CESA用AnyConnect NVM 4.7.x以降および関連Splunkエンタープライズコンポーネントのインストールと設定

(1)

CESA用AnyConnect NVM 4.7.x以降および関連

Splunkエンタープライズコンポーネントのイン

ストールと設定

IPFIX NVMコレクタ Splunk Enterprise トポロジ設定 DTLSのサポート証明書の要件スタンドアロンNVM Anyconnect NVMクライアントプロファイル ASDMによるNVMクライアントプロファイルの設定 AnyconnectプロファイルエディタによるNVMクライアントプロファイルの設定 Cisco ASA 上での Web 展開の設定

Cisco ISE 上での Web 展開の設定信頼ネットワーク検出

展開

ステップ 1：Cisco ASA/ISE 上での AnyConnect NVM の設定.

ステップ2:IPFIXコレクタコンポーネント(Anyconnect NVM)を設定します。コレクタのインストール方法 DTLSのサポートステップ3:Splunk用にCisco NVMアプリケーション（CESAダッシュボード）およびTAアドオンを設定します。インストール

Splunk Management UIを使用したUDP入力の有効化確認

Anyconnect NVMのインストールの検証コレクタの実行中ステータスの確認

Splunkの検証 – Anyconnect NVM CESAダッシュボードパケットフロー

フローテンプレートトラブルシューティング

(2)

Anyconnectクライアント（NVMモジュール）

Anyconnect NVM - Not Reporting to the Collector - CFLOWデータパケットがtjeエンドポイントを離れない

信頼ネットワーク検出（TND）

Anyconnect Diagnostic and Reporting Tools(DART)

コレクタ（Linux/Dockerマシン – オールインワンまたはスタンドアロン） Splunkコンソール（NVMダッシュボード）にデータが表示されない Anyconnectクライアントコレクタボックスよくある質問(FAQ) anyconnect NVMから複数の宛先にデータを送信するにはどうすればよいですか。 Anyconnect NVM DTLSの証明書はどこに保存しますか。 XMLファイル名コレクタ(anyconnect NVM) 推奨リリース AnyConnect 4.9.00086の新機能関連情報

はじめに

このドキュメントでは、AnyConnect 4.7.x以降を使用してエンドユーザシステムにCisco

AnyConnect Network Visibility Module(NVM)をインストールおよび設定する方法、および関連するSplunk EnterpriseコンポーネントとNVM Collectorをインストールおよび設定する方法について説明します。 Splunkを使用したCESAの概要については、cs.co/cesa-povを参照してください ● Splunk http://cs.co/cesa-guideのCESA NVMダッシュボードのガイドについては、 ● ソリューションの詳細については、www.cisco.com/go/cesaを参照してください。 ● ソリューションを構成するコンポーネントは次のとおりです。

Network Visibility Module(NVM)が有効になっているCisco AnyConnectセキュアモビリティクライアント

●

Splunk向けCisco AnyConnect Network Visibility Module(NVM)アプリケーション ● Splunk向けCisco NVMテクノロジーアドオン ● NVMコレクタ（NVM TAアドオンとzipファイルにバンドル） ●

前提条件

要件

次の項目に関する知識が推奨されます。 NVMを使用したAnyConnect 4.7.x以降 ● AnyConnectライセンス ● ASDM 7.5.1 以降 ● Splunk Enterpriseに関する知識と、Splunkアプリケーションおよびアドオンのインストール ●

(3)

方法

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。 Cisco AnyConnectセキュリティモビリティクライアント4.7.x以降 ●

Cisco AnyConnect Profile Editor

●

Cisco 適応型セキュリティアプライアンス（ASA）バージョン 9.5.2

●

Cisco Adaptive Security Device Manager（ASDM）バージョン 7.5.1

●

Splunk Enterprise 7.x以降（サポートされている任意のLinuxにオールインワンでインストールされ、CentOSが推奨） ● コレクタデバイスとしてサポートされているLinuxインストール(コレクタは同じサーバでも実行できます。詳細については、cs.co/cesa-povを参照してください) ● 本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。

導入の概要

これは、最も簡単な形式での導入の概要です。これは、64ビットLinuxで実行されるオールインワン設定です。この設定は、ほとんどのデモンストレーションのセットアップ方法であり、小規模な実稼働環境でも役立ちます。これは、導入に使用できる、より包括的なオプションセットです。通常、実稼働セットアップは分散され、複数のSplunk Enterpriseノードがあります。

(4)

背景説明

Cisco AnyConnect Network Visibility Moduleは、価値の高いエンドポイントテレメトリを継続的に提供します。NVMは、組織がネットワーク上でエンドポイントとユーザの動作を確認し、ユーザ、アプリケーション、デバイス、ロケーション、宛先などの貴重なコンテキストとともに、オンプレミスとオフプレミスの両方からフローを収集します。Splunk Enterpriseはテレメトリデータを消費し、分析機能とレポートを提供します。このテクノロジーは、新しいCESAソリューションの一部としてSplunk Enterpriseを使用した AnyConnect NVMの設定例です。

Cisco Anyconnectセキュアモビリティクライアント – VPN以上

Cisco AnyConnect は、企業を保護する各種のセキュリティサービスを提供する統合エージェントです。AnyConnectはエンタープライズVPNクライアントとして最も一般的に使用されますが、エンタープライズセキュリティのさまざまな側面に対応する追加モジュールもサポートしています。追加のモジュールにより、ポスチャアセスメント、Webセキュリティ、マルウェア防御、ネットワーク可視性などのセキュリティ機能が有効になります。

この TechNote は、Network Visibility Module（NVM）に関するものです。この機能は Cisco AnyConnect と統合されており、管理者はこれを使用してエンドポイントアプリケーションの使用状況をモニタできます。

Cisco Anyconnectの詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.7』を参照してください

Internet Protocol Flow Information Export（IPFIX）

IPFIX は、アカウンティング/監査/セキュリティなどの多様な目的のために IP フロー情報をエクスポートする際の標準を定義する、IETF プロトコルです。IPFIXはCisco NetFlowプロトコルv9に基づいていますが、直接互換性はありません。 Cisco nvzFlowは、IPFIXプロトコルに基づくプロトコル仕様です。設計上、IPFIXは拡張可能なプロトコルであり、新しいパラメータを定義して情

(5)

報を伝達できます。Cisco nvzFlowプロトコルは、IPFIX標準を拡張し、新しい情報要素を定義するとともに、AnyConnect NVMによって使用されるテレメトリの一部として伝送される標準 IPFIXテンプレートのセットを定義します。 IPFIX の詳細については、rfc5101、rfc7011、rfc7012、rfc7013、rfc7014、rfc7015 を参照してください。

IPFIX NVMコレクタ

詳細については、http://cs.co/nvm-collectorを参照してくださいコレクタは、IPFIX データを受信して保存するサーバです。これはそのデータを Splunk にフィードします。

シスコは、nvzFlowプロトコル専用に設計され、Splunk App（NVM TAアドオン）にバンドルされたコレクタを提供します。

Splunk Enterprise

Splunk Enterpriseは、診断データを収集して分析し、ITインフラストラクチャに関する有意義な情報を提供する強力なツールです。これは管理者がネットワークのヘルスを把握するために重要なデータを収集する、ワンストップのロケーションです。 Splunkはシスコのパートナーであり、CESAソリューションはシスコと共同で作成されました。

トポロジ

(6)

この TechNote の IP アドレスの表記法：コレクタ IP アドレス：192.0.2.123

Splunk IP アドレス： 192.0.2.113

設定

このセクションでは、Cisco NVMコンポーネントの設定について説明します。

Anyconnect NVMおよび設定プロファイルの導入の概要については、『AnyConnect Network Visibility Moduleの実装方法』も参照してください

DTLSのサポート

(7)

。このモードは、NVMプロファイルエディタで設定できます。[セキュリティ]チェックボックスをオンにすると、NVMはトランスポートとしてDTLSを使用します。DTLS接続を通過させるには、DTLSサーバー（コレクタ）証明書をエンドポイントで信頼する必要があります。信頼できない証明書は通知せずに拒否されます。DTLS 1.2がサポートされている最小バージョンです。

DTLSのサポートには、CESA Splunk App v3.1.2+の一部としてコレクタが必要です。コレクタは、セキュアまたは非セキュアの1つのモードでのみ動作します。

証明書の要件

コレクタ証明書はクライアントによって信頼される必要があります（証明書チェーンが信頼されていることを確認する必要があります）。Anyconnectには設定はありません。 ● 証明書はPEM形式である必要があります。 ● 証明書キーパスワードをサポートしない（Cisco ISE内部CAには1つ必要） ● AnyconnectクライアントマシンがPKI（内部PKI、既知など）を信頼している限り、コレクタで証明書を使用できます。 ● 設定ファイルの更新後、anyconnect NVMサービスを再起動する必要があります（単一クライアントテスト用）。 ISE/ASAからプッシュされたプロファイルの場合は、ネットワークの切断または再接続が必要です。 ● AC NVMプロファイルコレクタの設定は、IPまたはFQDNである必要があります。これは、証明書のCNで何が使用されているかによって異なります。IPアドレスが変更された場合は、常にFQDNが優先されます。 IPアドレスを使用する場合は、コレクタ証明書CNまたはSANにそのIPが必要です。証明書にCNとしてFQDNがある場合、NVMプロファイルにはコレクタと同じFQDNが必要です。 ● Anyconnect構成(4.9.3043以降)：コレクタ情報を参照 NVMプロファイルの[Secure]という名前のコレクタIP/ポートの下に新しいチェックボックスがあります。

スタンドアロンNVM

これには、Anyconnect 4.8.01090以降が必要です。 Anyconnect Admin Guide for NVM

スタンドアロンガイド – How To Implement the AnyConnect Network Visibility Moduleを参照してください

(8)

AnyConnectを導入していないユーザ、または別のVPNソリューションを使用しているユーザは、 NVMのニーズに合わせてNVMスタンドアロンパッケージをインストールできます。このパッケージは独立して動作しますが、既存のAnyConnect NVMソリューションと同じレベルのフロー収集をエンドポイントから提供します。スタンドアロンNVMをインストールすると、アクティブなプロセス（macOSのアクティビティモニタなど）が使用を示します。スタンドアロンNVMは、NVMプロファイルエディタと信頼ネットワーク検出(TND)の設定は必須です。TND設定を使用して、NVMはエンドポイントが企業ネットワーク上にあるかどうかを判断し、適切なポリシーを適用します。トラブルシューティングとロギングは、AnyConnect DARTによって行われます。DARTは AnyConnectパッケージからインストールできます。

スタンドアロンの前は、Trusted Network Detectionを利用するためにCore VPNモジュールをインストールする必要がありました。これにより、エンドユーザが別のベンダーのVPNソリューションを使用する場合に特に混乱する可能性があるコアVPNタイルがUIで表示されました。スタンドアロンを使用する場合は、コアVPNプロファイルを使用してTNDを設定しません。 NVMプロファイルをTNDに直接設定できるようになりました。

Anyconnect NVMクライアントプロファイル

AnyConnect NVM 設定は、コレクタ IP アドレスやポート番号に関する情報を含む XML ファイルに、そのほかの情報とともに保存されます。コレクタのIPアドレスとポート番号は、NVMクライアントプロファイルで正しく設定する必要があります。 NVM モジュールを正しく操作するには、XML ファイルがこのディレクトリ内に置かれている必要があります。

(9)

Windows 7 以降の場合：%ALLUSERSPROFILE%\Cisco\Cisco AnyConnect Secure Mobility Client\NVM

●

Mac OS X の場合：/opt/cisco/anyconnect/nvm

●

プロファイルが Cisco ASA または Identity Services Engine（ISE）に存在している場合、 AnyConnect NVM 展開とともに自動展開されます。 XML プロファイルの例： <?xml version="1.0" encoding="UTF-8"?> -<NVMProfile xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="NVMProfile.xsd"> -<CollectorConfiguration> <CollectorIP>192.0.2.123</CollectorIP> <Port>2055</Port> </CollectorConfiguration> <Anonymize>false</Anonymize> <CollectionMode>all</CollectionMode> </NVMProfile> NVMプロファイルは、次のツールで作成できます。 Cisco ASDM ● AnyConnect プロファイルエディタ ●

Identity Services Engine

●

ASDMによるNVMクライアントプロファイルの設定

この方式は、AnyConnect NVM が Cisco ASA を介して展開される場合に推奨されます。

1. [Configuration] > [Remove Access VPN] > [Network (Client) Access] > [Anyconnect Client Profile]に移動します。

(10)

3.プロファイルに名前を付けます。[プロファイルの使用]で、[Network Visibility Service Profile]を選択します。

4. Anyconnectユーザが使用しているグループポリシーに割り当て、図に示すようにOKをクリックします。

(11)

6.コレクタのIPアドレスとポート番号に関する情報を入力し、[OK]をクリックします。 7.図に示すように、[Apply]をクリックします。 AnyconnectプロファイルエディタによるNVMクライアントプロファイルの設定 https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect49/administratio n/guide/b_AnyConnect_Administrator_Guide_4-9/anyconnect-profile-editor.html#ID-1430-00000061

(12)

これは Cisco.com で使用できるスタンドアロンツールです。この方式は、AnyConnect NVM が Cisco ISE を介して展開される場合に推奨されます。このツールを使用して作成された NVM プロファイルは、Cisco ISE にアップロードするか、またはエンドポイントに直接コピーできます。

AnyConnect プロファイルエディタの詳細については、以下を参照してください。

AnyConnect プロファイルエディタ

Cisco ASA 上での Web 展開の設定

この TechNote は、AnyConnect が ASA 上にすでに設定済みであり、NVM モジュール設定のみ追加が必要であると想定しています。ASA AnyConnect の設定の詳細については、以下を参照してください。

ASDM ブック 3：Cisco ASA シリーズ VPN ASDM コンフィギュレーションガイド 7.5

Cisco ASA 上で AnyConnect NVM モジュールを有効にするには、次の手順を実行します。 1. [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies]に移動します。

(13)

2.図に示すように、関連するグループポリシーを選択し、[Edit]をクリックします。

3.グループポリシーのポップアップ内で、[Advanced] > [Anyconnect Client]に移動します。 4. [Optional Client Modules to Download]を展開し、[Anyconnect Network Visibility]を選択します。

5. 「OK」をクリックし、変更を適用します。

(14)

Anyconnect Web展開用にCisco ISEを設定するには、次の手順を実行します。 Cisco ISE GUIで、[Policy] > [Policy Elements] > [Results]に移動します。 1.

[Client Provisioning]を展開して[Resources]を表示し、[Resources]を選択します。 2.

Anyconnectイメージの追加：

ステップ1:[Add] > [Agent Resources]を選択し、Anyconnectパッケージファイルをアップロードします。

ステップ2：ポップアップでパッケージのハッシュを確認します。

ファイルハッシュは、Cisco.comのダウンロードページに対して、またはサードパーティツールを使用して確認できます。

複数の AnyConnect イメージを追加するには、この手順を繰り返すことができます（Mac OSX および Linux OS の場合）。

Anyconnect NVMプロファイルの追加：

ステップ1:[追加(Add)] > [エージェントリソース(Agent Resources)]を選択し、NVMクライアントプロファイルをアップロードします。

(15)

AnyConnect 設定ファイルの追加：ステップ1:[Add]をクリックし、[AnyConnect Configuration]を選択します前の手順でアップロードしたパッケージを選択します。

(16)

このセクションでは、AnyConnect Clientモジュール、プロファイル、カスタマイズ/言語パッケージ、およびOpswatパッケージを有効にします。Cisco ISE 上の Web 展開設定に関する詳細情報については、以下を参照してください。AnyConnect の Web 展開

信頼ネットワーク検出

AnyConnect NVMは、信頼ネットワーク上にある場合にのみフロー情報を送信します。

AnyConnectクライアントのTND機能を使用して、エンドポイントが信頼ネットワークにあるかどうかを学習する Trusted Network Detectionは、VPNコンポーネントが環境で使用されているかどうかに関係なく、VPNに使用されるAnyConnect Client Profile(XML)で設定されます。 TNDは、プロファイルの[Automatic VPN Policy]セクションを設定することで有効になります。少なくとも1つの信頼できるDNSドメインまたは信頼できるDNSサーバを入力する必要があります。クライアントが信頼ネットワーク上にあると判断した場合にAnyConnectが実行するアクションは、信頼ネットワークポリシーのプルダウンを使用してDoNothingモードに設定できます。

TND

展開

Anyconnect NVMソリューションを導入するには、次の手順を実行します。1. Cisco ASA/ISEで Anyconnect NVMを設定する。2. IPFIX Collectorコンポーネント（Linux上のAnyconnect

NVM）を設定します。3. Cisco NVMアプリケーションとアドオンを使用したSplunkのセットアッ

プ

ステップ 1：Cisco ASA/ISE 上での AnyConnect NVM の設定.

この手順は、「設定」

(17)

エンドポイントに自動展開できます。

ステップ2:IPFIXコレクタコンポーネント

(Anyconnect NVM)を設定します。

コレクタコンポーネントは、エンドポイントからすべて

のIPFIXデータを収集して変換し、Splunkアドオンに転送します。NVMコレクタは64ビット Linuxで動作します。CentOS、Ubuntu、およびDocker設定スクリプトが含まれています。

CentOS のインストールスクリプトおよび設定ファイルは、Fedora や Redhat のディストリビューションでも使用できます。一般的な分散型Splunk Enterprise導入では、コレクタはスタンドアロンの64ビットLinuxシステムまたは64ビットLinuxで実行されるSplunk Forwarderノードで実行する必要があります。注：このソリューションは、NVMコレクタとSplunk Enterpriseコンポーネントを含む単一の64ビットLinuxシステム上で実行することもできます。これらのコンポーネントは、小規模な導入やデモンストレーションに使用できます。オールインワンは、最大10,000のエンドポイントに対して最も簡単です。CESA POVのサイジング情報、コレクタのインストール方法 /opt/splunk/etc/apps/$APP_DIR$/appserver/addon/（TA Add-Onに含まれる）ディレクトリにあるacnvmcollector.zipfileを、インストールするシステムにコピーします。 1. ファイルを展開します(unzip acnvmcollector.zip) 2. install.shスクリプトを実行する前に、$PLATFORM$_READMEファイルを.zipバンドルで読むことをお勧めします。$PLATFORM$_READMEファイルは、install.shスクリプトを実行する前に、確認および変更（必要な場合）が必要な関連する構成設定に関する情報を提供します。少なくとも、データを転送するSplunkインスタンスのアドレスを設定する必要があります。システムを正しく設定しないと、コレクタが正しく動作しなくなる可能性があります。注：送信元と宛先のアドレスとポートのUDPトラフィックを許可するように、ネットワークとホストのファイアウォールが正しく設定されていることを確認します。anyconnectクライアントからコレクタに着信する IPFIX(cflow)トラフィックと、Splunk（こちら）に発信するUDPデータ。1つのNVMコレクタインスタンスは、適切なサイズのシステムで1秒あたり5000フロー以上を処理できます。Splunkアプリケーションを使用するには、コレクタを設定して実行する必要があります。デフォルトでは、コレクタはUDPポート2055でAnyConnect NVMエンドポイントからフローを受信します。さらに、コレクタは、UDPポート20519、20520、および20521に、Splunk、Per Flow Data、Endpoint Identity Data、およびEndpoint Interface Dataの3つのデータフィードをそれぞれ生成します。受信ポートとデータフィードポートは、acnvm.confファイルを変更し、コレクタインスタンスを再起動することで変更できます。エンドポイントとコレクタ間、またはコレクタとSplunkシステム間のホスト/ネットワークファイアウォールが、設定されたUDPポートとアドレスに対して開いていることを確認します。また、AnyConnect NVM設定がコレクタ設定と一致していることを確認します。すべてのコンポーネントをインストールして実行したら、Splunkアプリケーション内の [Help files]セクションで、ソリューションによって作成される設定済みのレポート、データモデル、および情報要素の詳細を参照してください。いずれかのAnyConnectエンドポイントを再起動し、データがソリューションに送信されていることを確認できます。Youtubeを使用して、データの安定したストリームを実行します。この情報は、設定ファイルacnvm.confで設定する必要があります。 syslog_server_ip（フォワーダまたはsplunkインスタンス）が同じボックスにある場合は、 127.0.0.1（LOCALHOSTを使用しない）をポイントできます ● コレクタのリスニングポート（着信IPFIXデータ）のデフォルトはokです。 ● 注：netflow_collector_ipは設定ファイル（デフォルトのパブリックインターフェイスを使用）から除外され、特定のローカルIPで上書きするように変更されるだけですフローごとのデータポート、エンドポイントIDデータポート、エンドポイントインターフェイスデータ、およびコレクタポートは、設定ファイルのデフォルト設定に事前設定されています。デフォルト以外のポートを使用する場合は、これらの値を必ず変更します。この情報は、設定ファイル(/opt/acnvm.conf)に追加されます。DTLSのサポート（詳細については、『Anyconnect NVM DTLS情報』を参照してください）。これは、コレクタをホストするボックスで行います。ディレクトリ/opt/acnvm/certsを作成します。 ●

(18)

コレクタに証明書を適用するには、キーとともに/opt/acnvm/certsディレクトリに保存します

●

次のコマンドを使用して、フォルダの所有者とグループをacnvm:acnvmに変更します。sudo chown - R acnvm:acnvm certs/:

●

acnvm.confの次のセクションは、証明書とキーを使用して設定する必要があります

●

設定と証明書を配置したら、コレクタを再起動します。sudo systemctl restart acnvm.service

●

コレクタステータスの確認 – sudo systemctl status acnvm.service

●

{ "security" :{ "dtls_enabled": true, "server_certificate":"/opt/acnvm/certs/public.cer", "server_pkey":"/opt/acnvm/certs/private.key" }, 残りの設定は次のとおりです。 "syslog_server_ip" : "192.0.2.113", "syslog_flowdata_server_port" : 20519, "syslog_sysdata_server_port" : 20520, "syslog_intdata_server_port" : 20521, "netflow_collector_port" : 2055, } 3.superuser権限(sudo ./install.sh)でinstall.shスクリプトを実行します。注：アカウントは、 install.shを実行するためにsudo権限またはroot権限と、acnvmサービスアカウントの権限を必要とします。詳細については、https://splunkbase.splunk.com/app/2992/#/detailsを参照してください

ステップ3:Splunk用にCisco NVMアプリケーション（CESAダッシュボード）お

よびTAアドオンを設定します。

Cisco AnyConnect NVM App for Splunk は、Splunkbase 上

で使用できます。このアプリは、事前定義されたレポートおよびダッシュボードを使用して、使用可能なレポートのエンドポイントからIPFIX(nvzFlow)データを使用し、ユーザとエンドポイントの動作を関連付けるのに役立ちます。注：クラウド導入では、両方のアプリケーションがクラウドインスタンスにインストールされます。TAだけがオンプレミス（フォワーダ付き）でインストールされます。コレクタは、フォワーダとオンプレミスで、または別のlinux/dockerボックスにインストールされます。オンプレミスでは、すべてのコンポーネントとアプリケーションを1つのボックス（または別のボックス）にインストールすることのみが可能です。図を参照してください次のファイルをダウンロードします。 SplunkbaseのSplunk向けCisco NVMアプリケーション：https://splunkbase.splunk.com/app/2992/ ● SplunkbaseのSplunk用Cisco NVMアドオン：https://splunkbase.splunk.com/app/4221/ ●

インストールステップ1:[Splunk] > [Apps] に移動し、ギアをクリックして、Splunkbaseからダウンロードしたtar.gzファイルをインストールします。または、[Apps]セクションで検索します。

(19)

ステップ2：次に、同じプロセスに従ってアドオンをインストールする必要があります。両方がインストールされていることを確認するには、[Splunkアプリ]ページを表示します。

デフォルト設定では、UDPポート20519、20520、および20521で、Splunk、Per Flow Data、 Endpoint Identity Data、およびEndpoint Interface Dataの3つのデータフィードが受信されます（手順2を参照）。次に、アドオンは、これらをSplunkのソースタイプにマッピングします cisco:nvm:flowdata、 cisco:nvm:sysdata および cisco:nvm:ifdata.Splunk Management UIを使用したUDP入力の有効化注：input.confファイルを使用して行うこともできます。これについては、ヘルププルダウンのCisco NVMダッシュボードアプリのguiで説明しますSplunkソフトウェアを再起動する必要はありません。図に示すように、[Splunk] > [Settings] > [Data Input] > [UDP]に移動します。1. [New Local UDP] > [Enter port # missing] > [Click Next] > [Select Responding Source Type] > [Click Review] > [Click Submit]2.他の2ポートについても繰り返します（クローンを使用してみます

(20)

確認

Anyconnect NVMのインストールの検証

インストールが正常に完了した後、Network Visibility Moduleは、Anyconnectセキュアモビリティクライアントの情報セクション内のインストール済みモジュールに一覧表示されます。

(21)

また、エンドポイントでnvmサービスが実行されていて、プロファイルが必要なディレクトリに存在するかどうかを確認します。

コレクタの実行中ステータスの確認

コレクタのステータスが実行中であることを確認します。これにより、コレクタがエンドポイントから常時

IPFIX/cflow を受信していることを確認できます。実行されていない場合は、ファイルのacnvmアカウント権限で実行できることを確認します。/opt/acnvm/bin/acnvmcollector

root@ubuntu-splunkcollector:~$ /etc/init.d/acnvmcollectord status * acnvmcollector is running

root@ubuntu-splunkcollector:~$

Splunkの検証 – Anyconnect NVM CESAダッシュボード

Splunk と関連サービスが実行

していることを確認します。Splunk のトラブルシューティングに関する資料については、Splunk の Web サイトを参照してください。CESAのダッシュボードは、自動化スクリプトにより初期データを受信してから5分後まで更新されません。手動検索を実行して、すぐに検証します。メインダッシュボードで、[Search & Reporting]をクリックします。次の画面で、目的のデータを入力するために正しい範囲を設定し、「enter search here...」と表示されます。「

(22)

Splunkダッシュボードをチェックして、[Splunk]に移動し、[Cisco NVM Dashboard]をクリックし、[Device Activity by Volume and Flow Count]をクリックして現在の設定を維持して、[Submit]をクリックします。グラフィックスにデータが表示されます。

パケットフロー

1. IPFIXパケットは、Anyconnect NVMモジュールによってクライアントエンドポイントで生成されます。2.クライアントエンドポイントがIPFIXパケットをコレクタのIPアドレスに転送する。3.コレクタが情報を収集し、Splunkに転送します。4.コレクタは3つの異なるストリームでSplunkにトラフィックを送信します。フローデータ単位、エンドポイントデータ、インターフェイスデータ。すべてのトラフィックは、トラフィックの確認応答がないことに基づく UDPです。トラフィックのデフォルトポート：IPFIX データ 2055フローごとのデータ 20519エンドポイントデータ20520インターフェイスデータ20521NVMモジュールはIPFIXデータをキャッシュし、信頼ネットワーク内にあるコレクタに送信します。これは、ラップトップが社内ネットワーク（on-prem）に接続されているか、または VPN を介して接続されているかのいずれかの場合に実行されます。設定に従って特定のUDPポートでパケットキャプチャを実行し、 NVMモジュールからパケットを受信しているかどうかをコレクタが検証して、パケットが受信されているかどうかを確認できます。これは、SplunkシステムのLinux OSを介して行われます。

フ

ローテンプレート

IPFIXフローテンプレートは、IPFIX通信の開始時にコレクタに送信されます。これらのテンプレートは、コレクタが IPFIX データの意味を解明するために役立ちます。また、コレクタはテンプレートをプリロードし、クライアントから送信されていない場合でもデータを解析できるようにします。新しいバージョンのクライアントがプロトコルの変更とともにリリースされる場合は、クライアントから送信される新しいテンプレートが使用されます。次の条件でテンプレートが送信されます。 NVM クライアントプロファイルに変更がある。 1. ネットワーク変更イベントがある。 2. nvmagent サービスが再起動する。 3. エンドポイントがリブートまたは再起動されます。 4. NVMプロファイルで設定されているように、定期的に（デフォルト=24時間）。 5. まれに、テンプレートが見つからない場合があります。これは、エンドポイントの1つを再起動することで簡単に修復できます。この問題は、エンドポイントのパケットキャプチャにはテンプレートが見つからないか、コレクタログにフローセット用のテンプレートがないかを確認することで確認できます。

トラブルシューティング

トラブルシューティングの基本的な手順は次のとおりです。クライアントエンドポイントとコレクタとの間のネットワーク接続を確認します。 1. コレクタと Splunk との間のネットワーク接続を確認します。 2. NVMがクライアントエンドポイントに正しくインストールされていることを確認します。 3. エンドポイントにキャプチャを適用し、IPFIXトラフィックが生成されているかどうかを確認します。 4. コレクタにキャプチャを適用して、IPFIXトラフィックを受信するかどうか、およびトラフ 5.

(23)

ィックをSplunkに転送するかどうかを確認します。 Splunkでキャプチャを適用して、トラフィックを受信するかどうかを確認します。 6. DTLS用 anyconnectクライアントはコレクタ証明書を信頼しますNVMプロファイルでセキュリティが有効になっているcertsにコレクタが設定されている 7. Wireshark に表示される IPFIX トラフィック：注：クライアントとコレクタの間でDTLSを実行する場合は、DTLSトラフィックをフィルタリングする必要があります

Anyconnectクライアント（NVMモジュール）

Anyconnect NVM - Not Reporting to the

Collector - CFLOWデータパケットがtjeエンドポイントを離れない NVMデータベースファイルは C:\%ProgramData%\Cisco\Cisco Anyconnect Secure Mobility Clientの下で増加していますか？増加し続けている場合は、ログがクライアントから送信されないことを意味します。NVMフォルダの下を見ると、SQLデータベースの増加を確認できますが、nvm.dbは文書化されていませんが、キャッシュ方法とキャッシュに関する制御については、『NVMガイド』を参照してください。その場合、コレクタにデータが送信されません。信頼ネットワーク検出（TND）Anyconnect UIを起動し、信頼できるネットワーク上にあることを確認します。 NVMは、エンドポイントが信頼ネットワーク内にあるかどうかを検出するためにTNDに依存します。TND 設定が誤っている場合、NVM の問題が発生する原因になります。NVMには独自の TND設定があり、設定されたサーバのTLS証明書フィンガープリントで動作します。これは、 NVMプロファイルエディタで設定できます。NVM TNDが設定されていない場合、NVMはVPNモジュールのTND設定に依存します。VPNのTNDは、DHCP経由で受信した情報に基づいて動作します。ドメイン名および DNS サーバ。DNS サーバまたはドメイン名（あるいはその両方）が設定値と一致する場合、ネットワークは信頼できると見なされます。VPNは、TLS証明書ベースの TND検出もサポートしています。

[Trusted Network Detection]の設定が正しいことを確認します。NVMは、信頼できるネットワーク（無効なTND設定など）でのみエクスポートします。3台のDNSサーバがある場合は、 3つ定義する必要があります)。 ● TND VPN設定から信頼できるドメインを削除します ● ネットワークの問題：スプリットトンネリング（コレクタのIPアドレスは、信頼できるスプリットトンネルの一部ではないため、データはパブリックインターフェイスに送信されます）。コレクタのIPは、必ずVPNのスプリット含め設定に含めてください。 ● CollectionModeが現在のネットワーク（信頼/信頼）で収集するように設定されていることを確認します。 ● VPN.xmlとNVM_ServiceProfile.xmlが正しいフォルダにあることを確認し、再起動します ●

(24)

すべてのanyconnectサービスの開始/停止 ● DNSサーバに接続されている内部に接続されたネットワークをバウンスします。 ● パケットキャプチャ：

Anyconnect Diagnostic and Reporting Tools(DART)AnyconnectがNVMコンポーネントでDARTを実行していることをトラブルシュートします。 NVMに必要なすべてのログはDARTによって処理され、ログファイル、設定などが収集されます。 ● Windowsログ：イベントは1か所ではなく、AnyConnectのNVMのイベントビューアに別のリーフがあります。 ● macOS/linux：インベントリでログをフィルタリングする ●

コレクタ（Linux/Dockerマシン – オールインワンまたはスタンドアロン）

acnvmcollectorの起動に失敗しました：これはUbuntuの問題だった。コードがacnvmcollectorファイルで実行されなかったことに気付きました。/opt/acnvm/bin/acnvmcollector にアクセスしてください。権限にacnvmアカウントの実行が含まれていることを確認します。コレクタログコレクタの確認を確認するにはどうすればよいですか。デバッグはどこで設定できますか。ロギングレベルは、コレクタの起動に送信される設定の一部であるACMVMLOG.confで設定できます。変更後、コレクタを再起動します。log4cplus.rootLogger=DEBUG, STDOUT, NvmFileAppender <これはACNVMLOG.confファイルにあります

Jan 20 12:48:54 csaxena-ubuntu-splunkcollector NVMCollector: no templates for flowset 258 for 10.150.176.167 yet

Jan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector:

HandleReceivedIPFIX: exporter=10.150.176.167 bytes_recvd=234 totlength=234 Jan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector:

=================> flowsetid=258 flowsetlen=218

Jan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector: no templates for flowset 258 for 10.150.176.167 yet

DTLSの問題： DTLSが設定されていません（acnvm.confファイルに表示されないことを意味します） ● サーバーキーが無効です（これはサポートされていないパスワードキーコンボです） ●

Splunkコンソール（NVMダッシュボード）にデータが表示されない

Anyconnectクライアント youtubeを使用してデータを生成し、いくつかのWebサイトを参照する可能性があります ●

(25)

AnyconnectクライアントはUDP 2055経由でコレクタサーバに情報を送信できます（間にファイアウォールはありますか）。クライアントマシンからコレクタマシンへのtelnetを試行します ● Wiresharkを実行して、クライアントがトラフィック(2055 cflow)データをコレクタに送信していることを確認します ● コレクタボックス受信したanyconnect NVMトラフィックを検証する tcpdumpを実行します（25001 ～ 2055のクライアントからサーバへのパケットが表示されることを確認します）。 Sudo tcpdump -I any -c100 -nn host 10.1.110.7（これはクライアントホストIPからの最初の100パケットを表示します）centosでのTCPDUMPの使用方法 ● anyconnect NVMコレクタが実行されていることを確認します（上記のsystemtlの使用方法の情報を参照）。 ● acnvm.confのフォーマット、引用符の欠落、カンマなどを確認してください ●

Splunk UI - TA - Splunk GUIまたはinput.confを介して設定されたUDPデータ入力およびソースタイプ

UI > settings > server controlsの下でsplunkを再起動します

●

よくある質問(FAQ)

anyconnect NVMから複数の宛先にデータを送信するには

どうすればよいですか。

これは、ハイアベイラビリティまたはSplunkおよびStealthwatchへの送信に使用されます。詳細については、http://cs.co/cesa-povを参照してください

Anyconnect

NVM DTLSの証明書はどこに保存しますか。

これは、コレクタに既知の証明書がインストールされていないラボテスト用です。 Windows ● コレクタ証明書をWindowsの信頼できる証明書にインストールします Mac OSX ● ルート証明書をインストールする場合、プロセスは標準であり、キーチェーンを介したmacOSに対して適切に定義されています。ここでは、キーチェーンツールを使用してインポートし、信頼できるものとして追加できます。 Linux：ディストリビューションごとに異なります（UbuntuおよびRHEL）。 ● RHELルートCAインポート手順： 1) ca証明書を/etc/pki/ca-trust/source/anchorsにコピーします 2) sudo update-ca-trust enable

3)最後に、sudo update-ca-trust extract UbuntuルートCAのインポート手順： 1) .cerファイルから.crtファイルへの変換

openssl x509 -inform PEM -in RootCA.cer -out rootCa.crt 2) .crtファイルを/usr/local/share/ca-certificatesにコピーします 3)コマンドsudo update-ca-certificatesを実行します

XMLファイル名

ローカルプロファイルエディタを使用する場合。コアVPNモジュールのXMLプロファイル名は関係ありません。「プロファイルをNVM_ServiceProfile.xmlとして保存してください。プロファイルをこの正確な名前で保存する必要があります。保存しないと、NVMがデータの収集と送信に失敗します。」

コレクタ

(anyconnect NVM)

https://splunkbase.splunk.com/app/2992/#/details ベンダーのディレクトリをrootの下に作成し、別のアカウントに提供する所有権を作成することはできますか。インストールスクリプトにファイルをコピーする権限がある限り、最初に/opt/acnvmを作成できます ● ファイルのアクセス許可 – install.shを実行するにはroot権限が必要です ●

(26)

サービスアカウント： useradd -rの理由と、-s /bin/falseの理由は、ホームディレクトリのない非インタラクティブなアカウントこれは、ホームディレクトリの要件ではなく、サービスアカウントがクリーンな状態を維持するための標準的な方法ではありませんホームディレクトリがあるかどうかにかかわらず、すべてのユーザがuid/guidを持ちます。 ● コレクタOS:CentOS、Ubuntu、Redhatを実行すると、CentOSスクリプトを使用できます。 ● インストールスクリプト：必要に応じて変更可能。 rootまたはSUDO権限で実行する必要があります。これは、acnvmという新しいユーザーを作成し、すべてを/opt/acnvmディレクトリに配置します。一般的な注意事項：また、必要に応じて必要な操作を行う独自のスクリプトを作成することもできます。このスクリプトは、システム上ですでに実行していた別のユーザを使用できますが、このユーザはインストールを実行するためにSUDO権限が必要です。 ● -vフラグを使用して実行するコレクタのバージョンを検索するには ./opt/acnvm/bin/acnvmcollector -v ●

推奨リリース

AnyConnectの最新のソフトウェアバージョンは、使用時または更新時に必ず推奨されます。AnyConnectバージョンを選択する際は、最新の4.9.xクライアント以降を使用してください。これにより、NVMに関する最新の拡張機能が提供されます。

AnyConnect

4.9.00086の新機能

これは、次の機能を含み、更新をサポートするメジャーリリースで、 AnyConnect 4.9.00086で説明されている不具合を解決しています新しいNVMコレクタを含むフローおよびエンドポイントデータを強化するNVM拡張は、 Splunkアプリケーション3.xと連携し、フロー情報のタイムスタンプを提供 ●

CESA用AnyConnect NVM 4.7.x以降および関連Splunkエンタープライズコンポーネントのインストールと設定