Часть 3. NetFlow и визуализация
В топологии сервер системного журнала также является коллектором NetFlow . Межсетевой экран настроен в качестве экспортера NetFlow.
Нажмите сервер системного журнала, чтобы развернуть его окно. Закройте окно учетных записей AAA .
На вкладке Рабочий стол выберите коллектор Netflow. Службы коллектора NetFlow должны быть включены.
На любом ПК выполните ping-запрос корпоративного веб-сервера на 209.165.200.194.
После кратковременной задержки обновится круговая диаграмма для отображения нового потока трафика.
Примечание. Отображаемые круговые диаграммы будут различаться в зависимости от трафика в сети. Другие потоки пакетов, такие как трафик, связанный с EIGRP, передаются между устройствами. NetFlow захватывает эти пакеты и экспортирует статистику в коллектор NetFlow. Чем дольше NetFlow работает в сети, тем больше статистики по трафику будет перехвачено.
Вопросы для повторения
Поскольку присутствующие в задании инструменты являются полезными, каждый из них имеет собственную службу и должен запускаться на абсолютно разных устройствах. Лучшим способом, который будет рассматриваться далее в рамках этого курса, является концентрирование всей информации о входе в систему в одном инструменте, что позволяет легко организовать перекрестные ссылки и предоставит мощные возможности поиска.
Платформы управления событиями и данными в системе информационной безопасности (SIEM) могут собирать файлы журнала и информацию из различных источников, а также интегрировать информацию для доступа к одному инструменту.
Настройка среды с несколькими вм Шаг 1. Импорт устройства виртуальной машины
Шаг 2. Объединение в сеть виртуальные машины для создания виртуальной лабораторной среды.
В
ВМ Kali настроен один сетевой адаптер в режиме внутренней сети в сети VLAN internet. Обратите внимание на то, что это соответствует сетевой схеме на стр. 1.
В ВМ Metasploitable настроены два сетевых адаптера в режиме внутренней сети. Адаптер 1 соответствует требованиям этой лабораторной работы и принадлежит виртуальной локальной сети dmz. Адаптер 2 отображается в VirtualBox, но он не используется в этой топологии, и его можно пропустить.
В ВМ Security Onion настроены четыре сетевых адаптера: три в режиме внутренней сети
и один в режиме NAT, который может использоваться для доступа к Интернету. Security
Onion объединяет все виртуальные машины в виртуальную сеть, при каждой сети VLAN принадлежит один сетевой адаптер (inside, dmz и internet).
Виртуальная машина CyberOps Workstation работает в режиме моста. Она не принадлежит ни одной внутренней сети других виртуальных машин. Далее вам необходимо будет изменить настройку сетевого адаптера.
Выберите в VirtualBox виртуальную машину CyberOps Workstation и щелкните Settings (Параметры). Выберите Network (Сеть) и измените режим адаптера 1 на внутреннюю сеть с именем inside. Щелкните ОК.
Когда все виртуальные машины запущены, отправьте эхозапрос с ВМ CyberOps Workstation на виртуальные машины Metasploitable и Kali Linux. Используйте сочетание клавиш Ctrl + C, чтобы остановить эхозапрос.
[analyst@secOps ~]$ ping 209.165.200.235
PING 209.165.200.235 (209.165.200.235) 56(84) bytes of data.
64 bytes from 209.165.200.235: icmp_seq=1 ttl=63 time=1.16 ms 64 bytes from 209.165.200.235: icmp_seq=2 ttl=63 time=0.399 ms 64 bytes from 209.165.200.235: icmp_seq=3 ttl=63 time=0.379 ms
^C
--- 209.165.200.235 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 0.379/0.646/1.162/0.365 ms [analyst@secOps ~]$ ping 209.165.201.17
PING 209.165.201.17 (209.165.201.17) 56(84) bytes of data.
64 bytes from 209.165.201.17: icmp_seq=1 ttl=63 time=0.539 ms
64 bytes from 209.165.201.17: icmp_seq=2 ttl=63 time=0.531 ms
64 bytes from 209.165.201.17: icmp_seq=3 ttl=63 time=0.567 ms
64 bytes from 209.165.201.17: icmp_seq=4 ttl=63 time=0.408 ms
64 bytes from 209.165.201.17: icmp_seq=5 ttl=63 time=0.431 ms
