共用方式為

使用 Cisco 交換器設定 ERSPAN (舊版) 流量鏡像

  • 發行項

本文是系列文章的其中一篇,描述使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑

已醒目提示 [網路層級部署] 進度列的圖表。

本文提供針對 Cisco 交換器設定封裝遠端交換器連接埠分析器 (ERSPAN) 流量鏡像的高階指引。

建議您使用接收路由器作為泛型路由封裝 (GRE) 通道目的地。

必要條件

開始之前,請確定您已了解使用適用於 IoT 的 Defender 規劃網路監視,以及您想要設定的 SPAN 連接埠。

如需詳細資訊,請參閱 用於 OT 監視的流量鏡像方法

設定 Cisco 交換器

下列程式碼顯示 Cisco 交換器上設定之 ERSPAN 的範例 ifconfig 輸出:

monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32                              # required, # between 1-1023
vrf default                               # required
destination ip 172.1.2.3                  # IP address of destination
source interface port-channel1 both       # Port(s) to be sniffed
filter vlan 1                             # limit VLAN(s) (optional)
no shut                                   # enable

monitor erspan origin ip-address 172.1.2.1 global

如需詳細資訊,請參閱來自 OT 網路感應器的 CLI 命令參考

驗證流量鏡像

設定流量鏡像之後,嘗試從交換器 SPAN 或鏡像連接埠接收 PCAP 檔案 (記錄的流量範例)。

範例 PCAP 檔案將會協助您:

  • 驗證交換器設定
  • 確認通過交換器的流量與監視相關
  • 識別交換器偵測到的頻寬和估計裝置數目

  1. 使用網路通訊協定分析器應用程式,例如 Wireshark,記錄範例 PCAP 檔案幾分鐘的時間。 例如,將膝上型電腦連線至您已設定流量監視的連接埠。

  2. 檢查記錄流量中是否有單點傳播封包。 單點傳播流量是從位址傳送到另一個位址的流量。

    如果大部分的流量都是 ARP 訊息,表示流量鏡像設定不正確。

  3. 確認您的 OT 通訊協定存在於分析的流量中。

    例如:

    Wireshark 驗證的螢幕擷取畫面。

在 CLI 中設定舊版 ERSPAN

重要

我們不建議您使用舊版的軟體,因為這可能會造成系統的安全性問題。 如果您仍在使用舊版,用戶必須執行本節所討論的特定 CLI 命令。

透過 CLI 進行設定

使用此程序可透過 CLI 來設定下列初始設定:

  • 登入感應器主控台並設定新的 admin 使用者密碼
  • 定義感應器的網路詳細資料
  • 定義您想要監視的介面

CLI 舊版

若要在 CLI 中設定舊版 ERSPAN 通道介面,您需要使用經過調整的程式代碼行。 此程式代碼可確保 CLI 感測器設定精靈中提供舊版 ERSPAN 選項。

只有在您已設定現有的介面時,才能設定新的舊版 ERPSAN。

若要設定舊版 ERSPAN

  1. 使用 CLI 介面與網路或系統管理員使用者登入您的感測器。

  2. 輸入 ERSPAN=1 python3 -m cyberx.config.configure

    舊版介面的 CLI 感測器組態螢幕快照。

  3. 選取 [LegacyErspan ] 並指派介面。

  4. 選取儲存

下一步

« 將 OT 感應器上線至適用於 IoT 的 Defender

針對雲端管理佈建 OT 感應器 »