Se connecter à ExtraHop Cloud Services

ExtraHop Cloud Services permet d'accéder aux services ExtraHop basés sur le nuage par le biais d'une connexion cryptée. Les services auxquels vous êtes connecté sont déterminés par la licence de votre système.

Une fois la connexion établie, des informations sur les services disponibles apparaissent sur la page ExtraHop Cloud Services.
  • ExtraHop Machine Learning Service active les détections pour votre système ExtraHop. Dans Reveal(x) Enterprise, vous pouvez activer les détections de sécurité uniquement ou les détections de sécurité et de performance.
  • Les utilisateurs de Reveal(x) Enterprise peuvent envoyer des données au service d'apprentissage automatique en activant ExtraHop Cloud Services dans les paramètres d'administration. Par exemple, le système peut envoyer des adresses IP, des noms de domaine et des noms d'hôte externes en clair qui sont associés à un comportement suspect détecté. Ce paramètre est activé par défaut dans Reveal(x)360 et ne peut pas être désactivé. Pour plus d'informations, consultez le site Analyse collective des menaces FAQ. Pour obtenir une liste complète des types de données envoyées au service d'apprentissage automatique ExtraHop et voir comment les données sont appliquées pour améliorer la détection des menaces, consultez la section Apprentissage automatique de la vue d'ensemble de la sécurité, de la confidentialité et de la confiance d'ExtraHop.
  • Le service de mise à jour ExtraHop permet de mettre à jour automatiquement les ressources du système ExtraHop, telles que les paquets de ransomware.
  • L'accès à distance ExtraHop vous permet d'autoriser les membres de l'équipe du compte ExtraHop, les analystes d'Atlas ExtraHop et l'assistance ExtraHop à se connecter à votre système ExtraHop pour obtenir de l'aide sur la configuration. Si vous avez souscrit au service Atlas Remote Analysis, les analystes d'ExtraHop peuvent effectuer une analyse impartiale de vos données réseau et signaler les domaines de votre infrastructure informatique susceptibles d'être améliorés. Consultez le site FAQ sur l'accès à distance pour plus d'informations sur les utilisateurs de l'accès à distance.

Before you begin

  • Les systèmes Reveal(x) 360 sont automatiquement connectés aux services ExtraHop Cloud, mais il se peut que vous deviez autoriser l'accès à travers les pare-feux du réseau.
  • Vous devez appliquer la licence appropriée sur le système ExtraHop avant de pouvoir vous connecter aux services ExtraHop Cloud. Voir la FAQ sur les licences pour plus d'informations.
  • Vous devez disposer de privilèges de configuration ou d'administration du système et des accès pour accéder aux paramètres d'administration.
  1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
  2. Dans la section Paramètres réseau, cliquez sur ExtraHop Cloud Services.
  3. Cliquez sur Termes et conditions pour lire le contenu.
  4. Lisez les termes et conditions, puis cochez la case.
  5. Cliquez sur Connexion à ExtraHop Cloud Services.
    Une fois que vous êtes connecté, la page se met à jour pour afficher l'état et les informations de connexion pour chaque service.
  6. Facultatif : Dans la section Service d'apprentissage automatique, cochez la case Contribuer au service d'apprentissage automatique pour l'analyse collective des menaces, puis sélectionnez l'une des options suivantes :
    • Adresses IP externes
    • Adresses IP, domaines et noms d'hôte externes
Si la connexion échoue, il se peut que les règles de votre pare-feu posent problème.

Configurer les règles du pare-feu

Si votre système ExtraHop est déployé dans un environnement doté d'un pare-feu, vous devez ouvrir l'accès aux services ExtraHop Cloud. Pour les systèmes Reveal(x) 360 connectés à des capteurs autogérés, vous devez également ouvrir l'accès à ExtraHop Cloud Recordstore.

Ouvrir l'accès aux services cloud

Pour accéder aux services cloud ExtraHop, vos capteurs doivent être en mesure de résoudre les requêtes DNS pour *.extrahop.com et d'accéder à TCP 443 (HTTPS) à partir de l'adresse IP correspondant à la licence de votre capteur:

  • 35.161.154.247 (Portland, États-Unis)
  • 54.66.242.25 (Sydney, Australie)
  • 52.59.110.168 (Francfort, Allemagne)

Accès libre au Cloud Recordstore

Pour accéder à l'ExtraHop Cloud Recordstore, vos capteurs doivent être en mesure d'accéder à la sortie TCP 443 (HTTPS) vers ces noms de domaine pleinement qualifiés :

  • bigquery.googleapis.com
  • bigquerystorage.googleapis.com
  • oauth2.googleapis.com
  • www.googleapis.com
  • www.mtls.googleapis.com
  • iamcredentials.googleapis.com

Vous pouvez également consulter les instructions publiques de Google concernant les plages d'adresses IP possibles pour googleapis.com.

Outre la configuration de l'accès à ces domaines, vous devez également configurer les paramètres du serveur proxy global.

Se connecter aux ExtraHop Cloud Services par le biais d'un proxy

Si vous ne disposez pas d'une connexion Internet directe, vous pouvez essayer de vous connecter aux ExtraHop Cloud Services par le biais d'un proxy explicite. Si votre proxy agit comme un "homme du milieu", assurez-vous que les demandes de connexion sont autorisées sur le port 22.

  1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
  2. Dans la section Paramètres réseau, cliquez sur Connectivité.
  3. Cliquez sur Activer le proxy ExtraHop Cloud.
  4. Saisissez le nom d'hôte de votre serveur proxy, par exemple proxyhost.
  5. Saisissez le port de votre serveur proxy, par exemple 8080.
  6. Facultatif : Si nécessaire, saisissez un nom d'utilisateur et un mot de passe pour votre serveur proxy.
  7. Cliquez sur Enregistrer.

Contourner la validation du certificat

Certains environnements sont configurés de manière à ce que le trafic crypté ne puisse pas quitter le réseau sans être inspecté par un dispositif tiers. Ce périphérique peut agir comme un point d'extrémité SSL/TLS qui décrypte et recrypte le trafic avant d'envoyer les paquets aux ExtraHop Cloud Services.

Si un appareil se connecte aux ExtraHop Cloud Services via un serveur proxy et que la validation du certificat échoue, désactivez la validation du certificat et réessayez la connexion. La sécurité fournie par l'authentification et le cryptage du système ExtraHop garantit que les communications entre les appliances et les services ExtraHop Cloud ne peuvent pas être interceptées
Remarque :.La procédure suivante nécessite d'être familiarisé avec la modification du fichier ExtraHop Running Configuration
.
  1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
  2. Dans la section Paramètres de l'appliance, cliquez sur Configuration de l'exécution.
  3. Cliquez sur Edit config.
  4. Ajoutez la ligne suivante à la fin du fichier Running Config :
    "hopcloud": { "verify_outer_tunnel_cert": false }
  5. Cliquez sur Update (Mise à jour).
  6. Cliquez sur View and Save Changes (Afficher et enregistrer les modifications).
  7. Examinez les modifications et cliquez sur Enregistrer.
  8. Cliquez sur Terminé.
Published 2023-11-07