ebook img

USM Anywhere™ Deployment Guide PDF

457 Pages·2017·8.87 MB·English
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview USM Anywhere™ Deployment Guide

USM Anywhere™ Deployment Guide Copyright © 2022 AT&T Intellectual Property. All rights reserved.   AT&T, the AT&T logo and all other AT&T marks contained herein are trademarks of AT&T  Intellectual Property and/or affiliated companies.  All other marks are the property of their  respective owners.   Updated April 13, 2022 2   USMAnywhere™DeploymentGuide Contents About USM Anywhere Deployment 6 USM Anywhere Deployment Guide 7 USM Anywhere Architecture 7 USM Anywhere Data Security 9 USM Anywhere Log Data Enhancement 11 USM Anywhere Deployment Types and Scalability 16 USM Anywhere Deployment Requirements 17 USM Anywhere Deployment Process 18 USM Anywhere Updates 20 VMware Sensor Deployment 23 About VMware Sensor Deployment 24 Requirements for VMware Sensor Deployment 25 Create the VMware Virtual Machine 30 The OVF Package Is Invalid and Cannot Be Deployed - SHA256 Error 35 Set Up USM Anywhere on the VMware Virtual Machine 36 Connect the VMware Sensor to USM Anywhere 38 Complete the VMware Sensor Setup 42 USM Anywhere Sensor Deployment on Microsoft Hyper-V 58 About Hyper-V Sensor Deployment 59 Requirements for Hyper-V Sensor Deployment 59 Create the Hyper-V Virtual Machine 64 Set Up USM Anywhere on the Hyper-V Virtual Machine 74 Connect the Hyper-V Sensor to USM Anywhere 76 Complete the Hyper-V Sensor Setup 81 USM Anywhere Sensor Deployment on AWS 96 About AWS Sensor Deployment 97 Requirements for AWS Sensor Deployment 98 Deploy the AWS Sensor 106 Connect the AWS Sensor to USM Anywhere 109 Complete the AWS Sensor Setup 113 USMAnywhere™  DeploymentGuide 3 Enable Connections in an AWS VPC 123 VPC Traffic Mirroring with an AWS Sensor 125 Collect Logs from Amazon S3 Buckets with KMS Encryption 131 AWS Log Discovery and Collection in USM Anywhere 132 USM Anywhere Sensor Deployment on Microsoft Azure 151 About Azure Sensor Deployment 152 Requirements for Azure Sensor Deployment 153 Deploy the USM Anywhere Sensor from the Azure Marketplace 158 Create an Application and Obtain Azure Credentials 161 Connect the Azure Sensor to USM Anywhere 167 Complete the Azure Sensor Setup 171 Azure Log Discovery and Collection in USM Anywhere 187 USM Anywhere Sensor Deployment on GCP 205 About GCP Sensor Deployment 206 Requirements for GCP Sensor Deployment 207 Preparing Your GCP Environment for Sensor Deployment 212 Deploy the GCP Sensor 216 Connect the GCP Sensor to USM Anywhere 218 Complete the GCP Sensor Setup 222 GCP Log Discovery and Collection in USM Anywhere 232 The AWS Cloud Connector Deployment in USM Anywhere 243 Differences Between an AWS Cloud Connector and a Sensor 243 Activating an AWS Cloud Connector 245 Uploading AWS CloudFormation Templates 245 AWS Cloud Connector Resources 249 Network Setup and Configuration 251 Configure Network Interfaces for On-Premises Sensors 252 Configure USM Anywhere to Receive ERSPAN Traffic 261 Port Mirroring Configuration on Network Devices 263 Granting Access to Active Directory for USM Anywhere 274 Proxy Configuration on the USM Anywhere Sensor 275 Data Sources and Log Processing 281 4 USMAnywhere™  DeploymentGuide Data Sources and Log Collection 282 File Integrity Monitoring 328 Scheduling Active Directory Scans from the Job Scheduler Page 335 Alarm and Event Notifications 338 Sending  USM Anywhere Notifications to Slack 338 Sending USM Anywhere Notifications to Datadog 347 Sending USM Anywhere Notifications to PagerDuty 355 Sending Notifications Through Amazon SNS 362 Troubleshooting and Remote Sensor Support 370 Checking Connectivity to the Remote Server 371 Creating a Remote Support Session 373 Sensor System Menu 376 Collecting Debug Information 384 View Network Testing Information 386 Retrieve Unique Identifier Information 392 USMAnywhere™  DeploymentGuide 5 About USM Anywhere Deployment USM Anywhere is a software as a service (SaaS) security monitoring solution that centralizes  threat detection, incident response, and compliance management across your on-premises,  cloud, or hybrid environments. Data collection, security analysis, and threat detection are  centralized in the AT&T Cybersecurity Secure Cloud and provide you with a single view into all of  your critical infrastructure. This section includes the following topics: USM Anywhere Deployment Guide 7 USM Anywhere Architecture 7 USM Anywhere Data Security 9 USM Anywhere Log Data Enhancement 11 USM Anywhere Deployment Types and Scalability 16 USM Anywhere Deployment Requirements 17 USM Anywhere Deployment Process 18 USM Anywhere Updates 20 USMAnywhere™  DeploymentGuide 6 USM Anywhere Deployment Guide USM Anywhere consists of a modular, scalable, two-tier architecture to manage and monitor  every aspect of cloud security. Software sensors collect and normalize data from all of your on- premises and cloud environments, while USM Anywhere provides centralized cloud security  management, analysis, correlation, detection, alerting, log management, and reporting. Purpose-built USM Anywhere Sensors deploy natively into each environment and help you gain  visibility into all of your on-premises and cloud environments. These sensors collect and  normalize logs, monitor networks, and collect information about the environments and assets  deployed in your hybrid environments. USM Anywhere Architecture USM Anywhere has a modular and scalable two-tier architecture.  USM Anywhere Architecture Diagram 7   USMAnywhere™DeploymentGuide Tier 1 — USM Anywhere Sensors and Agents USM Anywhere Sensors deploy natively into each environment and help you gain visibility into all  of your on-premises and cloud environments. S  ensors collect and normalize logs, monitor  networks and collect information about the environments and assets deployed in your hybrid  environments. Sensors  are a key component of the USM Anywhere solution. They operate either on-premises or  in the cloud, performing the following tasks:  l Discovering your assets.  l Scanning assets for vulnerabilities.  l Monitoring packets on your networks and collecting data.  l Collecting log data and normalizing it before securely sending it to USM Anywhere. USM Anywhere Agents deploy on your network host and provide the following:  l Endpoint detection and response  l Network asset monitoring  l File integrity monitoring (FIM)  l Log collection Cloud Connectors provide operational visibility into the security of your environment and perform  the following task of log collection. Tier 2 — USM Anywhere Cloud The USM Anywhere cloud instance is deployed in one of the Amazon Web Services (AWS)  endpoint regions based on your location. The following table lists the available AWS regions: AWS Regions where USM Anywhere Instance Is Available Code Name ap-northeast-1 Asia Pacific (Tokyo) ap-south-1 Asia Pacific (Mumbai) ap-southeast-2 Asia Pacific (Sydney) ca-central-1 Canada (Central) eu-central-1 Europe (Frankfurt) eu-west-1 Europe (Ireland) USMAnywhere™  DeploymentGuide 8 AWS Regions where USM Anywhere Instance Is Available (Continued) Code Name eu-west-2 Europe (London) sa-east-1 South America (São Paulo) us-east-1 US East (N. Virginia) us-west-2 US West (Oregon) us-gov-west-1 AWS GovCloud (US-West) USM Anywhere receives d  ata from USM Anywhere Sensors and uses it to provide essential  security capabilities in a single SaaS platform:  l Centralized system security management   l Log data analysis and correlation  l Detection  l Alerting  l Log management  l Reporting USM Anywhere also retains raw logs long-term for forensic investigations and compliance  mandates. USM Anywhere Data Security As a security-first organization, AT&T Cybersecurity makes your data protection and privacy a top  priority. USM Anywhere architecture and processes are designed to protect your data in transit  and at rest. Data Collection All data sent from the USM Anywhere Sensor deployed in your on-premises or cloud environment  to the USM Anywhere service in the AT&T Cybersecurity Secure Cloud is encrypted and  transferred over a secure TLS 1.2 connection. Each sensor generates a certificate to  communicate with the USM Anywhere service. This means that all communication is uniquely  encrypted between each sensor and USM Anywhere. All forensic data (raw logs) is backed up on an hourly basis. The data collected in USM Anywhere  is secured using AES-256 encryption for both hot (online) storage and cold (offline) storage.  9   USMAnywhere™DeploymentGuide Data Access Your data in USM Anywhere is treated as highly confidential, and only a select few AT&T  Cybersecurity staff members have access. This group of employees uses multi-factor  authentication (MFA) to access the AT&T Cybersecurity Secure Cloud. Strict internal controls and  automation enable support for the service while minimizing administrative access. AT&T Cybersecurity also has a formal information security program that implements various  security controls to the National Institute of Standards Technology (NIST) Cyber Security  Framework. Key controls include: Inventory of Devices, Inventory of Software, Secure  Configurations, Vulnerability Assessment, and Controlled Use of Administrative Privileges.  Additionally, AT&T Cybersecurity conducts security self-assessments on a regular basis. Cold Storage Data Integrity USM Anywhere offers secure long-term log retention, known as cold storage. By default, USM  Anywhere stores all data associated with a customer’s subdomain in cold storage for the life of  the active USM Anywhere subscription at no additional charge, while AT&T TDR for Gov  customer data are kept for three years or longer (if requested). Important: The retention period set on the license (30-days standard or 90-days standard)  only applies to regular events. The retention policy for system events is 30 days and for user  activities is 180 days, while the user activities related to investigations never expire. USM Anywhere uses a write once, read many (WORM) approach in log storage to prevent log  data from being modified or otherwise tampered with. You can download your raw logs at any  time. If you do not renew your subscription, AT&T Cybersecurity will keep the raw logs for 14 days  after your subscription expires, giving you a grace period to restart your service. Within the 14  days, no data is collected until your license is reactivated. Therefore, data is lost between license  expiration and reactivation. After 14 days, your data will be destroyed. End-of-Contract Shut Down If your subscription expires and you decide not to renew, your USM Anywhere instance will be  decommissioned 14 days after the expiration. All data, including asset information, orchestration  rules, user credentials, events and vulnerabilities (hot storage), and raw logs (cold storage), will  be destroyed.  Business Continuity Plan To ensure business continuity, USM Anywhere executes a backup procedure 2 times a day,  encrypts the data, and stores it for 15 days. The Recovery Point Objective (RPO) is up to 12  hours and the Recovery Time Objective (RTO) is approximately an hour, depending on the size of  the data being restored.  USMAnywhere™  DeploymentGuide 10

Description:
Configuring the Fortinet-FortiGate Switch for Port Mirroring. 413. Configuring USM Anywhere Sensors collect and normalize logs, USM Anywhere normally gives systems explicit access to the AWS API. A download link for installing the USM Anywhere Sensor template and, depending on your.
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.