تحليلات الشبكة الآمنة Cisco v7.5.3

مقدمة

• استخدم هذا الدليل لتكوين Cisco Secure Network Analytics (المعروف سابقًا باسم Stealthwatch)، الإصدار v7.5.3 أو الأحدث، لالتقاط بيانات القياس عن بعد الخاصة بـ Zeek.
• لتكوين قياس عن بعد الخاص بـ Zeek باستخدام Secure Network Analytics، تأكد من تمكين Data Store (مخزن البيانات) وAnalytics (التحليلات).

زيادةview

يُستخدم Zeek بشكل أساسي كمحلل حركة مرور الشبكة السلبي، مما يُمكّن فرق الأمن من تحليل حركة مرور الشبكة، واكتشاف الأنشطة المشبوهة، والتحقيق في التهديدات المحتملة من خلال إنشاء سجلات مفصلة لأحداث الشبكة، بما في ذلك تفاصيل على مستوى التطبيق، من خلال قدرات تحليل البروتوكول. يوفر Zeek ما يلي:

• البحث عن التهديدات والاستجابة للحوادث:من خلال تحليل سجلات Zeek، يمكن لفرق الأمان تحديد السلوك الشاذ، والتحقيق في الحوادث الأمنية المحتملة، والبحث عن الأنشطة الضارة عبر الشبكة.
• مزاج سيء: نظرًا لأن Zeek يعمل في وضع سلبي، ويراقب حركة المرور على الشبكة دون التدخل في التدفق، فهو أقل إزعاجًا لعمليات الشبكة.
• السجلات التفصيلية: يقوم Zeek بإنشاء سجلات مفصلة تلتقط معلومات شاملة حول اتصالات الشبكة، بما في ذلك الوقتampعناوين IP المصدر/الوجهة، والمنافذ، والبروتوكولات، وحتى file المحتوى، مما يسهل التحليل الشامل.
• تخزين: يتم تخزين سجلات Zeek على النحو التالي.
  • يتم تخزين معظم السجلات في Flow Colector، ولكن يتم تخزين conn.log في Data Store.
  • يحذف مُجمِّع التدفق جميع البيانات الأقدم من 30 يومًا. لمزيد من التفاصيل، يُرجى مراجعة "متطلبات الموارد" في دليل تثبيت جهاز الإصدار الافتراضي.

متطلبات
تأكد من تفعيل التحليلات. اختر "تكوين" > "الكشف" > "التحليلات" من القائمة الرئيسية، ثم انقر على "تفعيل التحليلات".

المتطلبات هي كما يلي.

• تحليلات الشبكة الآمنة v7.5.3.
• مخزن البيانات مع تمكين التحليلات.
• خاصية القياس عن بُعد من Zeek هي الافتراضية للتثبيتات الجديدة أثناء الإعداد الأول. إذا كنت تقوم بالترقية من إصدار سابق، فستحتاج إلى تكوين خاصية القياس عن بُعد من Zeek في الإعدادات المتقدمة.
• لستَ بحاجة لشراء ترخيص منفصل لخدمة القياس عن بُعد من Zeek. لمزيد من المعلومات حول الترخيص، يُرجى مراجعة دليل ترخيص البرامج الذكية 7.5.3.

تقدير الأداء

• ندعم 100,000 حدث (رسائل Syslog) في الثانية على منصة الأجهزة. لمزيد من التفاصيل حول متطلبات الموارد، يُرجى مراجعة دليل تثبيت الأجهزة. لمزيد من المعلومات حول متطلبات موارد القياس عن بُعد المُجمّع، يُرجى مراجعة دليل تثبيت جهاز الإصدار الافتراضي.
• هناك عدة عوامل، مثل معدل الأحداث وعدد أنواع السجلات المُستخدَمة، قد تؤثر على أدائك. مع أننا نبذل قصارى جهدنا لعرض البيانات بأقصى قدر ممكن من الإنصاف والدقة، إلا أن بيئتك قد تواجه قيودًا مختلفة.

سجلات زيك
نحن نقوم بجمع جميع سجلات Zeek عبر Syslog ولكننا نركز حاليًا فقط على ما يلي:

• سجل الاتصال
• سجل DNS
• شركة صغيرةfiles.logor smb_mappings.log
• سجل dce_rpc
• في بعض الحالات، smb_fileقد يتم إرسال s.log و dce_rpc.log إلى smb_mappings.log.

يجب تكوين سجلات Zeek ليتم تصديرها بواسطة Syslog بصيغة JSON بتنسيق محدد.

• ينقل: تستخدم سجلات Zeek تنسيق JSON عبر Syslog عبر UDP (المنفذ الافتراضي 9514).
• شكل: يجب على منشئ سجل Zeek إضافة zeek_fileالاسم = “xxx.log”tag قبل سلسلة JSONL لمجمع التدفق.

تكوين جامع التدفق لاستيعاب بيانات القياس عن بعد من Zeek

هناك خياران لتكوين قياس عن بعد Zeek في Secure Network Analytics:

• الإعداد لأول مرة: يعد استخدام تقنية القياس عن بعد من Zeek هو الإعداد الافتراضي للتثبيتات الجديدة، ولكن يمكنك تأكيد استخدام تقنية القياس عن بعد من Zeek أثناء الإعداد لأول مرة (مخزن البيانات فقط).
• الإعدادات المتقدمة: عند الترقية من إصدار سابق، ستحتاج إلى تكوين Zeek Telemetry في الإعدادات المتقدمة.

لمزيد من المعلومات حول تكوين Secure Network Analytics، راجع دليل تكوين النظام.

تأكيد بيانات القياس عن بعد من Zeek أثناء الإعداد لأول مرة (مخزن البيانات فقط)
لتفعيل استيعاب بيانات القياس عن بعد الخاصة بـ Zeek على Flow Collector جديد مع مخزن البيانات، أكمل الخطوات التالية:

1. اتبع التعليمات الواردة في دليل تركيب الجهاز المناسب لجهاز تجميع التدفق لديك. ثم استخدم دليل تكوين النظام لمزيد من التعليمات التفصيلية حول تكوين الجهاز لأنواع القياس عن بُعد المتعددة.
2. ادخل إلى وحدة تحكم الجهاز الافتراضي. اسمح للجهاز الافتراضي بإكمال عملية التشغيل.
3. تسجيل الدخول عبر وحدة التحكم.
   • تسجيل الدخول: مسؤول النظام
   • كلمة المرور الافتراضية: lan1cope
     عادةً ما ستقوم بتغيير كلمة المرور الافتراضية عند تكوين النظام لأول مرة.
4. Review معلومات محاولات تسجيل الدخول الفاشلة. انقر "موافق" للمتابعة.
5. Review مقدمة عن الإعداد الأول. انقر على "موافق" للمتابعة.
6. اختر سجلات Zeek من قائمة أنواع القياس عن بُعد. انقر على "موافق" للمتابعة. يتم تحديد جميع أنواع القياس عن بُعد افتراضيًا في أي عملية نشر جديدة. إذا كنت تقوم بالترقية إلى الإصدار 752 من إصدار سابق، فراجع "تكوين القياس عن بُعد في Zeek" في الإعدادات المتقدمة.
7. تأكد من أن المنفذ الخاص بـ Zeek Logs هو 9514، ثم حدد موافق. نوصيك باستخدام المنفذ 9514. لا تستخدم المنافذ 2055، أو 514، أو 8514.
   تأكد من أن منافذ القياس عن بُعد فريدة. في حال تكوين منافذ قياس عن بُعد مكررة، سيتم إعادة ضبط المنافذ إلى إعداداتها الافتراضية الداخلية لتجنب فقدان بيانات التدفق. على سبيل المثالampعلى سبيل المثال، إذا تم تصدير NetFlow وZeek إلى نفس منفذ القياس عن بعد، فسوف يقوم كل جهاز يقوم بتصدير بيانات Zeek بإنشاء مُصدِّر على Flow Collector واستنفاد موارد المُصدِّر في محرك Flow Collector، مما يؤدي إلى فقدان بيانات التدفق.
8. انقر فوق تطبيق لحفظ التغييرات.
9. اتبع الإرشادات التي تظهر على الشاشة لإنهاء البيئة الافتراضية وإعادة تشغيل الجهاز.

تكوين Zeek Telemetry في الإعدادات المتقدمة

تأكد من تثبيت أحدث تصحيح لبرنامج Flow Collector NetFlow قبل البدء في هذا الإجراء.

لبدء استيعاب بيانات القياس عن بعد الخاصة بـ Zeek على Flow Collector الذي تم تكوينه بالفعل، أكمل الخطوات التالية:

1. تسجيل الدخول إلى مديرك.
2. من القائمة الرئيسية، حدد تكوين > عالمي > الإدارة المركزية.
3. في صفحة المخزون، انقر فوق الرمز… (النقاط الثلاث) لمجمع التدفق الخاص بك، ثم حدد View إحصائيات الجهاز. تفتح واجهة إدارة Flow Collector.
4. حدد الدعم > الإعدادات المتقدمة.
   إذا لم يظهر حقل، فانقر على حقل "إضافة خيار جديد". لمزيد من المعلومات حول تعديل الإعدادات المتقدمة في مُجمِّع التدفق، راجع موضوع "تعليمات الإعدادات المتقدمة".
5. في الحقل enable_zeek، اضبط القيمة على 1 لالتقاط بيانات القياس عن بعد الخاصة بـ Zeek. تأكد من أنك قمت بتكوين Zeek لإعادة توجيه السجلات بتنسيق JSON.
6. تأكد من تعيين القيمة على 9514 في حقل zeek_port.

تأكد من أن منافذ القياس عن بُعد فريدة. في حال تكوين منافذ قياس عن بُعد مكررة، سيتم إعادة ضبط المنافذ إلى إعداداتها الافتراضية الداخلية لتجنب فقدان بيانات التدفق. على سبيل المثالampعلى سبيل المثال، إذا تم تصدير NetFlow وZeek إلى نفس منفذ القياس عن بعد، فسوف يقوم كل جهاز يقوم بتصدير بيانات Zeek بإنشاء مُصدِّر على Flow Collector واستنفاد موارد المُصدِّر في محرك Flow Collector، مما يؤدي إلى فقدان بيانات التدفق.

التحقق من بيانات القياس عن بعد من Zeek

للتحقق من التقاط بيانات القياس عن بعد الخاصة بـ Zeek، أعدview تقرير اتجاهات مجموعة سجلات Zeek:

1. تسجيل الدخول إلى مديرك.
2. من القائمة الرئيسية، حدد التقرير > منشئ التقارير.
3. انقر فوق إنشاء تقرير جديد، ثم حدد اتجاه مجموعة سجلات Zeek.
4. انقر فوق تشغيل.
5. تأكد من أن التقرير يعرض بيانات القياس عن بعد الخاصة بـ Zeek.

تقرير اتجاهات جمع سجلات زيك
ما يليampتُظهر ملفات تقرير اتجاهات مجموعة سجلات Zeek أن بيانات القياس عن بعد الخاصة بـ Zeek تم التقاطها بنجاح.

تقرير سampليه 1
هذا التقريرampيوفر ساعة view.

تقرير سampليه 2

• هذا التقريرampيوفر 12 ساعة view.
• لمزيد من المعلومات حول التقارير، انقر فوق أيقونة (المساعدة) للوصول إلى موضوع تعليمات منشئ التقارير.

تقييم أحداث Zeek

يتوفر تقريران إضافيان لمساعدتك في تقييم أحداث Zeek:

• تقرير اتجاهات استيعاب قاعدة بيانات Zeek
• تقرير سجلات زيك
• تأكد من تمكين مخزن البيانات والتحليلات.
• لتفعيل التحليلات، اختر تكوين > الاكتشاف > التحليلات من القائمة الرئيسية، ثم انقر فوق تشغيل التحليلات.

تقرير اتجاهات استيعاب قاعدة بيانات Zeek
لتقييم أحداث Zeek conn.log التي تتم كتابتها إلى مخزن البيانات الخاص بك، قم بما يلي:

1. تسجيل الدخول إلى مديرك.
2. من القائمة الرئيسية، حدد التقرير > منشئ التقارير.
3. انقر فوق إنشاء تقرير جديد، ثم حدد اتجاه استيعاب قاعدة بيانات Zeek.
4. انقر فوق تشغيل.
5. Review التقرير:
   • هل يستقبل مخزن البيانات أحداث Zeek conn.log؟
   • هل كان هناك أي انقطاعات؟

تقرير سample

• هذهampيوفر 12 ساعة view.
• View السجلات المكتوبة كبايتات حدث لكل فترة أو عدد الأحداث لكل فترة.

تقرير سجلات زيك

• تأكد من تهيئة مُجمِّع التدفق لديك لاستقبال البيانات من Zeek. للاطلاع على التعليمات، راجع دليل تهيئة النظام.
• لإعادةview لأحداث تسجيل القياس عن بعد الخاصة بـ Zeek لنوع سجل Zeek محدد لمجمع التدفق، قم بما يلي:
• يمكنك تشغيل ما يصل إلى أربعة استعلامات سجل Zeek في وقت واحد مع وجود استعلامات إضافية تنتظر في قائمة الانتظار.

1. تسجيل الدخول إلى مديرك.
2. من القائمة الرئيسية، حدد التقرير > منشئ التقارير.
3. انقر فوق إنشاء تقرير جديد، ثم حدد سجلات Zeek.
4. حدد المعلمات في الحقول المطلوبة في المنطقة العامة. المعلمة مزيد من المعلومات
   • النطاق الزمني إذا اخترت "مخصص"، فحدد نطاقًا زمنيًا قصيرًا لتحقيق أقصى أداء. أما إذا حددت نطاقًا زمنيًا طويلًا، فقد يستغرق التقرير وقتًا طويلاً لاستعلام البيانات.
   • جامع التدفق حدد جامع تدفق تحليلات الشبكة الآمنة في شبكتك.
   • ماكس السجلات حدد الحد الأقصى لعدد السجلات. الحد الأقصى هو ١٠٠٠٠ سجل.
   • نوع سجل زيك حدد نوع سجل Zeek.
   • قد يؤدي تحديد سجل آخر غير conn.log في حقل نوع سجل Zeek إلى تشغيل التقرير لفترة طويلة، ولكن يجب تشغيله حتى اكتماله.
5. استخدم منطقة التصفية لتحديد المعلمات الإضافية، إذا لزم الأمر.
6. انقر فوق تشغيل.

تقرير سample

• تم تحديد المعلمات الاختيارية عند إنشاء هذا التقريرampليه.
• لتلقي بيانات هذا التقرير، تحتاج إلى استخدام Secure Network Analytics مع نشر مخزن بيانات. لمزيد من المعلومات والإرشادات، يُرجى مراجعة دليل تثبيت الجهاز (الإصدار المادي أو الافتراضي) ودليل تكوين النظام.

الاتصال بالدعم
إذا كنت بحاجة إلى دعم فني، يرجى القيام بأحد الإجراءات التالية:

• اتصل بشريك Cisco المحلي لديك
• اتصل بدعم سيسكو
• لفتح قضية بواسطة web: http://www.cisco.com/c/en/us/support/index.html
• للدعم عبر الهاتف: 1-800-553-2447 (نحن)
• لأرقام الدعم العالمية: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

سجل التغيير

نسخة الوثيقة	تاريخ النشر	وصف
1_0	6 أغسطس 2025	نسخة أولية.

معلومات حقوق النشر
Cisco وشعار Cisco هما علامتان تجاريتان أو علامتان تجاريتان مسجلتان لشركة Cisco و/أو الشركات التابعة لها في الولايات المتحدة ودول أخرى. view قائمة العلامات التجارية لشركة Cisco، انتقل إلى هذا URL: https://www.cisco.com/go/trademarksالعلامات التجارية الخاصة بأطراف أخرى المذكورة هي ملك لأصحابها. لا يعني استخدام كلمة شريك وجود علاقة شراكة بين شركة Cisco وأي شركة أخرى. (1721R)

المستندات / الموارد

تحليلات الشبكة الآمنة Cisco v7.5.3 [بي دي اف] دليل المستخدم v7.5.3، v7.5.3 تحليلات الشبكة الآمنة، v7.5.3، تحليلات الشبكة الآمنة، تحليلات الشبكة، تحليلات

مراجع

• دليل المستخدم