隐形守望 6.8设备管理

在此博客文章中,我将介绍StealthWatch设备的常见管理元素。 

SMC

登录到StealthWatch Web App并导航到 管理员用户>Administer Appliance。您将被带到设备管理页面:

命名和DNS

导航 组态>Naming and DNS 配置以下内容:

  • 主机名
  • 域名
  • DNS超时值
  • 快取大小
  • 本地分辨率(主机文件)

系统时间和NTP

导航 组态>System Time and NTP 配置以下内容:

  • NTP服务器
  • 时区

服务

导航 组态>Services 配置以下内容:

  • SNMP协议
  • SSH协议 
  • SSH协议根访问
  • 高级入侵检测环境(AIDE)-用于启用主机基准,以检测系统上关键文件的修改
  • TLS上的系统日志
  • 代理服务器设置

 

静态路由

导航 组态>Static Routing 配置静态路由

 

SSL证书

导航 组态>SSL Certificates 配置SSL和SSL客户端证书(稍后用于pxGrid集成)

证书颁发机构证书

导航 组态>证书颁发机构证书 上传受信任的根CA的证书

远端档案系统

导航 组态>Remote File System 配置远程文件系统以存储数据库备份

 

Global 设定值

导航 组态>Global 设定值 配置以下内容:

  • 密码政策
  • 开场白
  • 会话超时
  • FIPS模式

发牌

正如我在上一篇文章中所述,我们可以稍后在StealthWatch管理控制台中添加许可。导航 组态>Licensing 激活许可证或上传离线许可证。

管理用户

您可以通过导航至以下选项之一来添加用户或更改密码:

  • 管理用户>Add/Delete Users
  • 管理用户>Change Password

这些都是不言自明的。

 

备份/还原数据库或配置

您可以通过导航到来执行SMC数据库的备份或还原。 支持>备份/还原数据库{配置}

浏览文件

导航 支持>Browse Files 在设备的/ lancope / var文件夹中显示文件系统。

 

封包捕获

导航 支持>Packet Capture 显示tcpdump实用程序提供的功能,该实用程序通过捕获和显示数据包头来监视网络流量,您可以将它们与一组条件进行匹配。

更新资料

导航 支持>Update 上传更新文件并安装它们

 

诊断包

导航 支持>Diagnostics Pack 从设备生成和下载诊断信息

 

审核日志

要查看系统和配置更改的审核日志,请导航至 审核日志

重新启动和关闭设备

要关闭或重新启动设备,请导航至 运作方式>{重新启动设备|关机设备}

 

退出 管理设备 窗口,然后返回到SMC仪表板。现在,我将在这里配置一些不同的东西。 

Active Directory 组态

接下来,我们将配置Active Directory配置。要将Active Directory与StealthWatch系统集成,您应该具有以下身份来源之一:

  • 思科ISE(首选方法)
  • 隐形守望 IDentity
  • 帕洛阿尔托网络防火墙
  • 思科ASA

根据Active Directory中用户信息的质量,确定将AD与SMC集成的有用性。与StealthWatch集成后,以下广告信息将可用:

  • 全名
  • 电子邮件地址
  • 电话号码
  • 位置
  • 角色/职务
  • 经理姓名

您也可以在SMC中集成多个AD服务器,并更改SMC轮询AD服务器以获取用户信息的顺序。

注意: 此AD集成不会将用户映射到IP地址。为此,您将需要一个外部身份源(如ISE)。这只是为您收集更多上下文信息。 

要配置Active Directory集成,请导航到 工具类>Settings>Active Directory 组态 然后点击 Add New 组态 按钮:

在下一页上,填写适用的信息以添加Active Directory,然后单击  when done:

如果配置正确,并且SMC能够连接到AD服务器,则应显示以下弹出窗口:

FlowCollector

FlowCollector中的大多数管理设置都非常相似,因此我将介绍不同的设置。 

Management Systems 组态

在这里可以配置一个或多个外部管理交换机,例如SMC或SIEM系统,并与该设备建立通信。要在FlowCollector中进行配置,请导航至 组态>Management Systems 组态 然后点击 添加新的管理系统

在此页面上,您也可以选中该框以接受来自任何管理系统的连接。不建议您将FlowCollector放在防火墙之外,因为您可能正在接受来自您不想接受其连接的系统的连接。

Advanced 设定值

高级设置将向您显示可用于更改StealthWatch系统行为的设置列表。除非Lancope支持人员告诉您,否则不建议更改此设置,因为如果您弄乱了某些内容,可能会严重影响FlowCollector。

要更改或查看这些设置,请导航至 支持>Advanced 设定值

 

 

我将为自己的单独博客文章保留其他一些SMC / FC管理功能: 

  • 外部查询
  • 代理摄取
  • 伊势整合