SilverPeak SD广域网

Silver Peak为广域网(WAN)开发产品,如广域网优化和软件定义广域网(SD-WAN)。SD-WAN用于虚拟化广域网业务。它将它们视为一个资源池,并持续监控应用程序和网络资源,以按照预先定义的策略引导流量。

您可以通过Syslog格式将日志发送到InsightIDR。它们在InsightIDR中生成防火墙警报。

要设置Silver Peak SD WAN事件源,您需要

  1. 配置银峰SD广域网发送数据到您的收集器
  2. 在InsightIDR中建立Silver Peak SD WAN事件源
  3. 验证配置是否有效

配置SilverPeak SD广域网发送数据到您的收集器

为了使Silver Peak SD WAN能够与InsightIDR通信,需要在Silver Peak SD WAN上配置远程登录功能。您可以从Orchestrator或EdgeConnect设备配置日志记录。

配置来自协调器的远程日志记录

需要配置一个实例作为SYSLOG Receiver。它可以是基于云的Orchestrator,也可以是本地的Orchestrator。两者的配置是相同的。

从Orchestrator配置远程日志记录

  1. 1 .登录Silver Peak SD-WAN。
  2. 支持>远程日志接收器
  3. 选择添加接收机
  4. 配置SYSLOG接收机设置

如果您使用基于云的Orchestrator,则需要在配置期间指定一个公共IP和端口来访问您的内部日志收集器。您可以将访问限制为只允许来自特定Orchestrator IP的日志流量。您可以通过Syslog发送审计和告警日志,InsightIDR生成防火墙告警。

配置EdgeConnect设备的远程日志

配置EdgeConnect远程日志记录有两种方法。您可以在单个设备上配置日志记录,也可以使用模板组管理多个设备的日志设置。

  1. 登录Silver Peak SD-WAN,执行以下操作之一:
  • 要为单个设备配置日志记录,请转到设备管理器>支持>日志设置
  • 如果需要配置多台设备的日志记录功能,执行协调器>配置>模板和政策>模板.可以创建新模板或添加一般设置>日志记录模板到现有组。
  1. 在Logging屏幕上,在日志配置,根据需要设置严重性级别和其他细节。
  2. 日志设施配置,过滤和映射事件到默认的系统/审计/流类别。
  3. 远程日志接收器,点击添加.这将设置日志采集器的内部IP地址(您的EdgeConnect设备与局域网有连接)。
  4. 应用或重新应用模板组到你的EdgeConnect设备。一旦业务流程完成,更改就会生效。

在InsightIDR中建立SilverPeak SD WAN

  1. 从仪表板中选择数据收集从左边的菜单。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击防火墙图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 配置您的默认域和任何高级事件源设置
  8. 选择采集方法并指定InsightIDR与Silver Peak SD WAN通信时使用的端口。选择通过portwatcher数据源进行Syslog的协议。
  9. (可选)加密事件源。如果使用TCP,您可以下载[Rapid7证书]加密从SilverPeak SD Wan发送的数据。
  10. 点击保存

验证配置

完成以下步骤以查看日志,并确保事件被发送到Collector。

  1. 数据收集>事件源
  2. 在刚刚创建的新事件源上,单击查看原始日志按钮。如果您在框中看到日志消息,那么这表明日志正在流向收集器。
  3. 点击日志搜索在左边的菜单中。
  4. 选择适用的日志集和其中的日志名称。日志名称将是事件源名称或“SilverPeakSDWAN”,如果您没有命名事件源。SilverPeak SD WAN日志流入防火墙日志集。

请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。

示例日志

         

          

           
          

         

          

           

            1

           <149>Sep 25 14:54:52 ot - 01sp netflow [12104]:[注意]行动:下降,原因是:安全策略否认InputInt: lan0.1, OutputInt: Passthrough_INET1_DefaultOverlay,开始时间:2020年9月25日14:54:52星期五,EndTime:星期五2020年9月25日14:54:52,RXPkts: 1, TXPkts: 0, RXOctets: 1378年,TXOctets: 0, Flow-ID: 103509年,SrcAddr: 172.22.50.16, DstAddr: 172.217.165.2, SrcPort: 50211年,DstPort: 443年,用途:Https,IPTos:be (0x0), Protocol:udp, TCPFlags:0x0, Host: ott01sp, FromZone:Green_Trusted, ToZone:Red_Untrusted, Tag:Green_Trusted_Red_Untrusted_65535, Direction:Outbound, Overlay:DefaultOverlay, NATSrcIP:206.47.7.122, NATSrcPort:50211