시스코 보안 클라우드 분석 센서

소개

Cisco Secure Cloud Analytics(현재 Cisco XDR의 일부)는 온프레미스 및 클라우드 환경 모두에서 IT 위협을 탐지하고 대응하는 SaaS 기반 보안 서비스입니다. 이 가이드에서는 기업 네트워크, 사설 데이터 센터, 지사 및 기타 온프레미스 환경에서 사용할 수 있도록 사설 네트워크 모니터링 서비스의 일부로 Secure Cloud Analytics 센서를 배포하는 방법을 설명합니다.

• Secure Cloud Analytics를 Amazon과 같은 퍼블릭 클라우드 환경에서만 사용하려는 경우 Web Microsoft Azure 또는 Google Cloud Platform과 같은 서비스를 사용하는 경우 센서를 설치할 필요가 없습니다. 자세한 내용은 퍼블릭 클라우드 모니터링 가이드를 참조하십시오.
• 이 가이드는 Ubuntu Linux에 센서를 설치하는 방법을 안내합니다. 다른 운영 체제에 대한 설치 방법은 보안 클라우드 분석 센서 고급 구성 가이드를 참조하십시오.

센서 배치 시 고려 사항

• 센서를 배포하여 NetFlow와 같은 흐름 데이터를 수집하거나 네트워크의 라우터 또는 스위치에서 미러링된 네트워크 트래픽을 수집할 수 있습니다. 또한 센서를 구성하여 흐름 데이터 수집과 미러링된 네트워크 트래픽 수집을 모두 수행할 수도 있습니다. 배포할 수 있는 센서의 수에는 제한이 없습니다.
• 센서를 구성하여 유량 데이터를 수집하려면 유량 데이터 수집을 위한 센서 구성하기를 참조하십시오.
• 미러 포트 또는 SPAN 포트에서 트래픽을 수집하도록 센서를 구성하려면 네트워크 장치 구성에 대한 자세한 내용을 참조하여 네트워크 장치를 트래픽 미러링하도록 구성하십시오.
• 센서 버전 4.0 이상은 향상된 NetFlow 원격 측정 데이터를 수집할 수 있습니다. 이를 통해 Secure Cloud Analytics는 새로운 유형의 관찰 및 경고를 생성할 수 있습니다. 자세한 내용은 향상된 NetFlow용 Secure Cloud Analytics 구성 가이드를 참조하십시오.
• 해당 센서는 IPv6를 지원하지 않습니다.

센서 필수 조건

다음과 같은 요구 사항을 충족하면 물리적 장치 또는 가상 머신에 센서를 설치할 수 있습니다.

요소	최소 요구 사항
네트워크 인터페이스	보안 클라우드 분석 서비스로 정보를 전달하기 위해 제어 인터페이스로 지정된 네트워크 인터페이스가 하나 이상 필요합니다. 선택적으로, 미러 포트를 통해 네트워크 트래픽을 복제하는 네트워크 장치에서 네트워크 트래픽을 수집하도록 센서를 구성하려면 미러 인터페이스로 지정된 네트워크 인터페이스가 하나 이상 필요합니다.
숫양	4GB (XNUMX기가바이트)
CPU	최소 2개의 코어
저장 공간	60GB의 디스크 공간은 NetFlow 데이터를 Secure Cloud Analytics로 전송하기 전에 프로덕션 데이터를 캐시하는 데 사용됩니다.
인터넷 접속	설치 과정에 필요한 패키지를 다운로드해야 합니다.

지정된 미러 인터페이스에 대해 다음 사항에 유의하십시오.

• 미러 인터페이스는 소스에서 대상으로 들어오는 모든 트래픽과 나가는 모든 트래픽의 복사본을 수신합니다. 센서의 미러 인터페이스 링크 용량보다 최대 트래픽이 적은지 확인하십시오.
• 많은 스위치는 미러 포트 대상에 과도한 트래픽이 구성된 경우 소스 인터페이스에서 들어오는 패킷을 드롭합니다.

물리적 장비 추가 요구 사항

요소	최소 요구 사항
설치 File 업로드	다음 중 하나를 사용하여 설치 .iso 파일을 업로드하세요. file: USB 포트 1개와 USB 플래시 드라이브 1개 광학 디스크 드라이브 1개와 기록 가능한 광학 디스크(예: CD-R 디스크) 1개

가상 머신은 .iso 파일로 직접 부팅할 수 있습니다. file 추가적인 요구 사항 없이.

가상 머신 추가 요구 사항
센서가 가상 머신으로 배포된 경우, 미러 또는 SPAN 포트에서 트래픽을 수집할 계획이라면 두 번째 네트워크 인터페이스에서 가상 호스트와 네트워크가 무차별 모드로 구성되어 있는지 확인하십시오.

• VMWare 8 환경에 센서를 배포할 때 기본 UEFI 부팅 설정을 사용하면 센서가 로드되지 않습니다. 이 문제를 해결하려면 하드웨어 사용자 지정 단계에서 VM 옵션 > 부팅 옵션을 선택한 다음 펌웨어 드롭다운 목록에서 BIOS를 선택하십시오.

VMware 하이퍼바이저
VMware 하이퍼바이저에서 가상 머신을 실행하는 경우 가상 스위치를 무차별 모드로 구성하십시오.

1. 인벤토리에서 호스트를 선택하세요.
2. 구성 탭을 선택합니다.
3. 네트워킹을 클릭하세요.
4. 가상 스위치의 속성을 클릭하세요.
5. 가상 스위치를 선택하고 편집을 클릭합니다.
6. 보안 탭을 선택합니다.
7. 무차별 모드 드롭다운 메뉴에서 '수락'을 선택하세요.

무차별 모드에 대한 자세한 내용은 VMware 기술 자료를 참조하십시오. VLAN ID를 4095로 설정해야 할 수도 있습니다.

버추얼박스
VirtualBox에서 가상 머신을 실행하는 경우 어댑터를 무차별 모드로 구성하십시오.

1.  네트워크 설정에서 미러 인터페이스용 어댑터를 선택하십시오.
2.  고급 옵션에서 무차별 모드를 허용으로 설정하십시오.

자세한 내용은 VirtualBox의 가상 네트워킹 관련 설명서를 참조하십시오.

센서 배치 제안
네트워크 토폴로지는 매우 다양할 수 있으므로 센서를 배포할 때 다음 일반 지침을 염두에 두십시오.

1.  센서를 설치할 위치를 결정하세요:
   • 유량 데이터 수집
   • 미러링된 네트워크 트래픽을 수집합니다.
   • 일부는 흐름 데이터를 수집하고, 다른 일부는 미러링된 네트워크 트래픽을 수집합니다.
   • 둘 다 흐름 데이터를 수집하고 미러링된 네트워크 트래픽을 수집합니다.
2.  흐름 데이터를 수집하는 경우, 네트워크 장치가 내보낼 수 있는 형식(예: NetFlow v5, NetFlow v9, IPFIX 또는 sFlow)을 확인하십시오.
   Cisco ASA 방화벽 및 Cisco Meraki MX 어플라이언스를 포함한 많은 방화벽이 NetFlow를 지원합니다. 방화벽이 NetFlow를 지원하는지 여부는 제조업체의 지원 문서를 참조하십시오.
3. 센서의 네트워크 포트가 미러 포트 용량을 지원하는지 확인하십시오.
   네트워크에 여러 센서를 배포하는 데 도움이 필요하면 시스코 지원팀에 문의하십시오.

센서 버전 확인하기
네트워크에 최신 센서(버전 5.1.3)가 배포되었는지 확인하려면 명령줄에서 기존 센서의 버전을 확인할 수 있습니다. 업그레이드가 필요한 경우 센서를 다시 설치하십시오.

1.  배포된 센서에 SSH로 접속합니다.
2. 프롬프트가 나타나면 `cat /opt/obsrvbl-ona/version`을 입력하고 Enter 키를 누르십시오. 콘솔에 5.1.3이 표시되지 않으면 센서가 구형입니다. 최신 센서 ISO 파일을 다운로드하십시오. web 포털 UI.

센서 접근 요구 사항
물리적 장치 또는 가상 머신은 인터넷을 통해 특정 서비스에 액세스할 수 있어야 합니다. 센서와 외부 인터넷 간에 다음 트래픽을 허용하도록 방화벽을 구성하십시오.

교통 유형	필수의	IP 주소, 도메인 및 포트 또는 구성
발신 HTTPS 트래픽	예	포트는 443이고 IP 주소는 다음과 같습니다.

센서의 제어 인터페이스는 아마존에서 호스팅되는 보안 클라우드 분석 서비스에 연결됩니다. Web 서비스		포털 IP 주소 보안 클라우드 분석 리전에 사용되는 AWS S3 IP 주소입니다. AWS IP 주소는 변경될 수 있으므로 AWS 정책을 참조하십시오. IP 주소 범위 도움말 항목을 참조하고 제공된 JSON에서 S3 서비스와 AWS 리전을 검색하세요. fileAWS 리전을 확인하려면 Secure Cloud Analytics 대시보드로 이동하여 페이지 하단으로 스크롤하십시오. 바닥글에 포털의 리전 이름이 표시되는 필드가 있으며, 이는 다음 AWS 리전에 해당합니다. 북미(버지니아 북부): us-east-1 유럽(프랑크푸르트): eu- Central-1 호주(시드니): ap- 남동-2
		1. 관리자 권한으로 센서에 SSH로 접속합니다.
		2. 명령 프롬프트에 다음 명령어를 입력하십시오.
센서가 알려진 시스코 주소와만 통신하도록 강제합니다.	아니요	sudo nano opt/obsrvbl-ona/config.local을 입력하고 누르세요. 입력하다 설정을 편집하려면 file 3. OBSRVBL_SENSOR_EXT_ONLY 설정을 다음과 같이 업데이트하십시오: OBSRVBL_SENSOR_EXT_ONLY=true.
		4. Ctrl + 0을 눌러 변경 사항을 저장합니다.

		5. Ctrl + x를 눌러 종료합니다. 6. 명령 프롬프트에서 sudo service obsrvbl-ona restart를 입력하여 센서를 재시작합니다.
센서의 제어 인터페이스에서 우분투 리눅스 서버로 리눅스 운영체제 및 관련 업데이트를 다운로드하기 위한 외부 트래픽입니다.	예	us.archive.ubuntu.com:443/TCP us.archive.ubuntu.com:80/TCP
센서의 제어 인터페이스에서 호스트 이름 확인을 위해 DNS 서버로 전송되는 외부 트래픽	예	[로컬 DNS 서버]:53/UDP
원격 문제 해결 장비에서 센서로 들어오는 트래픽	아니요	54.83.42.41:22/TCP

프록시 서비스를 사용하는 경우 센서 제어 인터페이스 IP 주소에 대한 프록시 예외를 생성하십시오.

네트워크 장치 구성
네트워크 스위치나 라우터를 구성하여 트래픽 복사본을 만든 다음 센서로 전달할 수 있습니다.

• 센서가 일반적인 교통 흐름 밖에 위치해 있기 때문에 교통 흐름에 직접적인 영향을 줄 수는 없습니다. 구성 변경 사항은 교통 흐름에 영향을 미칩니다. web 포털 UI는 트래픽 흐름 방식이 아닌 알림 생성 방식에 영향을 미칩니다. 알림을 기반으로 트래픽을 허용하거나 차단하려면 방화벽 설정을 업데이트하십시오.
• 미러링 트래픽을 구성하기 위한 네트워크 스위치 제조업체 및 리소스에 대한 정보는 다음을 참조하십시오.

제조업체	장치 이름	선적 서류 비치
넷옵틱스	네트워크 탭	자세한 문서 및 기타 정보는 Ixia의 리소스 페이지를 참조하십시오.
기가몬	네트워크 탭	자세한 문서 및 기타 정보는 Gigamon의 자료 및 기술 자료를 참조하십시오.

	분석기(SPAN)
향나무	포트 미러링	자세한 내용은 Juniper의 TechLibrary 문서를 참조하십시오.ampEX 시리즈 스위치에서 직원 리소스 사용량의 로컬 모니터링을 위한 포트 미러링 구성 방법
넷기어	포트 미러링	자세한 내용은 Netgear 기술 자료 문서를 참조하십시오.amp포트 미러링의 예와 관리형 스위치에서 작동 방식
지셀	포트 미러링	ZyXEL 스위치에서 미러링을 사용하는 방법에 대한 자세한 내용은 ZyXEL 기술 자료 문서를 참조하십시오.
다른	모니터 포트, 분석기 포트, 탭 포트	여러 제조업체의 스위치 참조에 대한 자세한 내용은 Wireshark 위키 문서를 참조하십시오.

네트워크 테스트 액세스 포인트(탭) 장치를 설치하여 트래픽 복사본을 센서로 전송할 수도 있습니다. 네트워크 탭 제조업체 및 네트워크 탭 구성 관련 자료는 다음을 참조하십시오.

제조업체	장치 이름	선적 서류 비치
넷옵틱스	네트워크 탭	자세한 문서 및 기타 정보는 Ixia의 리소스 페이지를 참조하십시오.
기가몬	네트워크 탭	자세한 문서 및 기타 정보는 Gigamon의 자료 및 기술 자료를 참조하십시오.

흐름 구성
NetFlow 데이터를 전송하려면 네트워크 장치를 구성해야 합니다. 자세한 내용은 다음을 참조하십시오. https://configurenetflow.info/ or https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco Cisco 네트워크 장치에서 NetFlow를 구성하는 방법에 대한 자세한 내용은 NetFlow_Configuration.pdf 파일을 참조하십시오.

센서 미디어 설치 및 구성

설치를 시작하기 전에 다시view 설치 및 구성 과정을 이해하는 데 필요한 지침과 함께 준비, 시간 및 리소스에 대한 정보도 제공합니다.
이 설치에는 두 가지 옵션이 있습니다.

• 가상 머신에 센서 설치: 가상 머신에 센서를 설치하면 .iso 파일로 부팅할 수 있습니다. file 곧장.
•  물리적 장치에 센서 설치: 물리적 장치에 센서를 설치하는 경우 .iso 파일을 사용하여 부팅 가능한 미디어를 생성합니다. file그런 다음 장치를 재시작하고 해당 미디어로 부팅하십시오.

설치 과정은 센서를 설치하기 전에 센서가 설치될 디스크의 모든 데이터를 삭제합니다. 설치를 시작하기 전에 센서를 설치할 물리적 장치 또는 가상 머신에 보존하고 싶은 데이터가 없는지 확인하십시오.

부트 미디어 생성 중

• 물리적 장치에 센서를 배포하는 경우 .iso 파일을 배포합니다. file 이 프로그램은 우분투 리눅스를 기반으로 센서를 설치합니다.
• .iso 파일을 작성하면 file CD나 DVD와 같은 광 디스크에 저장된 데이터를 사용하여 광 디스크 드라이브에 광 디스크를 넣은 상태로 물리적 장치를 재부팅하고 광 디스크에서 부팅하도록 선택할 수 있습니다.
• .iso 파일을 사용하여 USB 플래시 드라이브를 만들면 file Rufus 유틸리티를 사용하면 물리적 장치를 재부팅하고 USB 플래시 드라이브를 USB 포트에 삽입한 다음 USB 플래시 드라이브에서 부팅하도록 선택할 수 있습니다.
• ISO 파일을 사용하지 않고 센서를 배포하는 경우, 트래픽을 허용하도록 로컬 어플라이언스의 방화벽 설정을 업데이트해야 할 수 있습니다. 제공된 ISO 파일을 사용하여 센서를 배포하는 것을 적극 권장합니다.
• 부팅 가능한 USB 플래시 드라이브를 만들면 플래시 드라이브에 있는 모든 정보가 삭제됩니다. 플래시 드라이브에 다른 정보가 남아 있지 않은지 확인하십시오.

센서 ISO 파일을 다운로드하세요. file
센서 ISO의 최신 버전을 다음에서 다운로드하십시오. web 포털입니다. 새 센서를 설치하거나 기존 센서를 업그레이드하려면 이 포털을 사용하십시오.

1.  관리자 권한으로 Secure Cloud Analytics에 로그인하세요.
2.  도움말(?) > 온프레미스 센서 설치를 선택하세요.
3.  .iso 버튼을 클릭하여 최신 ISO 버전을 다운로드하세요.
4. 부팅 가능한 광학 디스크 만들기 또는 부팅 가능한 USB 플래시 드라이브 만들기로 이동하세요.

부팅 가능한 광학 디스크 만들기
제조업체의 지침에 따라 .iso 파일을 복사하십시오. file 광 디스크로.

부팅 가능한 USB 플래시 드라이브 만들기

1. 부팅 가능한 USB 플래시 드라이브를 만들려는 기기의 USB 포트에 빈 USB 플래시 드라이브를 삽입하십시오.
2.  워크스테이션에 로그인하세요.
3. 당신의 web 브라우저에서 Rufus 유틸리티로 이동하세요. web대지.
4.  Rufus 유틸리티의 최신 버전을 다운로드하십시오.
5. Rufus 유틸리티를 엽니다.
6.  장치 드롭다운 메뉴에서 USB 플래시 드라이브를 선택하세요.
7. 부팅 선택 드롭다운 메뉴에서 디스크 또는 ISO 이미지를 선택하십시오.
8. [선택]을 클릭하고 센서 ISO를 선택하세요. file.
9. 시작을 클릭하세요.

부팅 가능한 USB 플래시 드라이브를 만들면 플래시 드라이브에 있는 모든 정보가 삭제됩니다. 플래시 드라이브에 다른 정보가 남아 있지 않은지 확인하십시오.

센서 설치

1.  .iso 파일의 부팅 방식을 다음과 같이 선택하십시오.
   • 가상 머신: 가상 머신에 설치하는 경우 .iso 파일로 부팅하십시오. file.
   • 물리적 어플라이언스: 물리적 어플라이언스에 설치하는 경우 부팅 가능한 미디어를 삽입하고 어플라이언스를 재시작한 다음 부팅 가능한 미디어로 부팅하십시오.
2. 초기 메시지가 나타나면 "ONA 설치(고정 IP)"를 선택한 다음 Enter 키를 누르십시오.
3. 화살표 키를 사용하여 언어 목록에서 언어를 선택한 다음 Enter 키를 누르십시오.
4. 키보드 설정에는 다음과 같은 옵션이 있습니다.
   • 키보드 레이아웃과 변형을 선택하여 키보드를 구성한 다음 Enter 키를 누르십시오.
   • 키보드 식별을 선택한 다음 Enter 키를 누르십시오.
5. 네트워크 구성에서 '수동'을 선택하고 Enter 키를 누르십시오. 나머지 모든 네트워크 인터페이스는 자동으로 미러 인터페이스로 구성됩니다.
6.  장치에 사용할 서브넷 마스크를 입력하고 화살표 키를 사용하여 계속을 선택한 다음 Enter 키를 누릅니다.
7.  장치의 IP 주소를 입력하고 화살표 키를 사용하여 계속을 선택한 다음 Enter 키를 누르십시오.
8. 게이트웨이 라우터의 IP 주소를 입력하고 화살표 키를 사용하여 계속을 선택한 다음 Enter 키를 누르십시오.
9.  (선택 사항) 검색 도메인의 경우, IP 주소로 확인을 시도할 때 호스트 이름에 자동으로 추가될 도메인을 입력하고 화살표 키를 사용하여 계속을 선택한 다음 Enter 키를 누릅니다.
   기본적으로 설치 프로그램은 DHCP를 사용하여 설치를 진행합니다. DHCP IP 주소를 재정의하려면 설치가 완료된 후 인터페이스 설정을 수동으로 수정해야 합니다.
   네트워크에 로컬 권한 있는 네임 서버 주소가 배포되어 있는 경우 해당 주소를 입력하는 것이 좋습니다.
10. 새 사용자의 전체 이름을 입력하십시오. 이 이름은 관리자 권한을 위한 루트 계정이 아닌 계정과 연결됩니다. 그런 다음 화살표 키를 사용하여 계속을 선택하고 Enter 키를 누르십시오.
11.  센서가 다른 컴퓨터와 통신할 때 사용하며 보안 클라우드 분석 포털에 표시되는 서버 이름을 입력한 다음 화살표 키를 사용하여 계속을 선택하고 Enter 키를 누르십시오.
12.  관리자 권한이 있는 루트 계정이 아닌 사용자 이름을 입력한 다음 화살표 키를 사용하여 '계속'을 선택하고 Enter 키를 누르십시오.
13.  새 사용자의 암호를 선택한 다음 화살표 키를 사용하여 '계속'을 선택하고 Enter 키를 누르십시오.
14. 비밀번호를 다시 입력하여 확인한 다음, 화살표 키를 사용하여 '계속'을 선택하고 Enter 키를 누르십시오. 비밀번호를 두 번 다르게 입력한 경우 다시 시도하십시오.
    설치 과정에서 생성하는 계정이 가상 머신에 액세스하는 데 사용할 수 있는 유일한 계정입니다. 이 설치 과정에서는 별도의 보안 클라우드 분석 포털 계정이 생성되지 않습니다.
15. 설치 과정을 확인하려면 '계속'을 선택한 다음 Enter 키를 누르십시오.
    이 작업은 드라이브의 모든 데이터를 삭제합니다. 진행하기 전에 드라이브가 비어 있는지 확인하십시오.설치 프로그램이 필요한 항목을 설치하는 데 몇 분 정도 기다리십시오. files.
16. 설치 프로그램에 "설치 완료"가 표시되면 화살표 키를 사용하여 "지금 재부팅"을 선택한 다음 Enter 키를 눌러 장치를 다시 시작하십시오.
17. 기기가 재시작되면 생성한 계정으로 로그인하여 자격 증명이 올바른지 확인하십시오.

다음에 무엇을 할 것인가

• 개인 환경에 대한 접근을 제한하는 경우, 관련 IP 주소와의 통신이 허용되어 있는지 확인하십시오. 자세한 내용은 센서 접근 요구 사항을 참조하십시오.
• NetFlow와 같은 네트워크 흐름 트래픽을 수집하기 위해 센서를 사용하는 경우, 센서 구성에 대한 자세한 내용은 흐름 데이터 수집을 위한 센서 구성하기를 참조하십시오.
•  센서를 사용하여 미러링된 트래픽을 수집하기 위해 SPAN 또는 미러 포트에 연결하는 경우, 센서 연결을 참조하십시오. Web 보안 클라우드 분석에 센서를 추가하는 방법에 대한 자세한 내용은 해당 포털을 참조하십시오. web 문.
•  센서가 향상된 NetFlow 원격 측정 데이터를 전송하도록 구성하는 경우, 자세한 내용은 Cisco Secure Cloud Analytics Enhanced NetFlow 구성 가이드를 참조하십시오.

센서를 부착하기 Web 문

• 센서를 설치한 후에는 포털과 연결해야 합니다. 이를 위해서는 센서의 공용 IP 주소를 확인하고 포털에 입력해야 합니다. web 센서의 공용 IP 주소를 확인할 수 없는 경우, 고유 서비스 키를 사용하여 센서를 포털에 수동으로 연결할 수 있습니다.

해당 센서는 다음 포털에 연결할 수 있습니다.

• https://sensor.ext.obsrvbl.com (우리를)
• https://sensor.ext.eu-prod.obsrvbl.com (유럽 연합)
• https://sensor.ext.anz-prod.obsrvbl.com (호주)

여러 개의 센서가 있는 경우tag여러 서버가 MSSP와 같은 중앙 위치에 저장되어 있고 각기 다른 고객을 대상으로 하는 경우, 새 고객이 구성될 때마다 공용 IP 주소를 제거해야 합니다. 만약 서버들의 공용 IP 주소가 남아 있다면,tag하나의 환경에 여러 센서가 사용되는 경우, 센서가 잘못된 포털에 잘못 부착될 수 있습니다.
프록시 서버를 사용하는 경우, 센서와 보안 클라우드 분석 간의 통신을 활성화하려면 "프록시 구성" 섹션의 단계를 완료하십시오. web 문.

센서의 공용 IP 주소를 찾아서 포털에 추가하는 방법

1. 관리자 권한으로 센서에 SSH로 접속하세요.
2. 명령 프롬프트에서 c를 입력하십시오.url https://sensor.ext.obsrvbl.comandpressEnter'알 수 없는 ID' 오류 값은 센서가 포털과 연결되어 있지 않음을 의미합니다. 다음 이미지를 참조하십시오.amp르.서비스 호스트 URL 위치에 따라 다를 수 있습니다. 보안 클라우드 분석 포털에서 설정 > 센서로 이동한 다음 페이지 하단으로 스크롤하여 서비스 호스트를 찾으세요. url.
3.  IP 주소를 복사하세요.
4.  센서에서 로그아웃하세요.
5.  사이트 관리자 계정으로 보안 클라우드 분석에 로그인하세요.
6.  설정 > 센서 > 공용 IP를 선택하세요.
7. 새 IP 주소 추가를 클릭하세요.
8. 9. 새 주소 필드에 ID IP 주소를 입력합니다. [생성]을 클릭합니다. 포털과 센서가 키를 교환하면 향후 설정이 설정됩니다.
9. 만들기를 클릭하세요. 포털과 센서가 키를 교환하면, 이후 연결은 공용 IP 주소가 아닌 해당 키를 사용하여 설정됩니다.
   새로운 센서가 포털에 반영되기까지 최대 20분이 소요될 수 있습니다.

포털의 서비스 키를 센서에 수동으로 추가하기
센서의 공용 IP 주소를 추가할 수 없는 경우 web 포털이거나, 당신은...
여러 MSSP를 관리합니다. web 포털에서 센서의 config.local 구성을 편집합니다. file 센서를 포털과 연결하려면 포털의 서비스 키를 수동으로 추가해야 합니다.
이 키 교환은 이전 섹션에서 공용 IP 주소를 사용할 때 자동으로 수행됩니다.

1. Secure Cloud Analytics에 관리자 권한으로 로그인하십시오.
2.  설정 > 센서를 선택하세요.
3.  센서 목록의 맨 끝으로 이동하여 서비스 키를 복사하십시오. 예시는 다음 이미지를 참조하십시오.amp르.
   서비스 키:(표시) 서비스 호스트:
4. 관리자 권한으로 센서에 SSH로 접속하세요.
5. 명령 프롬프트에서 다음 명령어를 입력하고 Enter 키를 눌러 구성을 편집하십시오. sudo nano /opt/obsrvbl-ona/config.local file.
6. 다음 줄을 추가하고, 기존 줄을 대체하십시오. 포털의 서비스 키를 사용하여url지역 서비스 호스트와 함께 url: # 서비스 키
   OBSRVBL_SERVICE_KEY=” ” OBSRVBL_HOST=”url>”
   보안 클라우드 분석 포털에서 설정 > 센서로 이동한 다음 페이지 하단으로 스크롤하여 서비스 호스트를 찾으세요. url.
   예시를 보려면 다음 이미지를 참조하십시오.amp르 :
7. 변경 사항을 저장하려면 Ctrl + 0을 누르십시오.
8.  Ctrl + x를 눌러 종료하세요.
9.  명령 프롬프트에서 `sudo service obsrvbl-ona restart`를 입력하여 보안 클라우드 분석 서비스를 다시 시작하십시오.

새로운 센서가 포털에 반영되기까지 최대 20분이 소요될 수 있습니다.

프록시 구성
프록시 서버를 사용하는 경우, 센서와 프록시 서버 간의 통신을 활성화하려면 다음 단계를 완료하십시오. web 문.

1.  관리자 권한으로 센서에 SSH로 접속하세요.
2.  명령 프롬프트에서 다음 명령어를 입력하고 Enter 키를 눌러 구성을 편집하십시오. sudo nano /opt/obsrvbl-ona/config.local file.
3.  다음 줄을 추가하고 proxy.name.com을 프록시 서버의 호스트 이름 또는 IP 주소로, Port를 프록시 서버의 포트 번호로 바꾸십시오. HTTPS_PROXY=”proxy.name.com:포트.”
4. 변경 사항을 저장하려면 Ctrl + 0을 누르십시오.
5.  Ctrl + x를 눌러 종료하세요.
6. 명령 프롬프트에서 `sudo service obsrvbl-ona restart`를 입력하여 보안 클라우드 분석 서비스를 다시 시작하십시오.

새로운 센서가 포털에 반영되기까지 최대 20분이 소요될 수 있습니다.

센서의 포털 연결 확인
센서를 포털에 추가한 후, 보안 클라우드 분석에서 연결을 확인하십시오.

센서를 수동으로 연결한 경우 web config.local 파일을 업데이트하여 포털을 변경합니다.
구성 file 서비스 키를 사용하여, c를 사용하여url센서에서 연결 상태를 확인하는 명령이 응답을 반환하지 않을 수 있습니다. web 포털 이름.

1. 보안 클라우드 분석에 로그인하세요.
2. 설정 > 센서를 선택하세요. 센서가 목록에 나타납니다.

센서 페이지에 센서가 표시되지 않으면 센서에 로그인하여 연결을 확인하십시오.

1. 관리자 권한으로 센서에 SSH로 접속하세요.
2. 명령 프롬프트에서 c를 입력하십시오.url https://sensor.ext.obsrvbl.comandpressEnter. 센서는 포털 이름을 반환합니다. 예시는 다음 이미지를 참조하세요.amp르.서비스 호스트 url 위치에 따라 다를 수 있습니다. 보안 클라우드 분석 포털에서 설정 > 센서로 이동한 다음 페이지 하단으로 스크롤하여 서비스 호스트를 찾으세요. url.
3. 센서에서 로그아웃하세요.

유량 데이터를 수집하도록 센서 구성하기

• 센서는 기본적으로 이더넷 인터페이스의 트래픽에서 흐름 기록을 생성합니다. 이 기본 구성은 센서가 SPAN 또는 미러 이더넷 포트에 연결되어 있다고 가정합니다. 네트워크의 다른 장치에서 흐름 기록을 생성할 수 있는 경우 센서를 구성할 수 있습니다. web 포털 UI는 이러한 소스에서 흐름 기록을 수집하여 클라우드로 전송합니다.
• 네트워크 장치에서 서로 다른 유형의 흐름이 생성되는 경우, 센서가 각 유형의 흐름을 서로 다른 UDP 포트를 통해 수집하도록 구성하는 것이 좋습니다. 이렇게 하면 문제 해결도 더 쉬워집니다.
  더 간단합니다. 기본적으로 로컬 센서 방화벽(iptables)은 2055/UDP, 4739/UDP, 9995/UDP 포트를 열어 놓습니다. 추가 UDP 포트를 사용하려면 해당 포트를 구성해야 합니다.
  그만큼 web 문.

다음 흐름 유형의 컬렉션을 구성할 수 있습니다. web 포털 UI:

• NetFlow v5 – 포트 2055/UDP (기본적으로 열려 있음)
• NetFlow v9 – 포트 9995/UDP (기본적으로 열려 있음)
• IPFIX – 포트 4739/UDP (기본적으로 열려 있음)
•  sFlow – 포트 6343/UDP

기본 포트를 제공했지만, 원하는 포트로 구성할 수 있습니다. web 포털 UI.

특정 네트워크 장비를 선택해야 합니다. web 포털 UI가 제대로 작동하기 전:

• Cisco Meraki – 포트 9998/UDP
• 시스코 ASA - 포트 9997/UDP
• SonicWALL - 포트 9999/UDP

Meraki 펌웨어 버전 14.50은 Meraki 로그 내보내기 형식을 NetFlow 형식과 일치시킵니다. Meraki 장치의 펌웨어 버전이 14.50 이상인 경우 센서의 프로브 유형을 NetFlow v9로, 소스를 표준으로 설정하십시오. Meraki 장치의 펌웨어 버전이 14.50보다 낮은 경우 센서의 프로브 유형을 NetFlow v9로, 소스를 Meraki MX(버전 14.50 미만)로 설정하십시오.

유량 측정을 위한 센서 구성

1. 관리자 권한으로 Secure Cloud Analytics에 로그인하세요.
2. 설정 > 센서를 선택하세요.
3. 추가한 센서의 설정 드롭다운 메뉴를 클릭하세요.
4. NetFlow/IPFIX 구성을 선택하세요.
   이 옵션을 사용하려면 최신 센서 버전이 필요합니다. 이 옵션이 보이지 않으면 도움말(?) > 온프레미스 센서 설치를 선택하여 최신 센서 ISO 파일을 다운로드하십시오.
5. [새 프로브 추가]를 클릭하세요.
6.  프로브 유형 드롭다운 메뉴에서 흐름 유형을 선택하십시오.
7.  포트 번호를 입력하세요.
   Enhanced NetFlow를 센서에 전달하려면 센서 구성에서 Flexible NetFlow 또는 IPFIX에 대해 구성된 UDP 포트와 동일한 포트를 설정하지 않도록 하십시오. 예를 들어,amp예를 들어, 향상된 NetFlow에는 2055/UDP 포트를, 유연한 NetFlow에는 9995/UDP 포트를 구성하십시오. 자세한 내용은 향상된 NetFlow 구성 가이드를 참조하십시오.
8. 드롭다운 메뉴에서 프로토콜을 선택하세요.
9.  드롭다운 메뉴에서 소스를 선택하세요.
10.  저장을 클릭하세요.

센서 구성 업데이트가 포털에 반영되는 데 최대 30분이 소요될 수 있습니다.

문제 해결

센서에서 패킷을 캡처합니다.
경우에 따라 Cisco 지원팀에서 센서가 수신하는 흐름 데이터를 확인해야 할 수 있습니다. 이를 위해 흐름에 대한 패킷 캡처를 생성하는 것이 좋습니다. Wireshark에서 패킷 캡처 파일을 열어 다시 분석할 수도 있습니다.view 데이터

1.  관리자 권한으로 센서에 SSH로 접속하세요.
2.  프롬프트가 나타나면 sudo tcpdump -D를 입력하고 Enter 키를 누르십시오. view 인터페이스 목록입니다. 센서의 제어 인터페이스 이름을 확인하세요.
3. 프롬프트가 나타나면 sudo tcpdump -i를 입력하십시오. -n -c 100 "포트 " -w , 바꾸다 컨트롤 인터페이스 이름을 입력하세요. 설정한 흐름 데이터에 해당하는 포트 번호를 사용하여 생성된 pcap 파일에 이름을 지정합니다. file그런 다음 Enter 키를 누르십시오. 시스템에서 pcap 파일이 생성됩니다. file 지정된 이름으로 해당 인터페이스의 트래픽을 지정된 포트를 통해 전송합니다.
4. 센서에서 로그아웃하세요.
5. PuTTY SFTP(PSFTP) 또는 WinSCP와 같은 SFTP 프로그램을 사용하여 센서에 로그인합니다.
6. 프롬프트가 나타나면 get을 입력하세요. , 바꾸다 생성된 pcap 파일과 함께 file 이름을 입력하고 Enter 키를 눌러 전송하세요. file 로컬 워크스테이션으로.

Wireshark에서 패킷 캡처를 분석합니다.

1. Wireshark를 다운로드하여 설치한 다음 Wireshark를 실행하세요.
2. 선택하다 File > 열고 pcap 파일을 선택하세요 file.
3. 분석 > 디코딩을 선택합니다.
4. + 버튼을 클릭하여 새 규칙을 추가하세요.
5. 현재 드롭다운 메뉴에서 CFLOW를 선택한 다음 확인을 클릭합니다. UI가 업데이트되어 NetFlow, IPFIX 또는 sFlow와 관련된 패킷만 표시됩니다. 결과가 표시되지 않으면 pcap 파일에 NetFlow 관련 패킷이 포함되어 있지 않으며 센서의 흐름 데이터 수집 구성이 잘못된 것입니다.

추가 자료

Secure Cloud Analytics에 대한 자세한 내용은 다음을 참조하세요.

• https://www.cisco.com/c/en/us/products/security/stealthwatch-cloud/index.html 일반적인 것에 대해view
• https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/tsd-products-support-series-home.html 문서 리소스
• https://www.cisco.com/c/en/us/support/security/stealthwatch-cloud/products-installation-guides-list.html 설치 및 구성 가이드(Secure Cloud Analytics 초기 배포 가이드 포함)

지원 문의
기술 지원이 필요한 경우 다음 중 하나를 수행하십시오.

•  현지 Cisco 파트너에게 문의하세요.
• Cisco 지원팀에 문의
• 케이스를 여는 방법 web: http://www.cisco.com/c/en/us/support/index.html
• 이메일로 사례를 열려면: tac@cisco.com
•  전화 지원: 1-800-553-2447 (우리를)
• 전세계 지원 전화번호: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

변경 내역

문서 버전	게시 날짜	설명
1_0	27,2022년 XNUMX월	초기 버전
1_1	1,2022년 XNUMX월	시스코 지원 정보를 업데이트합니다.  공용 IP에 대한 참고 사항을 추가했습니다.
1_2	17년 2023월 XNUMX일	프록시 구성 섹션이 추가되었습니다.  Meraki 센서 설정이 업데이트되었습니다.
1_3	21,2023년 XNUMX월	오타를 수정했습니다. 시술 번호가 업데이트되었습니다.
1_4	8년 2024월 XNUMX일	서론을 업데이트했습니다. 센서 미디어 설치 및 구성 해당 섹션. 사소한 서식 변경.
1_5	30년 2024월 XNUMX일	업데이트됨 센서 접근 요구 사항 부분.
2_0	4년 2024월 XNUMX일	센서 버전을 업데이트했습니다. 센서를 설치했습니다. 부분, 센서의 공용 IP 주소를 찾아서 포털에 추가하는 방법 섹션 및 센서 필수 조건 부분.
2_1	21년 2025월 XNUMX일	VMware 부팅 옵션에 대한 참고 사항을 추가했습니다. 가상 머신 추가 요구 사항 부분. 업데이트됨 포털의 서비스 키를 수동으로 추가하기 감지기 OBSRVBL_HOST 구성 정보를 포함하는 섹션입니다.
2_2	17년 2025월 XNUMX일	센서가 알려진 시스코 주소와만 통신하도록 제한했던 북미 지역 전용 설정을 제거했습니다.

저작권 정보

• Cisco 및 Cisco 로고는 미국 및 기타 국가에서 Cisco 및/또는 그 계열사의 상표 또는 등록 상표입니다. view Cisco 상표 목록은 여기를 참조하세요. URL: https://www.cisco.com/go/trademarks. 언급된 제1721자 상표는 해당 소유자의 재산입니다. 파트너라는 단어의 사용은 Cisco와 다른 회사 간의 파트너십 관계를 의미하지 않습니다. (XNUMXR)
• © 2025 Cisco Systems, Inc. 및/또는 그 계열사. 판권 소유.

자주 묻는 질문

해당 센서는 IPv6 트래픽을 수집할 수 있습니까?

아니요, 해당 센서는 IPv6 트래픽을 지원하지 않습니다.

문서 / 리소스

시스코 보안 클라우드 분석 센서 [PDF 파일] 사용자 가이드 보안 클라우드 분석 센서, 클라우드 분석 센서, 분석 센서, 센서

참고문헌

• 사용자 설명서