Spis treści
Włączenie nDPI w Sycope
Dzięki dogłębnemu zrozumieniu protokołu NetFlow, zespół deweloperów Sycope zapewnia bliską integrację z rozwiązaniem nProbe firmy nTop, które może zapewnić widoczność warstwy 7.
nProbe, rozwiązanie opracowane przez firmę nTop, to sonda sieciowa, która – na podstawie kopii ruchu sieciowego – może dostarczyć informacji takich jak wskaźniki retransmisji, opóźnienia aplikacji i sieci, szczegóły połączeń TCP i TLS oraz identyfikacja aplikacji warstwy 7. nProbe realizuje tę funkcję za pomocą silnika nDPI firmy nTop, który efektywnie identyfikuje ponad 300 aplikacji. Informacje te są następnie kapsułowane w NetFlow i przesyłane do systemu Sycope w celu przetworzenia. W tym krótkim artykule przedstawię kroki niezbędne do włączenia przetwarzania informacji warstwy 7 z nDPI nProbe w systemie Sycope.
Mapowanie aplikacji i integracja
Jako pierwszy krok, musimy upewnić się, że nProbe zawiera pole %L7_PROTO w swoim szablonie NetFlow i korzysta z IPFIX/NetFlow v10 do eksportowania informacji do Sycope. Od wersji Sycope v2.6 jest to konfiguracja obowiązkowa, aby obsługiwać wszystkie funkcje integracji.
Następnie, używając trybu Discovery Mode w Sycope, analizujemy szablon otrzymany z nProbe i za pomocą prostego kreatora dodajemy wcześniej nieznane pole z ID 118 do naszej bazy danych.
Musimy podać nazwę i nazwę wyświetlaną dla nowego pola. Dobrą praktyką jest również podanie opisu. Następnie należy określić typ pola jako „long”, aby w najbardziej efektywny sposób przechowywać informacje z pola o ID 119 w naszej bazie danych. Warto również rozważyć włączenie opcji Indexed field. Opcja ta zoptymalizuje pole przy używaniu go w zapytaniach wyszukiwania i przyspieszy proces agregacji. Musimy wybrać profil ruchu powiązany z nProbe i zdefiniować strategię deduplikacji. W tym konkretnym przypadku odpowiednie będą „Last(any)” lub „First(Any)”.
Konfiguracja niestandardowej agregacji
W drugim kroku kreatora należy włączyć niestandardową agregację. Dzięki temu Sycope automatycznie będzie agregować dane statystyczne wyodrębnione z NetFlow dla unikalnych ID aplikacji, co zoptymalizuje i przyspieszy niektóre wyszukiwania długoterminowe. Należy pamiętać, że system będzie wymagał ponownego uruchomienia po tej operacji.
Informacje zebrane z nowego pola NetFlow są dostępne w formie liczbowej. Musimy przedstawić je w formie nazw aplikacji, zrozumiałych dla analityka. Aby to zrobić, należy wyodrębnić listę aplikacji używanych przez nDPI zaimplementowane w naszej instancji nProbe. Możemy uzyskać dostęp do tej listy za pomocą polecenia nProbe – H. Zapisz te informacje jako plik CSV.
Następnie należy przygotować lookup w systemie Sycope, który będzie dopasowywał ID wyodrębnione z pola NetFlow do nazw aplikacji. Używając kreatora lookupów znajdującego się w sekcji Settings – Configuration – Mapping – Lookups, zdefiniuj typ lookupu jako „CSV file”, podaj nazwę i krótki opis. Następnie użyj „Edit CSV” i zaimportuj wcześniej przygotowany plik. Zapisz pracę i przejdź do sekcji Mappers.
Używając kreatora, zdefiniuj nowy mapper, podając nazwę wyświetlaną, krótki opis, metodę dopasowania i źródło danych jako „From lookup”. W polu Value i Name należy określić nazwy nagłówków z pliku csv. Zalecam użycie mappera opartego na lookupie, a nie osadzonego w mapperze, ze względu na dodatkowe informacje, jakie zawiera lista aplikacji z nProbe (severity, category). Jeśli użyjemy csv osadzonego w mapperze, to wszystkie dodatkowe informacje nie będą dostępne dla innych funkcji Sycope..
Weryfikacja i analiza
Ostatnim krokiem jest utworzenie dodatkowego pola bazy danych, które wyświetli wynik działania mappera. Przejdź do Settings – Configuration – Objects – Fields i użyj kreatora do zdefiniowania ustawień pola. Zdefiniuj ustawienia obowiązkowe, a w sekcji Source wskaż pole NetFlow skonfigurowane wcześniej za pomocą Discovery Mode. Jako pierwsze źródło użyj „NetFlow”, jako drugie niestandardowej agregacji skonfigurowanej w drugim etapie kreatora Discovery Mode w Sycope. Na końcu wybierz swojego mappera z rozwijanej listy pod Mappers. Zapisz swoją pracę i sprawdź efekt w danych Raw Data.
Od tego momentu definicje aplikacji nDPI mogą służyć jako dodatkowy wgląd do analizy, filtrów i pól wymiarów dla Twoich widżetów.