Tweet
Why Integrate Stealthwatch and ISE?( Tại sao tích hợp Stealthwatch và ISE?)
Phân tích dòng chảy tự nó rất hữu ích cho các phân tích trước và sau tấn công. Hình 6-54 cho thấy một báo cáo máy chủ cơ bản cho một PC khách trong Stealthwatch trước khi tích hợp nó vào ISE. Báo cáo này chỉ là một hương vị nhỏ của những gì Stealthwatch có thể cung cấp cho tổ chức bảo mật và trung tâm điều hành bảo mật (SOC) của bạn để phản hồi và cảnh báo sự cố.
Bắt đầu với phiên bản 6.9, Cisco Stealthwatch sử dụng ISE làm nguồn chính để tìm hiểu danh tính người dùng thụ động và chủ động để hợp nhất vào các bản ghi lưu lượng được sử dụng để phân tích bảo mật. Các cơ chế được sử dụng hoàn toàn giống nhau, cho dù đó là ISE đầy đủ hay Trình kết nối nhận dạng thụ động ISE (ISE-PIC), chỉ cung cấp danh tính thụ động (xem Chương 3, Kiểm soát truy cập mạng cơ bản, vượt ra ngoài để biết thêm thông tin về ISE và thụ động danh tính).
Giống như với WSA, bối cảnh được cung cấp cho Stealthwatch có thể phong phú hơn nhiều với ISE đầy đủ và do đó cung cấp nhiều giá trị hơn bằng cách thêm cấu hình điểm cuối và dữ liệu TrustSec.
Sau khi tích hợp ISE, các luồng sẽ chứa nhiều ngữ cảnh hơn về các máy chủ, bao gồm cả dữ liệu người dùng đã đăng nhập. Hình 6-55 hiển thị bảng Người dùng & Phiên được điền sau khi tích hợp ISE.
Preparing Stealthwatch for pxGrid(Chuẩn bị Stealthwatch cho pxGrid)
Để bắt đầu định cấu hình Stealthwatch cho pxGrid, chúng tôi sẽ tạo ra một Nhận dạng TLS bổ sung TLS bổ sung cho Trung tâm quản lý Stealthwatch (SMC); điều đó có nghĩa là chúng ta sẽ nhận được chứng chỉ pxGrid từ ISE và cài đặt nó trên SMC.
Không giống như FMC và WSA, Stealthwatch sử dụng các tệp chuỗi PKCS12 thay vì các chứng chỉ riêng lẻ. Nói cách khác, nó yêu cầu khóa riêng, chứng chỉ đã ký và tất cả các chứng chỉ gốc ký trong một tệp được mã hóa.
Step 1. Nhấp vào cog cài đặt ở góc trên bên phải và chọn Quản lý trung tâm, như trong Hình 6-56.
Step 2. Tab hoặc cửa sổ Quản lý trung tâm Stealthwatch sẽ mở.
Step 3. Trong cột Hành động, bấm vào biểu tượng vòng tròn bên cạnh Trung tâm quản lý Stealthwatch của bạn và bấm Chỉnh sửa cấu hình công cụ, như trong Hình 6-57.
Step 4. Cuộn xuống phần có tiêu đề Nhận dạng khách hàng SSL / TLS bổ sung.
Step 5. Click Add New.
Step 6. Click Generate CSR.
Step 7. Trong phần Tạo CSR, điền vào các trường cho yêu cầu ký chứng chỉ, như trong Hình 6-58.
Step 8. Nhấn vào Tạo CSR, như được chỉ ra trong Hình 6-58.
Step 9. Lưu tệp CSR kết quả vào một vị trí nơi bạn có thể dễ dàng truy xuất nó.
Step 10. Mở CSR trong trình soạn thảo văn bản yêu thích của bạn.
Phân tích dòng chảy tự nó rất hữu ích cho các phân tích trước và sau tấn công. Hình 6-54 cho thấy một báo cáo máy chủ cơ bản cho một PC khách trong Stealthwatch trước khi tích hợp nó vào ISE. Báo cáo này chỉ là một hương vị nhỏ của những gì Stealthwatch có thể cung cấp cho tổ chức bảo mật và trung tâm điều hành bảo mật (SOC) của bạn để phản hồi và cảnh báo sự cố.
Bắt đầu với phiên bản 6.9, Cisco Stealthwatch sử dụng ISE làm nguồn chính để tìm hiểu danh tính người dùng thụ động và chủ động để hợp nhất vào các bản ghi lưu lượng được sử dụng để phân tích bảo mật. Các cơ chế được sử dụng hoàn toàn giống nhau, cho dù đó là ISE đầy đủ hay Trình kết nối nhận dạng thụ động ISE (ISE-PIC), chỉ cung cấp danh tính thụ động (xem Chương 3, Kiểm soát truy cập mạng cơ bản, vượt ra ngoài để biết thêm thông tin về ISE và thụ động danh tính).
Giống như với WSA, bối cảnh được cung cấp cho Stealthwatch có thể phong phú hơn nhiều với ISE đầy đủ và do đó cung cấp nhiều giá trị hơn bằng cách thêm cấu hình điểm cuối và dữ liệu TrustSec.
Sau khi tích hợp ISE, các luồng sẽ chứa nhiều ngữ cảnh hơn về các máy chủ, bao gồm cả dữ liệu người dùng đã đăng nhập. Hình 6-55 hiển thị bảng Người dùng & Phiên được điền sau khi tích hợp ISE.
Preparing Stealthwatch for pxGrid(Chuẩn bị Stealthwatch cho pxGrid)
Để bắt đầu định cấu hình Stealthwatch cho pxGrid, chúng tôi sẽ tạo ra một Nhận dạng TLS bổ sung TLS bổ sung cho Trung tâm quản lý Stealthwatch (SMC); điều đó có nghĩa là chúng ta sẽ nhận được chứng chỉ pxGrid từ ISE và cài đặt nó trên SMC.
Không giống như FMC và WSA, Stealthwatch sử dụng các tệp chuỗi PKCS12 thay vì các chứng chỉ riêng lẻ. Nói cách khác, nó yêu cầu khóa riêng, chứng chỉ đã ký và tất cả các chứng chỉ gốc ký trong một tệp được mã hóa.
Step 1. Nhấp vào cog cài đặt ở góc trên bên phải và chọn Quản lý trung tâm, như trong Hình 6-56.
Step 2. Tab hoặc cửa sổ Quản lý trung tâm Stealthwatch sẽ mở.
Step 3. Trong cột Hành động, bấm vào biểu tượng vòng tròn bên cạnh Trung tâm quản lý Stealthwatch của bạn và bấm Chỉnh sửa cấu hình công cụ, như trong Hình 6-57.
Step 4. Cuộn xuống phần có tiêu đề Nhận dạng khách hàng SSL / TLS bổ sung.
Step 5. Click Add New.
Step 6. Click Generate CSR.
Step 7. Trong phần Tạo CSR, điền vào các trường cho yêu cầu ký chứng chỉ, như trong Hình 6-58.
Step 8. Nhấn vào Tạo CSR, như được chỉ ra trong Hình 6-58.
Step 9. Lưu tệp CSR kết quả vào một vị trí nơi bạn có thể dễ dàng truy xuất nó.
Step 10. Mở CSR trong trình soạn thảo văn bản yêu thích của bạn.