本帖最后由 杨童 于 2023-11-8 13:32 编辑
流量采集转发原理:agent在服务器网卡抓包,将抓取到的报文进行VXLAN或GRE这两种隧道协议的封装然后转发到探针,探针收到报文后拆除隧道外层的封装,再分析报文内部的数据
本案例基于aES6.0.2,STA3.0.59举例截图
功能注意事项: 1、流量采集转发功能仅适用于服务器操作系统,PC系统不支持该功能;
2、Windows Server 2008及以下的系统,若使用流量采集转发功能,请在Agent安装目录的bin目录下,手动安装WinPcap_4_1_3.exe插件;
3、Windows Server 2008以上的系统,若使用流量采集转发功能,需要手动安装Npcap1.75版本的插件,安装参考链接: 跳转下载
4、开启该功能,Agent会消耗一定的网络带宽、系统CPU和内存资源。转发速率越大,所需的资源也会相应增加。如果您需要转发超过200Mbps的流量,请前往【 策略中心/策略管理/安全通用配置/Agent性能保护 】,调整流量采集转发模块使用的资源阈值,以确保Agent的性能和稳定性
配置思路: 前置环境条件: 流量采集转发的本质就是在服务器端抓包,然后将抓到的报文封装进隧道,然后转发给探针,这里需要注意的几个问题 1、服务器要和探针的镜像接口能通信,注意是和探针的镜像口通信,给镜像接口配置IP的步骤如下,接口选择旁路镜像后,选择高级配置,修改收包模式为AF_PACKET,点击确定,就可以给镜像接口配置IP地址了
2、探针部署拓扑结构有两种思路,一是复用镜像流量接口,二是新加一个接口用于流量采集,
3、服务器要能和探针的采集接口通信,因为流量采集时服务器和探针之间会探测可达性,注意是和探针的采集接口IP通信,不是和探针的管理口。 为保证来回路径一致,建议给探针单独写静态路由,目的为服务器,下一跳为流量采集线路对端交换机接口IP
EDR/aES配置思路:
1、系统管理-联动管理-流量采集转发-新增策略 2、配置具体参数说明: 流量接受对象:配置探针采集接口的IP 转发协议:VXLAN和GRE基本无差别,本质上都是找个隧道协议用于封装原始报文,如果是VXLAN会要填写端口,注意中间网络放通 采集规则:自定义过滤可以像tcpdump一样写规则来过滤 3、配置后点击这里的数字检查与探针的连通性,正常则说明可以正常转发 4、验证探针是否正常接收到报文,可直接在探针抓包,或看态势感知平台有没有接收到相关日志 如下图是在vxlan模式下,在探针抓到的报文,红色框选是vxlan的头部,源目的分别是服务器接口IP和探针的采集口IP,UDP协议,4789端口,还有VXLAN的VNI等信息 绿色框选的就是原始报文信息,二层的源目MAC、三层的源目IP、四层的TCP协议信息都正常获取到 下图是在GRE模式下的抓包,红色框选是GRE的头部,绿色框选是原始报文内容 在态势感知平台验证,日志检索可以看到对应日志,证明配置无问题 |