带WSA的StealthWatch ProxyWatch

在这篇博客中,我将通过StealthWatch来介绍ProxyWatch。许多企业利用代理来保护其网络。当使用代理来拦截Web流量时,StealthWatch将有来自网络设备的多个流为相同的流量提供服务。 它们以其他安全解决方案的可见性为代价提供保护。 ProxyWatch是一项许可功能,可让StealthWatch查看转换后的地址并将其与代理对话的另一端相关联,从而提供更准确的故障排除和取证。有点像代理服务器的NAT拼接。 

ProxyWatch允许管理员查看组织中的谁访问了特定的网站,并根据SLIC Threat Feed评估URL数据,以提供另一层保护。转换代理日志和NetFlow 成为可行的信息。 额外的可见性和上下文使StealthWatch管理员可以更快地检测到威胁并做出适当响应,而不管流量是否通过代理传递。这允许不具有流能力的代理信息相关联

隐形守望支持ProxyWatch的以下代理:

  • 思科WSA
  • 迈克菲
  • 蓝色外套
  • 乌贼

要配置ProxyWatch,请在浏览器中导航到FlowCollector的IP地址并登录。在FlowCollector的控制台上,导航至 组态>Proxy Ingest

要添加新的代理,请输入代理信息:

  • 代理类型
  • 代理的IP地址
  • 代理服务端口 -这是主机用于通过代理的端口。就我的实验室而言,我的主机正在使用端口80

请点击 完成后,然后单击 应用

在我的实验室中,我有一个WSA,因此我将通过该方面的配置。我将导航到WSA的URL并登录

登录到WSA后,导航到 系统管理>Log Subscription 然后点击 加 日志订阅s

在“新建日志订阅”窗口中,选择日志类型为 W3C日志  并添加所选的日志字段:

  • 时间戳记
  • x经过时间
  • 客户端
  • C口
  • cs字节
  • 运动
  • sc字节
  • cs用户名
  • 电脑名称
  • 网址

向下滚动到此页面的底部,然后选择单选按钮 Syslog推送。添加FlowCollector的IP地址和最大消息大小 1024。然后点击 提交 .

提交此新日志后,请在WSA中提交更改。

 

在StealthWatch中使用ProxyWatch

登录您的SMC Web应用程序并导航到 流量>Flow Search。选择以下选项 高级。  

搜索主题 ,选择 包括IP地址/列表 并填写WSA的IP地址。

然后点击 查看查询 按钮。

在下一页上,单击 .

结果将显示在下一页上:

点击代理旁边的省略号,然后从下拉菜单中选择 查看代理日志 选项:

 

将拉起的是原始源IP,代理IP,目标IP /端口,URL和该主机上用户的用户名:

如您所见,此类细节绝对有助于减少对事件做出反应的时间。