Cisco v7.5.3 ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ

መግቢያ

• ዚክ ቴሌሜትሪ ለመያዝ Cisco Secure Network Analytics (የቀድሞው Stealthwatch) v7.5.3 ወይም ከዚያ በላይ ለማዋቀር ይህንን መመሪያ ይጠቀሙ።
• Zeek telemetry በ Secure Network Analytics ለማዋቀር የውሂብ ማከማቻ እና ትንታኔ መንቃትዎን ያረጋግጡ።

አልቋልview

ዚክ በዋናነት እንደ ተገብሮ የአውታረ መረብ ትራፊክ ተንታኝ ሆኖ የሚያገለግል ሲሆን ይህም የደህንነት ቡድኖች የኔትወርክ ትራፊክን እንዲመረምሩ፣ አጠራጣሪ እንቅስቃሴዎችን እንዲለዩ እና ሊከሰቱ የሚችሉ አደጋዎችን ለመመርመር የመተግበሪያ ደረጃ ዝርዝሮችን ጨምሮ በፕሮቶኮል የመተንተን ችሎታዎች አማካኝነት የአውታረ መረብ ክስተቶችን ዝርዝር ምዝግብ ማስታወሻዎችን በማመንጨት ነው። ዚክ የሚከተሉትን ያቀርባል-

• የዛቻ አደን እና የአደጋ ምላሽየዜክ ምዝግብ ማስታወሻዎችን በመተንተን፣ የደህንነት ቡድኖች ያልተለመዱ ባህሪያትን ለይተው ማወቅ፣ ሊከሰቱ የሚችሉ የደህንነት ጉዳዮችን መመርመር እና በአውታረ መረቡ ላይ ተንኮል አዘል እንቅስቃሴዎችን ማደን ይችላሉ።
• ተገብሮ ሁነታ፡ ዜክ ፍሰቱ ውስጥ ጣልቃ ሳይገባ የኔትወርክ ትራፊክን በመመልከት በተጨባጭ ሁኔታ ውስጥ ስለሚሰራ የኔትወርክ ስራዎችን የሚያደናቅፍ ነው።
• ዝርዝር ምዝግብ ማስታወሻዎች፡- Zeek የሰዓት ጊዜን ጨምሮ ስለ አውታረ መረብ ግንኙነቶች አጠቃላይ መረጃን የሚይዙ ዝርዝር ምዝግብ ማስታወሻዎችን ያመነጫል።ampዎች፣ ምንጭ/መዳረሻ አይፒ አድራሻዎች፣ ወደቦች፣ ፕሮቶኮሎች፣ እና እንዲያውም file ይዘት, ጥልቅ ትንታኔን ማመቻቸት.
• ማከማቻ፡ የዚክ ምዝግብ ማስታወሻዎች እንደሚከተለው ይቀመጣሉ.
  • አብዛኛዎቹ ምዝግብ ማስታወሻዎች በ Flow ሰብሳቢው ውስጥ ይከማቻሉ፣ ግን conn.log በዳታ ማከማቻ ውስጥ ነው።
  • ፍሰት ሰብሳቢው ከ30 ቀናት በላይ የቆዩ ሁሉንም መረጃዎች ይሰርዛል። ለተጨማሪ ዝርዝሮች፣ በምናባዊ እትም ዕቃ መጫኛ መመሪያ ውስጥ ያለውን “የሀብት መስፈርቶች” ይመልከቱ።

መስፈርቶች
ትንታኔ መንቃቱን ያረጋግጡ። ከዋናው ሜኑ አዋቅር > ማወቂያ > ትንታኔን ምረጥ፣ ከዚያ Analytics አብራን ጠቅ አድርግ።

መስፈርቶቹም የሚከተሉት ናቸው።

• ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ v7.5.3.
• የውሂብ ማከማቻ ትንታኔ ነቅቷል።
• ዚክ ቴሌሜትሪ ለመጀመሪያ ጊዜ ማዋቀር ለአዳዲስ ጭነቶች ነባሪ ነው። ካለፈው ልቀት እያሳደጉ ከሆነ፣ በላቁ መቼቶች ውስጥ Zeek telemetryን ማዋቀር ያስፈልግዎታል።
• ለዜክ ቴሌሜትሪ የተለየ ፈቃድ መግዛት አያስፈልግም። ስለ ፍቃድ አሰጣጥ ተጨማሪ መረጃ ለማግኘት የስማርት ሶፍትዌር ፍቃድ መመሪያን 7.5.3 ይመልከቱ።

የአፈጻጸም ግምት

• በሃርድዌር መድረክ ላይ በሰከንድ 100,000 ዝግጅቶችን (Syslog messages) እንደግፋለን። ስለ ሃብት መስፈርቶች ዝርዝር መረጃ ለማግኘት የሃርድዌር መጫኛ መመሪያን ይመልከቱ። ስለተጣመሩ የቴሌሜትሪ ግብዓቶች ተጨማሪ መረጃ ለማግኘት የቨርቹዋል እትም ዕቃ መጫኛ መመሪያን ይመልከቱ።
• እንደ የክስተት መጠን እና ወደ ውስጥ እየገቡ ያሉ የምዝግብ ማስታወሻዎች ብዛት ያሉ በርካታ ምክንያቶች አሉ፣ ይህም በእርስዎ ልዩ አፈጻጸም ላይ ተጽዕኖ ሊያሳድሩ ይችላሉ። ውሂቡን በተቻለ መጠን በትክክል እና በትክክል ለመወከል የተቻለንን ስናደርግ፣ አካባቢዎ የተለያዩ ገደቦች ሊያጋጥመው ይችላል።

የዜክ ምዝግብ ማስታወሻዎች
ሁሉንም የዚክ ምዝግብ ማስታወሻዎች በSyslog በኩል እየሰበሰብን ነው አሁን ግን በሚከተሉት ላይ ብቻ እያተኮርን ነው።

• conn.log
• dns.log
• smb_files.logor smb_mappings.log
• dce_rpc_log
• በአንዳንድ አጋጣሚዎች smb_files.logand dce_rpc.logmight ወደ smb_mappings.log ይላካል።

የዜክ ምዝግብ ማስታወሻዎች በ Syslog እንደ JSON በተወሰነ ቅርጸት እንዲላኩ መዋቀር አለባቸው።

• መጓጓዣ፡ የዜክ ምዝግብ ማስታወሻዎች የJSON ፎርማትን በSyslog over UDP (ነባሪ ወደብ 9514) ይጠቀማሉ።
• ቅርጸት፡- የዜክ ሎግ ጀነሬተር zeek_ ማከል አለበትfileስም = "xxx.log"tag ለወራጅ ሰብሳቢው ከJSONL ሕብረቁምፊ በፊት።

የወራጅ ሰብሳቢውን ወደ ኢንጅስት ዚክ ቴሌሜትሪ በማዋቀር ላይ

ደህንነቱ በተጠበቀ የአውታረ መረብ ትንታኔ ውስጥ ዚክ ቴሌሜትሪ ለማዋቀር እነዚህ ሁለት አማራጮች ናቸው፡

• የመጀመሪያ ጊዜ ማዋቀር; Zeek telemetry ለአዲስ ጭነቶች ነባሪ ነው፣ነገር ግን Zeek Telemetryን በመጀመሪያ ጊዜ ማዋቀር (የውሂብ ማከማቻ ብቻ) ማረጋገጥ ትችላለህ።
• የላቁ ቅንብሮች፡ ካለፈው ልቀት ሲያሻሽሉ ዚክ ቴሌሜትሪ በላቁ ቅንብሮች ውስጥ ማዋቀር ያስፈልግዎታል።

ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔን ስለማዋቀር የበለጠ መረጃ ለማግኘት የስርዓት ውቅር መመሪያን ይመልከቱ።

በመጀመሪያው ጊዜ ማዋቀር ወቅት Zeek Telemetry ያረጋግጡ (የውሂብ ማከማቻ ብቻ)
የዜክ ቴሌሜትሪ በአዲስ ፍሰት ሰብሳቢ በመረጃ ማከማቻ ውስጥ ማስገባትን ለማስቻል የሚከተሉትን ደረጃዎች ያጠናቅቁ።

1. ለእርስዎ ፍሰት ሰብሳቢው በሚመለከተው የመሳሪያ መጫኛ መመሪያ ውስጥ ያሉትን መመሪያዎች ይከተሉ። ከዚያም ስለ ብዙ የቴሌሜትሪ ዓይነቶች የመሳሪያ ውቅርን በተመለከተ ለበለጠ ዝርዝር መመሪያዎች የስርዓት ውቅር መመሪያን ይጠቀሙ።
2. የቨርቹዋል ማሽን ኮንሶሉን ይድረሱ። ምናባዊ መሳሪያው መነሳቱን እንዲያጠናቅቅ ይፍቀዱለት።
3. በኮንሶል በኩል ይግቡ።
   • ግባ፡ sysadmin
   • ነባሪ የይለፍ ቃል መቋቋም
     ስርዓቱን ለመጀመሪያ ጊዜ ሲያዋቅሩት በተለምዶ ነባሪ የይለፍ ቃል ይለውጣሉ።
4. Review ያልተሳካው መግቢያ መረጃን ይሞክራል። ለመቀጠል እሺን ይምረጡ።
5. Review የመጀመሪያ ጊዜ ማዋቀር መግቢያ. ለመቀጠል እሺን ይምረጡ።
6. ከቴሌሜትሪ ዓይነቶች ዝርዝር ውስጥ Zeek Logs ን ይምረጡ። ለመቀጠል እሺን ይምረጡ። ሁሉም የቴሌሜትሪ ዓይነቶች በነባሪነት በአዲስ ስምሪት ውስጥ ተመርጠዋል። ካለፈው ልቀት ወደ v752 እያሳደጉ ከሆነ፣ በላቁ ቅንጅቶች ውስጥ Zeek Telemetry አዋቅር የሚለውን ይመልከቱ።
7. ለ Zeek Logs ወደብ ያረጋግጡ 9514 እና ከዚያ እሺን ይምረጡ። ወደብ 9514 እንድትጠቀም እንመክርሃለን፡ ወደቦች 2055፣ 514፣ ወይም 8514 አትጠቀም።
   የቴሌሜትሪ ወደቦችዎ ልዩ መሆናቸውን ያረጋግጡ። የተባዙ የቴሌሜትሪ ወደቦችን ካዋቀሩ የወራጅ ውሂብን ላለማጣት ወደቦች ወደ ውስጣዊ ነባሪው ይጀመራሉ። ለ exampኔት ፍሎው እና ዚክ ወደተመሳሳይ የቴሌሜትሪ ወደብ የሚላኩ ከሆነ እያንዳንዱ የዜክ ዳታ ወደ ውጭ የሚላከው መሳሪያ በፍሎው ሰብሳቢው ላይ ላኪ ይፈጥራል እና የላኪውን ሀብት በ Flow Collector ሞተር ውስጥ ያሟጥጣል ፣ በዚህም የፍሰት መረጃ መጥፋት ያስከትላል።
8. ለውጦችዎን ለማስቀመጥ ተግብር የሚለውን ጠቅ ያድርጉ።
9. ምናባዊ አካባቢውን ለመጨረስ እና መሳሪያውን እንደገና ለማስጀመር በስክሪኑ ላይ ያሉትን ጥያቄዎች ይከተሉ።

Zeek Telemetry በላቁ ቅንብሮች ውስጥ ያዋቅሩ

ይህን አሰራር ከመጀመርዎ በፊት አዲሱን Flow Collector NetFlow rollup patch መጫንዎን ያረጋግጡ።

አስቀድሞ የተዋቀረውን የዜክ ቴሌሜትሪ ፍሰት ሰብሳቢ ላይ ማስገባት ለመጀመር የሚከተሉትን ደረጃዎች ያጠናቅቁ።

1. ወደ አስተዳዳሪዎ ይግቡ።
2. ከዋናው ምናሌ ውስጥ Configure > Global > Central Management የሚለውን ይምረጡ።
3. በኢንቬንቶሪ ገጽ ላይ የወራጅ ሰብሳቢዎ የ… (Ellipsis) አዶን ጠቅ ያድርጉ እና ከዚያ ይምረጡ View የመሳሪያዎች ስታቲስቲክስ. የወራጅ ሰብሳቢ አስተዳዳሪ በይነገጽ ይከፈታል።
4. ድጋፍ > የላቁ ቅንብሮችን ይምረጡ።
   አንድ መስክ ካልታየ, አዲስ አማራጭ ጨምር የሚለውን መስክ ጠቅ ያድርጉ. በፍሎ ሰብሳቢው ላይ የላቁ ቅንብሮችን ስለማስተካከያ ተጨማሪ መረጃ ለማግኘት የላቁ ቅንብሮች እገዛ ርዕስን ይመልከቱ።
5. በማንቃት_zeek መስክ ላይ Zeek telemetryን ለመያዝ እሴቱን ወደ 1 ያቀናብሩ። መዝገቦችን በJSON ቅርጸት ለማስተላለፍ ዚክን ማዋቀርዎን ያረጋግጡ።
6. በ zeek_port መስክ ውስጥ እሴቱ ወደ 9514 መዋቀሩን ያረጋግጡ።

የቴሌሜትሪ ወደቦችዎ ልዩ መሆናቸውን ያረጋግጡ። የተባዙ የቴሌሜትሪ ወደቦችን ካዋቀሩ የወራጅ ውሂብን ላለማጣት ወደቦች ወደ ውስጣዊ ነባሪው ይጀመራሉ። ለ exampኔት ፍሎው እና ዚክ ወደተመሳሳይ የቴሌሜትሪ ወደብ የሚላኩ ከሆነ እያንዳንዱ የዜክ ዳታ ወደ ውጭ የሚላከው መሳሪያ በፍሎው ሰብሳቢው ላይ ላኪ ይፈጥራል እና የላኪውን ሀብት በ Flow Collector ሞተር ውስጥ ያሟጥጣል ፣ በዚህም የፍሰት መረጃ መጥፋት ያስከትላል።

Zeek Telemetry ማረጋገጥ

Zeek ቴሌሜትሪ መያዙን ለማረጋገጥ፣ እንደገናview የZek Log Collection Trend ዘገባ፡-

1. ወደ አስተዳዳሪዎ ይግቡ።
2. ከዋናው ምናሌ ውስጥ ሪፖርት > ሪፖርት ሰሪ የሚለውን ይምረጡ።
3. አዲስ ሪፖርት ፍጠር የሚለውን ጠቅ ያድርጉ፣ ከዚያ Zeek Log Collection Trend የሚለውን ይምረጡ።
4. አሂድ የሚለውን ጠቅ ያድርጉ።
5. ሪፖርቱ Zeek telemetry እያሳየ መሆኑን ያረጋግጡ።

Zeek Log ስብስብ አዝማሚያ ሪፖርት
የሚከተሉት sampየዜክ ሎግ ስብስብ አዝማሚያ ሪፖርት Zeek telemetry በተሳካ ሁኔታ መያዙን ያሳያል።

ሪፖርት ኤስampለ 1
ይህ ዘገባ ኤስample አንድ ሰዓት ይሰጣል view.

ሪፖርት ኤስampለ 2

• ይህ ዘገባ ኤስampለ 12 ሰአታት ያቀርባል view.
• ስለ ሪፖርቶች ተጨማሪ መረጃ ለማግኘት ጠቅ ያድርጉ (እገዛ) የሪፖርት ገንቢ እገዛ ርዕስን ለመድረስ አዶ።

Zeek ክስተቶችን መገምገም

የዚክ ክስተቶችን ለመገምገም የሚያግዙ ሁለት ተጨማሪ ሪፖርቶች አሉ።

• Zeek Database Ingest አዝማሚያ ሪፖርት
• Zeek የምዝግብ ማስታወሻዎች ሪፖርት
• የውሂብ ማከማቻ እንዳለህ አረጋግጥ እና ትንታኔ እንደነቃ።
• ትንታኔን ለማንቃት ከዋናው ሜኑ አዋቅር > ማወቂያ > ትንታኔን ምረጥ እና አናሌቲክስ በርቷልን ጠቅ አድርግ።

Zeek Database Ingest አዝማሚያ ሪፖርት
በመረጃ ማከማቻዎ ላይ የተጻፉትን የZek conn.log ክስተቶችን ለመገምገም የሚከተሉትን ያድርጉ።

1. ወደ አስተዳዳሪዎ ይግቡ።
2. ከዋናው ምናሌ ውስጥ ሪፖርት > ሪፖርት ሰሪ የሚለውን ይምረጡ።
3. አዲስ ሪፖርት ፍጠር የሚለውን ጠቅ ያድርጉ፣ ከዚያ Zeek Database Ingest Trend የሚለውን ይምረጡ።
4. አሂድ የሚለውን ጠቅ ያድርጉ።
5. Review ዘገባው፡-
   • የውሂብ ማከማቻው Zeek conn.log ክስተቶችን እየተቀበለ ነው?
   • ማቋረጦች ነበሩ?

ሪፖርት ኤስample

• ይህ ኤስampለ 12 ሰአታት ያቀርባል view.
• View በየወቅቱ እንደ የክስተት ባይት የተፃፉ መዝገቦች ወይም የክስተት ብዛት በየወቅቱ።

Zeek የምዝግብ ማስታወሻዎች ሪፖርት

• የእርስዎ ፍሰት ሰብሳቢ ከዜክ ውሂብ ለመቀበል መዋቀሩን ያረጋግጡ። መመሪያዎችን ለማግኘት የስርዓት ውቅር መመሪያን ይመልከቱ።
• እንደገናview የዜክ ቴሌሜትሪ የምዝግብ ማስታወሻ ዝግጅቶች ለአንድ ወራጅ ሰብሳቢ ለተወሰነ የዚክ ሎግ ዓይነት የሚከተሉትን ያድርጉ።
• ወረፋ በመጠባበቅ ላይ ካሉ ተጨማሪ መጠይቆች ጋር በአንድ ጊዜ እስከ አራት የዜክ ሎግ መጠይቆችን ማሄድ ይችላሉ።

1. ወደ አስተዳዳሪዎ ይግቡ።
2. ከዋናው ምናሌ ውስጥ ሪፖርት > ሪፖርት ሰሪ የሚለውን ይምረጡ።
3. አዲስ ሪፖርት ፍጠር የሚለውን ጠቅ ያድርጉ፣ ከዚያ Zeek Logs የሚለውን ይምረጡ።
4. በአጠቃላይ አከባቢ ውስጥ በሚያስፈልጉት መስኮች ውስጥ መለኪያዎችን ይግለጹ. መለኪያ ተጨማሪ መረጃ
   • የጊዜ ክልል ብጁን ከመረጡ ለከፍተኛ አፈጻጸም አጭር ጊዜ ይምረጡ። ረጅም ጊዜ ካስገቡ ሪፖርቱ ውሂቡን ለመጠየቅ ረጅም ጊዜ ሊወስድ ይችላል.
   • ወራጅ ሰብሳቢ በአውታረ መረብዎ ውስጥ ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ ፍሰት ሰብሳቢ ይምረጡ።
   • ከፍተኛ መዝገቦች ከፍተኛውን የመዝገብ ብዛት ይምረጡ። ገደቡ 10,000 መዝገቦች ነው።
   • Zeek Log አይነት የዜክ ሎግ ዓይነት ይምረጡ።
   • በ Zeek Log Type መስክ ውስጥ ከ conn.log ሌላ ሎግ መምረጥ ሪፖርቱ ረዘም ላለ ጊዜ እንዲቆይ ሊያደርግ ይችላል ፣ ግን እስከ መጠናቀቅ ድረስ መሮጥ አለበት።
5. አስፈላጊ ከሆነ ተጨማሪ መለኪያዎችን ለመለየት የማጣሪያውን ቦታ ይጠቀሙ።
6. አሂድ የሚለውን ጠቅ ያድርጉ።

ሪፖርት ኤስample

• ይህን ሪፖርት ሲፈጥሩ አማራጭ መለኪያዎች ተመርጠዋልampለ.
• በዚህ ሪፖርት ላይ ውሂብ ለመቀበል ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ ከውሂብ ማከማቻ ዝርጋታ ጋር ያስፈልገዎታል። ለመረጃ እና መመሪያ፣የመሳሪያ ጭነት መመሪያን (ሃርድዌር ወይም ምናባዊ እትም) እና የስርዓት ውቅር መመሪያን ይመልከቱ።

ድጋፍን ማነጋገር
የቴክኒክ ድጋፍ ከፈለጉ፣ እባክዎ ከሚከተሉት ውስጥ አንዱን ያድርጉ።

• የአካባቢዎን የሲስኮ አጋር ያግኙ
• Cisco ድጋፍ ያነጋግሩ
• ጉዳይ ለመክፈት በ web: http://www.cisco.com/c/en/us/support/index.html
• ለስልክ ድጋፍ፡ 1-800-553-2447 (አሜሪካ)
• ለአለም አቀፍ የድጋፍ ቁጥሮች፡- https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

ታሪክ ቀይር

የሰነድ ሥሪት	የታተመበት ቀን	መግለጫ
1_0	ኦገስት 6፣ 2025	የመጀመሪያ ስሪት.

የቅጂ መብት መረጃ
የሲስኮ እና የሲስኮ አርማ የንግድ ምልክቶች ወይም የተመዘገቡ የሲስኮ እና/ወይም ተባባሪዎቹ በአሜሪካ እና በሌሎች ሀገራት የንግድ ምልክቶች ናቸው። ለ view የ Cisco የንግድ ምልክቶች ዝርዝር, ወደዚህ ይሂዱ URL: https://www.cisco.com/go/trademarks. የተጠቀሱት የሶስተኛ ወገን የንግድ ምልክቶች የየባለቤቶቻቸው ንብረት ናቸው። አጋር የሚለው ቃል በሲስኮ እና በሌላ ኩባንያ መካከል ያለውን አጋርነት አያመለክትም። (1721 አር)

ሰነዶች / መርጃዎች

Cisco v7.5.3 ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ [pdf] የተጠቃሚ መመሪያ v7.5.3፣ v7.5.3 ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ፣ v7.5.3፣ ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ፣ የአውታረ መረብ ትንታኔ፣ ትንታኔ

ዋቢዎች

• የተጠቃሚ መመሪያ