

„Cisco“ įvykių analizė naudojant išorinius įrankius

Informacija apie produktą
Produktas leidžia vartotojams integruotis su Cisco SecureX ir pasiekti jį naudojant juostos funkciją FMC web sąsaja.
Specifikacijos
- Integracija: Cisco SecureX
- Sąsaja: FMC web sąsaja
- Juostos funkcija: Kiekvieno puslapio apačioje
Produkto naudojimo instrukcijos
Prieiga prie „SecureX“ naudojant juostelę
Norėdami pasiekti „SecureX“ naudodami juostelės funkciją, atlikite šiuos veiksmus:
- FMC spustelėkite juostelę bet kurio FMC puslapio apačioje.
- Spustelėkite „Gauti SecureX“.
- Prisijunkite prie „SecureX“.
- Spustelėkite nuorodą, kad suteiktumėte prieigos teisę.
- Spustelėkite juostelę, kad ją išskleistumėte ir naudokite.
Įvykių analizė naudojant išorinius įrankius
Norėdami atlikti įvykių analizę naudodami išorinius įrankius, atlikite šiuos veiksmus:
- FMC spustelėkite juostelę bet kurio FMC puslapio apačioje.
- Spustelėkite „Gauti SecureX“.
- Prisijunkite prie „SecureX“.
- Spustelėkite nuorodą, kad suteiktumėte prieigos teisę.
- Spustelėkite juostelę, kad ją išskleistumėte ir naudokite.
Įvykių analizė naudojant „Cisco SecureX“ atsaką į grėsmes
„Cisco SecureX Threat Response“ (anksčiau žinomas kaip „Cisco Threat Response“) leidžia vartotojams greitai aptikti, ištirti ir reaguoti į grėsmes. Norėdami atlikti įvykių analizę su Cisco SecureX Threat Response, atlikite šiuos veiksmus:
- FMC spustelėkite juostelę bet kurio FMC puslapio apačioje.
- Spustelėkite „Gauti SecureX“.
- Prisijunkite prie „SecureX“.
- Spustelėkite nuorodą, kad suteiktumėte prieigos teisę.
- Spustelėkite juostelę, kad ją išskleistumėte ir naudokite.
View Įvykių duomenys sistemoje „Cisco SecureX Threat Response“.
Į view įvykių duomenis Cisco SecureX Threat Response, sekite
šiuos veiksmus:
- Prisijunkite prie „Cisco SecureX Threat Response“, kai būsite paraginti.
Įvykių tyrimas naudojant Web- Pagrįsti ištekliai
Norėdami ištirti įvykius naudojant web– pagrįstus išteklius, atlikite šiuos veiksmus:
- Prisijunkite prie „Cisco SecureX Threat Response“, kai būsite paraginti.
- Norėdami rasti daugiau informacijos apie galimas grėsmes, naudokite kontekstinę kryžminio paleidimo funkciją webištekliai, esantys už ugnies valdymo centro ribų.
- Spustelėkite tiesiai iš įvykio įvykio viewer arba prietaisų skydelyje Firepower valdymo centre prie atitinkamos informacijos išoriniame šaltinyje.
Apie kontekstinių kryžminio paleidimo išteklių valdymą
Išoriniam valdymui web– pagrįstus išteklius, atlikite šiuos veiksmus:
- Eikite į Analizė > Išplėstiniai > Kontekstinis kryžminis paleidimas.
- Tvarkykite Cisco siūlomus iš anksto nustatytus ir trečiųjų šalių išteklius.
- Jei reikia, išteklius galite išjungti, ištrinti arba pervardyti.
DUK
- Kl.: Kas yra „SecureX“?
A: „SecureX“ yra „Cisco Cloud“ integravimo platforma, leidžianti vartotojams analizuoti incidentus naudojant duomenis, sukauptus iš kelių produktų, įskaitant „Firepower“. - K: Kaip galiu pasiekti „SecureX“ naudojant juostelės funkciją?
A: Norėdami pasiekti „SecureX“ naudodami juostos funkciją, spustelėkite juostelę bet kurio FMC puslapio apačioje ir atlikite nurodytus veiksmus. - K: Ar galiu view įvykių duomenys „Cisco SecureX Threat Response“?
A: Taip, galite view įvykių duomenis sistemoje Cisco SecureX Threat Response, prisijungę, kaip raginama. - Kl.: Kaip galiu ištirti įvykius naudojant web-pagrįsti ištekliai?
A: Norėdami ištirti įvykius naudodami webišteklius, prisijunkite prie „Cisco SecureX Threat Response“ ir naudokite kontekstinę kryžminio paleidimo funkciją, kad rastumėte atitinkamą informaciją.
Integruoti su Cisco SecureX
View ir dirbti su duomenimis iš visų savo Cisco saugos produktų ir dar daugiau per vieną stiklą, SecureX debesų portalą. Naudokite „SecureX“ prieinamus įrankius, kad pagerintumėte grėsmių paieškas ir tyrimus. „SecureX“ taip pat gali suteikti naudingos informacijos apie prietaisus ir įrenginius, pvz., ar kiekviename iš jų veikia optimali programinės įrangos versija.
- Norėdami gauti daugiau informacijos apie SecureX, žr http://www.cisco.com/c/en/us/products/security/securex.html.
- Norėdami integruoti Firepower su SecureX, žr. Firepower ir SecureX integravimo vadovą adresu https://cisco.com/go/firepower-securex-documentation.
Pasiekite „SecureX“ naudodami juostelę
Juostelė rodoma kiekvieno FMC puslapio apačioje web sąsaja. Naudodami juostelę galite greitai pereiti prie kitų Cisco saugos produktų ir dirbti su grėsmės duomenimis iš kelių šaltinių.
Prieš pradėdami
- Jei nematote SecureX juostelės FMC apačioje web sąsajos puslapių, nenaudokite šios procedūros. Vietoj to žr. Firepower ir SecureX integravimo vadovą adresu https://cisco.com/go/firepower-securex-documentation.
- Jei dar neturite SecureX paskyros, gaukite ją iš savo IT skyriaus.
Procedūra
- 1 veiksmas FMC spustelėkite juostelę bet kurio FMC puslapio apačioje.
- 2 veiksmas Spustelėkite Gauti SecureX.
- 3 veiksmas Prisijunkite prie „SecureX“.
- 4 veiksmas Spustelėkite nuorodą, kad suteiktumėte prieigos teisę.
- 5 veiksmas Spustelėkite juostelę, kad ją išskleistumėte ir naudokite.
Ką daryti toliau
Informacijos apie juostelių funkcijas ir jų naudojimą ieškokite internetiniame SecureX žinyne.
Įvykių analizė naudojant „Cisco SecureX“ grėsmės atsaką
„Cisco SecureX“ atsakas į grėsmes anksčiau buvo žinomas kaip „Cisco Threat Response“ (CTR). Greitai aptikkite, ištirkite grėsmes ir reaguokite į jas naudodami „Cisco SecureX“ atsaką į grėsmes – „Cisco Cloud“ integravimo platformą, leidžiančią analizuoti incidentus naudojant duomenis, sukauptus iš kelių produktų, įskaitant Ugnies galia.
- Jei reikia bendros informacijos apie Cisco SecureX atsaką į grėsmes, žr. https://www.cisco.com/c/en/us/products/security/threat-response.html.
- Išsamias instrukcijas, kaip integruoti Firepower su Cisco SecureX atsaku į grėsmę, rasite:
- Firepower ir Cisco SecureX atsako į grėsmes integravimo vadovas adresu https://cisco.com/go/firepower-ctr-integration-docs.
View Įvykių duomenys Cisco SecureX atsako į grėsmę
Prieš pradėdami
- Nustatykite integravimą, kaip aprašyta Firepower ir Cisco SecureX atsako į grėsmes integravimo vadove adresu https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.
- Review „Cisco SecureX“ atsako į grėsmes pagalba internete, kad sužinotumėte, kaip rasti, ištirti ir imtis veiksmų dėl grėsmių.
- Jums reikės kredencialų, kad galėtumėte pasiekti Cisco SecureX atsaką į grėsmes.
Procedūra
1 veiksmas
Firepower valdymo centre atlikite vieną iš šių veiksmų:
- Norėdami pereiti prie Cisco SecureX atsako į grėsmę iš konkretaus įvykio:
- Eikite į puslapį, esantį meniu Analizė > Įsibrovimai, kuriame pateikiamas palaikomas įvykis.
- Dešiniuoju pelės mygtuku spustelėkite šaltinio arba paskirties IP adresą ir pasirinkite View „SecureX“.
- Į view Informacija apie renginį bendrai:
- Eikite į Sistema > Integracijos > „Cloud Services“.
- Spustelėkite nuorodą, kad view Cisco SecureX atsako į grėsmes įvykius.
2 veiksmas
Prisijunkite prie Cisco SecureX atsako į grėsmę, kai būsite paraginti.
Įvykių tyrimas naudojant Web- Pagrįsti ištekliai
Naudokite kontekstinę kryžminio paleidimo funkciją, kad greitai rastumėte daugiau informacijos apie galimas grėsmes webištekliai, esantys už ugnies valdymo centro ribų. Pavyzdžiui,ample, galite:
- Ieškokite įtartino šaltinio IP adreso „Cisco“ arba trečiosios šalies debesyje priglobtoje tarnyboje, kuri skelbia informaciją apie žinomas ir įtariamas grėsmes, arba
- Ieškokite ankstesnių konkrečios grėsmės atvejų savo organizacijos istoriniuose žurnaluose, jei jūsų organizacija saugo tuos duomenis saugos informacijos ir įvykių valdymo (SIEM) programoje.
- Ieškokite informacijos apie konkretų file, įskaitant file trajektorijos informaciją, jei jūsų organizacija įdiegė Cisco AMP galutiniams taškams.
Tirdami įvykį, galite spustelėti tiesiai iš įvykio įvykio viewer arba prietaisų skydelyje Firepower valdymo centre prie atitinkamos informacijos išoriniame šaltinyje. Tai leidžia greitai surinkti kontekstą apie konkretų įvykį pagal jo IP adresus, prievadus, protokolą, domeną ir (arba) SHA 256 maišą. Pavyzdžiui,amptarkime, kad žiūrite į „Top Attackers“ prietaisų skydelio valdiklį ir norite sužinoti daugiau informacijos apie vieną iš išvardytų šaltinio IP adresų. Norite pamatyti, kokią informaciją Talos skelbia apie šį IP adresą, todėl pasirenkate „Talos IP“ šaltinį. Talos web svetainėje atidaromas puslapis su informacija apie šį konkretų IP adresą. Galite pasirinkti iš iš anksto nustatytų nuorodų į dažniausiai naudojamas „Cisco“ ir trečiųjų šalių grėsmių žvalgybos paslaugas rinkinio ir pridėti pasirinktinių nuorodų į kitas webpagrįstoms paslaugoms ir SIEM ar kitiems produktams, kurie turi a web sąsaja. Atminkite, kad kai kuriems ištekliams gali prireikti paskyros arba įsigyti produktą.
Apie kontekstinių kryžminio paleidimo išteklių valdymą
- Valdykite išorę webpagrįstus išteklius naudodami puslapį Analizė > Išplėstiniai > Kontekstinis kryžminis paleidimas.
Išimtis:
Tvarkykite kryžmines nuorodas į saugaus tinklo analizės prietaisą, atlikdami procedūrą, pateiktą skyriuje „Saugaus tinklo analizės kryžminių paleidimų nuorodų konfigūravimas“.
- Iš anksto nustatyti „Cisco“ siūlomi ištekliai pažymėti „Cisco“ logotipu. Likusios nuorodos yra trečiųjų šalių ištekliai.
- Galite išjungti arba ištrinti bet kokius išteklius, kurių jums nereikia, arba galite juos pervardyti, pvzampprieš pavadinimo įrašą mažosiomis raidėmis „z“, kad išteklius būtų rūšiuojamas į sąrašo apačią. Išjungus kryžminio paleidimo šaltinį, jis išjungiamas visiems vartotojams. Negalite atkurti ištrintų išteklių, bet galite juos sukurti iš naujo.
- Norėdami pridėti išteklių, žr. kontekstinių kryžminio paleidimo išteklių pridėjimas.
Reikalavimai tinkintiems kontekstiniams kryžminio paleidimo ištekliams
Pridedant tinkintus kontekstinius kryžminio paleidimo išteklius:
- Ištekliai turi būti pasiekiami per web naršyklė.
- Palaikomi tik http ir https protokolai.
- Palaikomos tik GET užklausos; POST užklausos nėra.
- Kintamųjų kodavimas URLs nepalaikomas. Nors IPv6 adresams gali reikėti užkoduoti dvitaškių skyriklius, daugumai paslaugų šio kodavimo nereikia.
- Galima sukonfigūruoti iki 100 išteklių, įskaitant iš anksto nustatytus išteklius.
- Turite būti administratorius arba saugos analitikas, kad galėtumėte sukurti kryžminį paleidimą, bet taip pat galite būti tik skaitomas saugos analitikas, kad galėtumėte juos naudoti.
Pridėkite kontekstinius kryžminio paleidimo išteklius
- Galite pridėti kontekstinius kryžminio paleidimo išteklius, pvz., grėsmių žvalgybos paslaugas ir saugos informacijos ir įvykių valdymo (SIEM) įrankius.
- Įdiegę kelis domenus, galite matyti ir naudoti išteklius pirminiuose domenuose, tačiau galite kurti ir redaguoti išteklius tik dabartiniame domene. Bendras išteklių skaičius visuose domenuose yra ribojamas iki 100.
Prieš pradėdami
- Jei pridedate nuorodas į saugaus tinklo analizės įrenginį, patikrinkite, ar norimos nuorodos jau yra; dauguma nuorodų automatiškai sukuriamos už jus, kai konfigūruojate „Cisco Security Analytics“ ir registravimą (patalpose).
- Žr. reikalavimus tinkintiems kontekstiniams kryžminio paleidimo ištekliams.
- Jei reikia ištekliui, susiesite, sukursite arba gausite paskyrą ir prisijungimui reikalingus kredencialus. Pasirinktinai priskirkite ir paskirstykite kredencialus kiekvienam vartotojui, kuriam reikia prieigos.
- Nustatykite šaltinio, su kuriuo susiesite, užklausos nuorodos sintaksę:
- Pasiekite šaltinį per naršyklę ir, jei reikia, naudodamiesi to šaltinio dokumentacija, suformuluokite užklausos nuorodą, reikalingą ieškant konkrečių s.ampinformacijos, kurią norite rasti jūsų užklausos nuoroda, tipo, pvz., IP adresas.
- Vykdykite užklausą, tada nukopijuokite gautą URL iš naršyklės vietos juostos.
- Pavyzdžiui,ample, jums gali kilti užklausa URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.
Procedūra
- 1 veiksmas
Pasirinkite Analizė > Išplėstinė > Kontekstinis kryžminis paleidimas. - 2 veiksmas Spustelėkite Naujas kryžminis paleidimas.
Pasirodžiusioje formoje visuose laukuose, pažymėtuose žvaigždute, reikia reikšmės. - 3 veiksmas Įveskite unikalų šaltinio pavadinimą.
- 4 veiksmas Įklijuokite darbą URL eilutę iš savo šaltinio į URL Šablono laukas.
- 5 veiksmas Pakeiskite konkrečius duomenis (pvz., IP adresą) užklausos eilutėje tinkamu kintamuoju: nustatykite žymeklį, tada spustelėkite kintamąjį (pvz.,ample, ip) vieną kartą, kad įterptumėte kintamąjį.
- Buvusiojeample iš aukščiau esančio skyriaus „Prieš pradedant“, gautas rezultatas URL gali būti https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
- Kai naudojama kontekstinė kryžminio paleidimo nuoroda, kintamasis {ip} URL bus pakeistas IP adresu, kurį vartotojas spustelėja dešiniuoju pelės klavišu viewer arba prietaisų skydelis.
- Norėdami pamatyti kiekvieno kintamojo aprašą, užveskite pelės žymeklį ant kintamojo.
- Galite sukurti kelias kontekstines kryžminio paleidimo nuorodas vienam įrankiui ar paslaugai, kiekvienam naudodami skirtingus kintamuosius.
- 6 veiksmas Spustelėkite Test with example duomenys (
), kad patikrintumėte savo ryšį su buvample duomenis. - 7 veiksmas Išspręskite visas problemas.
- 8 žingsnis Spustelėkite Išsaugoti.
Ištirkite įvykius naudodami kontekstinį kryžminį paleidimą
Prieš pradėdami
Jei ištekliui, kurį pasieksite, reikia kredencialų, įsitikinkite, kad turite tuos kredencialus.
Procedūra
- 1 veiksmas Eikite į vieną iš šių Firepower valdymo centro puslapių, kuriame rodomi įvykiai:
- Prietaisų skydelis (Baigtaview > Prietaisų skydeliai), arba
- Renginys viewer puslapyje (bet kuri meniu parinktis, esanti analizės meniu, kurioje yra įvykių lentelė.)
- 2 veiksmas Dešiniuoju pelės mygtuku spustelėkite dominantį įvykį ir pasirinkite kontekstinį kryžminio paleidimo šaltinį, kurį norite naudoti.
- Jei reikia, kontekstiniame meniu slinkite žemyn, kad pamatytumėte visas galimas parinktis.
- Duomenų tipas, kurį spustelėsite dešiniuoju pelės mygtuku, apibrėžia rodomas parinktis; pvzampJei dešiniuoju pelės mygtuku spustelėsite IP adresą, pamatysite tik kontekstines kryžminio paleidimo parinktis, susijusias su IP adresais.
- Taigi, pvzample, norėdami gauti grėsmės informaciją iš „Cisco Talos“ apie šaltinio IP adresą „Top Attackers“ prietaisų skydelio valdiklyje, pasirinkite Talos SrcIP arba Talos IP.
- Jei šaltinyje yra keli kintamieji, parinktis pasirinkti tą išteklį galima tik tiems įvykiams, kurie turi vieną galimą kiekvieno įtraukto kintamojo reikšmę.
- Kontekstinis kryžminio paleidimo išteklius atidaromas atskirame naršyklės lange.
- Gali praeiti šiek tiek laiko, kol užklausa bus apdorota, atsižvelgiant į užklausų duomenų kiekį, išteklių greitį ir poreikį ir pan.
- 3 veiksmas Jei reikia, prisijunkite prie šaltinio.
Konfigūruokite saugaus tinklo analizės kryžmines nuorodas
- Galite kryžmiškai paleisti įvykių duomenis „Firepower“ ir susijusius duomenis savo saugaus tinklo analizės įrenginyje.
- Norėdami gauti daugiau informacijos apie saugaus tinklo analizės produktą, žr https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
- Jei reikia bendros informacijos apie kontekstinį kryžminį paleidimą, žr. Įvykių tyrimas naudojant kontekstinį kryžminį paleidimą.
- Naudokite šią procedūrą, kad greitai sukonfigūruotumėte kryžminių nuorodų rinkinį į saugaus tinklo analizės įrenginį.
Pastaba
- Jei vėliau reikės pakeisti šias nuorodas, grįžkite į šią procedūrą; negalite atlikti pakeitimų tiesiogiai kontekstinio kryžminio paleidimo sąrašo puslapyje.
- Galite neautomatiniu būdu sukurti papildomų saitų, kad galėtumėte kryžmiškai paleisti saugaus tinklo analizės įrenginį, naudodami procedūrą, pateiktą skyriuje Pridėti kontekstinių kryžminio paleidimo išteklių, tačiau šios nuorodos nepriklauso nuo automatiškai sukurtų išteklių, todėl jas reikės tvarkyti rankiniu būdu (ištrinti, atnaujinta ir kt.)
Prieš pradėdami
- Turite turėti įdiegtą ir veikiantį saugaus tinklo analizės įrenginį.
- Jei norite siųsti „Firepower“ duomenis į saugaus tinklo analizės įrenginį naudodami „Cisco Security Analytics“ ir registravimą (patalpose), žr. „Nuotolinė duomenų saugykla saugaus tinklo analizės įrenginyje“.
Procedūra
- 1 veiksmas Pasirinkite Sistema > Registravimas > Saugos analizė ir registravimas.
- 2 veiksmas Įjunkite funkciją.
- 3 veiksmas Įveskite saugaus tinklo analizės įrenginio pagrindinio kompiuterio pavadinimą arba IP adresą ir prievadą. Numatytasis prievadas yra 443.
- 4 žingsnis Spustelėkite Išsaugoti.
- 5 veiksmas Patvirtinkite naujas kryžminio paleidimo nuorodas: pasirinkite Analysis > Advanced > Contextual Cross Launch. Jei reikia atlikti pakeitimus, grįžkite prie šios procedūros; negalite atlikti pakeitimų tiesiogiai kontekstinio kryžminio paleidimo sąrašo puslapyje.
Ką daryti toliau
- Kryžminis paleidimas iš įvykio į saugaus tinklo analizės įvykį viewer, jums reikės saugaus tinklo analizės kredencialų.
- Kryžminis paleidimas iš įvykio FMC renginyje viewer arba prietaisų skydelyje, dešiniuoju pelės mygtuku spustelėkite atitinkamo įvykio lentelės langelį ir pasirinkite atitinkamą parinktį.
- Gali praeiti šiek tiek laiko, kol užklausa bus apdorota, atsižvelgiant į užklausų duomenų kiekį, „Stealthwatch“ valdymo pulto greitį ir poreikį ir kt.
Apie Syslog pranešimų siuntimą saugos įvykiams
- Galite siųsti duomenis, susijusius su ryšiu, saugumo žvalgyba, įsibrovimu ir file ir kenkėjiškų programų įvykius per sistemos žurnalą į saugos informacijos ir įvykių valdymo (SIEM) įrankį arba kitą išorinį įvykių saugojimo ir valdymo sprendimą.
- Šie įvykiai taip pat kartais vadinami Snort® įvykiais.
Apie sistemos konfigūravimą siųsti saugos įvykių duomenis į Syslog
Norėdami sukonfigūruoti sistemą siųsti saugos įvykių žurnalus, turėsite žinoti šiuos dalykus:
- Geriausia saugos įvykių sistemos žurnalo pranešimų konfigūravimo praktika
- Saugos įvykių žurnalų konfigūravimo vietos
- FTD platformos nustatymai, taikomi saugos įvykių sistemos žurnalo pranešimams
- Jei pakeisite sistemos žurnalo nustatymus bet kurioje politikoje, turite iš naujo įdiegti, kad pakeitimai įsigaliotų.
Geriausia saugos įvykių sistemos žurnalo pranešimų konfigūravimo praktika
| Įrenginys ir versija | Konfigūracija Vieta |
| Visi | Jei naudosite syslog arba saugosite įvykius išorėje, venkite specialių simbolių objektų pavadinimuose, pvz., politikos ir taisyklių pavadinimuose. Objektų pavadinimuose neturėtų būti specialiųjų simbolių, pvz., kablelių, kuriuos priimančioji programa gali naudoti kaip skyriklius. |
| Ugnies jėgos grėsmės gynyba | 1. Konfigūruoti FTD platformos nustatymus (Įrenginiai > Platformos nustatymai > Apsaugos nuo grėsmių nustatymai > „Syslog“..)
Taip pat žr. FTD platformos parametrai, taikomi saugos įvykių sistemos žurnalo pranešimams. 2. Prieigos valdymo politikos skirtuke Registravimas pasirinkite naudoti FTD platformos nustatymus. 3. (Įsibrovimo įvykiams) Sukonfigūruokite įsibrovimo strategijas, kad galėtumėte naudoti prieigos kontrolės politikos skirtuko Registravimas nustatymus. (Tai yra numatytasis.)
Nerekomenduojama nepaisyti šių nustatymų. Norėdami gauti esminės informacijos, žr. Saugos įvykių sistemos žurnalo pranešimų siuntimas iš FTD įrenginių. |
| Visi kiti įrenginiai | 1. Sukurkite įspėjimo atsakymą.
2. Sukonfigūruokite prieigos kontrolės politiką, kad galėtumėte naudoti įspėjimo atsaką. 3. (Įsibrovimo įvykiams) Konfigūruokite sistemos žurnalo nustatymus įsibrovimo strategijose. Išsamios informacijos ieškokite Saugos įvykių sistemos žurnalo pranešimų siuntimas iš klasikinių įrenginių. |
Siųsti saugos įvykių sistemos žurnalo pranešimus iš FTD įrenginių
Šioje procedūroje dokumentuojama geriausios praktikos konfigūracija siunčiant sistemos žurnalo pranešimus saugos įvykiams (ryšys, su saugumu susijęs ryšys, įsibrovimas, fileir kenkėjiškų programų įvykius) iš Firepower Threat Defense įrenginių.
Pastaba
Daugelis „Firepower Threat Defense“ sistemos žurnalo nustatymų netaikomi saugos įvykiams. Konfigūruokite tik šioje procedūroje aprašytas parinktis.
Prieš pradėdami
- FMC sukonfigūruokite strategijas, kad generuotumėte saugos įvykius ir patikrintumėte, ar įvykiai, kuriuos tikitės matyti, rodomi atitinkamose lentelėse, esančiose meniu Analizė.
- Surinkite sistemos žurnalo serverio IP adresą, prievadą ir protokolą (UDP arba TCP):
- Įsitikinkite, kad jūsų įrenginiai gali pasiekti sistemos žurnalo serverį (-ius).
- Patvirtinkite, kad žurnalo serveris (-iai) gali priimti nuotolinius pranešimus.
- Norėdami gauti svarbios informacijos apie ryšio registravimą, žr. skyrių Ryšių registravimas.
Procedūra
- 1 veiksmas Sukonfigūruokite „Firepower Threat Defense“ įrenginio sistemos žurnalo nustatymus:
- Spustelėkite Įrenginiai > Platformos nustatymai.
- Redaguokite platformos nustatymų politiką, susietą su „Firepower Threat Defense“ įrenginiu.
- Kairiojoje naršymo srityje spustelėkite Syslog.
- Spustelėkite Syslog serveriai ir spustelėkite Pridėti, kad įvestumėte serverį, protokolą, sąsają ir susijusią informaciją. Jei turite klausimų apie šiame puslapyje pateiktas parinktis, žr. Syslog serverio konfigūravimas.
- Spustelėkite Syslog Settings ir sukonfigūruokite šiuos nustatymus:
- Įgalinti Timestamp „Syslog“ pranešimuose
- Laikuamp Formatas
- Įgalinti „Syslog“ įrenginio ID
- Spustelėkite Registravimo sąranka.
- Pasirinkite, ar siųsti syslogs EMBLEM formatu, ar ne.
- Išsaugokite nustatymus.
- 2 veiksmas Sukonfigūruokite bendruosius prieigos valdymo politikos registravimo nustatymus (įskaitant file ir kenkėjiškų programų registravimas):
- Spustelėkite Politika > Prieigos valdymas.
- Redaguokite taikomą prieigos valdymo politiką.
- Spustelėkite Registravimas.
- Pasirinkite FTD 6.3 ir naujesnę versiją: naudokite sistemos žurnalo nustatymus, sukonfigūruotus įrenginyje įdiegtoje FTD platformos nustatymų politikoje.
- (Pasirenkama) Pasirinkite Syslog Severity.
- Jei atsiųsite file ir kenkėjiškų programų įvykių, pasirinkite Siųsti Syslog pranešimus File ir kenkėjiškų programų įvykiai.
- Spustelėkite Išsaugoti.
- 3 veiksmas Įgalinkite su sauga susijusių prisijungimo įvykių registravimą prieigos kontrolės politikoje:
- Toje pačioje prieigos valdymo politikoje spustelėkite skirtuką Security Intelligence.
- Kiekvienoje iš šių vietų spustelėkite Registravimas (
) ir įgalinkite ryšių bei „Syslog Server“ pradžią ir pabaigą:
- Šalia DNS politikos.
- Blokų sąrašo laukelyje Tinklai ir URLs.
- Spustelėkite Išsaugoti.
- 4 veiksmas Įgalinkite sistemos žurnalo registravimą kiekvienai prieigos valdymo politikos taisyklei:
- Toje pačioje prieigos valdymo politikoje spustelėkite skirtuką Taisyklės.
- Jei norite redaguoti, spustelėkite taisyklę.
- Taisyklėje spustelėkite skirtuką Registravimas.
- Pasirinkite, ar registruoti ryšių pradžią ar pabaigą, ar abu.
(Ryšio registravimas generuoja daug duomenų; registruojant ir pradžioje, ir pabaigoje sugeneruojama maždaug dvigubai daugiau duomenų. Ne kiekvienas ryšys gali būti registruojamas tiek pradžioje, tiek pabaigoje.) - Jei prisiregistruosite file įvykius, pasirinkite Žurnalas Files.
- Įgalinti Syslog serverį.
- Patikrinkite, ar taisyklė yra „Numatytosios sistemos žurnalo konfigūracijos naudojimas prieigos valdymo registravime“.
- Spustelėkite Pridėti.
- Pakartokite kiekvieną politikos taisyklę.
- 5 veiksmas Jei siunčiate įsibrovimo įvykius:
- Eikite į įsibrovimo politiką, susietą su jūsų prieigos kontrolės politika.
- Įsibrovimo politikoje spustelėkite Išplėstiniai nustatymai > Įspėjimas apie sistemos žurnalą > Įgalinta.
- Jei reikia, spustelėkite Redaguoti
- Įveskite parinktis:
Parinktis Vertė Registravimo šeimininkas Jei nesiųsite įsibrovimo įvykių žurnalo pranešimų į kitą sistemos žurnalo serverį nei siųsite kitus žurnalo pranešimus, palikite šį lauką tuščią, kad galėtumėte naudoti anksčiau sukonfigūravus parametrus. Priemonė Šis nustatymas taikomas tik tuo atveju, jei šiame puslapyje nurodote registravimo pagrindinį kompiuterį. Aprašymų ieškokite „Syslog“ įspėjimų priemonės.
Sunkumas Šis nustatymas taikomas tik tuo atveju, jei šiame puslapyje nurodote registravimo pagrindinį kompiuterį. Aprašus žr. „Syslog“ sunkumo lygiai.
- Spustelėkite Atgal.
- Kairiojoje naršymo srityje spustelėkite Informacija apie politiką.
- Spustelėkite Įvesti pakeitimus.
Ką daryti toliau
- (Pasirenkama) Konfigūruokite skirtingus registravimo nustatymus atskiroms strategijoms ir taisyklėms. Žr. atitinkamas lentelės eilutes skiltyje „Syslogs for Connection and Security Intelligence Events“ (visi įrenginiai) konfigūracijos vietos.
- Šiems nustatymams reikės atsakymų į sistemos žurnalo įspėjimus, kurie sukonfigūruojami taip, kaip aprašyta skyriuje „Syslog“ įspėjimo atsakymo kūrimas. Jie nenaudoja platformos nustatymų, kuriuos sukonfigūravote atlikdami šią procedūrą.
- Norėdami sukonfigūruoti saugos įvykių sistemos žurnalo registravimą klasikiniams įrenginiams, žr. Saugos įvykių sistemos žurnalo pranešimų siuntimas iš klasikinių įrenginių.
- Jei baigsite atlikti pakeitimus, įdiekite pakeitimus valdomuose įrenginiuose.
Siųskite saugos įvykių sistemos žurnalo pranešimus iš klasikinių įrenginių
Prieš pradėdami
- Konfigūruokite strategijas, kad generuotumėte saugos įvykius.
- Įsitikinkite, kad jūsų įrenginiai gali pasiekti sistemos žurnalo serverį (-ius).
- Patvirtinkite, kad žurnalo serveris (-iai) gali priimti nuotolinius pranešimus.
- Norėdami gauti svarbios informacijos apie ryšio registravimą, žr. skyrių Ryšių registravimas.
Procedūra
- 1 veiksmas Sukonfigūruokite įspėjimo atsaką savo klasikiniams įrenginiams: žr. „Syslog“ įspėjimo atsakymo kūrimas.
- 2 veiksmas Sukonfigūruokite sistemos žurnalo nustatymus prieigos valdymo politikoje:
- Spustelėkite Politika > Prieigos valdymas.
- Redaguokite taikomą prieigos valdymo politiką.
- Spustelėkite Registravimas.
- Pasirinkite Siųsti naudojant konkretų sistemos žurnalo įspėjimą.
- Pasirinkite aukščiau sukurtą Syslog Alert.
- Spustelėkite Išsaugoti.
- 3 žingsnis Jei atsiųsite file ir kenkėjiškų programų įvykiai:
- Pasirinkite Siųsti Syslog pranešimus File ir kenkėjiškų programų įvykiai.
- Spustelėkite Išsaugoti.
- 4 veiksmas Jei siunčiate įsibrovimo įvykius:
- Eikite į įsibrovimo politiką, susietą su jūsų prieigos kontrolės politika.
- Įsibrovimo politikoje spustelėkite Išplėstiniai nustatymai > Įspėjimas apie sistemos žurnalą > Įgalinta.
- Jei reikia, spustelėkite Redaguoti
- Įveskite parinktis:
Parinktis Vertė Registravimo šeimininkas Jei nesiųsite įsibrovimo įvykių žurnalo pranešimų į kitą sistemos žurnalo serverį nei siųsite kitus žurnalo pranešimus, palikite šį lauką tuščią, kad galėtumėte naudoti anksčiau sukonfigūravus parametrus. Priemonė Šis nustatymas taikomas tik tuo atveju, jei šiame puslapyje nurodote registravimo pagrindinį kompiuterį. Žr. Syslog įspėjimo priemonės.
Sunkumas Šis nustatymas taikomas tik tuo atveju, jei šiame puslapyje nurodote registravimo pagrindinį kompiuterį. Žr. „Syslog“ sunkumo lygiai.
- Spustelėkite Atgal.
- Kairiojoje naršymo srityje spustelėkite Informacija apie politiką.
- Spustelėkite Įvesti pakeitimus.
Ką daryti toliau
- (Pasirenkama) Konfigūruokite skirtingus registravimo nustatymus atskiroms prieigos kontrolės taisyklėms. Žr. atitinkamas lentelės eilutes skiltyje „Syslogs for Connection and Security Intelligence Events“ (visi įrenginiai) konfigūracijos vietos. Šiems nustatymams reikės atsakymų į sistemos žurnalo įspėjimus, kurie sukonfigūruojami taip, kaip aprašyta skyriuje „Syslog Alert Response“ kūrimas. Jie nenaudoja nustatymų, kuriuos sukonfigūravote aukščiau.
- Norėdami sukonfigūruoti saugos įvykių sistemos žurnalo registravimą FTD įrenginiams, žr. Saugos įvykių sistemos žurnalo pranešimų siuntimas iš FTD įrenginių.
Saugos įvykių žurnalų konfigūravimo vietos
- Ryšio ir saugos žvalgybos įvykių sistemos žurnalų konfigūravimo vietos (visi įrenginiai)12
- Įsibrovimo įvykių sistemos žurnalų (FTD įrenginių) konfigūravimo vietos
- Įsibrovimo įvykių sistemos žurnalų konfigūravimo vietos (kituose įrenginiuose nei FTD)
- „Syslogs“ konfigūravimo vietos File ir kenkėjiškų programų įvykiai
Ryšio ir saugos žvalgybos įvykių sistemos žurnalų konfigūravimo vietos (visi įrenginiai)
Yra daug vietų, kur galima konfigūruoti registravimo nustatymus. Naudokite toliau pateiktą lentelę, kad įsitikintumėte, jog nustatėte reikiamas parinktis.
Svarbu
- Būkite atsargūs konfigūruodami syslog parametrus, ypač kai naudojate paveldėtus numatytuosius nustatymus iš kitų konfigūracijų. Kai kurios parinktys gali būti prieinamos NE visiems valdomiems įrenginių modeliams ir programinės įrangos versijoms, kaip nurodyta toliau esančioje lentelėje.
- Norėdami gauti svarbios informacijos konfigūruojant ryšio registravimą, žr. skyrių Ryšių registravimas.
| Konfigūracija Vieta | Aprašymas ir Daugiau Informacija |
| Įrenginiai > Platformos nustatymai, Grėsmių gynybos nustatymų politika, Syslog | Ši parinktis taikoma tik Firepower Threat Defense įrenginiams.
Nustatymai, kuriuos sukonfigūruojate čia, gali būti nurodyti prieigos valdymo strategijos registravimo nustatymuose ir tada naudojami arba nepaisomi likusias taisykles ir taisykles šioje lentelėje. Žr. FTD platformos parametrus, taikomus saugos įvykių sistemos žurnalo pranešimams ir Apie Syslog bei potemes. |
| Politika > Prieigos valdymas, , Miško ruoša | Čia sukonfigūruojami parametrai yra numatytieji visų ryšio ir saugos informacijos įvykių sistemos žurnalų nustatymai, nebent nepaisysite numatytųjų palikuonių strategijų ir taisyklių vietose, nurodytose likusiose šios lentelės eilutėse.
Rekomenduojamas FTD įrenginių nustatymas: naudokite FTD platformos nustatymus. Norėdami gauti informacijos, žr. FTD platformos parametrus, taikomus saugos įvykių sistemos žurnalo pranešimams ir Apie Syslog ir potemes. Būtinas nustatymas visiems kitiems įrenginiams: naudokite sistemos žurnalo įspėjimą. Jei nurodote sistemos žurnalo įspėjimą, žr. Sistemos žurnalo įspėjimo atsakymo kūrimas. Norėdami gauti daugiau informacijos apie nustatymus skirtuke Registravimas, žr. prieigos valdymo strategijų registravimo parametrus. |
| Politika > Prieigos valdymas, , Taisyklės, Numatytasis veiksmas eilė,
Miško ruoša ( |
Numatytųjų veiksmų, susijusių su prieigos valdymo politika, registravimo parametrai.
Žr. informaciją apie registravimą skyriuje Prieigos valdymo taisyklės ir Ryšių registravimas naudojant numatytąjį strategijos veiksmą. |
| Politika > Prieigos valdymas, , Taisyklės, , Miško ruoša | Konkrečios taisyklės nustatymų registravimas prieigos valdymo politikoje.
Žr. informaciją apie prisijungimą prie prieigos kontrolės taisyklių skyriuje. |
| Politika > Prieigos valdymas, , Saugumo žvalgyba,
Miško ruoša ( |
Saugumo žvalgybos blokavimo sąrašų registravimo nustatymai. Norėdami sukonfigūruoti, spustelėkite šiuos mygtukus:
• DNS blokų sąrašo registravimo parinktys • URL Blokavimo sąrašo registravimo parinktys • Tinklo blokų sąrašo registravimo parinktys (užblokuotųjų sąraše esantiems IP adresams)
Žr. Konfigūruoti saugos žvalgybą, įskaitant išankstinių sąlygų skyrių ir potemes bei nuorodas. |
| Politika > SSL, ,
Numatytasis veiksmas eilė, Miško ruoša ( |
Numatytųjų veiksmo, susieto su SSL politika, registravimo nustatymai.
Žr. Ryšių registravimas naudojant numatytąjį politikos veiksmą. |
| politika > SSL, , , Miško ruoša | SSL taisyklių registravimo nustatymai.
Žr. TLS/SSL taisyklių komponentus. |
| Politika > Išankstinis filtras, ,
Numatytasis veiksmas eilė, Miško ruoša ( |
Numatytojo veiksmo, susieto su išankstinio filtro politika, registravimo nustatymai.
Žr. Ryšių registravimas naudojant numatytąjį politikos veiksmą. |
| Politika > Išankstinis filtras, ,
, Miško ruoša |
Kiekvienos išankstinio filtro taisyklės nustatymų registravimas išankstinio filtro politikoje.
Žr. Tunelio ir išankstinio filtro taisyklės komponentai |
| Politika > Išankstinis filtras, ,
, Miško ruoša |
Kiekvienos tunelio taisyklės nustatymų registravimas išankstinio filtro politikoje.
Žr. Tunelio ir išankstinio filtro taisyklės komponentai |
| Papildomi FTD klasterio konfigūracijų sistemos žurnalo nustatymai: | Skyriuje „Firepower Threat Defense“ grupavimas turi daug nuorodų į syslog; skyriuje ieškokite „syslog“. |
Įsibrovimo įvykių sistemos žurnalų (FTD įrenginių) konfigūravimo vietos
Galite nurodyti įsibrovimo strategijų sistemos žurnalo parametrus įvairiose vietose ir pasirinktinai paveldėti nustatymus iš prieigos valdymo strategijos arba FTD platformos nustatymų arba abiejų.
| Konfigūracija Vieta | Aprašymas ir Daugiau Informacija |
| Prietaisai > Platforma Nustatymai, Grėsmių gynybos nustatymų politika, Syslog | Čia sukonfigūruotas sistemos žurnalo paskirties vietas galima nurodyti prieigos valdymo strategijos skirtuke Registravimas, kuris gali būti numatytasis įsibrovimo strategijos parametras.
Žr. FTD platformos parametrus, taikomus saugos įvykių sistemos žurnalo pranešimams ir Apie Syslog bei potemes. |
| Politika > Prieigos valdymas, , Miško ruoša | Numatytasis įsibrovimo sistemos žurnalo paskirties nustatymas
įvykius, jei įsibrovimo politika nenurodo kitų registravimo prieglobų. Žr. registravimo parametrus, skirtus prieigos valdymo strategijoms. |
| Politika > Įsibrovimas, , Išplėstiniai nustatymai, įgalinti „Syslog“ įspėjimas, spustelėkite Redaguoti | Norėdami nurodyti sistemos žurnalų rinkėjus, kurie nėra nurodyti prieigos kontrolės politikos skirtuke Registravimas, ir nurodyti įrenginį bei sunkumą, žr. „Syslog Alerting for Intrusion Events“ konfigūravimas.
Jei norite naudoti Sunkumas or Priemonė arba abu, kaip sukonfigūruota įsibrovimo politikoje, taip pat turite politikoje sukonfigūruokite registravimo pagrindinius kompiuterius. Jei naudojate prieigos valdymo strategijoje nurodytus registravimo pagrindinius kompiuterius, įsibrovimo politikoje nurodytas sunkumas ir priemonė nebus naudojami. |
Įsibrovimo įvykių sistemos žurnalų konfigūravimo vietos (kituose įrenginiuose nei FTD)
- (Numatytasis) Prieigos valdymo politika Prieigos valdymo strategijų registravimo parametrai, JEI nurodote sistemos žurnalo įspėjimą (žr. Sistemos žurnalo įspėjimo atsakymo kūrimas).
- Arba žr. „Syslog Alerting for Intrusion Events“ konfigūravimas.
Pagal numatytuosius nustatymus įsilaužimo strategija naudoja prieigos valdymo strategijos skirtuko Registravimas registravimo nustatymus. Jei kitiems nei FTD įrenginiams taikomi nustatymai ten nesukonfigūruoti, kitų nei FTD įrenginių sistemos žurnalai nebus siunčiami ir nebus rodomas joks įspėjimas.
„Syslogs“ konfigūravimo vietos File ir kenkėjiškų programų įvykiai
| Konfigūracija Vieta | Aprašymas ir Daugiau Informacija |
| Prieigos valdymo politikoje:
Politika > Prieigos valdymas, , Miško ruoša |
Tai yra pagrindinė vieta, kurioje galima konfigūruoti sistemą, kad būtų siunčiami sistemos žurnalai file ir kenkėjiškų programų įvykiai.
Jei FTD platformos nustatymuose nenaudojate syslog nustatymų, taip pat turite sukurti įspėjimo atsakymą. Žr. „Syslog“ įspėjimo atsakymo kūrimas. |
| Konfigūracija Vieta | Aprašymas ir Daugiau Informacija |
| Firepower Threat Defense platformos nustatymuose:
Prietaisai > Platforma Nustatymai, Grėsmių gynybos nustatymų politika, Syslog |
Šie parametrai taikomi tik Firepower Threat Defense įrenginiams, kuriuose veikia palaikomos versijos, ir tik tuo atveju, jei prieigos valdymo politikos skirtuką Registravimas sukonfigūravote naudoti FTD platformos parametrus.
Žr. FTD platformos parametrus, taikomus saugos įvykių sistemos žurnalo pranešimams ir Apie Syslog bei potemes. |
| Prieigos valdymo taisyklėje:
Politika > Prieigos valdymas, , , Miško ruoša |
Jei FTD platformos nustatymuose nenaudojate syslog nustatymų, taip pat turite sukurti įspėjimo atsakymą. Žr. „Syslog“ įspėjimo atsakymo kūrimas. |
Saugos įvykių sistemos žurnalo pranešimų anatomija
Exampsaugumo įvykio pranešimas iš FTD (įsibrovimo įvykis)

1 lentelė. Saugos įvykių sistemos žurnalo pranešimų komponentai
| Prekė Skaičius in Sample Pranešimas | Antraštė Elementas | Aprašymas |
| 0 | PRI | Prioritetinė reikšmė, nurodanti įspėjimo objektą ir sunkumą. Reikšmė rodoma syslog pranešimuose tik tada, kai įgalinate prisijungimą EMBLEM formatu naudodami FMC platformos nustatymus. Jei tu
įgalinti įsibrovimo įvykių registravimą per prieigos kontrolės politiką Registravimas, PRI reikšmė automatiškai rodoma syslog pranešimuose. Norėdami gauti informacijos, kaip įjungti EMBLEM formatą, žr. Įjungti registravimą ir konfigūruoti pagrindinius nustatymus. Informacijos apie PRI žr RFC5424. |
| 1 | Laikuamp | Data ir laikas, kai sistemos žurnalo pranešimas buvo išsiųstas iš įrenginio.
• (Syslogs, išsiųstas iš FTD įrenginių) Sistemų žurnalų, siunčiamų naudojant prieigos kontrolės politikos nustatymus ir jos palikuonis arba jei nurodyta naudoti šį formatą FTD platformos nustatymuose, datos formatas yra ISO 8601 nustatytas laikas.amp formatu, kaip nurodyta RFC 5424 (yyyy-MM-ddTHH:mm:ssZ), kur raidė Z nurodo UTC laiko juostą. • (Syslogs, išsiųstas iš visų kitų įrenginių) Sistemų žurnalų, siunčiamų naudojant prieigos valdymo politikos nustatymus ir jos palikuonis, datos formatas yra formatas, nustatytas ISO 8601 timest.amp formatu, kaip nurodyta RFC 5424 (yyyy-MM-ddTHH:mm:ssZ), kur raidė Z nurodo UTC laiko juostą. • Kitu atveju tai yra mėnuo, diena ir laikas UTC laiko juostoje, nors laiko juosta nenurodyta.
Norėdami sukonfigūruoti laikąamp nustatymą FTD platformos nustatymuose, žr. Konfigūruoti sistemos žurnalo nustatymus. |
| 2 | Įrenginys arba sąsaja, iš kurios buvo išsiųstas pranešimas.
Tai gali būti: • Sąsajos IP adresas • Įrenginio pagrindinio kompiuterio pavadinimas • Pasirinktinis įrenginio identifikatorius |
(Syslogams, siunčiamiems iš FTD įrenginių)
Jei sistemos žurnalo pranešimas buvo išsiųstas naudojant FTD platformos nustatymus, tai yra reikšmė, sukonfigūruota „Syslog“ nustatymai už Įgalinti „Syslog“ įrenginio ID parinktis, jei nurodyta. Kitu atveju šio elemento antraštėje nėra. Norėdami sukonfigūruoti šį nustatymą FTD platformos nustatymuose, žr. „Syslog“ nustatymų konfigūravimas. |
| 3 | Tinkinta vertė | Jei pranešimas buvo išsiųstas naudojant įspėjimo atsakymą, tai yra Tag reikšmė sukonfigūruota įspėjimo atsakyme, iš kurio buvo išsiųstas pranešimas, jei sukonfigūruota. (Žr. „Syslog“ įspėjimo atsakymo kūrimas.)
Kitu atveju šio elemento antraštėje nėra. |
| 4 | %FTD
%NGIPS |
Įrenginio, kuris išsiuntė pranešimą, tipas.
• %FTD yra priešgaisrinė apsauga nuo grėsmių • %NGIPS yra visi kiti įrenginiai |
| 5 | Sunkumas | Pranešimą suaktyvinusios politikos rimtumas nurodytas sistemos žurnalo nustatymuose.
Sunkumo aprašymus žr. Sunkumo lygiai arba Syslogo sunkumo lygiai. |
| 6 | Įvykio tipo identifikatorius | • 430001: įsibrovimo įvykis
• 430002: prisijungimo įvykis užregistruotas prisijungimo pradžioje • 430003: prisijungimo įvykis užregistruotas pasibaigus ryšiui
• 430004: File įvykis • 430005: File kenkėjiškų programų įvykis |
| — | Priemonė | Žr. priemonę Saugos įvykių sistemos žurnalo pranešimuose |
| — | Pranešimo likutis | Laukai ir reikšmės atskirti dvitaškiais.
Laukai su tuščiomis arba nežinomomis reikšmėmis pranešimuose praleidžiami. Laukų aprašymus žr. • Ryšio ir saugumo žvalgybos įvykių laukai. • Įsibrovimo įvykių laukai • File ir kenkėjiškų programų įvykių laukai
Pastaba Laukų aprašymų sąrašuose yra ir syslog laukai, ir įvykyje matomi laukai viewer (meniu parinktys, esančios ugnies energijos valdymo centro meniu Analizė web sąsaja.) Laukai, pasiekiami per syslog, yra pažymėti kaip tokie. Kai kurie įvykyje matomi laukai viewer nepasiekiami per syslog. Be to, kai kurie sistemos žurnalo laukai neįtraukti į įvykį viewer (bet gali būti pasiekiama per paiešką), o kai kurie laukai yra sujungti arba atskirti. |
Saugos įvykių sistemos žurnalo pranešimų priemonė
Priemonės reikšmės paprastai nėra svarbios saugos įvykių sistemos žurnalo pranešimuose. Tačiau, jei jums reikalinga priemonė, naudokite šią lentelę:
| Įrenginys | Įtraukti priemonę į prisijungimo įvykius | Į Įtraukti Priemonė in Įsibrovimo įvykiai | Vieta Syslog pranešime |
| FTD | FTD platformos nustatymuose naudokite parinktį EMBLEM.
Priemonė visada yra PERSPĖJIMAS ryšio įvykiams, kai siunčiami sistemos žurnalo pranešimai naudojant FTD platformos nustatymus. |
Naudokite parinktį EMBLEM FTD platformos nustatymuose arba
sukonfigūruokite registravimą naudodami įsibrovimo strategijos syslog parametrus. Jei naudojate įsibrovimo strategiją, įsibrovimo strategijos nustatymuose taip pat turite nurodyti registravimo pagrindinį kompiuterį. |
Priemonė nerodoma pranešimo antraštėje, tačiau syslog kolektorius gali gauti reikšmę
remiantis RFC 5424 6.2.1 skyriumi. |
| Įgalinti perspėjimą sistemos žurnale ir
sukonfigūruoti įsibrovimo politikos įrangą ir sunkumą. Žr. „Syslog Alerting for Intrusion Events“ konfigūravimas. |
|||
| Įrenginiai, išskyrus FTD | Naudokite įspėjimo atsakymą. | Naudokite sistemos žurnalo parametrą įsibrovimo politikos išplėstiniuose nustatymuose arba įspėjimo atsakymą, nurodytą prieigos valdymo politikos žurnalo skirtuke. |
Norėdami gauti daugiau informacijos, žr. „Syslog“ įspėjimų priemonės ir sunkumai ir „Syslog“ įspėjimo atsakymo kūrimas.
Firepower Syslog pranešimų tipai
Firepower gali siųsti kelių tipų sistemos žurnalo duomenis, kaip aprašyta šioje lentelėje:
| Syslog duomenų tipas | Žr |
| FMC audito žurnalai | Perduokite audito žurnalus į „Syslog“ ir skyrių „Sistemos auditas“. |
| Audito žurnalai iš klasikinių įrenginių (ASA FirePOWER, NGIPSv) | Perduokite audito žurnalus iš klasikinių įrenginių ir skyrių „Sistemos auditas“.
CLI komanda: syslog |
| Įrenginio būklės ir su tinklu susiję žurnalai iš FTD įrenginių | Apie Syslog ir potemes |
| Ryšio, saugumo žvalgybos ir įsibrovimo įvykių žurnalai iš FTD įrenginių | Apie sistemos konfigūravimą siųsti saugos įvykių duomenis į Syslog. |
| Ryšio, saugumo žvalgybos ir įsibrovimo įvykių žurnalai iš klasikinių įrenginių | Apie sistemos konfigūravimą siųsti saugos įvykių duomenis į Syslog |
| Žurnalai, skirti file ir kenkėjiškų programų įvykiai | Apie sistemos konfigūravimą siųsti saugos įvykių duomenis į Syslog |
„Syslog“ saugos įvykių apribojimai
- Jei naudosite syslog arba saugosite įvykius išorėje, venkite specialių simbolių objektų pavadinimuose, pvz., politikos ir taisyklių pavadinimuose. Objektų pavadinimuose neturėtų būti specialiųjų simbolių, pvz., kablelių, kuriuos priimančioji programa gali naudoti kaip skyriklius.
- Gali užtrukti iki 15 minučių, kol įvykiai bus rodomi jūsų sistemos žurnalų rinkiklyje.
- Duomenys toliau nurodytiems file ir kenkėjiškų programų įvykiai nepasiekiami per syslog:
- Retrospektyviniai įvykiai
- Įvykiai, kuriuos sukūrė AMP galutiniams taškams
„eStreamer“ serverio srautinis perdavimas
- „Event Streamer“ („eStreamer“) leidžia srautiniu būdu perduoti kelių rūšių įvykių duomenis iš „Firepower“ valdymo centro į pagal užsakymą sukurtą kliento programą. Norėdami gauti daugiau informacijos, žr. Firepower System Event Streamer integravimo vadovą.
- Kad prietaisas, kurį norite naudoti kaip „eStreamer“ serverį, galėtų pradėti srautiniu būdu perduoti „eStreamer“ įvykius išoriniam klientui, turite sukonfigūruoti „eStreamer“ serverį, kad jis siųstų įvykius klientams, pateiktų informaciją apie klientą ir sugeneruotų autentifikavimo kredencialų rinkinį, kurį naudosite nustatydami. bendravimas. Visas šias užduotis galite atlikti naudodami prietaiso vartotojo sąsają. Išsaugojus nustatymus, jūsų pasirinkti įvykiai bus persiųsti „eStreamer“ klientams, kai to paprašys.
- Galite valdyti, kokių tipų įvykius „eStreamer“ serveris gali perduoti klientams, kurie jų prašo.
2 lentelė: „eStreamer“ serverio perduodami įvykių tipai
| Renginys Tipas | Aprašymas |
| Įsibrovimo įvykiai | įsilaužimo įvykiai, sugeneruoti valdomų įrenginių |
| Įsibrovimo įvykių paketo duomenys | paketai, susiję su įsibrovimo įvykiais |
| Įsibrovimo įvykio papildomi duomenys | papildomi duomenys, susiję su įsibrovimo įvykiu, pvz., kliento, prisijungusio prie a, pradiniai IP adresai web serveryje per HTTP tarpinį serverį arba apkrovos balansavimo priemonę |
| Atradimų renginiai | Tinklo atradimo įvykiai |
| Koreliacija ir Leisti Įvykių sąrašas | koreliacija ir atitiktis leidžia išvardyti įvykius |
| Poveikio vėliavos įspėjimai | FMC generuojami įspėjimai apie poveikį |
| Vartotojo įvykiai | vartotojų įvykiai |
| Renginys Tipas | Aprašymas |
| Kenkėjiškų programų įvykiai | kenkėjiškų programų įvykiai |
| File Renginiai | file įvykius |
| Ryšio įvykiai | informacija apie seanso srautą tarp jūsų stebimų ir visų kitų prieglobų. |
„Syslog“ ir „eStreamer“ palyginimas saugumo įvykiams
Paprastai organizacijos, kurios šiuo metu neturi didelių investicijų į „eStreamer“, saugos įvykių duomenims iš išorės tvarkyti turėtų naudoti „syslog“, o ne „eStreamer“.
| Syslog | eStreamer |
| Jokio tinkinimo nereikia | Reikalingas reikšmingas pritaikymas ir nuolatinė priežiūra, kad būtų galima pritaikyti kiekvieno leidimo pakeitimus |
| Standartinis | Nuosavybė |
| Syslog standartas neapsaugo nuo duomenų praradimo, ypač naudojant UDP | Apsauga nuo duomenų praradimo |
| Siunčia tiesiai iš įrenginių | Siunčia iš FMC, pridedant apdorojimo išlaidas |
| Parama už file ir kenkėjiškų programų įvykiai, ryšys
įvykių (įskaitant saugumo žvalgybos įvykius) ir įsibrovimo įvykius. |
Visų tipų įvykių, išvardytų „eStreamer Server Streaming“, palaikymas. |
| Kai kuriuos įvykių duomenis galima siųsti tik iš FMC. Žr. Duomenys, siunčiami tik per „eStreamer“, o ne per „Syslog“. | Apima duomenis, kurių negalima siųsti per syslog tiesiai iš įrenginių. Žr. Duomenys, siunčiami tik per „eStreamer“, o ne per „Syslog“. |
Duomenys siunčiami tik per „eStreamer“, o ne per „Syslog“.
Šie duomenys pasiekiami tik iš „Firepower Management Center“, todėl jų negalima siųsti per sistemos žurnalą iš įrenginių:
- Paketų žurnalai
- Įsibrovimo įvykio papildomų duomenų įvykiai
Aprašymą rasite „eStreamer Server Streaming“. - Statistika ir suvestiniai įvykiai
- Tinklo atradimo renginiai
- Vartotojo veikla ir prisijungimo įvykiai
- Koreliacijos įvykiai
- Dėl kenkėjiškų programų įvykių:
- retrospektyviniai verdiktai
- Grėsmės pavadinimas ir dispozicija, nebent informacija apie atitinkamus SHA jau buvo sinchronizuota su įrenginiu
- Šie laukai:
- Impact ir ImpactFlag laukai
Aprašymą rasite „eStreamer Server Streaming“. - lauką IOC_Count
- Impact ir ImpactFlag laukai
- Dauguma neapdorotų ID ir UUID.
Išimtys:- Ryšio įvykių sistemos žurnaluose yra šie: FirewallPolicyUUID, FirewallRuleID, TunnelRuleID, MonitorRuleID, SI_CategoryID, SSL_PolicyUUID ir SSL_RuleID
- Įsibrovimo įvykių sistemos žurnalai apima IntrusionPolicyUUID, GeneratorID ir SignatureID
- Išplėstiniai metaduomenys, įskaitant, bet tuo neapsiribojant:
- LDAP teikiama vartotojo informacija, pvz., vardas, pavardė, skyrius, telefono numeris ir kt. „Syslog“ renginiuose pateikia tik naudotojų vardus.
- Išsami informacija apie būseną pagrįstą informaciją, pvz., išsamią SSL sertifikato informaciją. „Syslog“ pateikia pagrindinę informaciją, pvz., sertifikato kontrolinį kodą, bet nepateiks kitos sertifikato informacijos, pvz., sertifikato CN.
- Išsami programos informacija, pvz., Programėlė Tags ir Kategorijos. „Syslog“ pateikia tik programų pavadinimus. Kai kuriuose metaduomenų pranešimuose taip pat yra papildomos informacijos apie objektus.
- Informacija apie geografinę vietą
„eStreamer“ įvykių tipų pasirinkimas
- „eStreamer Event Configuration“ žymės langeliai valdo, kokius įvykius „eStreamer“ serveris gali perduoti.
- Jūsų klientas vis tiek turi konkrečiai paprašyti įvykių, kuriuos norite gauti, užklausos pranešime, kurį jis siunčia į „eStreamer“ serverį. Norėdami gauti daugiau informacijos, žr. „Firepower System Event Streamer“ integravimo vadovą.
- Įdiegę kelis domenus, galite konfigūruoti „eStreamer“ įvykių konfigūraciją bet kuriuo domeno lygiu. Tačiau jei protėvio domenas įgalino tam tikrą įvykio tipą, negalite išjungti šio įvykio tipo palikuoniuose domenuose.
- Norėdami atlikti šią užduotį FMC, turite būti administratoriaus vartotojas.
Procedūra
- 1 veiksmas Pasirinkite Sistema > Integracija.
- 2 veiksmas Spustelėkite eStreamer.
- 3 veiksmas Skiltyje „eStreamer Event Configuration“ pažymėkite arba išvalykite žymės langelius šalia įvykių, kuriuos norite, kad „eStreamer“ perduotų užklausą pateikusiems klientams, tipų, aprašytų „eStreamer Server Streaming“.
- 4 žingsnis Spustelėkite Išsaugoti.
eStreamer Client Communications konfigūravimas
- Kad „eStreamer“ galėtų siųsti „eStreamer“ įvykius klientui, turite įtraukti klientą į „eStreamer“ serverio lygiaverčių duomenų bazę iš „eStreamer“ puslapio. Taip pat turite nukopijuoti eStreamer serverio sugeneruotą autentifikavimo sertifikatą į klientą. Atlikus šiuos veiksmus, nereikia iš naujo paleisti „eStreamer“ paslaugos, kad klientas galėtų prisijungti prie „eStreamer“ serverio.
- Naudodami kelių domenų diegimą galite sukurti „eStreamer“ klientą bet kuriame domene. Autentifikavimo sertifikatas leidžia klientui prašyti įvykių tik iš kliento sertifikato domeno ir bet kokių palikuonių domenų. „eStreamer“ konfigūracijos puslapyje rodomi tik su dabartiniu domenu susieti klientai, todėl jei norite atsisiųsti arba atšaukti sertifikatą, pereikite prie domeno, kuriame klientas buvo sukurtas.
- Norėdami atlikti šią užduotį FMC, turite būti administratorius arba Discovery Admin vartotojas.
Procedūra
- 1 veiksmas Pasirinkite Sistema > Integracija.
- 2 veiksmas Spustelėkite eStreamer.
- 3 veiksmas Spustelėkite Sukurti klientą.
- 4 veiksmas Lauke Hostname įveskite pagrindinio kompiuterio, kuriame veikia eStreamer klientas, pavadinimą arba IP adresą.
Pastaba Jei nesate sukonfigūravę DNS skyros, naudokite IP adresą. - 5 veiksmas Jei norite užšifruoti sertifikatą file, įveskite slaptažodį lauke Slaptažodis.
- 6 žingsnis Spustelėkite Išsaugoti.
Dabar „eStreamer“ serveris leidžia pagrindiniam kompiuteriui pasiekti „eStreamer“ serverio prievadą 8302 ir sukuria autentifikavimo sertifikatą, kurį naudos kliento-serverio autentifikavimo metu. - 7 veiksmas spustelėkite Atsisiųsti (
) šalia kliento prieglobos pavadinimo, kad atsisiųstumėte sertifikatą file. - 8 veiksmas Išsaugokite sertifikatą file į atitinkamą katalogą, kurį jūsų klientas naudoja SSL autentifikavimui.
- 9 veiksmas Norėdami atšaukti kliento prieigą, spustelėkite Ištrinti (
) šalia pagrindinio kompiuterio, kurį norite pašalinti.
Atminkite, kad jums nereikia iš naujo paleisti „eStreamer“ paslaugos; prieiga nedelsiant panaikinama.
Splunk įvykių analizė
- Galite naudoti „Cisco Secure Firewall“ (fka Firepower) programą, skirtą „Splunk“ (anksčiau vadintą „Cisco Firepower“ programa, skirta Splunk), kaip išorinį įrankį, skirtą „Firepower“ įvykių duomenims rodyti ir su jais dirbti, ieškoti ir tirti grėsmes tinkle.
- Reikalingas eStreamer. Tai pažangi funkcija. Žr. „eStreamer Server Streaming“.
- Daugiau informacijos žr https://cisco.com/go/firepower-for-splunk.
Įvykių analizė naudojant IBM QRadar
- Galite naudoti „IBM QRadar“ skirtą „Cisco Firepower“ programą kaip alternatyvų būdą rodyti įvykių duomenis ir padėti analizuoti, ieškoti ir tirti grėsmes jūsų tinklui.
- Reikalingas eStreamer. Tai pažangi funkcija. Žr. „eStreamer Server Streaming“.
- Daugiau informacijos žr https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/QRadar/integration-guide-for-the-cisco-firepower-app-for-ibm-qradar.html.
Istorija, skirta įvykių duomenims analizuoti naudojant išorinius įrankius
| Funkcija | Versija | Detalės |
| SecureX juostelė | 7.0 | „SecureX“ juostelė pasukama į „SecureX“, kad būtų galima akimirksniu matyti jūsų „Cisco“ saugos produktų grėsmes.
Norėdami rodyti SecureX juostelę FMC, žr. Firepower ir SecureX integravimo vadovą adresu https://cisco.com/go/firepower-securex-documentation. Nauji / modifikuoti ekranai: naujas puslapis: Sistema > „SecureX“. |
| Siųsti visus ryšio įvykius į Cisco debesį | 7.0 | Dabar galite siųsti visus ryšio įvykius į „Cisco“ debesį, o ne tik siųsti aukšto prioriteto ryšio įvykius.
Nauji / modifikuoti ekranai: nauja parinktis puslapyje Sistema > Integravimas > „Cloud Services“. |
| Kryžminis paleidimas į view duomenis Secure Network Analytics | 6.7 | Ši funkcija pristato greitą būdą sukurti kelis saugaus tinklo analizės įrenginio įrašus puslapyje Analizė > Kontekstinis kryžminis paleidimas.
Šie įrašai leidžia dešiniuoju pelės mygtuku spustelėti atitinkamą įvykį, kad kryžmiškai paleistumėte saugaus tinklo analizę, kad būtų rodoma informacija, susijusi su duomenų tašku, iš kurio paleidote kryžminį įvykį. Naujas meniu elementas: Sistema > Registravimas > Saugos analizė ir registravimas Naujas puslapis, skirtas konfigūruoti įvykių siuntimą į saugaus tinklo analizę. |
| Kontekstinis kryžminis paleidimas
iš papildomų laukų tipų |
6.7 | Dabar galite kryžmiškai paleisti išorinę programą naudodami toliau nurodytus papildomus įvykių duomenų tipus.
• Prieigos kontrolės politika • Įsilaužimo politika • Taikymo protokolas • Kliento programa • Web taikymas • Vartotojo vardas (įskaitant sritį)
Naujos meniu parinktys: kontekstinės kryžminės paleidimo parinktys dabar pasiekiamos dešiniuoju pelės mygtuku spustelėjus aukščiau nurodytus įvykių duomenų tipus informacijos suvestinės valdikliuose ir įvykių lentelėse puslapiuose, esančiuose meniu Analizė. Palaikomos platformos: Firepower valdymo centras |
| Integracija su IBM QRadar | 6.0 ir vėliau | IBM QRadar vartotojai įvykių duomenims analizuoti gali naudoti naują specialią „Firepower“ programą. Galimoms funkcijoms įtakos turi jūsų Firepower versija.
Žr. įvykių analizę „IBM QRadar“. |
| Integracijos su Cisco SecureX atsako į grėsmę patobulinimai | 6.5 | • Regioninių debesų palaikymas:
• Jungtinės Valstijos (Šiaurės Amerika) • Europa
• Papildomų įvykių tipų palaikymas: • File ir kenkėjiškų programų įvykiai • Aukšto prioriteto ryšio įvykiai Tai yra prisijungimo įvykiai, susiję su šiais dalykais: • Įsibrovimo įvykiai • Saugumo žvalgybos įvykiai • File ir kenkėjiškų programų įvykiai
Modifikuoti ekranai: įjungtos naujos parinktys Sistema > Integravimas > Debesijos paslaugos. Palaikomos platformos: visi įrenginiai palaikomi šiame leidime, naudojant tiesioginį integravimą arba sistemos žurnalą. |
| Syslog | 6.5 | Laukas AccessControlRuleName dabar pasiekiamas įsibrovimo įvykių sistemos žurnalo pranešimuose. |
| Integracija su Cisco Security Packet Analyzer | 6.5 | Šios funkcijos palaikymas buvo pašalintas. |
| Integracija su Cisco SecureX atsaku į grėsmes | 6.3 (per syslog, naudojant tarpinį serverį
kolekcionierius) 6.4 (tiesioginis) |
Integruokite Firepower įsibrovimo įvykių duomenis su duomenimis iš kitų šaltinių, kad sukurtumėte vieningą view grėsmių savo tinkle naudojant galingus analizės įrankius, skirtus Cisco SecureX atsako į grėsmę.
Modifikuoti ekranai (6.4 versija): įjungtos naujos parinktys Sistema > Integravimas > Debesijos paslaugos. Palaikomos platformos: Firepower Threat Defense įrenginiai, kuriuose veikia 6.3 versija (per syslog) arba 6.4. |
| Syslog palaikymas File ir kenkėjiškų programų įvykiai | 6.4 | Visiškai kvalifikuotas file ir kenkėjiškų programų įvykių duomenis dabar galima siųsti iš valdomų įrenginių per syslog. Modifikuoti ekranai: Politika > Prieigos valdymas > Prieigos valdymas > Registravimas.
Palaikomos platformos: visi valdomi įrenginiai, kuriuose veikia 6.4 versija. |
| Integracija su Splunk | Palaiko visas 6.x versijas | „Splunk“ vartotojai įvykiams analizuoti gali naudoti naują, atskirą „Splunk“ programą, „Splunk“ skirtą „Cisco Secure Firewall“ programą.
Galimoms funkcijoms įtakos turi jūsų Firepower versija. Žr. įvykių analizę „Splunk“. |
| Integracija su Cisco Security Packet Analyzer | 6.3 | Pristatyta funkcija: akimirksniu pateikite užklausą Cisco Security Packet Analyzer dėl paketų, susijusių su įvykiu, tada spustelėkite, kad peržiūrėtumėte rezultatus Cisco Security Packet Analyzer arba atsisiųskite juos analizei iš kito išorinio įrankio.
Nauji ekranai: Sistema > Integracija > Paketų analizatoriaus analizė > Išplėstinė > Paketų analizatoriaus užklausos Naujos meniu parinktys: Užklausų paketų analizatorius meniu elementą, kai dešiniuoju pelės mygtuku spustelite įvykį informacijos suvestinės puslapiuose ir įvykių lenteles puslapiuose, esančiuose meniu Analizė. Palaikomos platformos: Firepower valdymo centras |
| Kontekstinis kryžminis paleidimas | 6.3 | Pristatyta funkcija: dešiniuoju pelės mygtuku spustelėkite įvykį, kad rastumėte susijusią informaciją iš anksto nustatyta arba tinkinta URL-pagrįsti išoriniai ištekliai.
Nauji ekranai: Analizė > Išplėstinė > Kontekstinis kryžminis paleidimas Naujos meniu parinktys: kelios parinktys, kai dešiniuoju pelės mygtuku spustelėsite įvykį informacijos suvestinės puslapiuose ir net lenteles puslapiuose, esančiuose meniu Analitika. Palaikomos platformos: Firepower valdymo centras |
| Syslog pranešimai, skirti
prisijungimo ir įsibrovimo įvykiai |
6.3 | Galimybė siųsti visiškai kvalifikuotus prisijungimo ir įsibrovimo įvykius į išorinę saugyklą ir įrankius per sistemos žurnalą, naudojant naujas suvienodintas ir supaprastintas konfigūracijas. Laiškų antraštės dabar yra standartizuotos ir apima įvykių tipo identifikatorius, o pranešimai yra mažesni, nes praleidžiami laukai su nežinomomis ir tuščiomis reikšmėmis.
Palaikomos platformos: • Visos naujos funkcijos: FTD įrenginiai, kuriuose veikia 6.3 versija. • Kai kurios naujos funkcijos: ne FTD įrenginiai, kuriuose veikia 6.3 versija. • Mažiau naujų funkcijų: visi įrenginiai, kuriuose veikia senesnės nei 6.3 versijos. Norėdami gauti daugiau informacijos, žr. temas, esančias skiltyje Apie Syslog pranešimų siuntimą saugos įvykiams. |
| eStreamer | 6.3 | „eStreamer“ turinys perkeltas iš skyriaus „Host Identity Sources“ į šį skyrių ir pridėta santrauka, lyginanti „eStreamer“ su „syslog“. |
Dokumentai / Ištekliai
![]() | Įvykių analizė naudojant išorinius įrankius |
Nuorodos
- Vartotojo vadovasmanual.tools
