Konfigurieren Sie den virtuellen Netzwerksensor als Ziel für den Datenverkehrsspiegel

Prozedur

1. Melden Sie sich bei der AWS Management-Konsole an.
2. Finden Sie die Interface ID für die Spiegelquelle und den Datenport des virtuellen Netzwerksensors.

   Hinweis Wenn Sie einen virtuellen Netzwerksensor hinter einem Netzwerk-Lastenausgleich bereitstellen, ist der von Ihnen erstellte Netzwerk-Lastenausgleich die Spiegelquelle. Sie müssen die Schnittstellen-ID für den Netzwerk-Lastenausgleich nicht ermitteln.

   1. Greifen Sie auf das EC2-Dashboard zu.
   2. Navigieren Sie zu Instances → Instances.
   3. Suchen Sie die Instanz, die Sie als Spiegelquelle verwenden möchten, und klicken Sie auf die Instanz-ID.
   4. Navigieren Sie zu Networking.
   5. Kopieren Sie in der Network Interfaces-Liste die Interface ID für die Netzwerkschnittstelle, die Sie als Spiegelquelle verwenden möchten.
   6. Navigieren Sie zu Instances → Instances.
   7. Suchen Sie die von Ihnen erstellte Virtual Network Sensor-Instanz und klicken Sie auf Instanz-ID.
   8. Navigieren Sie zu Networking.
   9. Kopieren Sie in der Network Interfaces-Liste den Interface ID für den Datenport (eth0) des virtuellen Netzwerksensors.

      Tipp Wenn Sie bei der Einrichtung der Instanz eine Beschreibung angegeben haben, können Sie die Beschreibung anstelle der Schnittstellen-ID verwenden, um die Netzwerkschnittstelle zu lokalisieren.

3. Greifen Sie auf das VPC-Dashboard zu.
4. Wählen Sie in der oberen Navigationsleiste das Region aus, in dem sich das VPC befindet, in das Ihre Instanz bereitgestellt wurde.
5. Navigieren Sie zu Traffic Mirroring → Mirror filters.
6. Klicken Sie auf Create traffic mirror filter.
7. Konfigurieren Sie die Filter settings.
   • Name tag: Geben Sie einen eindeutigen Namen für den Filter ein.
     Verwenden Sie einen Namen, der beschreibend und leicht zu finden ist, wie zum Beispiel VirtualNetworkSensor-TrafficMirrorFilter.
   • Beschreibung: Geben Sie eine Beschreibung für den Filter an.
     Verwenden Sie eine Beschreibung, die den Zweck des Filters klar erklärt, wie zum Beispiel Virtual Network Sensor Traffic Mirror Filter.
   • Network services: Wählen Sie amazon-dns.
8. Klicken Sie im Abschnitt Inbound rules auf Add rule.
9. Konfigurieren Sie die neue Regel.
   Trend Micro empfiehlt die Verwendung eines zulässigen Regelsets, wie unten beschrieben. Das Hinzufügen zusätzlicher Regeln zur Begrenzung des Datenverkehrs könnte die Sichtbarkeit des Virtual Network Sensors in Ihrer Umgebung beeinträchtigen.

   Eingehende Regeln für Datenport-Verkehrsspiegelungsfilter

   Optionen	Einstellung	Beschreibung
   Nummer	100	Die Regelpriorität Regeln mit niedrigeren Nummern haben Vorrang und werden zuerst angewendet.
   Rule action	akzeptieren	Welche Maßnahme bei Übereinstimmung mit einer Regel ergreifen
   Protokoll	Alle Protokolle	Das Protokoll zur Anwendung der Regel
   Source CIDR block	0.0.0.0/0	Der Quell-IP-Adressbereich im CIDR-Format, auf den die Regel angewendet werden soll
   Destination CIDR block	0.0.0.0/0	Der Bereich der Ziel-IP-Adresse im CIDR-Format, auf den die Regel angewendet werden soll
   Beschreibung	Spiegeln Sie den gesamten eingehenden Datenverkehr.	Eine Beschreibung dessen, was die Regel tut

10. Im Abschnitt Outbound rules klicken Sie auf Add rule.
11. Konfigurieren Sie die neue Regel.
    Trend Micro empfiehlt die Verwendung eines zulässigen Regelsets, wie unten beschrieben. Das Hinzufügen zusätzlicher Regeln zur Begrenzung des Datenverkehrs könnte die Sichtbarkeit des Virtual Network Sensors in Ihrer Umgebung beeinträchtigen.

    Ausgehende Regeln für Datenport-Verkehrsspiegelungsfilter

    Optionen	Einstellung	Beschreibung
    Nummer	100	Die Regelpriorität Regeln mit niedrigeren Nummern haben Vorrang und werden zuerst angewendet.
    Rule action	akzeptieren	Welche Maßnahme bei Übereinstimmung mit einer Regel ergreifen
    Protokoll	Alle Protokolle	Das Protokoll zur Anwendung der Regel
    Source CIDR block	0.0.0.0/0	Der Quell-IP-Adressbereich im CIDR-Format, auf den die Regel angewendet werden soll
    Destination CIDR block	0.0.0.0/0	Der Bereich der Ziel-IP-Adresse im CIDR-Format, auf den die Regel angewendet werden soll
    Beschreibung	Spiegeln Sie den gesamten Ausgangsverkehr.	Eine Beschreibung dessen, was die Regel tut

12. Klicken Sie auf Erstellen.
    Das Erstellen des Spiegel-Filters dauert einen Moment. Sobald es abgeschlossen ist, klicken Sie auf Schließen.
13. Navigieren Sie zu Traffic Mirroring → Mirror targets.
14. Klicken Sie auf Create traffic mirror target.
15. Konfigurieren Sie Target settings.
    • Name tag: Geben Sie einen eindeutigen Namen für die Zielvorgaben ein.
      Verwenden Sie einen Namen, der beschreibend und leicht zu finden ist, wie zum Beispiel VirtualNetworkSensor-TrafficMirrorTarget.
    • Beschreibung: Geben Sie eine Beschreibung für das Ziel an.
      Verwenden Sie eine Beschreibung, die den Zweck des Filters klar erklärt, wie zum Beispiel Virtual Network Sensor Traffic Mirror Target.
16. Konfigurieren Sie Choose target.
    • Für normale Bereitstellungen verwenden Sie die folgenden Konfigurationen:
      1. Für Target type wählen Sie Network Interface.
      2. Für Ziel geben Sie die Datenport-Schnittstellen-ID an oder suchen Sie nach der Netzwerk-Schnittstellenbeschreibung.
    • Für die Bereitstellung hinter einem Network Load Balancer verwenden Sie die folgenden Konfigurationen:
      1. Für Target type wählen Sie Network Load Balancer.
      2. Für Ziel geben Sie den Netzwerk-Lastenausgleich an, den Sie erstellt haben.
17. Klicken Sie auf Erstellen.
    Das Erstellen des Spiegelziels dauert einen Moment. Sobald es abgeschlossen ist, klicken Sie auf Schließen.
18. Navigieren Sie zu Traffic Mirroring → Mirror session.
19. Klicken Sie auf Create traffic mirror session.
20. Konfigurieren Sie Session settings.
    • Name tag: Geben Sie einen eindeutigen Namen für die Spiegelungssitzung ein.
      Verwenden Sie einen Namen, der beschreibend und leicht zu finden ist, wie zum Beispiel VirtualNetworkSensor-TrafficMirrorSession.
    • Beschreibung: Geben Sie eine Beschreibung für die Spiegelungssitzung an.
      Verwenden Sie eine Beschreibung, die den Zweck der Sitzung klar erklärt, wie zum Beispiel Virtual Network Sensor Traffic Mirror Session.
    • Mirror source: Geben Sie die Mirror-Quellen-Schnittstellen-ID an.
    • Mirror target: Geben Sie den Namen des erstellten Spiegelziels an.
21. Konfigurieren Sie Additional settings.
    Für beste Ergebnisse empfiehlt Trend Micro, die folgenden Einstellungen zu verwenden. Sie können diese Einstellungen anpassen, um den Anforderungen Ihrer Sicherheitsumgebung am besten gerecht zu werden.

    Zusätzliche Einstellungen für die Traffic-Mirror-Sitzung

    Optionen	Einstellung	Beschreibung
    Session number	1	Die Sitzungspriorität Die Sitzungsnummer bestimmt die Reihenfolge, in der Verkehrsspiegelungssitzungen in den folgenden Situationen ausgewertet werden: Wenn eine Schnittstelle von mehreren Sitzungen verwendet wird Wenn eine Schnittstelle von verschiedenen Traffic-Mirror-Zielen und Traffic-Mirror-Filtern verwendet wird Der Datenverkehr wird nur einmal gespiegelt, daher verwenden Sie die empfohlene Einstellung, um die höchste Priorität sicherzustellen.
    VNI	Leer lassen	Die eindeutige VXLAN-Netzwerkkennung Leer lassen, damit AWS eine Zufallszahl zuweist. Wenn Sie den VXLAN manuell festlegen möchten, siehe https://tools.ietf.org/html/rfc7348.
    Packet length	Leer lassen	Die Anzahl der Byte in jedem zu spiegelnden Paket Leer lassen, um das Spiegeln des gesamten Pakets zu erlauben. Durch die Angabe einer Zahl wird die Paketlänge auf die angegebene Anzahl von Byte begrenzt. Zum Beispiel werden bei der Einstellung auf 100 nur die ersten 100 Byte eines Pakets nach dem VXLAN-Header übertragen.
    Filter	Wählen Sie den Verkehrsspiegelungsfilter aus, den Sie erstellt haben	Der Datenverkehrsspiegelungsfilter, der für die Spiegelungssitzung verwendet werden soll

22. Klicken Sie auf Erstellen.
    Das Erstellen der Spiegelungssitzung dauert einen Moment. Sobald sie abgeschlossen ist, beginnt der Virtuelle Netzwerksensor mit der Überwachung des gespiegelten Datenverkehrs.