概念和架构
在安全分析和日志记录(本地部署)部署中,您可以使用 Secure Network Analytics 设备存储来自其他思科产品部署的数据,例如 Firepower 设备部署。在 Firepower 部署中,您可以将 Firepower 安全事件和数据平面事件从由 Firepower 管理中心管理的 Firepower Threat Defense 设备导出到管理器,以便存储这些信息。在安全分析和日志记录(本地部署)应用 v3.0.0 中,我们添加了通过系统日志将 ASA 设备中的事件导出到管理器的功能。
您的 Secure Network Analytics 部署有两个选项:
-
单节点 - 部署独立管理器以接收和存储事件,您可以从中查看和查询事件
-
多节点 - 部署思科安全网络分析流量收集器以接收事件,部署思科安全网络分析 Data Store(包含 3 个思科安全网络分析数据节点)以存储事件,以及可从中查看和查询事件的管理器
注 |
我们支持在管理器上作为独立设备(单节点 )或在管理流量收集器和 3 个数据节点(多节点)的管理器上安装应用。如果管理一个或多个流量收集器而不管理 3 个数据节点,则无法在管理器上安装该应用。有关详细信息,请参阅故障排除。 |
有关具有管理器的单节点 部署示例,请参阅下图:
在此部署中,Firepower Threat Defense 设备将 Firepower 事件发送到管理器,而管理器会存储这些事件。从 Firepower 管理中心 UI 中,用户可以交叉启动到管理器以查看有关存储事件的更多信息。他们还可以远程查询来自 Firepower 管理中心 的事件。
有关具有管理器、3 个数据节点和流量收集器的多节点部署示例,请参阅下图:
在该部署中,Firepower Threat Defense 和 ASA 设备会向流量收集器发送防火墙事件。流量收集器会将事件发送到 Data Store(3 个数据节点)进行存储。从 Firepower 管理中心 UI 中,用户可以交叉启动到管理器以查看有关存储事件的更多信息。他们还可以远程查询来自 Firepower 管理中心 的事件。