option accorde aux utilisateurs distants un accès complet en écriture au système ExtraHop. En outre, vous pouvez accorder un accès supplémentaire pour les téléchargements de paquets, les clés de session SSL, l'accès au module NDR et l'accès au module NPM.
-
Les utilisateurs distants disposent d'un accès complet en lecture seule
Cette option accorde aux utilisateurs distants un accès en lecture seule au système ExtraHop. En outre, vous pouvez accorder un accès supplémentaire pour les téléchargements de paquets, les clés de session SSL, l'accès au module NDR et l'accès au module NPM.
-
Obtenir le niveau de privilèges auprès d'un serveur distant
- Facultatif :
Configurez l'accès aux paquets et aux clés de session. Sélectionnez l'une des options suivantes pour
permettre aux utilisateurs distants de télécharger des captures de paquets et des clés de session SSL.
- Pas d'accès
- Tranches de paquets uniquement
- Paquets uniquement
- Paquets et clés de session
- Facultatif :
Configurez l'accès aux modules NDR et NPM.
- Pas d'accès
- Accès complet
- Cliquez Enregistrer et terminer.
- Cliquez Terminé.
Configuration de l'authentification à distance via RADIUS
Le système ExtraHop prend en charge le service utilisateur RADIUS (Remote Authentication Dial In User Service) pour l'authentification à distance et l'autorisation locale uniquement. Pour l'authentification à distance, le système ExtraHop prend en charge les formats RADIUS non chiffrés et en texte brut.
Configuration de l'authentification à distance via TACACS+
Le système ExtraHop prend en charge le Terminal Access Controller Access-Control System Plus (TACACS+) pour l'authentification et l'autorisation à distance.
Configuration du serveur TACACS+
Outre la configuration de l'authentification à distance sur votre système ExtraHop, vous devez configurer votre serveur TACACS+ avec deux attributs, l'un pour le service ExtraHop et l'autre pour le niveau d'autorisation. Si vous avez un stockage des paquets ExtraHop, vous pouvez éventuellement ajouter un troisième attribut pour la capture des paquets et l'enregistrement des clés de session.
Accès à l'API
La page d'accès à l'API vous permet de générer, de visualiser et de gérer l'accès aux clés d'API requises pour effectuer des opérations via l'API REST ExtraHop.
Gérer l'accès aux clés d'API
Les utilisateurs disposant de privilèges d'administration du système et des accès peuvent configurer s'ils peuvent générer des clés d'API pour le système ExtraHop. Vous pouvez autoriser uniquement les utilisateurs locaux à générer des clés, ou vous pouvez également désactiver complètement la génération de clés d'API.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Paramètres d'accès section, cliquez Accès à l'API.
-
Dans le Gérer l'accès aux API section, sélectionnez l'une des options
suivantes :
- Autoriser tous les utilisateurs à générer une clé d'API: Les utilisateurs locaux et distants peuvent générer des clés d'API.
- Seuls les utilisateurs locaux peuvent générer une clé d'API: Les utilisateurs distants ne peuvent pas générer de clés d'API.
- Aucun utilisateur ne peut générer de clé d'API: aucune clé d'API ne peut être générée par aucun utilisateur.
- Cliquez Enregistrer les paramètres.
Configurer le partage de ressources entre origines (CORS)
Partage de ressources entre origines (CORS) vous permet d'accéder à l'API REST ExtraHop au-delà des limites du domaine et à partir de pages Web spécifiées sans que la demande passe par un serveur proxy.
- Dans le Paramètres d'accès section, cliquez sur Accès à l'API.
-
Dans le Paramètres CORS section, spécifiez l'une des configurations
d'accès suivantes.
- Pour ajouter une URL spécifique, saisissez une URL d'origine dans la zone de texte, puis
cliquez sur l'icône plus (+) ou appuyez sur ENTER.
L'URL doit inclure un schéma, tel que HTTP ou HTTPS, et le nom de domaine exact. Vous ne pouvez pas ajouter de chemin, mais vous pouvez fournir un numéro de port.
- Pour autoriser l'accès depuis n'importe quelle URL, sélectionnez Autoriser les requêtes d'API
depuis n'importe quelle origine case à cocher.
Remarque : Autoriser l'accès à l'API REST depuis n'importe quelle origine est moins sûr que de fournir une liste d' origines explicites.
- Pour ajouter une URL spécifique, saisissez une URL d'origine dans la zone de texte, puis
cliquez sur l'icône plus (+) ou appuyez sur ENTER.
- Cliquez Enregistrer les paramètres puis cliquez sur Terminé.
Génération d'une clé d'API
Vous devez générer une clé d'API avant de pouvoir effectuer des opérations via l' API REST ExtraHop. Les clés ne peuvent être consultées que par l'utilisateur qui les a générées ou par les utilisateurs disposant de privilèges d'administration du système et d'accès. Après avoir généré une clé d'API, ajoutez-la à vos en-têtes de demande ou à l'explorateur d'API REST ExtraHop.
Before you begin
Assurez-vous que le système ExtraHop est configuré pour permettre la génération de clés d'API.- Dans le Paramètres d'accès section, cliquez Accès à l'API.
- Dans le Générer une clé d'API section, tapez une description pour la nouvelle clé, puis cliquez sur Générer.
- Faites défiler la page jusqu'à la section Clés d'API et copiez la clé d'API correspondant à votre description.
Niveaux de privilèges
Les niveaux de privilèges utilisateur déterminent les tâches système et d'administration ExtraHop que l'utilisateur peut effectuer via l'API REST ExtraHop.
Vous pouvez consulter les niveaux de privilèges des utilisateurs via granted_roles et effective_roles propriétés. Le granted_roles La propriété vous indique quels niveaux de privilèges sont explicitement accordés à l'utilisateur. Le effective_roles La propriété affiche tous les niveaux de privilèges d'un utilisateur, y compris ceux reçus en dehors du rôle accordé, par exemple via un groupe d'utilisateurs.
Le granted_roles et effective_roles les propriétés sont renvoyées par les opérations suivantes :
- GET /utilisateurs
- GET /users/ {nom d'utilisateur}
Le granted_roles et effective_roles les propriétés prennent en charge les niveaux de privilèges suivants. Notez que le type de tâches pour chaque système ExtraHop varie en fonction de la disponibilité ressources répertoriés dans l'explorateur d'API REST et dépendent des modules activés sur le système et des privilèges d'accès aux modules utilisateur.
Niveau de privilège | Actions autorisées |
---|---|
« système » : « complet » |
|
« write » : « complet » |
|
« write » : « limité » |
|
« write » : « personnel » |
|
« metrics » : « complet » |
|
« metrics » : « restreint » |
|
« ndr » : « complet » |
Il s'agit d'un privilège d'accès au module qui peut être accordé à un utilisateur en plus de l'un des niveaux de privilège d'accès au système suivants :
|
« ndr » : « aucun » |
Il s'agit d'un privilège d'accès au module qui peut être accordé à un utilisateur en plus de l'un des niveaux de privilège d'accès au système suivants :
|
« npm » : « complet » |
Il s'agit d'un privilège d'accès au module qui peut être accordé à un utilisateur en plus de l'un des niveaux de privilège d'accès au système suivants :
|
« npm » : « aucun » |
Il s'agit d'un privilège d'accès au module qui peut être accordé à un utilisateur en plus de l'un des niveaux de privilège d'accès au système suivants :
|
« paquets » : « pleins » |
Il s'agit d'un privilège supplémentaire qui peut être accordé à un utilisateur disposant de l'un des niveaux de privilège suivants :
|
« paquets » : « full_with_keys » |
Il s'agit d'un privilège supplémentaire qui peut être accordé à un utilisateur disposant de l'un des niveaux de privilège suivants :
|
« packets » : « slices_only » |
Il s'agit d'un privilège supplémentaire qui peut être accordé à un utilisateur disposant de l'un des niveaux de privilège suivants :
|
Paramètres de l'appareil
Vous pouvez configurer les composants suivants de l'appliance ExtraHop dans Paramètres de l'appareil section.
Tous les appareils comportent les composants suivants :
- Configuration en cours d'exécution
- Téléchargez et modifiez le fichier de configuration en cours d'exécution.
- Des services
- Activez ou désactivez le Web Shell, l'interface graphique de gestion, le service SNMP, l'accès SSH et le récepteur de clé de session SSL. L'option SSL Session Key Receiver apparaît uniquement sur l'appliance Discover.
- Micrologiciel
- Mettez à jour le firmware du système ExtraHop.
- Heure du système
- Configurez l'heure du système.
- Arrêter ou redémarrer
- Arrêtez et redémarrez les services du système.
- Licence
- Mettez à jour la licence pour activer les modules complémentaires.
- Disques
- Fournit des informations sur les disques de l'appliance.
Les composants suivants apparaissent uniquement sur les appareils spécifiés :
- Surnom de commande
- Attribuez un surnom à l'appliance Command. Ce paramètre n'est disponible que sur l' appliance Command.
- Réinitialiser Packetstore
- Supprimez tous les paquets stockés sur l'appliance ExtraHop Trace. Le Réinitialiser Packetstore la page apparaît uniquement sur l'appliance Trace.
Configuration en cours d'exécution
Le fichier de configuration en cours indique la configuration système par défaut. Lorsque vous modifiez les paramètres système, vous devez enregistrer le fichier de configuration en cours afin de conserver ces modifications après le redémarrage du système.
Remarque : | Il n'est pas recommandé de modifier la configuration du code depuis la page d'édition. Vous pouvez apporter la plupart des modifications au système via d'autres pages des paramètres d'administration. |
Enregistrez les paramètres système dans le fichier de configuration en cours d'exécution
Lorsque vous modifiez l'un des paramètres de configuration du système sur un système ExtraHop, vous devez confirmer les mises à jour en enregistrant le fichier de configuration en cours d'exécution. Si vous n'enregistrez pas les paramètres, les modifications sont perdues au redémarrage de votre système ExtraHop.
- Cliquez Afficher et enregistrer les modifications.
-
Vérifiez la comparaison entre l'ancienne configuration en cours d'exécution et la configuration en cours d'exécution actuelle
(non enregistrée), puis sélectionnez l'une des
options suivantes :
- Si les modifications sont correctes, cliquez sur Enregistrer.
- Si les modifications ne sont pas correctes, cliquez sur Annuler puis annulez les modifications en cliquant sur Rétablir la configuration .
Modifier la configuration en cours
Les paramètres d'administration d'ExtraHop fournissent une interface permettant d'afficher et de modifier le code qui spécifie la configuration système par défaut. En plus d'apporter des modifications au fichier de configuration en cours via les paramètres d'administration, des modifications peuvent également être apportées sur Configuration en cours page.
Remarque : | Il n'est pas recommandé d'apporter des modifications à la configuration du code depuis la page Modifier. Vous pouvez effectuer la plupart des modifications du système via d'autres paramètres d'administration. |
Téléchargez la configuration en cours sous forme de fichier texte
Vous pouvez télécharger le fichier de configuration en cours d'exécution sur votre poste de travail. Vous pouvez ouvrir ce fichier texte et y apporter des modifications localement, avant de copier ces modifications dans le Configuration en cours fenêtre.
- Cliquez Configuration en cours.
- Cliquez Télécharger la configuration sous forme de fichier.
Désactiver les messages inaccessibles relatifs à la destination ICMPv6
Vous pouvez empêcher le système ExtraHop de générer des messages ICMPv6 Destination Unreachable. Vous souhaiterez peut-être désactiver les messages ICMPv6 Destination Unreachable pour des raisons de sécurité conformément à la RFC 4443.
Pour désactiver les messages ICMPv6 Destination Unreachable, vous devez modifier la configuration en cours. Cependant, nous vous recommandons de ne pas modifier manuellement le fichier de configuration en cours d'exécution sans les instructions du support ExtraHop. La modification manuelle incorrecte du fichier de configuration en cours d'exécution peut entraîner l'indisponibilité du système ou l'arrêt de la collecte de données. Vous pouvez contacter Assistance ExtraHop.
Désactiver des messages ICMPv6 Echo Reply spécifiques
Vous pouvez empêcher le système ExtraHop de générer des messages Echo Reply en réponse aux messages de demande d'écho ICMPv6 qui sont envoyés à une adresse IPv6 multicast ou anycast. Vous pouvez désactiver ces messages afin de réduire le trafic réseau inutile.
Pour désactiver des messages ICMPv6 Echo Reply spécifiques, vous devez modifier le fichier de configuration en cours d'exécution. Cependant, nous vous recommandons de ne pas modifier manuellement le fichier de configuration en cours sans l'autorisation du support ExtraHop. Toute modification manuelle incorrecte de ce fichier peut entraîner l'indisponibilité du système ou l'arrêt de la collecte de données. Vous pouvez contacter Assistance ExtraHop .
Services
Ces services s'exécutent en arrière-plan et exécutent des fonctions qui ne nécessitent aucune intervention de l'utilisateur . Ces services peuvent être démarrés et arrêtés via les paramètres d'administration.
- Activer ou désactiver l'interface graphique de gestion
- L'interface graphique de gestion fournit un accès au système ExtraHop via un navigateur. Par défaut, ce
service est activé afin que les utilisateurs d'ExtraHop puissent accéder au système ExtraHop via un navigateur Web
. Si ce service est désactivé, la session du serveur Web Apache est interrompue et tous les accès
par navigateur sont désactivés.
Avertissement : Ne désactivez ce service que si vous êtes un administrateur ExtraHop expérimenté et que vous connaissez l'interface de ligne de commande ExtraHop . - Activer ou désactiver le service SNMP
- Activez le service SNMP sur le système ExtraHop lorsque vous souhaitez que votre
logiciel de surveillance des équipements réseau collecte des informations sur le système ExtraHop. Ce service est désactivé par
défaut.
- Activez le service SNMP depuis la page Services en cochant la case Désactivé, puis en cliquant sur Enregistrer. Une fois la page actualisée, la case Activé apparaît.
- Configuration du service SNMP et téléchargez le fichier MIB ExtraHop
- Activer ou désactiver l'accès SSH
- L'accès SSH est activé par défaut pour permettre aux utilisateurs de se connecter en toute sécurité à l'interface de
ligne de commande (CLI) ExtraHop.
Remarque : Le service SSH et le service d'interface graphique de gestion ne peuvent pas être désactivés en même temps. Au moins l'un de ces services doit être activé pour permettre l' accès au système. - Activer ou désactiver le récepteur de clé de session SSL (capteur uniquement)
- Vous devez activer le service de réception des clés de session via les paramètres d'administration avant que
le système ExtraHop puisse recevoir et déchiffrer les clés de session à partir du redirecteur de clé de session. Par
défaut, ce service est désactivé.
Remarque : Si vous ne voyez pas cette case à cocher et que vous avez acheté la licence de déchiffrement SSL, contactez Assistance ExtraHop pour mettre à jour votre licence.
Service SNMP
Configurez le service SNMP sur votre système ExtraHop afin de pouvoir configurer votre logiciel de surveillance des équipements réseau pour collecter des informations sur votre système ExtraHop via le protocole SNMP (Simple Network Management Protocol).
Par exemple, vous pouvez configurer votre logiciel de surveillance pour déterminer la quantité d'espace libre disponible sur un système ExtraHop et envoyer une alerte si le système est plein à plus de 95 %. Importez le fichier MIB SNMP ExtraHop dans votre logiciel de surveillance pour surveiller tous les objets SNMP spécifiques à ExtraHop. Vous pouvez configurer les paramètres pour SNMPv1/SNMPv2 et SNMPv3
Micrologiciel
Les paramètres d'administration fournissent une interface pour télécharger et supprimer le firmware sur les appareils ExtraHop. Le fichier du microprogramme doit être accessible depuis l'ordinateur sur lequel vous allez effectuer la mise à niveau.
Before you begin
Assurez-vous de lire le notes de version pour la version du microprogramme que vous souhaitez installer. Les notes de mise à jour contiennent des conseils de mise à niveau ainsi que des problèmes connus susceptibles d'affecter les flux de travail critiques de votre organisation.Mettez à jour le firmware de votre système ExtraHop
La procédure suivante explique comment mettre à niveau votre système ExtraHop vers la dernière version du microprogramme. Bien que le processus de mise à niveau du microprogramme soit similaire pour toutes les appliances ExtraHop, certaines appliances comportent des considérations ou des étapes supplémentaires que vous devez prendre en compte avant d'installer le microprogramme dans votre environnement. Si vous avez besoin d'aide pour effectuer la mise à niveau, contactez le support ExtraHop.
Vidéo : | Consultez la formation associée : Mettre à jour le firmware |
Important : | Lorsque la migration des paramètres échoue lors de la mise à niveau du microprogramme, la version du microprogramme précédemment installée et les paramètres du système ExtraHop sont restaurés. |
Liste de contrôle préalable à la mise à niveau
Voici quelques considérations et exigences importantes concernant la mise à niveau des appareils ExtraHop.
- Une notice système apparaît sur les consoles et capteurs connecté à ExtraHop Cloud Services lorsqu'une nouvelle version du firmware est disponible.
- Vérifiez que votre système Reveal (x) 360 a été mis à niveau vers la version 9,2 avant de mettre à niveau votre système autogéré capteurs.
- Si vous effectuez une mise à niveau à partir de la version 8.7 ou antérieure du firmware, contactez le support ExtraHop pour obtenir des conseils de mise à niveau supplémentaires.
- Si vous possédez plusieurs types d'appareils ExtraHop, vous devez les mettre à niveau dans l'ordre
suivant :
- Console
- Capteurs (EDA et Ultra)
- Disquaires
- Magasins de colis
Remarque : | Il est possible que votre navigateur s'éteigne après 5 minutes d'inactivité. Actualisez la page du navigateur si
la mise à jour semble incomplète. Si la session du navigateur expire avant que le système ExtraHop ne puisse terminer le processus de mise à jour, vous pouvez essayer les tests de connectivité suivants pour confirmer l'état du processus de mise à niveau :
|
Améliorations de console
- Pour les déploiements de consoles de grande envergure (gestion de 50 000 appareils ou plus), réservez un minimum d' une heure pour effectuer la mise à niveau.
- La version du microprogramme de la console doit être supérieure ou égale à la version du microprogramme de tous les appareils connectés. Pour garantir la compatibilité des fonctionnalités, tous les appareils connectés doivent exécuter la version 8.7 ou ultérieure du microprogramme.
Améliorations du magasin de disques
- Ne mettez pas à niveau les magasins de disques vers une version du microprogramme plus récente que celle installée sur les consoles et capteurs connectés.
- Après la mise à niveau de la console et capteurs, désactiver l'ingestion d'enregistrements sur l'espace de stockage des enregistrements avant de mettre à niveau l'espace de stockage des enregistrements.
- Vous devez mettre à niveau tous les nœuds d'espace de stockage des enregistrements d'un cluster d'enregistrements. Le cluster ne
fonctionnera pas correctement si les nœuds utilisent des versions de microprogramme différentes.
Important : Le message Could not determine ingest status on some nodes et Error apparaissent sur la page Gestion des données du cluster dans les paramètres d' administration des nœuds mis à niveau jusqu'à ce que tous les nœuds du cluster soient mis à niveau. Ces erreurs sont attendues et peuvent être ignorées. - Vous devez activer l'ingestion d'enregistrements et la réallocation de partitions à partir du Gestion des données du cluster page après la mise à niveau de tous les nœuds de l'espace de stockage des enregistrements.
Mettre à jour le microprogramme d'une console et d'une sonde
Mettre à jour le firmware sur les disquaires
Que faire ensuite
Une fois que tous les nœuds du cluster d'enregistrements ont été mis à niveau, réactivez l'ingestion d'enregistrements et la réallocation des partitions sur le cluster. Vous ne devez effectuer ces étapes que sur un seul nœud d'espace de stockage des enregistrements.- Dans la section Explorer les paramètres du cluster, cliquez sur Gestion des données du cluster.
- Cliquez Activer l'ingestion d'enregistrements.
- Cliquez Activer la réallocation des partitions.
Améliorez les capteurs connectés dans Reveal (x) 360
Les administrateurs peuvent mettre à niveau capteurs connectés à Reveal (x) 360.
Before you begin
- Votre compte utilisateur doit disposer de privilèges sur Reveal (x) 360 pour l' administration du système et des accès ou pour l'administration du système.
- Les capteurs doivent être connectés aux services cloud ExtraHop
- Des notifications apparaissent lorsqu'une nouvelle version du microprogramme est disponible
- Vous pouvez mettre à niveau plusieurs capteurs en même temps
Heure du système
La page Heure du système affiche les paramètres d'heure actuels configurés pour votre système ExtraHop. Consultez les paramètres d'heure actuels du système, l'heure d'affichage par défaut pour les utilisateurs et les détails des serveurs NTP configurés.
L'heure du système est l'heure et la date suivies par les services exécutés sur le système ExtraHop afin de garantir des calculs d'heure précis. Par défaut, l'heure système sur la sonde ou la console est configurée localement. Pour une meilleure précision, nous vous recommandons de configurer l'heure du système via un serveur de temps NTP.
Lors de la capture de données, l'heure du système doit correspondre à l'heure indiquée sur les capteurs connectés afin de garantir que les horodatages sont corrects et complets dans les rapports de tableau de bord planifiés, les tableaux de bord exportés et les indicateurs graphiques. En cas de problème de synchronisation horaire, vérifiez que l' heure système configurée, les serveurs de temps externes ou les serveurs NTP sont exacts. Réinitialisez l'heure du système ou serveurs NTP de synchronisation si nécessaire
Le tableau ci-dessous contient des informations détaillées sur la configuration horaire actuelle du système. Cliquez Configurer l'heure pour configurer les paramètres d'heure du système.
Détail | Descriptif |
---|---|
Fuseau horaire | Affiche le fuseau horaire actuellement sélectionné. |
Heure du système | Affiche l'heure actuelle du système. |
Serveurs temporels | Affiche une liste séparée par des virgules des serveurs de temps configurés. |
Durée d'affichage par défaut pour les utilisateurs
La section Temps d'affichage par défaut pour les utilisateurs indique l'heure affichée à tous les utilisateurs du système ExtraHop, sauf pour un utilisateur manuellement. change leur fuseau horaire affiché.
Pour modifier la durée d'affichage par défaut, sélectionnez l'une des options suivantes, puis cliquez sur Enregistrer les modifications:
- Heure du navigateur
- Heure du système
- UTC
État du NTP
Le tableau d'état NTP affiche la configuration et l'état actuels de tous les serveurs NTP qui synchronisent l'horloge du système. Le tableau ci-dessous contient des informations détaillées sur chaque serveur NTP configuré. Cliquez Synchronisez maintenant pour synchroniser l'heure actuelle du système avec un serveur distant.
éloigné | Le nom d'hôte ou l'adresse IP du serveur NTP distant avec lequel vous avez configuré la synchronisation. |
saint | Le niveau de strate, de 0 à 16. |
t | Type de connexion. Cette valeur peut être u pour monodiffusion ou multidiffusion , b pour diffusion ou multidiffusion, l pour l'horloge de référence locale, s pour un pair symétrique, A pour un serveur Manycast, B pour un serveur de diffusion, ou M pour un serveur de multidiffusion. |
quand | La dernière fois que le serveur a été interrogé pour connaître l'heure. La valeur par défaut est de secondes, ou m s'affiche pendant quelques minutes, h pendant des heures, et d pendant des jours. |
sondage | Fréquence à laquelle le serveur est interrogé selon l'heure, entre un minimum de 16 secondes et un maximum de 36 heures. |
atteindre | Valeur indiquant le taux de réussite et d'échec de la communication avec le serveur distant. Le succès signifie que le bit est défini, l'échec signifie que le bit n'est pas défini. 377 est la valeur la plus élevée. |
retard | Le temps de trajet aller-retour (RTT) de l'appliance ExtraHop communiquant avec le serveur distant, en millisecondes. |
décalage | Indique à quelle distance se trouve l'horloge de l'appliance ExtraHop par rapport à l'heure indiquée par le serveur. La valeur peut être positive ou négative, affichée en millisecondes. |
gigue | Indique la différence, en millisecondes, entre deux échantillons. |
Configurer l'heure du système
Par défaut, le système ExtraHop synchronise l'heure du système via les serveurs du protocole NTP (Network Time Protocol) *.extrahop.pool.ntp.org. Si votre environnement réseau empêche le système ExtraHop de communiquer avec ces serveurs temporels, vous devez configurer une autre source de serveur horaire.
Before you begin
Important : | Configurez toujours plusieurs serveurs NTP pour augmenter la précision et la fiabilité du temps passé sur le système. |
Le État du NTP le tableau affiche la liste des serveurs NTP qui synchronisent l'horloge du système. Pour synchroniser l'heure système actuelle d'un serveur distant, cliquez sur le Synchronisez maintenant bouton.
Arrêter ou redémarrer
Vous pouvez arrêter ou redémarrer l'appliance Trace dans les paramètres d'administration.
- Dans le Paramètres de l'appareil section, cliquez Arrêter ou redémarrer.
-
Dans la colonne Actions, sélectionnez l'une des options suivantes :
- Cliquez Redémarrer puis sur la page de confirmation, cliquez sur Redémarrer pour redémarrer l'appliance.
- Cliquez Arrêter, puis sur la page de confirmation, cliquez sur Arrêter pour arrêter le système et mettre l'appareil hors tension.
Licence
Les paramètres d'administration fournissent une interface permettant d'ajouter et de mettre à jour des licences pour les modules complémentaires et les autres fonctionnalités disponibles dans le système ExtraHop. La page Administration des licences inclut les informations et paramètres de licence suivants :
- Gérer la licence
- Fournit une interface pour ajouter et mettre à jour le système ExtraHop
- Informations sur le système
- Affiche les informations d'identification et d'expiration du système ExtraHop.
- Fonctionnalités
- Affiche la liste des fonctionnalités sous licence et indique si les fonctionnalités sous licence sont activées ou désactivées.
Enregistrez votre système ExtraHop
Ce guide fournit des instructions sur la façon d'appliquer une nouvelle clé de produit et d'activer tous les modules que vous avez achetés. Vous devez disposer de privilèges sur le système ExtraHop pour accéder aux paramètres d' administration.
Enregistrez l'appareil
Before you begin
Remarque : | Si vous enregistrez une sonde ou une console, vous pouvez éventuellement saisir la clé de produit après avoir accepté le CLUF et vous être connecté au système ExtraHop ( https://<extrahop_ip_address>/). |
Que faire ensuite
Vous avez d'autres questions sur les œuvres sous licence ExtraHop ? Voir le FAQ sur les licences.Résoudre les problèmes de connectivité au serveur de licences
Pour les systèmes ExtraHop sous licence et configurés pour se connecter aux services cloud ExtraHop, l'enregistrement et la vérification sont effectués via une requête HTTPS adressée aux services cloud ExtraHop.
Si votre système ExtraHop ne possède pas de licence pour les services cloud ExtraHop ou ne l'est pas encore , le système tente d'enregistrer le système via une demande DNS TXT pour regions.hopcloud.extrahop.com et une requête HTTPS pour tous Régions des services cloud ExtraHop. Si cette demande échoue, le système essaie de se connecter au serveur de licences ExtraHop via le port 53 du serveur DNS. La procédure suivante est utile pour vérifier que le système ExtraHop peut communiquer avec le serveur de licences via le DNS.
nslookup -type=NS d.extrahop.com
Non-authoritative answer: d.extrahop.com nameserver = ns0.use.d.extrahop.com. d.extrahop.com nameserver = ns0.usw.d.extrahop.com.Si la résolution du nom échoue, assurez-vous que votre serveur DNS est correctement configuré pour rechercher le
Appliquer une licence mise à jour
Lorsque vous achetez un nouveau module de protocole, un nouveau service ou une nouvelle fonctionnalité, la licence mise à jour est automatiquement disponible sur le système ExtraHop. Cependant, vous devez appliquer la licence mise à jour au système via les paramètres d'administration pour que les nouvelles modifications prennent effet.
Mettre à jour une licence
Si ExtraHop Support vous fournit un fichier de licence, vous pouvez installer ce fichier sur votre appliance pour mettre à jour la licence.
Remarque : | Si vous souhaitez mettre à jour la clé de produit de votre appliance, vous devez enregistrez votre système ExtraHop. |
Disques
Le Disques cette page fournit des informations sur la configuration et l' état des disques de votre appliance Trace ainsi que sur les disques de toutes les unités de stockage connectées.
Remarque : | Nous vous recommandons de configurer les paramètres pour recevoir notifications par e-mail sur l'état de santé de votre système. Si un disque commence à rencontrer des problèmes, vous serez alerté. |
Les informations suivantes s'affichent sur la page :
- Carte du lecteur
- Fournit une représentation visuelle de la face avant de l'appliance Trace. La carte du disque n' apparaît pas dans les paramètres d'administration de l'appliance virtuelle Trace.
- Détails du disque RAID
- Permet d'accéder à des informations détaillées sur tous les disques du nœud.
- Packetstore
- Affiche des informations sur les disques réservés au stockage de paquets et l'option permettant de chiffrer le disque de stockage de paquets. Pour plus d'informations, consultez le Chiffrer le disque de stockage des paquets section.
- Disques connectés directement
- Affiche des informations sur les cartes mémoire SD. Les cartes mémoire ont les rôles suivants :
-
- Micrologiciel
- Affiche des informations sur les disques réservés au microprogramme.
- Utilité
- Affiche des informations sur les disques réservés aux fichiers système.
- Unités de stockage étendues
- Affiche des informations sur les unités de stockage étendues ExtraHop.
Chiffrer le disque de stockage des paquets
Vous pouvez chiffrer le disque, y compris les unités de stockage étendues associées sur lesquelles les captures de paquets sont stockées pour une sécurité accrue. Le disque de stockage des paquets est sécurisé par un chiffrement AES 256 bits.
Avertissement : | Vous ne pouvez pas déchiffrer un disque de stockage des paquets une fois qu'il a été chiffré. Vous pouvez reformater un disque chiffré ; toutefois, toutes les données stockées sur le disque seront perdues. Pour effectuer une suppression sécurisée (effacement sécurisé) de toutes les données du système, consultez le Guide multimédia d'ExtraHop Rescue. |
Important : | Le stockage des paquets est verrouillé lorsque l'appliance ETA est redémarrée. Avant que des paquets puissent être écrits sur le disque, vous devez déverrouiller le disque depuis le Paramètres de chiffrement du Packetstore page. |
- Dans le Paramètres de l'appliance section, cliquez Disques.
-
Naviguez vers le Paramètres de chiffrement du Packetstore
page.
Option Description Pour les appareils virtuels Dans le Disques connectés directement tableau, cliquez Réglages. Pour les appareils physiques Dans le Magasin de paquets section, à côté de Chiffrement du Packetstore, cliquez sur Réglages. - Cliquez Crypter Packetstore.
-
Spécifiez une clé de chiffrement du disque en choisissant l'une des options suivantes.
- Pour chiffrer le disque à l'aide d'un mot de passe, saisissez un mot de passe d'au moins 8 caractères dans le Phrase secrète et Confirmez champs. Le mot de passe doit contenir une combinaison de lettres majuscules, minuscules, chiffres et caractères spéciaux.
- Pour chiffrer le disque à l'aide d'un fichier clé, cliquez sur Choisissez un fichier, puis naviguez jusqu'à un fichier de clé de chiffrement.
- Cliquez Chiffrer.
Modifier la clé de chiffrement du disque de capture de paquets
- Dans le État section, cliquez Disques.
- Dans le Banque de données section, cliquez Paramètres de chiffrement de Packetstore .
- Cliquez Modifier la clé de chiffrement Packetstore.
-
Spécifiez la clé de chiffrement existante.
Option Description Si vous avez saisi un mot de passe de chiffrement Entrez un mot de passe dans le Phrase secrète champ. Si vous avez sélectionné un fichier clé de chiffrement Cliquez Choisissez un fichier, puis accédez à un fichier clé de chiffrement. -
Spécifiez une nouvelle clé de chiffrement du disque.
Option Description Pour saisir un mot de passe de chiffrement Entrez un mot de passe dans le Phrase secrète et Confirmer champs. Pour sélectionner un fichier clé de chiffrement Cliquez Choisissez un fichier, puis accédez à un fichier clé de chiffrement. - Cliquez Modifier la clé.
Ajoutez de la capacité de stockage à l'ETA 6150 ou 8250
L'ajout d'une capacité de stockage supplémentaire à votre magasin de paquets ExtraHop vous permet de stocker davantage de paquets et d'augmenter la quantité de rétrospective disponible lors de l'exécution de requêtes par paquets. Vous pouvez ajouter en toute sécurité des unités de stockage étendues ExtraHop à un magasin de paquets et conserver tous les paquets actuellement stockés dans le magasin de paquets.
Compatibilité
Boutique de paquets ExtraHop | Unité de rangement étendue |
---|---|
BÊTA 6150 |
Vous pouvez connecter une combinaison d'ESU de 72 To et 96 To à l'ETA 6150. |
BÊTA 8250 |
|
Vous pouvez connecter jusqu'à quatre ESU à un stockage des paquets. |
Conditions préalables à l'installation
- Stockage des paquets ExtraHop avec le firmware 7.2 ou version ultérieure. Le microprogramme 7.4 est nécessaire pour chiffrer l'ESU. Si vous n'avez pas déployé le stockage des paquets, suivez les instructions du Déployez le stockage des paquets ETA 6150 et Déployez le stockage des paquets ETA 8250 guides.
- Licence ExtraHop pour la fonctionnalité étendue de stockage des paquets
- Unité de stockage étendue ExtraHop
- 2U d'espace rack et connexions électriques pour 2 alimentations électriques de 600 W.
- Câbles d'alimentation
- Câbles SAS
- Kit de rails
Configuration de l'unité de stockage étendue
- Installez l'unité de stockage étendue dans votre centre de données à l'aide du kit de montage en rack inclus. Le kit de montage est compatible avec la plupart des supports à quatre montants dotés de trous ronds ou carrés.
- Branchez les câbles d'alimentation aux blocs d'alimentation (PSU).
Arrêtez le stockage des paquets
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans le Paramètres de l'appareil section, cliquez Arrêter ou redémarrer.
- Dans le Actions colonne, cliquez Arrêter.
- Sur la page de confirmation, cliquez sur Arrêter.
Connectez l'unité de stockage étendue
L'unité de stockage étendue se connecte au stockage des paquets via les deux modules de gestion du boîtier (EMM). Chaque EMM possède quatre ports pour connecter les câbles SAS.
Dans une configuration redondante, les unités de stockage sont reliées entre elles en série, l' une des unités de stockage étendues étant connectée aux deux ports de l' adaptateur de bus hôte (HBA) du stockage des paquets, comme illustré dans la figure suivante.
Gestion des unités de stockage étendues dotées du statut de stockage des paquets étranger
Lorsqu'une unité de stockage étendue dotée d'une configuration RAID existante est connectée à un contrôleur RAID de l'appliance Trace, l'unité de stockage étendue est désignée comme « étrangère ». Cet état peut se produire lorsqu'une unité de stockage étendue a été précédemment connectée puis déconnectée du contrôleur RAID de l'appliance Trace et lorsque l'unité de stockage étendue a été configurée sur un contrôleur RAID autre que l'appliance Trace à laquelle elle était initialement connectée.
Réinitialiser Packetstore
Dans certaines circonstances, vous souhaiterez peut-être réinitialiser le stockage des paquets. Par exemple, si vous avez accidentellement collecté des paquets contenant des données sensibles ou provenant du mauvais flux de données, vous pouvez réinitialiser la banque de données afin que les paquets n'apparaissent dans aucune requête de paquet.
Avertissement : |
Si vous réinitialisez le stockage des paquets, tous les paquets existants seront inaccessibles aux requêtes de paquets . |
- Dans le Paramètres de l'appareil section, cliquez Réinitialiser Packetstore.
- Type OUI dans le champ de confirmation, puis cliquez sur Réinitialiser Packetstore.
Paramètres du Trace Cluster
Le Paramètres du Trace Cluster La section comprend les sections suivantes :
- Connectez-vous à Reveal (x) 360
- Cette option n'apparaît que lorsque le stockage des paquets est sous licence pour Reveal (x) 360.
- Directeur
- Activez un console pour exécuter à distance des scripts de support et mettre à niveau le microprogramme sur le stockage des paquets.
- Afficher le nom d'hôte du console qui est configuré pour gérer le stockage des paquets ainsi qu'une liste de tous les capteurs et consoles connecté au stockage des paquets.
- État de la requête par paquet
- Afficher la liste de toutes les requêtes de paquets générées à partir d'une connexion console et capteurs connectés.
Directeur
Le Directeur cette page contient les informations et les commandes suivantes :
- Directeur
- Affiche le nom d'hôte du console qui est configuré pour gérer le stockage des paquets. Pour
connecter un console via une connexion par tunnel, cliquez sur Gestion à l'aide d'une
appliance de commande. Une connexion par tunnel peut être requise s'il n'est pas
possible d'établir une connexion directe via l'appliance Command.Cliquez Supprimer le gestionnaire pour supprimer le console en tant que manager.
Remarque : Le stockage des paquets ne peut être géré que par un seul console. - Appareils connectés
- Affiche un tableau de tous capteurs et consoles connecté au stockage des paquets. Le tableau inclut le nom d'hôte, la clé de produit et l'adresse IP du système ExtraHop connecté.
État de la requête de paquets
Le État de la requête de paquets cette page fournit une collection de métriques concernant le stockage des paquets.
Les métriques de cette page peuvent vous aider à résoudre les problèmes et à déterminer pourquoi le stockage des paquets ne fonctionne pas comme prévu.
- État de la requête de paquets
- Affiche les statistiques relatives aux requêtes de paquets exécutées à partir de la page Paquets.
Si le nombre de requêtes par paquets simultanées dépasse la mémoire système maximale allouée, des erreurs peuvent se produire et vous devez supprimer les requêtes en cours ou terminées en cliquant sur Supprimer ou Tout supprimer bouton avant de créer de nouvelles requêtes. Les requêtes sont mises en cache jusqu'à ce que vous quittiez la page Paquets.
- Disques Packetstore
- Affiche les statistiques relatives aux disques de stockage de paquets.
- Stockage des clés de session SSL
- Affiche les statistiques relatives aux clés de session stockées dans le stockage des paquets. Pour plus d'informations sur le stockage des clés de session, voir Stockez les clés de session SSL sur les packetstores connectés.
Supprimer les requêtes par paquets
Vous pouvez supprimer une ou plusieurs requêtes par paquets pour vider la mémoire des requêtes et le cache disque.
- Dans le Paramètres du cluster de traçage section, cliquez État de la requête de paquets.
-
Procédez de l'une des manières suivantes :
- Pour supprimer une seule requête, cliquez sur Supprimer dans le Les actions colonne de la requête que vous souhaitez supprimer.
- Pour supprimer toutes les requêtes répertoriées, cliquez sur Tout supprimer.
Gérez à l'aide d'une console
Connectez le stockage des paquets à un console pour exécuter à distance des scripts de support et mettre à jour le microprogramme sur le stockage des paquets à partir du console.
Le stockage des paquets se connecte au console par le biais d'une connexion par tunnel. Les connexions par tunnel sont requises dans les environnements réseau où une connexion directe depuis console n'est pas possible en raison de pare-feux ou d'autres restrictions du réseau.
Before you begin
Remarque : | Cette procédure vous permet uniquement d'exécuter des fonctions de gestion à partir d'une console connectée ou de Reveal (x) 360. Pour rechercher et télécharger des paquets depuis le système ExtraHop, suivez les instructions dans Connectez les capteurs et la console au stockage des paquets. |
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?