👨🏼‍🚒 🔛 🤰 StealthWatch：部署和自定义。第二部分 👨‍⚖️ 🔖 👨🏾‍🤝‍👨🏼

大家好！在上一部分中确定了StealthWatch部署的最低要求之后，我们就可以开始部署产品了。

1.部署StealthWatch的方法

有几种方法可以“触摸” StealthWatch：

dcloud-云实验室服务；
基于云的： Stealthwatch云免费试用 -来自您设备的Netflow将散布到云中，并且将在此处分析StealthWatch软件；
本地POV（ GVE请求）-按照我的方式，他们将删除具有内置许可证的虚拟机的4个OVF文件90天，这些文件可以部署在公司网络的专用服务器上。

尽管下载了大量虚拟机，但对于最低限度的工作配置而言，仅两个就足够了：StealthWatch管理控制台和FlowCollector。但是，如果没有网络设备可以将Netflow导出到FlowCollector，则您需要部署FlowSensor，因为后者允许您使用SPAN / RSPAN技术收集Netflow。

正如我之前所说，您的真实网络可以充当实验室的一员，因为StealthWatch仅需要一个副本，或更准确地说，是压缩流量副本。下图显示了我的网络，我将在Security Gateway上配置Netflow Exporter，然后将Netflow发送到收集器。

要访问将来的VM，请在您的防火墙（如果有）上启用以下端口：

TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343

其中一些是众所周知的服务，一些保留给Cisco服务。
就我而言，我只是将StelathWatch与Check Point部署在同一网络上，而无需配置任何权限规则。

2.以VMware vSphere为例安装FlowCollector

2.1。单击浏览，然后选择OVF file1。检查资源的可用性后，转到“查看”菜单，“清单”→“联网”（Ctrl + Shift + N）。

2.2。在“网络”选项卡中，在虚拟交换机设置中选择“新建分布式端口”组。

2.3。我们设置了名称，将其命名为StealthWatchPortGroup，其余设置可以如屏幕快照中所示，然后单击Next。

2.4。我们使用“完成”按钮完成端口组的创建。

2.5。在创建的端口组中，通过右键单击端口组来编辑设置，然后选择“编辑设置”。在“安全性”选项卡中，请确保打开“听不清模式”，混杂模式→接受→确定。

2.6。例如，我们导入OVF FlowCollector，其下载链接是在GVE请求后由思科工程师发送的。右键单击要在其上部署VM的主机，选择Deploy OVF Template。关于分配的空间，它将“启动”为50 GB，但对于战斗条件，建议分配200 GB。

2.7。选择OVF文件所在的文件夹。

2.8。点击“下一步”。

2.9。我们指定名称和部署它的服务器。

2.10。结果，我们得到以下图片，然后单击“完成”。

2.11。我们遵循相同的步骤来部署StealthWatch管理控制台。

2.12。现在，您需要在接口中指定必要的网络，以便FlowCollector可以看到SMC和将从中导出Netflow的设备。

3.初始化StealthWatch管理控制台

3.1。转到已安装的SMCVE计算机的控制台，您将看到一个输入登录名和密码的位置，默认情况下为sysadmin / lan1cope 。

3.2。我们转到管理点，设置IP地址和其他网络参数，然后确认其更改。设备将重新启动。

3.3。进入Web界面（通过https到您指定SMC的地址）并初始化控制台，默认用户名/密码为admin / lan411cope 。

PS：碰巧Google Chrome无法打开，资源管理器将始终为您提供帮助。

3.4。确保更改密码，设置DNS，NTP服务器，域等。设置直观。

3.5。单击“应用”按钮后，设备将再次重新启动。 5至7分钟后，您可以再次连接到该地址。 StealthWatch将通过Web界面进行管理。

4.设置FlowCollector

4.1。与收藏家一样。首先，在CLI中，指定IP地址，掩码，域，然后FC重新启动。之后，您可以连接到指定地址的Web界面并执行相同的基本设置。由于设置相似，因此省略了详细的屏幕截图。登录凭据 是相同的 。

4.2。在倒数第二个项目上，您必须指定SMC的IP地址，在这种情况下，控制台将看到该设备，您必须输入此凭据才能确认此设置。

4.3。我们选择了StealthWatch的域，该域是较早设置的，并且如果使用sFlow，端口2055是正常的Netflow端口6343 。

5. Netflow导出器配置

5.1。要配置Netflow导出器，我强烈建议您使用此资源，这是为许多设备配置Netflow导出器的主要指南：Cisco，Check Point，Fortinet。

5.2。我再说一次，我们从Check Point网关导出Netflow。 Netflow导出程序在选项卡中配置，并在Web界面（Gaia Portal）中具有相似的名称。为此，请单击“添加”，指定Netflow的版本和所需的端口。

6. StealthWatch的工作分析

6.1。转到SMC Web界面，在“仪表板”>“网络安全性”的第一页上，您可以看到流量已经消失了！

6.2。只有在StealthWatch Java应用程序中才能找到某些设置，例如，将主机分成组，监视各个接口，它们的负载，管理收集器等等。当然，思科正在缓慢地将所有功能转移到浏览器版本，不久我们将拒绝这种台式机客户端。

要安装该应用程序，您必须首先从Oracle官方站点安装JRE （我安装了版本8，尽管据说它最多支持10）。

要下载，请在管理控制台的Web界面的右上角单击“桌面客户端”按钮。

强制保存并安装客户端，java很可能会发誓，您可能需要将主机添加到java异常中。

结果，打开了一个相当容易理解的客户端，在其中可以轻松查看导出程序，接口，攻击及其流的负载。

7. StealthWatch中央管理

7.1。中央管理选项卡包含已部署的StealthWatch一部分的所有设备，例如：FlowCollector，FlowSensor，UDP-Director和Endpoint Concetrator。您可以在此处管理网络设置和设备服务，许可证，并手动关闭设备。

您可以通过单击右上角的“齿轮”并选择“中央管理”来进行操作。