La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive la procedura per risolvere i problemi di caricamento della telemetria di Network Visibility Module (NVM) in Secure Network Analytics (SNA).
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Verificare che l'account virtuale di Smart Licensing a cui è registrato SNA Manager disponga delle licenze per gli endpoint.
Per verificare se SNA Flow Collector riceve e inserisce la telemetria NVM dagli endpoint, procedere come segue:
1. Accedere al Flow Collector tramite SSH o la console con le credenziali radice.
2. Eseguire il comando grep 'NVM records this period:' /lancope/var/sw/today/logs/sw.log.
3. Dall'output restituito, verificare se il Flow Collector acquisisce i record NVM e li inserisce nel database.
ao-fc01-cds:~# grep 'NVM records this period:' /lancope/var/sw/today/logs/sw.log
04:00:01 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
04:05:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
04:10:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
04:15:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
Da questo output sembra che il Flow Collector non abbia ricevuto alcun record NVM, ma è necessario confermare se è configurato per l'ascolto della telemetria NVM.
1. Accedere all'interfaccia utente di amministrazione di Flow Collector.
2. Passare a Supporto > Impostazioni avanzate.
3. Assicurarsi che gli attributi richiesti siano configurati correttamente:
SNA versione 7.3.2 o 7.4.0
=====================
Nota: verificare che la porta configurata sia una porta non riservata e non sia 2055, 514 o 8514. Se il valore configurato è "0", la funzione è disabilitata.
Nota: se un campo non è visualizzato, scorrere fino alla fine della pagina. Fare clic sul campo Aggiungi nuova opzione. Per ulteriori informazioni sulle impostazioni avanzate di Flow Collector, consultare l'argomento della Guida in linea relativo alle impostazioni avanzate.
SNA versione 7.4.1
===============
Nota: verificare che la porta configurata sia una porta non riservata e non sia 2055, 514 o 8514.
Nota: se un campo non è visualizzato, scorrere fino alla fine della pagina. Fare clic sul campo Aggiungi nuova opzione. Per ulteriori informazioni sulle impostazioni avanzate di Flow Collector, consultare l'argomento della Guida in linea relativo alle impostazioni avanzate.
4. Una volta configurate correttamente le impostazioni avanzate sul Flow Collector, verificare se la telemetria è stata acquisita, con la stessa procedura descritta nella sezione Verifica inserimento telemetria NVM.
5. Se la configurazione dell'endpoint con AnyConnect NVM e le impostazioni sul Flow Collector sono corrette, il file sw.log deve rifletterlo:
ao-fc01-cds:~# grep 'NVM records this period:' /lancope/var/sw/today/logs/sw.log
04:35:00 I-pro-t: NVM records this period: received 78 at 0 rps, inserted 78 at 0 rps, discarded 0
04:40:00 I-pro-t: NVM records this period: received 66 at 0 rps, inserted 66 at 0 rps, discarded 0
04:45:00 I-pro-t: NVM records this period: received 91 at 0 rps, inserted 91 at 0 rps, discarded 0
04:50:00 I-pro-t: NVM records this period: received 80 at 0 rps, inserted 80 at 0 rps, discarded 0
6. Se il Flow Collector continua a non acquisire i record NVM, verificare se il dispositivo di raccolta riceve i pacchetti sull'interfaccia e, in ogni caso, verificare che la configurazione degli endpoint sia corretta.
È possibile implementare AnyConnect NVM in uno dei due modi seguenti: a) scon il pacchetto AnyConnect o b) wcon il pacchetto NVM standalone (solo sul desktop AnyConnect).
La configurazione richiesta è la stessa per entrambe le distribuzioni, la differenza risiede nella configurazione di Trusted Network Detection.
Individuare il profilo NVM utilizzato dall'endpoint e confermare le impostazioni di configurazione del raccoglitore.
Percorso profilo NVM:
Nota: Il nome del profilo NVM deve essere NVM_ServiceProfile, in caso contrario Network Visibility Module non riesce a raccogliere e inviare i dati.
Il contenuto del profilo NVM dipende dalla configurazione, ma gli elementi del profilo rilevanti per la SNA sono contrassegnati in grassetto. Assicurarsi di rivedere le note dopo l'esempio del profilo NVM:
2
10.1.0.250
2030
false
5
5
500
all
false
false
Nota: Verificare che la porta configurata sia una porta non riservata e non sia 2055, 514 o 8514. La porta configurata in questo profilo deve essere la stessa configurata nel Flow Collector.
Nota: Verificare che se il profilo NVM ha l'elemento Secure XML, sia impostato su false, altrimenti i flussi vengono inviati criptati con DTLS e il Flow Collector non è in grado di elaborarli.
Network Visibility Module invia le informazioni sul flusso solo quando si trova sulla rete attendibile. Per impostazione predefinita, non viene raccolto alcun dato. I dati vengono raccolti solo se configurati come tali nel profilo e continuano a essere raccolti quando l'endpoint è connesso. Se la raccolta viene eseguita in una rete non attendibile, viene memorizzata nella cache e inviata all'agente di raccolta quando l'endpoint si trova in una rete attendibile. È necessario configurare ulteriormente lo strumento di raccolta dei flussi di analisi della rete sicura affinché elabori i flussi memorizzati nella cache (per informazioni sulla configurazione necessaria, vedere Configurare lo strumento di raccolta dei flussi per i flussi memorizzati fuori rete).
Lo stato TND (Trusted Network State) può essere determinato dalla funzionalità TND della VPN (configurata nel profilo VPN) o dalla configurazione TND nel profilo NVM:
Nota: Questa opzione non è disponibile per le implementazioni NVM Standalone.
1. Individuare il profilo VPN utilizzato dall'endpoint e confermare le impostazioni dei criteri VPN automatici configurate
Percorso profilo VPN:
In questo esempio il profilo VPN è denominato ACSNAProfile.
2. Modificare il profilo con un editor di testo e individuare l'elemento AutomaticVPNPolicy. Verificare che i criteri configurati siano corretti per il corretto rilevamento della rete attendibile. In questo caso:
...
true *.cisco.local
DoNothing Connect false
Nota: Per la rilevanza NVM: se sia il criterio di rete attendibile che il criterio di rete non attendibile sono impostati su Nessuna operazione, il rilevamento di reti attendibili dal profilo VPN viene disattivato.
Individuare il profilo NVM utilizzato dall'endpoint e verificare che le impostazioni configurate per l'elenco dei server trusted siano corrette.
Percorso profilo NVM:
...
10.64.0.32 443 C6EF32AAAAAAAAAA26C4BB6829AD2809B5175C9437A7D085A31FA60000000000
</NVMProfile>
Nota: Un probe SSL viene inviato all'headend trusted configurato, che risponde con un certificato, se raggiungibile. L'identificazione personale (hash SHA-256) viene quindi estratta e confrontata con l'hash impostato nell'editor dei profili. Una corrispondenza riuscita indica che l'endpoint si trova in una rete attendibile; tuttavia, se l'headend non è raggiungibile o l'hash del certificato non corrisponde, l'endpoint viene considerato come incluso in una rete non attendibile.
Nota: I server trusted dietro i proxy non sono supportati.
È possibile raccogliere un'acquisizione di pacchetto sulla scheda di rete dell'endpoint per verificare che i flussi vengano inviati al Flow Collector.
r. Se l'endpoint si trova su una rete attendibile ma NON è connesso a VPN, l'acquisizione deve essere abilitata sulla scheda di rete fisica.
In questo caso, il client Anyconnect indica che l'endpoint si trova su una rete attendibile, ossia che i flussi vengono inviati al Flow Collector configurato sulla porta configurata tramite l'adattatore di rete fisico dell'endpoint, come mostrato nella finestra AnyConnect e nella finestra Wireshark visualizzate di seguito.
b. Se l'endpoint è connesso a una VPN AnyConnect, viene automaticamente considerato come appartenente alla rete attendibile. Pertanto, l'acquisizione deve essere abilitata sulla scheda di rete virtuale.
Nota: Se il modulo VPN è installato e TND è configurato nel profilo Network Visibility Module, Network Visibility Module esegue il rilevamento di reti attendibili anche all'interno della rete VPN.
Il client AnyConnect indica che l'endpoint è connesso alla VPN, ossia i flussi vengono inviati al Flow Collector configurato tramite la scheda di rete virtuale dell'endpoint (tunnel VPN), come mostrato nella finestra AnyConnect e nella finestra Wireshark visualizzate di seguito.
Nota: La configurazione del tunnel suddiviso del profilo VPN a cui è connesso l'endpoint deve includere l'indirizzo IP del Flow Collector, altrimenti i flussi non verranno inviati attraverso il tunnel VPN.
c. Se l'endpoint non si trova in una rete attendibile, i flussi non vengono inviati all'agente di raccolta flussi.
Al momento esistono due difetti noti che possono influire sul processo di acquisizione della telemetria NVM su Secure Network Analytics:
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
22-Jun-2022 |
Versione iniziale |