Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Configurare il mirroring delle porteConfigure Port Mirroring

Nota

Questo articolo si riferisce solo alla distribuzione di gateway ATA al posto di gateway ATA Lightweight.This article is relevant only if you deploy ATA Gateways instead of ATA Lightweight Gateways. Per stabilire se è necessario usare i gateway ATA, vedere Scelta del tipo di gateway corretto per la distribuzione.To determine if you need to use ATA Gateways, see Choosing the right gateways for your deployment.

L'origine dati principale usata da ATA è un'analisi approfondita dei pacchetti del traffico di rete da e verso i controller di dominio.The main data source used by ATA is deep packet inspection of the network traffic to and from your domain controllers. Perché ATA possa vedere il traffico di rete, è necessario configurare il mirroring delle porte o usare un TAP di rete.For ATA to see the network traffic, you must either configure port mirroring, or use a Network TAP.

Se si sceglie di configurare il mirroring delle porte è necessario farlo per ciascun controller di dominio da monitorare, come origine del traffico di rete.For port mirroring, configure port mirroring for each domain controller to be monitored, as the source of the network traffic. Per la configurazione del mirroring delle porte generalmente è necessario collaborare con il team della rete o della virtualizzazione.Typically, you will need to work with the networking or virtualization team to configure port mirroring. Per altre informazioni vedere la documentazione del fornitore.For more information, refer to your vendor's documentation.

I controller di dominio e i gateway ATA possono essere fisici o virtuali.Your domain controllers and ATA Gateways can be either physical or virtual. Seguono alcuni metodi comuni per il mirroring e alcune considerazioni.The following are common methods for port mirroring and some considerations. Per altre informazioni, vedere la documentazione dei commutatori o dei server di virtualizzazione.Refer to your switch or virtualization server product documentation for additional information. Il produttore del commutatore potrebbe usare una terminologia diversa.Your switch manufacturer might use different terminology.

Switched Port Analyzer (SPAN) – Copia il traffico di rete da uno o più porte del commutatore a un'altra porta dello stesso commutatore.Switched Port Analyzer (SPAN) – Copies network traffic from one or more switch ports to another switch port on the same switch. Sia i gateway ATA sia i controlleri di dominio devono essere collegati allo stesso commutatore fisico.Both the ATA Gateway and domain controllers must be connected to the same physical switch.

Remote Switch Port Analyzer (RSPAN) – Consente di monitorare il traffico di rete dalle porte di origine distribuite su più commutatori fisici.Remote Switch Port Analyzer (RSPAN) – Allows you to monitor network traffic from source ports distributed over multiple physical switches. RSPAN copia il traffico di origine in una speciale VLAN configurata con RSPAN.RSPAN copies the source traffic into a special RSPAN configured VLAN. Questa VLAN deve avere un collegamento trunk agli altri commutatori coinvolti.This VLAN needs to be trunked to the other switches involved. RSPAN funziona al Livello 2.RSPAN works at Layer 2.

Encapsulated Remote Switch Port Analyzer (ERSPAN) – È una tecnologia proprietaria Cisco che funziona al Livello 3.Encapsulated Remote Switch Port Analyzer (ERSPAN) – Is a Cisco proprietary technology working at Layer 3. ERSPAN consente di monitorare il traffico sui commutatori senza il bisogno di trunk VLAN.ERSPAN allows you to monitor traffic across switches without the need for VLAN trunks. ERSPAN usa Generic Routing Encapsulation (GRE) per copiare il traffico di rete monitorato.ERSPAN uses generic routing encapsulation (GRE) to copy monitored network traffic. ATA al momento non può ricevere direttamente il traffico ERSPAN.ATA currently cannot directly receive ERSPAN traffic. Perché ATA funzioni con il traffico ERSPAN, è necessario configurare un commutatore o un router che possa disincapsulare il traffico come destinazione di ERSPAN dove il traffico sarà disincapsulato.For ATA to work with ERSPAN traffic, a switch or router that can decapsulate the traffic needs to be configured as the destination of ERSPAN where the traffic will be decapsulated. Il commutatore o il router dovrà quindi essere configurato per inoltrarlo al gateway ATA usando SPAN o RSPAN.The switch or router will then need to be configured to forward it to the ATA Gateway using either SPAN or RSPAN.

Nota

Se il controller di dominio con mirroring delle porte è connesso mediante un collegamento WAN, assicurarsi che il collegamento WAN possa gestire il carico aggiuntivo del traffico ERSPAN.If the domain controller being port mirrored is connected over a WAN link, make sure the WAN link can handle the additional load of the ERSPAN traffic. ATA supporta il monitoraggio del traffico unicamente quando il traffico raggiunge nello stesso modo la scheda di interfaccia di rete e il controller di dominio.ATA only supports traffic monitoring when the traffic reaches the NIC and the domain controller in the same manner. ATA non supporta il monitoraggio del traffico quando il traffico è suddiviso in porte diverse.ATA does not support traffic monitoring when the traffic is broken out to different ports.

Opzioni di mirroring delle porte supportateSupported port mirroring options

Gateway ATAATA Gateway Controller di dominioDomain Controller ConsiderazioniConsiderations
Le macchineVirtual Virtuale sullo stesso hostVirtual on same host Il commutatore virtuale deve supportare il mirroring delle porte.The virtual switch needs to support port mirroring.

Lo spostamento di una sola delle macchine virtuali a un altro host potrebbe interrompere il mirroring delle porte.Moving one of the virtual machines to another host by itself may break the port mirroring.
Le macchineVirtual Virtuale su host diversiVirtual on different hosts Assicurarsi che il commutatore virtuale supporti questo scenario.Make sure your virtual switch supports this scenario.
Le macchineVirtual FisicoPhysical Richiede un adattatore di rete dedicato altrimenti ATA vedrà tutto il traffico in ingresso e in uscita dall'host, compreso il traffico che invia al Centro ATA.Requires a dedicated network adapter otherwise ATA will see all of the traffic coming in and out of the host, even the traffic it sends to the ATA Center.
FisicoPhysical Le macchineVirtual Assicurarsi che il commutatore virtuale supporti questo scenario e la configurazione del mirroring delle porte sui commutatori fisici in base allo scenario:Make sure your virtual switch supports this scenario - and port mirroring configuration on your physical switches based on the scenario:

Se l'host virtuale si trova sullo stesso commutatore fisico, sarà necessario configurare SPAN a livello di commutatore.If the virtual host is on the same physical switch, you will need to configure a switch level span.

Se l'host virtuale è su un commutatore diverso, sarà necessario configurare RSPAN o ERSPAN*.If the virtual host is on a different switch, you will need to configure RSPAN or ERSPAN*.
FisicoPhysical Fisico sullo stesso commutatorePhysical on the same switch Il commutatore fisico deve supportare SPAN/mirroring delle porte.Physical switch must support SPAN/Port Mirroring.
FisicoPhysical Fisico su un altro commutatorePhysical on a different switch Richiede che i commutatori fisici supportino RSPAN o ERSPAN*.Requires physical switches to support RSPAN or ERSPAN*.

* ERSPAN è supportato solo quando viene effettuato il decapsulamento prima che il traffico sia analizzato da ATA.* ERSPAN is only supported when decapsulation is performed before the traffic is analyzed by ATA.

Nota

Assicurarsi che i controller di dominio e i gateway ATA siano sincronizzati con meno di 5 minuti l'uno dall'altro.Make sure that domain controllers and the ATA Gateways to which they connect have time synchronized to within 5 minutes of each other.

Se utilizzano i cluster di virtualizzazione:If you are working with virtualization clusters:

  • Per ogni controller di dominio in esecuzione nel cluster di virtualizzazione in una macchina virtuale con il gateway ATA, configurare l'affinità tra il controller di dominio e il gateway ATA.For each domain controller running on the virtualization cluster in a virtual machine with the ATA Gateway, configure affinity between the domain controller and the ATA Gateway. In questo modo, quando il controller di dominio si sposterà su un altro host nel cluster, il gateway ATA lo seguirà.This way when the domain controller moves to another host in the cluster the ATA Gateway will follow it. Questo funziona bene quando sono presenti pochi controller di dominio.This works well when there are a few domain controllers. > [!NOTE] > Se l'ambiente supporta il processo da macchina virtuale a macchina virtuale su host diversi (RSPAN), non è necessario preoccuparsi dell'affinità.If your environment supports Virtual to Virtual on different hosts (RSPAN) you do not need to worry about affinity. >
  • Per assicurarsi che i gateway ATA siano correttamente dimensionati per gestire il monitoraggio di tutti i DC da soli, provare questa opzione: installare una macchina virtuale su ciascun host di virtualizzazione e installare un gateway ATA su ciascun host.To make sure the ATA Gateways are properly sized to handle monitoring all of the DCs by themselves, try this option: Install a virtual machine on each virtualization host and install an ATA Gateway on each host. Configurare ogni gateway ATA in modo che monitori tutti i controller di dominio eseguiti sul cluster.Configure each ATA Gateway to monitor all of the domain controllers that run on the cluster. In questo modo saranno monitorati tutti gli host su cui i controller di dominio sono eseguiti.This way, any host the domain controllers run on will be monitored.

Dopo aver configurato il mirroring delle porte, convalidare il suo funzionamento prima di installare il gateway ATA.After configuring port mirroring, validate that port mirroring is working before installing the ATA Gateway.

Vedere ancheSee Also