필수조건
다음은 방화벽 이벤트 데이터를 저장하기 위해 Security Analytics and Logging(온프레미스) 구축을 하기 위한 어플라이언스 요구 사항입니다.
방화벽 어플라이언스
다음 방화벽 어플라이언스를 구축해야 합니다.
솔루션 구성 요소 |
필수 버전 |
라이선싱: Cisco Security Analytics 및 로깅(온프레미스) |
참고 |
---|---|---|---|
Management Center(하드웨어 또는 가상) |
v7.2+ https://cisco.com/go/sal-on-prem-docs에서 이전 버전을 실행 중인 management center에 대해 알아보십시오. |
없음 |
|
Secure Firewall 관리 디바이스 |
마법사를 사용하는 v7.0 이상 시스템 로그를 사용하는 Threat Defense v6.4 이상 시스템 로그를 사용하는 NGIPS v6.4 |
없음 |
|
ASA 디바이스 |
v9.12 이상 |
없음 |
Secure Network Analytics Appliances
다음과 같은 Secure Network Analytics 구축 옵션이 있습니다.
솔루션 구성 요소 |
필수 버전 |
라이선싱: Security Analytics and Logging(온프레미스) |
참고 |
---|---|---|---|
관리자 |
Secure Network Analytics v7.4.0 이상 |
없음 |
|
Security Analytics and Logging(온프레미스) 애플리케이션 |
Security Analytics and Logging(온프레미스) 앱 v3.1 이상 |
스마트 라이선스 로깅 및 문제 해결(GB/일 기준) |
관리자에 이 앱을 설치하고 이벤트 수집을 활성화하도록 구성 |
솔루션 구성 요소 |
필수 버전 |
라이선싱: Security Analytics and Logging(온프레미스) |
참고 |
---|---|---|---|
관리자 |
Secure Network Analytics v7.4.0 이상 |
없음 |
|
Flow Collector |
Secure Network Analytics v7.4.0 이상 |
없음 |
|
데이터스토어 |
Secure Network Analytics v7.4.0 이상 |
없음 |
|
Security Analytics and Logging(온프레미스) 애플리케이션 |
Security Analytics and Logging(온프레미스) 앱 v3.1 이상 |
스마트 라이선스 로깅 및 문제 해결(GB/일 기준) |
관리자에 이 앱을 설치하고 이벤트 수집을 활성화하도록 구성 |
이러한 구성 요소 외에도 모든 어플라이언스가 NTP를 사용하여 시간을 동기화할 수 있는지 확인해야 합니다.
Secure Firewall 또는 Secure Network Analytics 어플라이언스의 콘솔에 원격으로 액세스하려는 경우 SSH를 통한 액세스를 활성화할 수 있습니다.
Secure Network Analytics 라이선싱
라이선스 없이 평가 모드에서 90일 간 Security Analytics and Logging(온프레미스) 사용이 가능합니다. 90일 이후에 Security Analytics and Logging(온프레미스)을(를) 계속 사용하려면 방화벽 구축에서 Secure Network Analytics 어플라이언스로 시스템 로그 데이터를 전송할 것으로 예상되는 일별 GB를 기준으로 스마트 라이선싱용 로깅 및 문제 해결 스마트 라이선스를 얻어야 합니다.
참고 |
라이선스 계산을 위해 데이터의 양은 가장 가까운 전체 GB 단위로 보고됩니다. 예를 들어 하루에 4.9GB를 전송하는 경우 4GB로 보고됩니다. |
Secure Network Analytics Smart Software 라이선싱 가이드에서 Secure Network Analytics 어플라이언스 라이선싱에 대한 세부 내용을 참고하십시오.
Secure Network Analytics 리소스 배정
Secure Network Analytics은(는) Security Analytics and Logging(온프레미스)에 대해 구축된 경우 다음 수집 속도를 제공합니다.
-
하드웨어 또는 VE(가상 에디션) 관리자 전용 구축은 최대 35k EPS의 짧은 버스트로 평균 약 20k 이벤트를 수집할 수 있습니다.
-
데이터 노드 3개가 있는 VE(가상 에디션) 데이터 저장소 구축은 최대 175k EPS의 짧은 버스트를 사용하여 평균 약 50k EPS를 수집할 수 있습니다.
-
데이터 노드 3개가 있는 하드웨어 데이터 저장소 구축은 최대 350k EPS의 짧은 버스트를 사용하여 평균 약 100k EPS를 수집할 수 있습니다.
할당된 하드 드라이브 스토리지에 따라 몇 주 또는 몇 달 동안 데이터를 저장할 수 있습니다. 이러한 예측은 네트워크 로드, 트래픽 급증, 이벤트별로 전송되는 정보 등의 다양한 요인에 따라 달라집니다.
참고 |
EPS 수집 속도가 높으면 Security Analytics and Logging(온프레미스) 앱에서 데이터를 삭제할 수 있습니다. 또한 연결, 침입, 파일 및 악성코드 이벤트만 전송하는 대신 모든 이벤트 유형을 전송하는 경우, 전체 EPS가 증가할 때 앱에서 데이터를 삭제할 수 있습니다. 이 경우 로그 파일을 검토합니다. |
관리자 전용 권장 사항
관리자 VE 리소스
최적의 성능을 위해 관리자 VE를 구축하는 경우 다음 리소스를 할당합니다.
리소스 |
권장 사항 |
---|---|
CPU |
12 |
RAM |
64GB |
하드 드라이브 스토리지 |
2TB |
관리자 2210 사양
관리자 2210 사양 시트에서 하드웨어 사양을 참고하십시오.
예측 보존 기간
관리자 VE에 할당한 스토리지 공간을 기반으로 하거나 관리자 2210이 있는 경우 관리자 전용 구축 시 대략 다음 기간에 데이터를 저장할 수 있습니다.
평균 EPS |
평균 일별 이벤트 |
1TB 스토리지의 예상 보존 기간 |
2TB 스토리지의 예상 보존 기간 |
4TB 스토리지(하드웨어)의 예상 보존 기간 |
---|---|---|---|---|
1,000 |
8,650만 |
250일 |
500일 |
1000일 |
5,000 |
4억 3,000만 |
50일 |
100일 |
200일 |
10,000 |
8억 6,500만 |
25일 |
50일 |
100일 |
20,000 |
17억 3천만 |
12.5일 |
25일 |
50일 |
관리자은(는) 최대 스토리지 용량에 도달하면 가장 오래된 데이터를 먼저 삭제하여 수신 데이터를 위한 공간을 확보합니다.
참고 |
이 예상 수집 및 스토리지 기간에 이러한 리소스 할당을 사용하여 관리자 VE를 테스트했습니다. 가상 어플라이언스에 충분한 CPU 또는 RAM을 할당하지 않으면 리소스 할당 부족으로 인해 예기치 않은 오류가 발생할 수 있습니다. 스토리지 할당을 2TB 이상으로 늘리면 리소스 할당 부족으로 인해 예기치 않은 오류가 발생할 수 있습니다. |
데이터 저장소 권장 사항
최적의 성능을 위해 관리자 VE, 플로우 컬렉터 VE 및 데이터 저장소 VE를 구축하는 경우 다음 리소스를 할당하십시오.
참고 |
단일 노드 데이터 저장소를 사용 중이거나 Secure Network Analytics에서 다중 텔레메트리를 활성화한 경우 리소스 할당 및 스토리지 용량이 다음 권장 사항과 다를 수 있습니다. Secure Network Analytics 어플라이언스 설치 가이드(하드웨어 또는 가상 에디션) 및 시스템 구성 가이드 v7.4.1에서 자세한 내용을 참고하십시오. |
리소스 |
권장 사항 |
---|---|
CPU |
8 |
RAM |
64GB |
하드 드라이브 스토리지 |
480GB |
리소스 |
권장 사항 |
---|---|
CPU |
8 |
RAM |
70GB |
하드 드라이브 스토리지 |
480GB |
리소스 |
권장 사항 |
---|---|
CPU |
데이터 노드당 12개 |
RAM |
데이터 노드당 32GB |
하드 드라이브 스토리지 |
데이터 노드 VE당 5TB 또는 3개의 데이터 노드에서 총 15TB |
하드웨어 사양
어플라이언스 사양 시트에서 하드웨어 사양을 참고하십시오.
예측 보존 기간(3 데이터 노드)
데이터 저장소 VE에 할당한 스토리지 공간에 따라 또는 하드웨어 구축이 있는 경우 데이터 저장소구축 시 대략 다음 기간에 데이터를 저장할 수 있습니다.
평균 EPS |
평균 일별 이벤트 |
가상 |
하드웨어 |
---|---|---|---|
1,000 |
8,650만 |
1,500일 |
3,000일 |
5,000 |
4억 3,000만 |
300일 |
600일 |
10,000 |
8억 6,500만 |
150일 |
300일 |
20,000 |
17억 3천만 |
75일 |
150일 |
25,000 |
21억 6천만 |
60일 |
120일 |
50,000 |
43억 2천만 |
30일 |
60일 |
75,000 |
64억 8000만 |
지원되지 않음 |
40일 |
100,000 |
86억 4천만 |
지원되지 않음 |
30일 |
데이터 저장소는 최대 스토리지 용량에 도달하면 수신 데이터용 공간을 확보하기 위해 가장 오래된 데이터를 먼저 삭제합니다. 스토리지 용량을 늘리려면 Secure Network Analytics 시스템 구성 가이드를 사용하여 데이터 노드를 더 추가하십시오.
참고 |
이 예상 수집 및 스토리지 기간에 이러한 리소스 할당을 사용하여 가상 어플라이언스를 테스트했습니다. 가상 어플라이언스에 충분한 CPU 또는 RAM을 할당하지 않으면 리소스 할당 부족으로 인해 예기치 않은 오류가 발생할 수 있습니다. 데이터 노드 스토리지 할당을 5TB 이상으로 늘리면 리소스 할당 부족으로 인해 예기치 않은 오류가 발생할 수 있습니다. |
통신 포트
다음 표에는 관리자 전용 구축을 위한 Security Analytics and Logging(온프레미스) 통합을 위해 열어야 하는 통신 포트가 나와 있습니다.
발신(클라이언트) |
수신(서버) |
포트 |
프로토콜 또는 목적 |
---|---|---|---|
Management Center, Threat Defense 디바이스 및 관리자 |
외부 인터넷(NTP 서버) |
123/UDP |
NTP 시간 동기화, 모두 동일한 NTP 서버 |
사용자 워크스테이션 |
Management Center 및 관리자 |
443/TCP |
웹 브라우저를 사용하여 HTTPS를 통해 어플라이언스의 웹 인터페이스에 로그인 |
management center(으)로 관리되는 Threat Defense 디바이스 |
관리자 |
8514/UDP |
threat defense 디바이스에서 관리자(으)로 시스템 로그 내보내기 |
Management Center | 관리자 |
443/TCP |
management center에서 관리자(으)로의 원격 쿼리 |
다음 표에는 데이터 저장소 구축을 위한 Security Analytics and Logging(온프레미스) 통합을 위해 열어야 하는 통신 포트가 나와 있습니다. 또한 Secure Network Analytics 구축을 위해 열어야 하는 포트에 대해 알아보려면 x2xx 시리즈 하드웨어 어플라이언스 설치 가이드 또는 가상 에디션 어플라이언스 설치 가이드를 참조하십시오.
발신(클라이언트) |
수신(서버) |
포트 |
프로토콜 또는 목적 |
---|---|---|---|
Management Center, Threat Defense 디바이스, 관리자, 플로우 컬렉터 및 데이터 저장소 |
외부 인터넷(NTP 서버) |
123/UDP |
NTP 시간 동기화, 모두 동일한 NTP 서버 |
사용자 워크스테이션 |
Management Center 및 관리자 |
443/TCP |
웹 브라우저를 사용하여 HTTPS를 통해 어플라이언스의 웹 인터페이스에 로그인 |
management center(으)로 관리되는 Threat Defense 디바이스 |
Flow Collector |
8514/UDP |
threat defense 디바이스에서 플로우 컬렉터로의 시스템 로그 내보내기 |
ASA 디바이스 |
Flow Collector |
8514/UDP |
ASA 디바이스에서 플로우 컬렉터로의 시스템 로그 내보내기 |
Management Center | 관리자 |
443/TCP |
management center에서 관리자(으)로의 원격 쿼리 |