Cisco Stealthwatch
چه چیزهایی در Stealthwatch v7.3 بروز شدند؟
در ادامه این مقاله به برخی از بهبودها و ویژگیهای جدیدی که به Cisco Stealthwatch اضافه شدهاند نگاهی میاندازیم.
Stealthwatch Data Store
این ابزار یک روش مرکزی برای ذخیره سازی جریان داده موجود در شبکه که به وسیله کالکتورهای Stealthwatch جمع آوری شدهاند، ایجاد میکند. این دیتا استورها مزایای زیر را به ارمغان میآورند:
- قابلیت ذخیره سازی ظرفیت عظیمی از اطلاعاتی که به وسیله Flow Collector ها (کالکتورهای جریان داده) جمع آوری شدهاند.
- این دیتا استورها از مجموعهای از نودهای داده تشکیل شدهاند که هر کدام شامل دادههای جریان و دادههای بکاپ از بقیه نودها به منظور ایجاد Fault Tolerance هستند.
- از آنجایی که دادههای شبکه در یک پایگاه داده مرکزی قرار دارند، کوئری کردن آنها به نسبت کوئری کردن تک تک آنها به منظور دریافت اطلاعات مورد نیاز، سریعتر است.
بهبود انتخاب و تصدیق رمز
کاربران رمزهای عبوری پیشنهادی را میتوانند با کلیک روی Generate Password دریافت کنند. همینطور میتوانند رمز عبور دلخواهشان را نیز انتخاب کنند که بین ۸ تا ۲۵۶ کاراکتر است. این رمز عبور مطابق با استانداری است که شما میتوانید در بخش Management > Password Policy پیکربندی کنید.
رمز عبور کاربر نمیتواند موارد زیر باشد:
- یکسان یا بسیار مشابه با نام کاربری نباشد
- بیشتر از چهار کاراکتر یکسان با رمز عبور قبلی نداشته باشد
- نمیتواند کاراکتر های تکراری داشته باشد
- نمیتواند لغت معنادار چهار حرفی در آن باشد
- نباید در لیست موجود در کتابخانه رمزهایی باشد که معروف هستند
Response Management
قابلیت Response Management با چندین بهبود به Stealthwatch Web App اضافه شده است. هنگامی که به نسخه ۷٫۳ از نرم افزار Stealthwatch آپگرید میکنید، تمامی پیکربندیهای Response Management از Stealthwatch Desktop Client به Stealthwatch Web App انتقال مییابد. اگر Rule های در Desktop Client باشد، در نسخه تحت وب به صورت اتوماتیک در حین انتقال غیر فعال میشوند. در چنین شرایطی قبل از فعالسازی این دسته از Ruleها اقدام به تصحیح آنها نمایید.
توجه کنید که اگر از Stealthwatch v7.2 به Stealthwatch v7.3 آپگرید میکنید، اپلیکیشن وب این ابزار اقدام به import کردن Common Event Format (CEF) به صورت پیامهای Syslog به Response Management میکند.
در این نسخه از Stealthwatch یک سری Rule و Action های لازم برای export شدن هشدارها به SecureX Cisco Threat Response ایجاد میکند.
بهبودهایی که در بخش Rules و Actions ایجاد شدهاند عبارتند از:
Ruleها
- شما میتوانید شدت هشدار را مشخص کنید.
- میتوانید پالیسیهای Relationship انتخاب کنید.
- Response Management با Cisco ISE یکپارچه میشود.
- ruleهای پیش فرض دیگری دارید که میتوانید آنها را انتخاب کنید.
- Response Management اکنون شامل Actionهای ISE ANC Policy، Threat Response Incident و Webhook است.
- اکنون میتوانید conditionها و sub-condition ها را اضافه کنید.
- برای انتقال یک condition به مجموعه condition های دیگر به راحتی میتوانید آنها را Drag-and-Drop کنید.
- از تب Rules میتوانید اقدام به فعال و غیرفعال سازی Rule ها نمایید.
Actionها:
action های جدید زیر به این نسخه از Stealthwatch اضافه شدهاند:
- ISE ANC Policy: برای الزام Cisco ISE به ایجاد پالیسی ANC (Adaptive Network Control) مورد استفاده قرار میگیرد.
- Threat Response Incident: شما میتوانید هشدارهایی را به SecureX Cisco Threat Response بر اساس conditionهایی که هر rule اعمال میکند export کنید.
- Webhook: با استفاده از این Action میتوانید اتوماتیکسازی و یکپارچهسازی بهتری با سیستمهای خارجی با Rest API ها یا web service ها داشته باشید.
در Actionهای زیر نیز بهبودهایی صورت گرفته است:
- Email: اکنون این Action میتواند از سرورهای SMTP با پورتهای دلخواه، احراز هویت و رمزنگاری استفاده کند. شما میتوانید هر گونه آدرس ایمیل و لیست ایمیل را برای ارسال مشخص کنید و قبل از ارسال آن میتوانید از ایمیل پیشنمایش داشته باشید.
- SNMP Trap: پروتکلهای رمزنگاری جدیدتری برای SNMP v3 اضافه شدهاند.
- Syslog Message: شما میتوانید نام هاست را به عنوان سرور مقصد مشخص کنید.
Exporter ها
در نسخه جدید این اپلاینس، ابزار Exporter Hybrid Mode دیگر مورد استفاده قرار نمیگیرد. اکنون میتوانید Exporter ها را در Stealthwatch Web App در مسیر Configure > Exporters پیکربندی کنید. همچنین میتوانید حداکثر تا ۱۰ exporter را نیز همزمان با هم (تنها فیلدهای Name و پیکربندی SNMP) از طریق Web App ویرایش کنید.
چند نکته درخصوص ویرایش exporterها در Cisco Stealthwatch:
- شما نمیتوانید Exporterهایی که در Failover SMC قرار دارند را bulk edit (ویرایش به صورت همزمان) کنید.
- شما نمیتوانید پیکربندیهای شخصی را bulk edit کنید.
- برای ویرایش exporterهایی از نوع زیر باید از طریق Central Manager اقدام کنید.
- Flow Sensor
- Virtual Flow Sensor
- Endpoint Concentrator
Interfaceها
اکنون میتوانید اینترفیسها را در Stealthwatch Web App در مسیر Configure > Exporters و انتخاب گزینه View Interfaces مدیریت و پیکربندی کنید. علاوه بر آن میتوانید حداکثر تا ۱۰ اینترفیس را به صورت همزمان در Web App ویرایش کنید. این فیلدها عبارتند از Name، Description، Inbound Speed، Outbound Speed، Inbound Threshold، Outbound Threshold و Locked.
نکته: شما نمیتوانید اینترفیسهایی که در Failover SMC قرار دارند را به صورت همزمان ویرایش کنید.
Customer Success Metrics
برخی از پیکربندیهای مربوط به “جمع آوری دادههای در جریان”، شامل مواردی از قبیل زیر، تغییر کردهاند:
- نیازمندیهای بروزرسانی فایروال
- اضافه شدن متریکهای جدید برای Flow Sensor و UDP Director
برای اطلاعات بیشتر میتوانید به این لینک مراجعه کنید.
قبلا سیسکو اقدام به جمع آوری برخی از دادهها کرده است. از این دادهها به منظور افزایش تجربه کاربری محصولش استفاده میکند. اگر در Stealthwatch نسخه ۷٫۲٫۱ نمیخواهید این دادهها را در اختیار سیسکو قرار دهید، باید از دسترسی به این بخش استعفا دهید. به این منظور مراحل زیر را انجام دهید:
- وارد Stealthwatch Management Console شوید
- روی آیکن Global Settings کلیک کنید و سپس Central Management را انتخاب نمایید.
- از منوی باز شده گزینه Edit Appliance Configuration را انتخاب کنید.
- در بخش External Services گزینه Enable Customer Success Metrics را غیر فعال کنید.
- روی Apply Settings کلیک کنید.
SMC Failover
از Failover Configuration برای ایجاد جفتهای Failover بین دو Stealthwatch Management Console استفاده کنید. در این صورت یکی از آنها به عنوان بکاپ برای دیگری انتخاب میشود.
در نسخه ۷٫۳٫۰ منوی پیکربندی از Desktop Client به Stealthwatch Web App انتقال یافته است. هنگامی که پیکربندی Failover را ذخیره میکنید، دومین دامنه SMC حذف میشود. بنابراین سعی کنید که تمامی نکات و دستورالعملهای لازم برای پیکربندی Stealthwatch Failover را به درستی دنبال کنید.
نکته: توجه کنید که اگر SMC اصلی آفلاین شود، SMC ها به صورت اتوماتیک role ها را تغییر نمیدهند.
پیکربندی Failover
دستورالعمل پیکربندی Stealthwatch Failover را میتوانید از اینجا دانلود کنید. پیکربندی این قابلیت شامل جزئیات مهمی از قبیل:
Certificateها: برای برقرار ارتباط و اعتماد بین اپلاینسها به کار میرود.
Backup: در ابتدا قبل از پیکربندی Failover اقدام به بکاپ گیری از اپلاینسها نمایید.
ترتیب پیکربندی: ابتدا SMC ثانویه را قبل از SMC اصلی پیکربندی کنید.
تغییر roleها: اگر SMC اول آفلاین شود، مطمئن شوید که roleهای SMC را مطابق دستورالعمل تغییر دهید.
خطایابی: برای پیدا کردن خطاهای احتمالی میتوانید به اینجا مراجعه کنید.
Roleهای اصلی (Primary) و ثانویه (Secondary)
به عنوان بخشی از پیکربندی ما یک SMC اصلی و SMC ثانویه ایجاد میکنیم. بعد از ذخیره سازی پیکربندی موارد زیر اتفاق میافتد:
- SMC اصلی: SMC اصلی پیکربندیهایش را به SMC ثانویه انتقال میدهد. از SMC اصلی به منظور مدیریت اپلاینس، تغییر پیکربندی اپلاینس، تغییر رمز عبور، تعریف هشدارها و پالیسی و… استفاده کنید.
- SMC ثانویه: SMC ثانویه پیکربندیاش را حذف میکند تا بتواند با SMC اصلی همگام باشد.
یکپارچگی با SecureX
ارسال هشدارها از Stealthwatch به Threat Response Private Intelligence متوقف شده است و به جای آن به Response Management ارسال میشود. برای ارسال هشدار به Threat Response مراحل زیر را انجام دهید:
- وارد Stealthwatch Management Console شوید.
- روی Configure > Response Management کلیک کنید.
- روی تب Action کلیک کنید و سپس روی Add New Action > Threat Response Incident کلیک کنید.
- فرم را پر کنید و Save بزنید.
Primary Admin
Master Admin به نام Primary Admin تغییر یافته است.
خطاهای Cisco Stealthwatch 7.3
| خطا | توضیحات |
| SWD-14260 | کد مربوط به خوش آمد گویی دستگاه تغییر کرد. |
| SWD-14930 | مشکلی که کلاینت دسکتاپ بدون توجه به timezone کاربر، زمان را به صورت UTC نشان میداد حل شد. |
| SWD-14932 | مشکلی که با لینک اسناد مربوط به Congitive وجود داشت حل شد. |
| SWD-14952 | هشدار pop-up به SystemConfig در زمان تغییر آدرس IP در زمانی که اپلاینس از طریق Central Management پیکربندی میشود، افزوده شده است. |
| SWD-15024 | مشکلی که با Flow query از طریق API وجود داشت و مقدار فیلد tcpConnections را منفی میکرد، حل شد. |
| SWD-15062 | مشکلی که رخدادهای Stealthwatch به CTR ارسال نمیشدند، حل شد. |
| SWD-15134 | مشکلی که لاگهای ISE به همراه exception ها به صورت flood ارسال میشدند که در نتیجه خطایابی را مختل میکرد، حل شد. |
| SWD-15149 | مشکلی که در خصوص Top Report وجود داشت و در زمانی که Connection Filter برابر با “Port/Protocol” میشد مقدار Subject Orientation برابر با Server میشد، حل شد. |
| SWD-15218 | مشکلی که tomcat نمیتوانست به ciscoj.log لاگ کند، حل شد. |
| SWD-15293 | آپدیت اسناد LDAP به منظور لیست کردن کاراکترهایی که پشتیبانی نمیشوند. |
| SWD-15341 | حل مشکلی که رمز عبور نمیتوانست برخی کاراکترهای خاص باشد. |
| SWD-15360 | آپدیت نمایش اسناد اکتیو دایرکتوری با پیش نیاز دستگاه مدیریت هویت |
| SWD-15441 | حل مشکلی که SecureX Top Host Groups By Traffic داده را نشان نمیدادند. |
باگهای شناخته شده Cisco Stealthwatch 7.3
در ادامه به برخی از باگهایی که تا کنون شناخته و حل شدهاند اشاره میکنیم.
| شماره باگ | توضیحات | راه حل |
SWD-7655 |
ایجاد پک خطایابی به دلیل timeout ناموفق میشود. |
برای حل این موضوع، کنسول SSH این دستگاه را باز کنید و دستور doDiagPack را وارد نماید. این کار موجب ایجاد پک خطایابی بدون time out میشود. پک خطایابی را میتوان با استفاده از Browse File نیز از مسیر /admin/diagnostics دانلود کنید. |
SWD-8197 |
Flow Sensor نمیتواند بسیاری از اپلیکیشنها را پیدا کند. |
برای کلاسبندی دقیقتر اپلیکیشنها، ما کتابخانهای جدا برای Application Identification فراهم کردهایم. برخی ترافیکها ممکن است دیگر مثل قبل تعریف نشوند و برخی اپلیکیشنها نیز حذف شدهاند. |
SWD-8673 |
فونتها خاص SystemConfig هنگامی که از SecureCRT در مد ANSI استفاده میشود، ممکن است بد نمایش داده شود. |
برای حل این موضوع، ANSI Color را هنگام استفاده از کلاینت دیگر به منظور دیدن اسکریپت SystemConfig غیر فعال کنید. |
| SWD-12141 |
هنگامی که پچ pre-SWU را با استفاده از SMC System Management نصب میکنید، گاها Update Status مقدار “waiting to install” را نشان میدهد. |
لاگها را برای بررسی این که pre-SWU با موفقیت نصب شده است، بررسی کنید. مطمئن شوید که مراحل نصب را دقیقا مطابق دستورالعملی که در وب سایت سیسکو اعلام کرده ایم، دنبال میکنید. |
SWD-12574 |
اگر کاربری وارد رابط کاربری دستوری بدون هیچ گونه تلاشی شود، تاریخ پیشفرض (January 1 1970) نشان داده میشود. |
در حال حاضر راه حلی برای این موضوع در نظر گرفته نشده است. |
SWD-13089 |
تغییر آدرس IP، Host name یا دامنه ممکن است با خطا رو به رو شود. |
قبل از تغییر آدرس IP دستگاه، نام هاست یا نام domain با استفاده از Appliance Setup Tool یا System Config، دستورالعملها موجود در وب سایت ما را بررسی کنید.
علاوه بر آن از موارد زیر نیز مطمئن شوید: · قبل از این که دستگاه را از Central Management حذف کنید، مطمئن شوید که Appliance Status به صورت Up باشد. · بعد از این که دستگاه را از Central Management حذف میکنید، سرتیفیکیتها اپلاینس به صورت اتوماتیک از SMC حذف میشود. وضعیت بقیه appliance trust store ها را نیز چک کنید. اگر appliance identity certificate اپلاینس کنونی در appliance trust store دیگر ذخیره شده است، آن را حذف کنید. · بعد از این که آدرس IP اپلاینس، نام هاست یا دامنه را تغییر میدهید، از Appliance Setup Tool به منظور افزودن اپلاینس به Central Management استفاده کنید. |
SWD-13964 |
بازگردانی پایگاه داده شامل فایلهای پیکربندی رمزنگاری شده نمیشود. |
برای حل این مشکل، عملیات بازگردانی را بدون بازگردانی بکاپ پیکربندی از طریق افزودن -r به دستور doDBRestore انجام دهید. سپس به صورت دستی بکاپ رمزنگاری شده را بازگردانی کنید. |
| SWD-14039 |
بازگردانی پیکربندی اپلاینس در Stealthwatch Management Console قابلیت Threat Intelligence Feed را غیر فعال میکند. |
۱٫ Central Management را باز کنید.
۲٫ روی منوی SMC > Actions کلیک کنید. ۳٫ گزینه Edit Appliance Configuration را انتخاب کنید. ۴٫ روی تب General کلیک کنید. ۵٫ در بخش External Services، تیک گزینه Enable Threat Intelligence Feed را بررسی کنید. |
| SWD-14057 |
صفحه Packet Capture در SMC Appliance Administration خالی است. |
ما Packet Capture را از SMC Appliance Administration حذف کردیم. برای استفاده از روش دیگر گزینه Help > Stealthwatch Online Help را انتخاب کنید و دستورالعملها SMC Packet Capture را از آنجا دنبال نمایید. |
