关于 Network Visibility Module
由于用户越来越多地在非托管设备上操作,因此企业管理员对网络内部和外部的可视性下降。Network Visibility Module (NVM) 可以从本地或外部终端收集丰富的流上下文信息;当与 Cisco Secure Cloud Analytics 等思科解决方案或 Splunk 等第三方解决方案配合使用时,它能够提供对网络连接设备和用户行为的可视性。然后,企业管理员可以执行容量和服务规划、审计、合规性检查和安全性分析。Network Visibility Module 提供以下服务:
-
通过监控应用的使用情况,更好地依据事实改进网络设计(对 nvzFlow 协议规范中的 IPFIX 收集器元素加以扩展:https://developer.cisco.com/site/network-visibility-module/)。
-
对应用、用户或终端进行逻辑分组。
-
通过查找潜在异常,帮助跟踪企业资产并规划迁移活动。
利用此功能,您可以选择是否不将整个基础设施部署作为遥测对象。Network Visibility Module 可收集终端遥测信息,提高以下内容的可视性:
-
设备 - 终端,不考虑其位置
-
用户 - 登录到终端的用户
-
应用 - 生成流量的应用
-
位置 - 生成流量的网络位置
-
目的地 - 流量发往地的实际域名 (FQDN)
在一个受信任的网络中,Cisco Secure Client Network Visibility Module 将流记录导出到收集器(例如 Cisco Secure Cloud Analytics)或第三方供应商(例如 Splunk),由其进行文件分析并提供 UI 接口和报告。流记录提供关于用户功能的信息,相关值按 ID 导出(例如 LoggedInUserAccountType 导出为 12361,ProcessUserAccountType 导出为 12362,ParentProcessUserAccountType 导出为 12363)。有关在 Splunk 上构建的思科终端安全分析 (CESA) 的详细信息, 请参阅 http://www.cisco.com/go/cesa。由于大多数企业 IT 管理员可能需要利用该数据构建各自的可视化模板,因此我们通过 Splunk 应用插件提供了一些示例基础模板。
桌面 Cisco Secure Client 上的 NVM
过去,流量收集器提供相应功能来收集出入交换机或路由器的一个接口的 IP 网络流量。它可以确定网络中的拥塞来源、流量路径,但没有多少其他信息。通过终端上的 Network Visibility Module,可以通过丰富的终端上下文(例如设备类型、用户、应用等)来增强流。这使得流记录更具可操作性,具体取决于收集平台的功能。通过 IPFIX 发送的 Network Visibility Module 所提供的导出数据与思科 NetFlow 收集器以及其他第三方流收集平台(如 Splunk、IBM Qradar、LiveAction)兼容。有关其他信息,请参阅特定于平台的集成文档,例如,可访问以下网址了解 Splunk 集成的信息:https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200600-Install-and-Configure-Cisco-Network-Visi.html。
在版本 4.9 或更高版本中使用 Network Visibility Module 收集器时,您必须使用 Splunk 应用 3.x 查看其他参数。
如果启用此功能,则从 ISE 或 Cisco Secure Firewall ASA 头端推送 Network Visibility Module 的 Cisco Secure Client 配置文件。与您在网络访问管理器上的操作一样,在 ISE 头端,您可以使用独立配置文件编辑器,生成 Network Visibility Module 服务配置文件 XML,上传至 ISE 并对照新的 Network Visibility Module 模块进行映射。在 Cisco Secure Firewall ASA 头端,您可以使用独立配置文件编辑器或 ASDM 配置文件编辑器。
当 VPN 状态更改为已连接,或者当终端处于受信任的网络中时,Network Visibility Module 会收到提示。
注 |
如果您将 Network Visibility Module 与 Linux 一起使用,请确保已完成在 Linux 上使用 Network Visibility Module中的预备步骤。 |
独立 NVM
对于没有 Cisco Secure Client 部署或正在使用其他 VPN 解决方案的用户,您可以安装 Network Visibility Module 独立软件包来满足 Network Visibility Module 的需求。此软件包独立运行,但它提供与现有 Cisco Secure Client Network Visibility Module 解决方案相同的流收集级别。如果安装独立 Network Visibility Module,活动进程(例如 macOS 上的活动监视器)指出其使用情况。
独立 Network Visibility Module 使用 Network Visibility Module 配置文件编辑器 进行配置,且值得信赖的网络检测 (TND) 配置为必填项。使用 TND 配置,Network Visibility Module 确定终端是否在企业网络上,然后应用适当的策略。
故障排除和日志记录仍通过 Cisco Secure Client DART (可从 Cisco Secure Client 软件包进行安装)完成。
部署模式
-
cisco-secure-client-win-[版本]-nvm-standalone-k9.msi(适用于 Windows)
-
cisco-secure-client-macos-[版本]-nvm-standalone.dmg(适用于 macOS)
-
cisco-secure-client-linux64-[版本]-nvm-standalone.tar.gz(适用于 Linux)
此外,Network Visibility Module 是思科 XDR 的核心部分。您可以通过在终端上安装 XDR 默认部署,将遥测直接发送到思科 XDR,而无需本地收集器。思科 XDR 使用此数据创建新的检测,将多个事件关联到单个事件中,并填补网络中的不可见性空白。在 XDR 中,您可以导航至“客户端管理”(Client Management) >“部署”(Deployments) 以查看思科 XDR 组织中所有安全客户端部署的列表,并允许用户定义必须在特定部署中的所有计算机上安装的所有软件包和相关配置文件的列表一个组织。有关详细信息,请参阅 XDR 文档。
独立 Network Visibility Module 的正常运行不依赖于 VPN;因此,您可以将其部署在终端上,而无需安装 VPN。
如果已安装独立 Network Visibility Module,则可以无缝地迁移到相同或更高版本的完整 Cisco Secure Client 安装,并且所有 Network Visibility Module 数据文件和配置文件都将保留。
-
降级独立 Network Visibility Module
-
安装较旧版本的 Cisco Secure Client Network Visibility Module,其中已存在较新版本的独立 Network Visibility Module。这种情况会导致卸载独立 Network Visibility Module。
-
安装任何版本的独立 Network Visibility Module,其中 Cisco Secure Client Network Visibility Module 已存在
移动 Cisco Secure Client 上的 NVM
Android 版 Cisco Secure Client 的最新版本(可通过 Google Play 商店获取)中包括 Network Visibility Module (NVM)。运行 Samsung Knox 版本 2.8 或更高版本的 Samsung 设备上支持 Network Visibility Module。目前不支持任何其他移动设备。
Android 上的 Network Visibility Module 是服务配置文件配置的一部分。要在 Android 上配置 Network Visibility Module,需使用 Cisco Secure Client Network Visibility Module 配置文件编辑器生成 Cisco Secure Client Network Visibility Module 配置文件,然后再使用移动设备管理 (MDM) 将该配置文件推送到 Samsung 移动设备。
准则
-
运行 Samsung Knox 版本 3.0 或更高版本的 Samsung 设备上支持 Network Visibility Module。目前不支持任何其他移动设备。
-
在移动设备上,支持通过 IPv4 或 IPv6 连接到 Network Visibility Module 收集器。
-
不支持在基于 Java 的应用上收集数据流量。