您可以将 Network Visibility Module 用于以下场景：

• 在发生安全事件后，审核用户网络历史记录的潜在泄露。

• 查看系统或管理权限如何影响在用户的设备上正在运行且连接网络的进程。

• 获取运行旧版操作系统的所有设备的列表。

• 确定您的网络中的哪些应用正在占用最高的网络带宽。

• 确定您的网络中正在使用多少个 Firefox 版本。

• 确定您的网络中 IPv6 占 Chrome.exe 连接的百分比。

在三个系统日志数据源：每一数据流、终端身份和接口信息中，唯一标识符 (UDID) 字段可用作关联这些源之间记录的方式。您可以使用 InterfaceInfoUDID 字段将每一数据流记录与接口信息记录相关联，以便收集有关该特定接口的详细信息。以下参数在终端收集并导出到收集器︰

在配置文件编辑器中，配置收集服务器的 IP 地址或 FQDN。您还可以自定义数据收集策略，用于选择要发送哪些类型数据，以及确定数据是否匿名。

Network Visibility Module 可以使用包含 IPv4 地址的单个堆栈 IPv4、包含 IPv6 地址的单个堆栈 IPv6 或双堆栈 IPv4/IPv6，建立与操作系统首选的 IP地址的连接。

移动 Network Visibility Module 仅可以使用 IPv4 建立连接。不支持 IPv6 连接。

注

当 Network Visibility Module 在受信任网络中时，该模块发送流量信息。默认情况下，不收集任何数据。仅在配置文件中进行了相应配置时才会收集数据，且连接终端后，会继续收集数据。如果在一个不可信网络上进行收集，则会缓存数据，并在终端处于受信任的网络中时发送数据。如果您将收集数据发送到 Cisco Secure Cloud Analytics 7.3.1 及更低版本（或 Splunk 及类似 SIEM 工具之外的工具），则缓存数据会在受信任网络上发送一次，但不会进行处理。对于 Cisco Secure Cloud Analytics 应用程序，请参阅《Cisco Secure Cloud Analytics 企业终端许可证和 NVM 配置指南》。 如果已在 Network Visibility Module 配置文件中配置了 TND，则值得信赖的网络检测由 Network Visibility Module 完成，并且不依赖于 VPN 来确定终端是否位于受信任的网络中。此外，如果 VPN 为已连接状态，则会将终端视作处于受信任网络中，并会发送流信息。NVM 特定的系统日志会显示值得信赖的网络检测使用情况。 直接在 Network Visibility Module 配置文件中配置 TND 时，管理员定义的受信任服务器和证书散列将确定用户位于受信任还是不受信任的网络上。管理员为核心 VPN 配置文件配置值得信赖的网络检测会在核心 VPN 配置文件中另外配置受信任 DNS 域和受信任 DNS 服务器：Cisco Secure Client 配置文件编辑器，首选项（第 2 部分）。

• 桌面 (Desktop) 或移动 (Mobile) - 确定是在桌面还是移动设备上设置 Network Visibility Module。桌面 (Desktop) 是默认值。

• 收集器配置

  • IP 地址/FQDN (IP Address/FQDN) - 指定收集器的 IPv4 或 IPv6 IP 地址/FQDN。

  • 端口 (Port) - 指定收集器正在侦听哪个端口号。

  • 安全 (Secure) - 确定是否希望 Network Visibility Module 通过 DTLS 安全地将数据发送到收集器。选中此复选框后，Network Visibility Module 将使用 DTLS 进行传输。DTLS 连接要求终端信任 DTLS 服务器（收集器）证书。系统将以静默方式拒绝任何不受信任的证书。

    DTLS 支持需要收集器作为 CESA Splunk 应用 v3.1.0 的一部分，DTLS 1.2 是支持的最低版本。

• 缓存配置

  • 最大大小 (Max Size) - 指定该数据库可以达到的最大大小。以前对缓存大小有预设的限制，但您现在可在配置文件中配置它。缓存中的数据以加密格式存储，因此只有拥有根权限的进程可以解密数据。

    一旦达到大小限制，将从空间中丢弃最旧数据，将空间留给新数据。

  • 最大持续时间 (Max Duration) - 指定您希望将数据存储多少天。如果您还设置了最大大小，则首先达到的限制优先。

    一旦达到天数限制，将从空间中丢弃日期最早的数据，将空间留给日期最近的数据。如果仅配置了“最大持续时间 (Max Duration)”，则没有大小上限；如果二者都被禁用，则大小上限为 50 MB。

• 定期模板 (Periodic Template) - 指定从终端发出模板的时间间隔。默认值为 1440 分钟。

• 定期流量报告 (Periodic Flow Reporting)（可选，仅应用于桌面）- 点击以启用定期流量报告。默认情况下，Network Visibility Module 发送连接结束时的流量相关信息 （当禁用此选项时）。如果需要定期的流量相关信息（甚至在这些流量被关闭之前），请在此处设置间隔（以秒为单位）。值为 0 表示在每个流量开始和结束时发送流量信息。如果值为 n ，则将在每个流量开始时、每隔 n 秒时和结束时发送流量信息。使用此设置跟踪长期运行的连接（甚至在这些连接被关闭之前）。

• 聚合时间间隔 (Aggregation Interval) - 指定从端点导出数据流的时间间隔。使用 5 秒默认值时，一个数据包中将捕获不止一个数据流。如果时间间隔值为 0 秒，则每个数据包都有一个数据流。有效范围为 0 到 600 秒。

• 限制速率 (Throttle Rate) - 限制控制以什么速率将数据从缓存发送到收集器，以便尽量减小对最终用户的影响。您可以对实时和缓存数据应用限制（只要存在缓存的数据）。以 Kbps 为单位，输入限制速率。默认值为 500 Kbps。

  在该固定时段后，缓存数据将被导出。输入 0 将禁用该功能。

• 收集模式 (Collection Mode) - 通过选择收集模式关闭 (collection mode is off)、仅受信任网络 (trusted network only)、仅不受信任网络 (untrusted network only) 或所有网络 (all networks)，指定应从终端收集数据的时间。

• 收集标准 (Collection Criteria) - 您可以在数据收集时减少不必要的广播，以便仅分析相关数据。通过以下选项控制数据搜集：

  • 广播数据包 (Broadcast packets) 和组播数据包 (Multicast packets)（仅适用于桌面）- 默认情况下，为了提高效率，会关闭广播和组播数据包收集，以便缩短在后端资源上花费的时间。点击该复选框可启用对广播和组播数据包的收集并过滤数据。

  • 仅限 KNOX (KNOX only)（可选且特定于移动设备）- 选中后，将仅从 KNOX 工作空间收集数据。默认情况下，未选中此字段，将会从工作空间内部和外部收集数据。

• 数据收集策略 (Data Collection Policy) - 您可以添加数据收集策略，并将它们与网络类型或连接情形相关联。您可以将一种策略应用于 VPN，而将另一种策略应用于非 VPN 流量，因为多个接口可以同时处于活跃状态。

  在点击“添加”(Add) 时，系统显示“数据收集策略”(Data Collection Policy) 窗口。在创建策略时，请记住以下准则：

  • 默认情况下，如果未创建策略或未与网络类型相关联，则将报告和收集所有字段。

  • 每种数据收集策略必须与至少一种网络类型相关联，但您不能将两种策略与同一种网络类型相关联。

  • 具有更具体的网络类型的策略优先。例如，因为 VPN 是受信任网络的一部分，所以包含 VPN 网络类型的策略的优先级高于采用受信任网络为指定网络的策略。

  • 您只能基于所选的收集型号，为网络创建适用的数据收集策略。例如，如果收集模式 (Collection Mode) 设置为 仅受信任网络 (Trusted Network Only)，您无法为不受信任网络类型 (Untrusted Network Type) 创建数据收集策略 (Data Collection Policy)。

  • 如果从较新版本的 Cisco Secure Client 打开来自较早版本 Cisco Secure Client 的配置文件，它会自动将该配置文件转换为较新的版本。转换过程中会为所有网络添加数据收集策略，用于排除先前匿名的字段。

  • 名称 (Name) - 为您要创建的策略指定名称。

  • 网络类型 (Network Type) - 通过选择 VPN、受信任或不受信任，来确定收集模式，或者应用数据收集策略的网络。如果您选择受信任网络，则策略也适用于 VPN 案例。

  • 流过滤器规则 (Flow Filter Rule) - 定义一组条件和一个操作，可以在满足所有条件时收集或忽略流。您最多可以配置 25 条规则，每条规则最多可以定义 25 个条件。使用“流过滤器规则”(Flow Filter Rule) 列表右侧的向上和向下按钮调整规则的优先级，并对后续规则给予更高的考虑。点击添加 (Add) 设置流过滤器规则的组成要素。

    • 名称 (Name) - 流过滤器规则的唯一名称。

    • 类型 (Type) - 每个过滤器规则都有“收集”或“忽略”类型。确定满足过滤器规则时要执行的操作（“收集”[Collect] 或“忽略”[Ignore]）。如果收集，则在满足条件时允许流。如果忽略，则丢弃流。

    • 条件 - 为要匹配的每个字段添加一个条目以及一个运算，以确定字段值对匹配项是否应相等或不相等。每个运算都有一个字段标识符和该字段的对应值。该字段区分大小写，除非您在设置过滤器引擎规则时对规则集应用了不区分大小写操作 (EqualsIgnoreCase)。启用后，规则中设置的 Value 字段中的输入不区分大小写。

  • 包括/排除

    • 类型 (Type) - 确定要在数据收集策略中包含 (Include) 或排除 (Exclude) 的字段。默认值为排除 (Exclude)。所有未选中的字段都收集起来。未选中任何字段时，将收集所有字段。

    • 字段 (Fields) - 确定要从终端接收哪些信息以及收集哪些字段的数据以满足策略要求。根据网络类型和包含或排除的字段，Network Visibility Module 将在终端上收集相应数据。

      注

      升级期间，如果存在以下情况之一，默认从流信息的报告中排除 ProcessPath、ParentProcessPath、ProcessArgs 和 ParentProcessArgs： 如果较旧版本 Network Visibility Module 中的配置文件没有数据收集策略或有包含数据收集策略。 如果较旧版本 Network Visibility Module 中的配置文件有排除数据收集策略，并且该配置文件已使用更新版本的配置文件编辑器打开并保存。如果较旧版本 Network Visibility Module 中的配置文件有排除数据收集策略，但该配置文件未使用更新的 4.9 版本（或更高版本）配置文件编辑器打开和保存，则包含这四个字段。 如果 Network Visibility Module 无法计算父进程 ID，则值默认为 4294967295。 FlowStartMsec 和 FlowStopMsec 确定流的纪元时间戳（以毫秒为单位）。

      您可以选择接口状态和 SSID，这将指定接口的网络状态为受信任还是不受信任。

    • 可选匿名字段 (Optional Anonymization Fields) - 如果要关联同一终端上的记录，同时保留隐私，请选择所需的字段进行匿名化。然后，它们将作为值的散列而不是实际值发送。字段的子集可用于匿名化。

      标记为包含或排除的字段不可用于匿名；同样，标记为匿名的字段不可用于包含或排除。

• 用于 Knox 的数据收集策略 (Data Collection Policy for Knox)（特定于移动设备）- 该选项用于在选择移动配置文件时指定数据收集策略。要为 Knox 容器创建数据收集策略，请选择“范围”(Scope) 下的仅 Knox (Knox-Only) 复选框。除非指定单独的 Knox 容器数据收集策略，否则应用于 Knox 容器流量的设备范围内的数据收集策略也适用于 Knox 容器流量。要添加或删除数据收集策略，请参阅上面的数据收集策略说明。您可以为移动配置文件设置最多 6 个不同的数据收集策略：3 个用于设备，3 个用于 Knox。

• 可接受的使用策略 (Acceptable Use Policy)（可选且特定于移动设备）- 点击编辑 (Edit)，在对话框中为移动设备定义可接受的使用策略。完成后，点击确定 (OK)。最多允许 4000 个字符。

  配置 Network Visibility Module 后，此消息会显示给用户。远程用户无法选择拒绝 Network Visibility Module 活动。网络管理员使用 MDM 工具控制 Network Visibility Module。

• Export on Mobile Network（可选且特定于移动设备）- 指定在设备使用移动网络时，是否允许导出 Network Visibility Module 流。如果启用（默认值），当显示或后续通过 Cisco Secure Client Android 应用中的 设置 (Settings) > NVM-设置 (NVM-Settings) > > 将移动数据用于 NVM (Use mobile data for NVM) 复选框来显示“可接受的用户策略”(Acceptable User Policy) 窗口时，最终用户可以覆盖管理员 。如果取消选中在移动网络上导出 (Export on Mobile Network) 复选框，当设备使用移动网络时，不会导出 Network Visibility Module 流，最终用户无法对其进行更改。

• 值得信赖的网络检测 (Trusted Network Detection) — 此功能可检测终端是否实际上位于企业网络中。Network Visibility Module 使用网络状态来确定何时导出数据并应用相应的数据收集策略。点击配置 (Configure) 以设置值得信赖的网络检测的配置。SSL 探测会发送到已配置的受信任前端，如果可访问，则前端会使用证书响应。然后，系统将根据配置文件编辑器中的散列设置提取指纹（SHA-256 散列）并将其与之匹配。成功匹配表明终端位于受信任的网络中；但是，如果前端无法访问，或者如果证书散列不匹配，则系统会将终端视为位于不受信任的网络中。

  注	从内部网络的外部进行操作时，值得信赖的网络检测会执行 DNS 请求并尝试与已配置服务器建立 SSL 连接。思科强烈建议使用别名，以确保在内部网络以外使用的机器不会通过这些请求泄露您组织的名称和内部结构。

  1. https:// — 输入每个受信任服务器的 URL （IP 地址、FQDN 或端口地址），然后点击添加 (Add)）。

     注	代理后的受信任服务器不受支持。

  2. 证书散列 (SHA-256) — 如果与受信任服务器的 SSL 连接成功，则系统会自动填充此字段。否则，您可以通过输入服务器证书的 SHA-256 散列并点击设置 (Set) 来手动对其进行设置。

  3. 受信任服务器列表 — 通过此过程可以定义多个受信任服务器。（至多 10 个。）由于服务器会按已配置的顺序尝试值得信赖的网络检测，因此您可以使用上移和移动 |向下按钮来调整该顺序。如果终端无法连接到第一台服务器，它会尝试连接第二台服务器，依此类推。在对列表中的所有服务器进行尝试后，终端等待 10 秒后会再进行最后一次尝试。当服务器进行身份验证时，系统会视为终端在受信任的网络中。

将配置文件另存为 NVM_ServiceProfile.xml。您必须将配置文件准确保存为此名称，否则 Network Visibility Module 将无法收集和发送数据。

添加流过滤器会将当前数据收集策略扩展为仅以字段为中心，其中为每个流中的给定字段配置操作。通过“流过滤器”，您可以创建和应用规则以收集或忽略整个流（而不只是特定的字段），从而只监控感兴趣的流量，可能降低存储要求。

• 只有在与流数据匹配时满足规则中指定的所有条件时，规则才匹配。

• 所满足的第一个规则会应用于流。

• 如果过滤策略允许，还会在流上应用其余的数据收集策略（包括/排除字段、匿名字段）。

• 使用多个规则的实例，

  • 如果没有与流数据匹配的规则，不会对流执行任何操作。此时会遵循默认行为，即收集流。

  • 如果规则与流数据匹配，则应用该流规则中指定的操作。不检查后续规则。“Network Visibility Module 配置文件编辑器流过滤器规则”(Flow Filter Rule) 参数中指定的规则顺序指示出现多个匹配时的优先级。

使用通配符、CIDR 和转义序列支持

输入规则条件时，对于 IP 地址，可以使用通配符或 CIDR 表示法定义更广泛的字段值。此外，还可以在字段值中使用某些转义序列。对于 IP 字段，CIDR/斜线符号可以指定规则应匹配的 IP 地址。例如，“192.30.250.00/16”将匹配有通过应用子网掩码“255.255.0.0”得到的路由前缀“192.30.0.0”的所有地址。对于文本字段，可以使用通配符（* 和 ?）和转义序列（\*、\? 和 \\）捕获更广泛的输入。例如，登录用户“Jane*”将匹配以“Jane”开头的所有用户名。

实现流量过滤方案的示例配置

部分客户反馈模块集合可以提供关于是否已安装 Network Visibility Module、每日流量和数据库大小等的数据。