概述
标准(或集成)设备执行监控和分析。FireEye 分布式网络安全将这两个功能分开。用作传感器(sensor)的设备从它们监控的流量中提取对象和 URL,并将提交发送到 MVX 集群进行检查和分析。传感器(sensor)和集成设备具有相同的特征和检测功效。
在 MVX 中运行的设备混合模式(hybrid)可以将提交发送到 MVX 集群,但前提是达到预定义的容量阈值。这将分析功能从设备卸载到 MVX 集群,从而在容量和其他处理需求很高时防止延迟和效率降低。当容量低于此阈值时,设备将继续向其板载分析引擎发送提交。
传感器(sensor)可通过管理中心管理,管理的MVX集群设备或由其他中央管理设备(CM)。传感器(sensor)也可以是不受中央管理设备(CM)管理的独立设备。
混合设备必须由管理 MVX 集群的中央管理设备(CM)管理。它们不能是独立的设备。
MVX 集群包含计算节点(Node),它们是带有 MVX 分析引擎的 VX 系列设备。一两个计算节点(Node)被指定为代理(broker)。代理(broker)接收来自传感器(sensor)的提交并在分布在集群中的代理(broker)之间的队列中管理它们。计算节点(Node)从队列中提取提交,执行分
析,并通过代理(broker)将结果发送到传感器(sensor)。
传感器(sensor)根据判决生成警报。受管传感器(sensor)将警报发送到其管理中央管理设备(CM),后者汇总警报并将其显示在单个界面上。独立的传感器(sensor)显示自己的警报。
传感器(sensor)注册和提交
传感器(sensor)或混合设备必须注册到集群中。管理 MVX 集群的中央管理设备(CM)为传感器(sensor)和混合设备以及集群提供注册服务。集群使用注册服务来发布其身份、容量和功能。传感器(sensor)或混合设备使用注册服务根据匹配标准和可用容量向集群注册。传感
器(sensor)和混合设备以及代理(broker)使用注册服务相互验证以进行安全通信。
默认情况下启用自动注册。传感器(sensor)或混合设备连接到具有至少一个集群的中央管理设备(CM)后,传感器(sensor)会自动注册到容量最大的集群,并连接到集群中的专用代理(broker)。注册是永久性的——提交分布在同一集群中的代理(broker)之间,而不是集群之间。如果传感器(sensor)不是由管理 MVX 集群的中央管理设备(CM)管理,您必须按照直接注册受管传感器(sensor)中的说明配置注册服务。
队列管理和分析
一旦将虚拟执行(VX)设备添加到 MVX 集群,它就准备好成为计算节点(Node)。计算节点(Node)用来与代理(broker)和其他计算节点(Node)通信的集群接口是在虚拟执行(VX)设备的初始配置期间在配置向导中定义的。代理(broker)用于与传感器(sensor)和混合设备通信的提交接口也在配置向导中定义。您必须手动指定一个计算节点(Node)作为代理(broker)。代理(broker)可以执行分析以及管理队列。
所有计算节点(Node)上的检测相关配置设置必须匹配,因为集群中的任何计算节点(Node)都可以处理来自任何传感器(sensor)或混合设备的提交。必须将一个代理(broker)指定为主配置。管理 MVX 集群的中央管理设备(CM)将其他计算节点(Node)(包括代理(broker))上的相关配置设置与主配置同步。
一个网络安全传感器(sensor)或网络安全的混合设备适用的政策和过滤器,它接收其监控端口的流量,并提取可疑或恶意文件和 URL 需要由该 MVX 集群进行检查。一个电子邮件安全服务器版的传感器(sensor)或混合设备适用的政策和过滤器来接收它的网络接口的电子邮件,并提取可疑或恶意文件或URL需要由该MVX集群进行检查。一个网络安全传感器(sensor)或混合设备将其策略和过滤器应用于它在网络共享上运行的扫描,并提取需要由 MVX 集群检查的可疑或恶意文件。传感器(sensor)或混合设备然后向其专用代理(broker)发送提交。
代理(broker)接收来自传感器(sensor)或混合设备的提交并将它们放入队列中。每个计算节点(Node)都连接到其集群中的所有代理(broker)。当计算节点(Node)具有处理能力时,它会从代理(broker)拉取提交并执行分析。计算节点(Node)通过代理(broker)将判决和恶意软件工件发送到传感器(sensor)或混合设备。传感器(sensor)或混合设备根据其部署和操作模式和策略生成警报并采取行动。
警报和通知
来自所有托管传感器(sensor)的警报和混合设备 和任何其他受管设备类型都聚合在中央管理设备(CM)上。传感器(sensor)的警报类型和通知类型与集成设备的相同。
检测功能
除了 guest images、YARA 规则和静态分析工具之外,传感器(sensor)具有与集成设备相同的检测功能并需要相同的配置。
混合设备需要与集成设备相同的配置,因为它们作为集成设备运行,直到它们的容量达到将
提交发送到 MVX 集群的预定义阈值。
计算节点(Node)或代理(broker)几乎不需要配置:
- 您在初始配置期间在配置向导中定义的值和接受的默认值足以在您的网络中部署Virtual Execution(VX)设备并使其能够用作代理(broker)或计算节点(Node)。
- guest images 预安装在 Virtual Execution(VX)设备上;在中央管理的 Web UI 提醒您,当他们过期时,提供一个简单的方法来更新它们。
- 默认情况下启用静态分析工具。
- FireEye 提供了一套 YARA 规则。您可以在 Virtual Execution(VX)设备上定义和上传自定义 YARA 规则。中央管理 Web UI 中的“将更改写入组”功能允许您一次将规则应用于所有代理(broker)和计算节点(Node)。
健康监测
该中心管理设备连续监视 MVX 集群的健康和能力。如果集群失去完整性,中央管理设备(CM)会向配置的收件人发送电子邮件通知,并在其仪表板和其他 Web UI 页面以及 CLI 命令的输出中显示警告。警告一直存在,直到您明确承认它们。
您可以在部署集群后检查集群的运行状况,如查看集群利用率和查看提交统计信息中所述。
高级配置
以下高级配置可用于中央管理设备(CM)管理传感器(sensor)的 MVX 集群部署。
- 网络地址转换 (NAT) — MVX 集群部署中的中央管理设备(CM)可以部署在NAT 网关后面的内部网络中。在某些情况下,您必须为中央管理管理界面配置一个可访问的地址,以便受管传感器(sensor)和节点可以访问它。有关详细信息,请参阅设备的管理指南或系统管理指南。
- 客户端启动的连接- 本指南展示了如何使用服务器启动的连接添加设备,其中您使用中央管理设备(CM)直接连接设备。或者,您可以使用客户端启动的连接,其中设备管理员启动要管理的请求,中央管理(CM)管理员明确接受该请求。有关使用客户端启动的连接的信息,请参阅设备的管理指南或系统管理指南。
- 多个 DTI 源— 默认情况下,独立传感器(sensor)和中央管理设备(CM)使用cloud.fireeye.com(重定向到 download.fireeye.com)从 DTI 网络下载软件更新。您可以将 DTI 源服务器更改为 staticcloud.fireeye.com。默认情况下,托管设备使用中央管理设备(CM)作为其 DTI 源服务器。在某些配置中,您可以更改传感器(sensor)的 DTI 源服务器 和节点到 cloud.fireeye.com 或staticcloud.fireeye.com。有关详细信息,请参阅设备的管理指南或系统管理指南。
- 安全外壳 (SSH) 身份验证— 安全外壳 (SSH) 协议用于中央管理设备(CM)和传感器(sensor) 和节点之间的安全通信. 您可以为 SSH 用户身份验证配置高级选项,以验证尝试连接的远程用户的身份。您还可以为 SSH 主机身份验证配置高级选项,以验证中央管理设备(CM)对传感器(sensor) 或节点的身份,并验证传感器(sensor) 或节点的身份到中央管理设备(CM)。有关详细信息,请参阅 FireEye 系统安全指南
产品术语
一些 FireEye MVX Smart Grid 组件在用户界面和文档中的引用方式不同。下表将组件名称映射到用户界面和文档术语。