Configuration de l'hôte virtuel : Étape 4. Configurer les paramètres spécifiques de l'hôte

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Certains paramètres spécifiques de l'application sont nécessaires pour configurer la réception de log et la capture de paquets dans l'environnement virtuel.

Configurer la réception de log dans l'environnement virtuel

La réception de log s'effectue facilement par l'envoi des logs à l'adresse IP que vous avez spécifiée pour le Decoder. L'interface de gestion du Decoder vous permet ensuite de sélectionner l'interface appropriée pour écouter le trafic, si elle n'a pas déjà été sélectionnée par défaut.

Configurer la capture de paquet dans l'environnement virtuel

Il existe deux options pour la capture de paquets dans un environnement VMware. La première option consiste à configurer votre vSwitch en mode Proximité, et la seconde à utiliser une interface TAP virtuelle tierce.

Définir un vSwitch en mode Proximité

L'option consistant à placer un switch, virtuel ou physique, en mode Proximité, également décrite en tant que port SPAN (services Cisco) ou mise en miroir du port, comporte des limites. Qu'elle soit virtuelle ou physique, selon la quantité et le type de trafic copié, la capture de paquets peut facilement mener à l'over-subscription du port, qui provoque une perte de paquets. Les interfaces TAP, physiques ou virtuelles, sont conçues et prévues pour offrir une capture de 100 % sans perte du trafic souhaité.

Le mode Proximité est désactivé par défaut et ne doit pas être activé sauf en cas de besoin spécifique. Le logiciel s'exécutant dans une machine virtuelle peut être capable de surveiller tout le trafic transitant sur un vSwitch s'il est autorisé à entrer en mode Proximité et s'il cause une perte de paquets en raison d'un surabonnement du port.

Pour configurer un groupe de ports ou un switch virtuel afin d'autoriser le mode Proximité :

  1. Connectez-vous à l'hôte ESXi/ESX ou vCenter Server à l'aide du client vSphere.
  2. Sélectionnez l'hôte ESXi/ESX dans l'inventaire.
  3. Cliquez sur l'onglet Configuration.
  4. Dans la section Matériel, cliquez sur Mise en réseau.
  5. Sélectionnez les Propriétés du switch virtuel pour lequel vous souhaitez activer le mode Proximité.
  6. Sélectionnez le switch virtuel ou le groupe de ports que vous souhaitez modifier, puis cliquez sur Modifier.
  7. Cliquez sur l’onglet Sécurité. Dans le menu déroulant Mode Proximité, sélectionnez Accepter.

Utiliser une interface TAP virtuelle tierce

Les méthodes d'installation d'une interface TAP virtuelle varient selon le fournisseur. Reportezvous à la documentation du fournisseur pour obtenir des instructions d'installation. Les interfaces TAP virtuelles sont habituellement faciles à intégrer. En outre, l'interface utilisateur de l'accès TAP simplifie la sélection et le type de trafics à copier.

Les interfaces TAP virtuelles encapsulent le trafic capturé dans un tunnel GRE. Selon le type que vous choisissez, l'un de ces scénarios peut s'appliquer :

  • Un hôte externe est requis pour l'achèvement du tunnel, et l'hôte externe dirige le trafic vers l'interface de Decoder.
  • Le tunnel envoie le trafic directement à l'interface du décodeur, où Security Analytics gère la désencapsulation du trafic.
You are here
Table of Contents > Installer l'hôte virtuel SA dans l'environnement virtuel > Étape 4. Configurer les paramètres spécifiques de l'hôte

Attachments

    Outcomes