Analiza evenimentelor Cisco folosind instrumente externe Ghid de utilizare

Cisco Event Analysis Using External Tools User Guide

Sigla Cisco

Analiza evenimentelor Cisco folosind instrumente externe

Cisco-Event-Analysis-Utilizarea-External-Tools-PRO

Informații despre produs

Produsul le permite utilizatorilor să se integreze cu Cisco SecureX și să îl acceseze utilizând caracteristica panglică din FMC web interfata.

Specificații

  • Integrare: Cisco SecureX
  • Interfata: FMC web interfață
  • Caracteristică panglică: Partea de jos a fiecărei pagini

Instrucțiuni de utilizare a produsului

Accesarea SecureX utilizând panglica
Pentru a accesa SecureX utilizând caracteristica panglică, urmați acești pași:

  1. În FMC, faceți clic pe panglica din partea de jos a oricărei pagini FMC.
  2. Faceți clic pe „Obțineți SecureX”.
  3. Conectați-vă la SecureX.
  4. Faceți clic pe link pentru a autoriza accesul.
  5. Faceți clic pe panglică pentru a o extinde și a o utiliza.

Analiza evenimentelor folosind instrumente externe
Pentru a efectua analiza evenimentelor folosind instrumente externe, urmați acești pași:

  1. În FMC, faceți clic pe panglica din partea de jos a oricărei pagini FMC.
  2. Faceți clic pe „Obțineți SecureX”.
  3. Conectați-vă la SecureX.
  4. Faceți clic pe link pentru a autoriza accesul.
  5. Faceți clic pe panglică pentru a o extinde și a o utiliza.

Analiza evenimentelor cu Cisco SecureX Threat Response
Cisco SecureX Threat Response (cunoscut anterior ca Cisco Threat Response) permite utilizatorilor să detecteze, să investigheze și să răspundă rapid la amenințări. Pentru a efectua analiza evenimentelor cu Cisco SecureX Threat Response, urmați acești pași:

  1. În FMC, faceți clic pe panglica din partea de jos a oricărei pagini FMC.
  2. Faceți clic pe „Obțineți SecureX”.
  3. Conectați-vă la SecureX.
  4. Faceți clic pe link pentru a autoriza accesul.
  5. Faceți clic pe panglică pentru a o extinde și a o utiliza.

View Datele despre evenimente în Cisco SecureX Threat Response

La view datele despre evenimente din Cisco SecureX Threat Response, urmați
acești pași:

  1. Conectați-vă la Cisco SecureX Threat Response după cum vi se solicită.

Investigarea evenimentului Folosind Web-Resurse bazate pe
Pentru a investiga evenimente folosind webresurse bazate pe -urmați acești pași:

  1. Conectați-vă la Cisco SecureX Threat Response după cum vi se solicită.
  2. Utilizați funcția de lansare încrucișată contextuală pentru a găsi mai multe informații despre potențialele amenințări în webresurse bazate pe în afara Centrului de gestionare a puterii de foc.
  3. Faceți clic direct dintr-un eveniment din eveniment viewer sau tabloul de bord din Centrul de gestionare a puterii de foc la informațiile relevante din resursa externă.

Despre gestionarea resurselor de lansare încrucișată contextuală
Pentru a gestiona extern webresurse bazate pe -urmați acești pași:

  1. Accesați Analiză > Avansat > Lansare încrucișată contextuală.
  2. Gestionați resursele predefinite și terțe oferite de Cisco.
  3. Puteți dezactiva, șterge sau redenumi resursele după cum este necesar.

Întrebări frecvente

  • Î: Ce este SecureX?
    R: SecureX este o platformă de integrare în Cisco Cloud care permite utilizatorilor să analizeze incidentele folosind date agregate din mai multe produse, inclusiv Firepower.
  • Î: Cum pot accesa SecureX utilizând caracteristica panglică?
    R: Pentru a accesa SecureX utilizând caracteristica panglică, faceți clic pe panglica din partea de jos a oricărei pagini FMC și urmați pașii furnizați.
  • Î: Pot view date despre evenimente în Cisco SecureX Threat Response?
    A: Da, poți view date despre evenimente în Cisco SecureX Threat Response, conectându-vă după cum vi se solicită.
  • Î: Cum pot investiga evenimente folosind web-resurse bazate pe?
    R: Pentru a investiga evenimente folosind webresurse bazate pe, conectați-vă la Cisco SecureX Threat Response și utilizați caracteristica contextuală de lansare încrucișată pentru a găsi informații relevante.

Integrați-vă cu Cisco SecureX

View și lucrați cu datele din toate produsele dumneavoastră de securitate Cisco și multe altele printr-un singur panou, portalul cloud SecureX. Utilizați instrumentele disponibile prin SecureX pentru a vă îmbogăți vânătoarea de amenințări și investigațiile. SecureX poate oferi, de asemenea, informații utile despre aparat și dispozitiv, cum ar fi dacă fiecare rulează o versiune optimă de software.

Accesați SecureX utilizând panglica
Panglica apare în partea de jos a fiecărei pagini din FMC web interfata. Puteți utiliza panglica pentru a vă orienta rapid către alte produse de securitate Cisco și pentru a lucra cu date despre amenințări din mai multe surse.

Înainte de a începe

  • Dacă nu vedeți panglica SecureX în partea de jos a FMC web pagini de interfață, nu utilizați această procedură. În schimb, consultați Ghidul de integrare Firepower și SecureX la https://cisco.com/go/firepower-securex-documentation.
  • Dacă nu aveți deja un cont SecureX, obțineți unul de la departamentul IT.

Procedură

  • Pasul 1 În FMC, faceți clic pe panglica din partea de jos a oricărei pagini FMC.
  • Pasul 2 Faceți clic pe Obține SecureX.
  • Pasul 3 Conectați-vă la SecureX.
  • Pasul 4 Faceți clic pe link pentru a autoriza accesul.
  • Pasul 5 Faceți clic pe panglică pentru a o extinde și a o utiliza.

Ce să faci în continuare
Pentru informații despre caracteristicile panglicii și despre cum să le utilizați, consultați ajutorul online din SecureX.

Analiza evenimentelor cu răspunsul la amenințări Cisco SecureX

Răspunsul la amenințări Cisco SecureX era cunoscut anterior ca Cisco Threat Response (CTR). Detectați, investigați și răspundeți rapid la amenințări folosind răspunsul la amenințări Cisco SecureX, platforma de integrare în Cisco Cloud care vă permite să analizați incidentele folosind date agregate de la mai multe produse, inclusiv Putere de foc.

View Datele despre evenimente în răspunsul la amenințări Cisco SecureX

Înainte de a începe

Procedură

Pasul 1
În Firepower Management Center, efectuați una dintre următoarele:

  • Pentru a trece la răspunsul la amenințare Cisco SecureX de la un anumit eveniment:
    • Navigați la o pagină din meniul Analiză > Intruziuni care listează un eveniment acceptat.
    • Faceți clic dreapta pe o adresă IP sursă sau de destinație și selectați View în SecureX.
  • La view informații despre eveniment în general:
    • Navigați la System > Integrations > Cloud Services.
    • Faceți clic pe linkul către view evenimente în răspunsul la amenințări Cisco SecureX.

Pasul 2
Conectați-vă la răspunsul la amenințări Cisco SecureX după cum vi se solicită.

Investigarea evenimentului Folosind Web-Resurse bazate pe
Utilizați funcția de lansare încrucișată contextuală pentru a găsi rapid mai multe informații despre potențialele amenințări în webresurse bazate pe în afara Centrului de gestionare a puterii de foc. De example, ai putea:

  • Căutați o adresă IP sursă suspectă într-un serviciu Cisco sau terță parte găzduit în cloud care publică informații despre amenințările cunoscute și suspectate sau
  • Căutați cazuri anterioare ale unei anumite amenințări în jurnalele istorice ale organizației dvs., dacă organizația dvs. stochează acele date într-o aplicație SIEM (Security Information and Event Management).
  • Căutați informații despre un anume file, inclusiv file informații despre traiectorie, dacă organizația dvs. a implementat Cisco AMP pentru puncte finale.

Când investigați un eveniment, puteți face clic direct dintr-un eveniment din eveniment viewer sau tabloul de bord din Centrul de gestionare a puterii de foc la informațiile relevante din resursa externă. Acest lucru vă permite să adunați rapid contextul în jurul unui anumit eveniment pe baza adreselor IP, porturi, protocol, domeniu și/sau hash SHA 256. De exampsă presupunem că vă uitați la widgetul tabloului de bord Top Attackers și doriți să aflați mai multe informații despre una dintre adresele IP sursă enumerate. Doriți să vedeți ce informații le publică Talos despre această adresă IP, așa că alegeți resursa „IP Talos”. Talosul web site-ul se deschide la o pagină cu informații despre această adresă IP specifică. Puteți alege dintr-un set de legături predefinite către servicii de informații despre amenințări Cisco și terțe părți utilizate în mod obișnuit și puteți adăuga linkuri personalizate către alte webservicii bazate pe servicii și către SIEM-uri sau alte produse care au a web interfata. Rețineți că unele resurse pot necesita un cont sau achiziționarea unui produs.

Despre gestionarea resurselor de lansare încrucișată contextuală

  • Gestionați extern webresurse bazate pe analiză, folosind pagina Analiză > Avansat > Lansare încrucișată contextuală.

Excepţie:
Gestionați legăturile de lansare încrucișată către un dispozitiv Secure Network Analytics urmând procedura din Configurarea linkurilor de lansare încrucișată pentru Secure Network Analytics.

  • Resursele predefinite oferite de Cisco sunt marcate cu sigla Cisco. Link-urile rămase sunt resurse terță parte.
  • Puteți dezactiva sau șterge orice resurse de care nu aveți nevoie sau le puteți redenumi, de exampfișier prin prefixarea unui nume cu un „z” minuscul, astfel încât resursa să fie sortată în partea de jos a listei. Dezactivarea unei resurse de lansare încrucișată o dezactivează pentru toți utilizatorii. Nu puteți restabili resursele șterse, dar le puteți recrea.
  • Pentru a adăuga o resursă, consultați Adăugarea de resurse contextuale de lansare încrucișată.

Cerințe pentru resursele personalizate de lansare încrucișată contextuală

Când adăugați resurse contextuale personalizate de lansare încrucișată:

  • Resursele trebuie să fie accesibile prin web browser.
  • Sunt acceptate doar protocoalele http și https.
  • Sunt acceptate numai cererile GET; Solicitările POST nu sunt.
  • Codificarea variabilelor în URLs nu este acceptat. În timp ce adresele IPv6 pot necesita codificarea separatoarelor de două puncte, majoritatea serviciilor nu necesită această codificare.
  • Pot fi configurate până la 100 de resurse, inclusiv resurse predefinite.
  • Pentru a crea o lansare încrucișată, trebuie să fiți un administrator sau un analist de securitate, dar puteți fi și un analist de securitate numai pentru citire pentru a le utiliza.

Adăugați resurse contextuale de lansare încrucișată

  • Puteți adăuga resurse contextuale de lansare încrucișată, cum ar fi serviciile de informații despre amenințări și instrumentele SIEM (Security Information and Event Management).
  • În implementările pe mai multe domenii, puteți vedea și utiliza resursele din domeniile părinte, dar puteți crea și edita resurse numai în domeniul curent. Numărul total de resurse din toate domeniile este limitat la 100.

Înainte de a începe

  • Dacă adăugați linkuri la un dispozitiv Secure Network Analytics, verificați dacă linkurile pe care le doriți există deja; majoritatea legăturilor sunt create automat pentru dvs. atunci când configurați Cisco Security Analytics and Logging (On Premises).
  • Consultați Cerințele pentru resursele personalizate de lansare încrucișată contextuală.
  • Dacă este necesar pentru resursă, vă veți conecta, crea sau obține un cont și acreditările necesare pentru acces. Opțional, atribuiți și distribuiți acreditări pentru fiecare utilizator care are nevoie de acces.
  • Determinați sintaxa linkului de interogare pentru resursa la care veți conecta:
    • Accesați resursa prin browser și, folosind documentația pentru resursa respectivă, după cum este necesar, formulați linkul de interogare necesar pentru a căuta un anumit sampfișierul tipului de informații pe care doriți să le găsească linkul de interogare, cum ar fi o adresă IP.
    • Rulați interogarea, apoi copiați rezultatul URL din bara de locație a browserului.
    • De example, este posibil să aveți interogarea URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

Procedură

  • Pasul 1
    Alegeți Analiză > Avansat > Lansare încrucișată contextuală.
  • Pasul 2 Faceți clic pe Lansare încrucișată nouă.
    În formularul care apare, toate câmpurile marcate cu un asterisc necesită o valoare.
  • Pasul 3 Introduceți un nume unic de resursă.
  • Pasul 4 Lipiți lucrul URL șir de la resursa dvs. în URL Câmp șablon.
  • Pasul 5 Înlocuiți datele specifice (cum ar fi o adresă IP) din șirul de interogare cu o variabilă adecvată: poziționați cursorul, apoi faceți clic pe o variabilă (de ex.ample, ip) o dată pentru a introduce variabila.
    • În example din secțiunea „Înainte de a începe” de mai sus, rezultatul URL ar putea fi https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
    • Când este utilizată legătura contextuală de lansare încrucișată, variabila {ip} din URL va fi înlocuită cu adresa IP pe care utilizatorul face clic dreapta în eveniment viewer sau tabloul de bord.
    • Pentru o descriere a fiecărei variabile, plasați cursorul peste variabilă.
    • Puteți crea mai multe legături contextuale de lansare încrucișată pentru un singur instrument sau serviciu, folosind variabile diferite pentru fiecare.
  • Pasul 6 Faceți clic pe Test cu example date (Cisco-Event-Analysis-Utilizarea-External-Tools-fig- (1) ) pentru a-ți testa legătura cu example date.
  • Pasul 7 Remediați orice problemă.
  • Pasul 8 Faceți clic pe Salvare.

Investigați evenimente utilizând lansarea încrucișată contextuală

Înainte de a începe
Dacă resursa pe care o veți accesa necesită acreditări, asigurați-vă că aveți acele acreditări.

Procedură

  • Pasul 1 Navigați la una dintre următoarele pagini din Centrul de gestionare a puterii de foc care afișează evenimente:
    • Un tablou de bord (Pesteview > Tablouri de bord), sau
    • Un eveniment viewer pagina (orice opțiune de meniu din meniul Analiză care include un tabel de evenimente.)
  • Pasul 2 Faceți clic dreapta pe evenimentul de interes și alegeți resursa contextuală de lansare încrucișată pe care să o utilizați.
    • Dacă este necesar, derulați în jos în meniul contextual pentru a vedea toate opțiunile disponibile.
    • Tipul de date pe care faceți clic dreapta determină opțiunile pe care le vedeți; de exampDacă faceți clic dreapta pe o adresă IP, veți vedea doar opțiuni contextuale de lansare încrucișată care sunt relevante pentru adresele IP.
    • Deci, de example, pentru a obține informații despre amenințări de la Cisco Talos despre o adresă IP sursă în widgetul tabloului de bord Top Attackers, alegeți Talos SrcIP sau Talos IP.
    • Dacă o resursă include mai multe variabile, opțiunea de a alege acea resursă este disponibilă numai pentru evenimentele care au o singură valoare posibilă pentru fiecare variabilă inclusă.
    • Resursa de lansare încrucișată contextuală se deschide într-o fereastră separată a browserului.
    • Procesarea interogării poate dura ceva timp, în funcție de cantitatea de date care urmează să fie interogată, viteza și cererea pentru resursă și așa mai departe.
  • Pasul 3 Conectați-vă la resursă dacă este necesar.
  • Puteți să lansați încrucișat de la datele despre evenimente din Firepower cu datele asociate din dispozitivul dvs. Secure Network Analytics.
  • Pentru mai multe informații despre produsul Secure Network Analytics, consultați https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
  • Pentru informații generale despre lansarea încrucișată contextuală, consultați Investigarea evenimentelor utilizând lansarea încrucișată contextuală.
  • Utilizați această procedură pentru a configura rapid un set de linkuri de lansare încrucișată către dispozitivul dvs. Secure Network Analytics.

Nota

  • Dacă mai târziu trebuie să faceți modificări la aceste linkuri, reveniți la această procedură; nu puteți face modificări direct pe pagina de listă cu lansare încrucișată contextuală.
  • Puteți crea manual link-uri suplimentare pentru lansarea încrucișată în dispozitivul dvs. Secure Network Analytics utilizând procedura din Adăugați resurse contextuale de lansare încrucișată, dar acele linkuri ar fi independente de resursele create automat și, prin urmare, ar trebui gestionate manual (șterse, actualizat etc.)

Înainte de a începe

  • Trebuie să aveți un dispozitiv Secure Network Analytics implementat și care rulează.
  • Dacă doriți să trimiteți date Firepower către dispozitivul dvs. Secure Network Analytics utilizând Cisco Security Analytics and Logging (On Premises), consultați Stocarea la distanță a datelor pe un Secure Network Analytics Appliance.

Procedură

  • Pasul 1 Selectați Sistem > Logging > Security Analytics & Logging.
  • Pasul 2 Activați caracteristica.
  • Pasul 3 Introduceți numele de gazdă sau adresa IP și portul dispozitivului dvs. Secure Network Analytics. Portul implicit este 443.
  • Pasul 4 Faceți clic pe Salvare.
  • Pasul 5 Verificați noile linkuri de lansare încrucișată: selectați Analiză > Avansat > Lansare încrucișată contextuală. Dacă trebuie să faceți modificări, reveniți la această procedură; nu puteți face modificări direct pe pagina de listă cu lansare încrucișată contextuală.

Ce să faci în continuare

  • Pentru a lansa încrucișată dintr-un eveniment în evenimentul Secure Network Analytics viewer, veți avea nevoie de acreditările dvs. Secure Network Analytics.
  • Pentru a lansa încrucișată dintr-un eveniment din evenimentul FMC viewer sau tabloul de bord, faceți clic dreapta pe celula tabelului unui eveniment relevant și alegeți opțiunea corespunzătoare.
  • Procesarea interogării poate dura ceva timp, în funcție de cantitatea de date care trebuie interogată, de viteza și de cererea pentru Consola de administrare Stealthwatch etc.

Despre trimiterea mesajelor Syslog pentru evenimente de securitate

  • Puteți trimite date legate de conexiune, informații de securitate, intruziuni și file și evenimente malware prin syslog la un instrument de management al informațiilor de securitate și a evenimentelor (SIEM) sau o altă soluție externă de stocare și gestionare a evenimentelor.
  • Aceste evenimente sunt uneori denumite și evenimente Snort®.

Despre configurarea sistemului pentru a trimite date despre evenimente de securitate către Syslog

Pentru a configura sistemul să trimită syslog-uri de evenimente de securitate, va trebui să știți următoarele:

  • Cele mai bune practici pentru configurarea mesajelor Syslog pentru evenimente de securitate
  • Locații de configurare pentru Syslogurile de evenimente de securitate
  • Setări ale platformei FTD care se aplică mesajelor Syslog evenimente de securitate
  • Dacă faceți modificări setărilor syslog în orice politică, trebuie să redistribuiți pentru ca modificările să intre în vigoare.

Cele mai bune practici pentru configurarea mesajelor Syslog pentru evenimente de securitate

Dispozitiv și versiune Configurare Locaţie
Toate Dacă veți utiliza syslog sau veți stoca evenimente în exterior, evitați caracterele speciale în numele obiectelor, cum ar fi numele politicilor și regulilor. Numele obiectelor nu trebuie să conțină caractere speciale, cum ar fi virgule, pe care aplicația destinatară le poate folosi ca separatori.
Apărarea împotriva amenințărilor cu putere de foc 1.      Configurați setările platformei FTD (Dispozitive > Setări platformă > Setări de apărare împotriva amenințărilor > Syslog.)

Consultați, de asemenea, Setările platformei FTD care se aplică mesajelor Syslog pentru evenimente de securitate.

2.      În fila Înregistrare a politicii de control al accesului, alegeți să utilizați setările platformei FTD.

3.      (Pentru evenimente de intruziune) Configurați politicile de intruziune pentru a utiliza setările din fila Înregistrare a politicii de control al accesului. (Acesta este implicit.)

 

Nu este recomandată trecerea peste oricare dintre aceste setări.

Pentru detalii esențiale, consultați Trimiterea mesajelor Syslog de evenimente de securitate de la dispozitivele FTD.
Toate celelalte dispozitive 1.      Creați un răspuns de alertă.

2.      Configurați politica de control al accesului Înregistrarea pentru a utiliza răspunsul la alertă.

3.      (Pentru evenimente de intruziune) Configurați setările Syslog în politicile de intruziune.

 Pentru detalii complete, consultați Trimiteți mesaje Syslog pentru evenimente de securitate de pe dispozitivele clasice.

Trimiteți mesaje Syslog pentru evenimente de securitate de la dispozitivele FTD
Această procedură documentează configurația celor mai bune practici pentru trimiterea de mesaje syslog pentru evenimente de securitate (conexiune, conexiune legată de securitate, intruziune, file, și evenimente malware) de la dispozitivele Firepower Threat Defense.

Nota
Multe setări Syslog Firepower Threat Defense nu sunt aplicabile evenimentelor de securitate. Configurați numai opțiunile descrise în această procedură.

Înainte de a începe

  • În FMC, configurați politici pentru a genera evenimente de securitate și verificați dacă evenimentele pe care vă așteptați să le vedeți apar în tabelele aplicabile din meniul Analiză.
  • Adunați adresa IP, portul și protocolul serverului syslog (UDP sau TCP):
  • Asigurați-vă că dispozitivele dvs. pot ajunge la serverele syslog.
  • Confirmați că serverele syslog pot accepta mesaje de la distanță.
  • Pentru informații importante despre înregistrarea conexiunilor, consultați capitolul privind înregistrarea conexiunilor.

Procedură

  • Pasul 1 Configurați setările syslog pentru dispozitivul dvs. Firepower Threat Defense:
    • Faceți clic pe Dispozitive > Setări platformă.
    • Editați politica de setări a platformei asociată dispozitivului dvs. Firepower Threat Defense.
    • În panoul de navigare din stânga, faceți clic pe Syslog.
    • Faceți clic pe Servere Syslog și faceți clic pe Adăugare pentru a introduce server, protocol, interfață și informații aferente. Dacă aveți întrebări despre opțiunile de pe această pagină, consultați Configurarea unui server Syslog.
    • Faceți clic pe Setări Syslog și configurați următoarele setări:
      • Activați Timestamp pe Syslog Messages
      • Timestamp Format
      • Activați ID dispozitiv Syslog
    • Faceți clic pe Configurare înregistrare.
    • Selectați dacă trimiteți sau nu jurnalele de sistem în format EMBLEM.
    • Salvați setările.
  • Pasul 2 Configurați setările generale de înregistrare pentru politica de control al accesului (inclusiv file și înregistrarea programelor malware):
    • Faceți clic pe Politici > Control acces.
    • Editați politica de control al accesului aplicabilă.
    • Faceți clic pe Logare.
    • Selectați FTD 6.3 și versiuni ulterioare: utilizați setările syslog configurate în politica FTD Platform Settings implementată pe dispozitiv.
    • (Opțional) Selectați o severitate Syslog.
    • Daca vei trimite file și evenimente malware, selectați Trimiteți mesaje Syslog pentru File și evenimente malware.
    • Faceți clic pe Salvare.
  • Pasul 3 Activați înregistrarea în jurnal pentru evenimentele de conexiune legate de securitate pentru politica de control al accesului:
    • În aceeași politică de control al accesului, faceți clic pe fila Security Intelligence.
    • În fiecare dintre următoarele locații, faceți clic pe Înregistrare (Cisco-Event-Analysis-Utilizarea-External-Tools-fig- (2) ) și activați începutul și sfârșitul conexiunilor și Syslog Server:
      • Pe lângă Politica DNS.
      • În caseta Block List, pentru Rețele și pentru URLs.
    • Faceți clic pe Salvare.
  • Pasul 4 Activați înregistrarea syslog pentru fiecare regulă din politica de control al accesului:
    • În aceeași politică de control al accesului, faceți clic pe fila Reguli.
    • Faceți clic pe o regulă pentru a edita.
    • Faceți clic pe fila Înregistrare din regulă.
    • Alegeți dacă doriți să înregistrați începutul sau sfârșitul conexiunilor sau ambele.
      (Înregistrarea conexiunii generează o mulțime de date; înregistrarea atât la început, cât și la sfârșit generează aproximativ dublul atât de mult. Nu orice conexiune poate fi înregistrată atât la început, cât și la sfârșit.)
    • Daca va logati file evenimente, selectați Jurnal Files.
    • Activați Syslog Server.
    • Verificați dacă regula este „Utilizarea configurației syslog implicite în Logarea controlului accesului”.
    • Faceți clic pe Adăugați.
    • Repetați pentru fiecare regulă din politică.
  • Pasul 5 Dacă veți trimite evenimente de intruziune:
    • Navigați la politica de intruziune asociată cu politica dvs. de control al accesului.
    • În politica dvs. de intruziune, faceți clic pe Setări avansate > Alertă Syslog > Activat.
    • Dacă este necesar, faceți clic pe Editare
    • Introduceți opțiuni:
      Opţiune Valoare
      Gazdă de înregistrare Cu excepția cazului în care veți trimite mesaje syslog cu evenimente de intruziune către un alt server syslog decât veți trimite alte mesaje syslog, lăsați acest necomplet pentru a utiliza setările pe care le-ați configurat mai sus.
      Facilitate Această setare este aplicabilă numai dacă specificați o gazdă de înregistrare pe această pagină.

      Pentru descrieri, consultați Syslog Alert Facilities.
      Severitate Această setare este aplicabilă numai dacă specificați o gazdă de înregistrare pe această pagină.

      Pentru descrieri, consultați Nivelurile de severitate Syslog.
    • Faceți clic pe Înapoi.
    • Faceți clic pe Informații despre politică în panoul de navigare din stânga.
    • Faceți clic pe Commit Changes.

Ce să faci în continuare

  • (Opțional) Configurați diferite setări de înregistrare pentru politici și reguli individuale. Consultați rândurile de tabel aplicabile în Locații de configurare pentru Syslog-uri pentru evenimente de conexiune și securitate (toate dispozitivele).
    • Aceste setări vor necesita răspunsuri de alertă Syslog, care sunt configurate așa cum este descris în Crearea unui răspuns de alertă Syslog. Ei nu folosesc setările platformei pe care le-ați configurat în această procedură.
  • Pentru a configura jurnalizarea syslog a evenimentelor de securitate pentru dispozitivele clasice, consultați Trimiterea mesajelor syslog a evenimentelor de securitate de la dispozitivele clasice.
  • Dacă ați terminat de făcut modificări, implementați modificările pe dispozitivele gestionate.

Trimiteți mesaje Syslog pentru evenimente de securitate de pe dispozitivele clasice

Înainte de a începe

  • Configurați politici pentru a genera evenimente de securitate.
  • Asigurați-vă că dispozitivele dvs. pot ajunge la serverele syslog.
  • Confirmați că serverele syslog pot accepta mesaje de la distanță.
  • Pentru informații importante despre înregistrarea conexiunilor, consultați capitolul privind înregistrarea conexiunilor.

Procedură

  • Pasul 1 Configurați un răspuns de alertă pentru dispozitivele dvs. Classic: Consultați Crearea unui răspuns de alertă Syslog.
  • Pasul 2 Configurați setările Syslog în politica de control al accesului:
    • Faceți clic pe Politici > Control acces.
    • Editați politica de control al accesului aplicabilă.
    • Faceți clic pe Logare.
    • Selectați Trimiteți folosind o alertă Syslog specifică.
    • Selectați Alerta Syslog creată mai sus.
    • Faceți clic pe Salvare.
  • Pasul 3 Dacă veți trimite file și evenimente malware:
    • Selectați Trimiteți mesaje Syslog pentru File și evenimente malware.
    • Faceți clic pe Salvare.
  • Pasul 4 Dacă veți trimite evenimente de intruziune:
    • Navigați la politica de intruziune asociată cu politica dvs. de control al accesului.
    • În politica dvs. de intruziune, faceți clic pe Setări avansate > Alertă Syslog > Activat.
    • Dacă este necesar, faceți clic pe Editare
    • Introduceți opțiuni:
      Opţiune Valoare
      Gazdă de înregistrare Cu excepția cazului în care veți trimite mesaje syslog cu evenimente de intruziune către un alt server syslog decât veți trimite alte mesaje syslog, lăsați acest necomplet pentru a utiliza setările pe care le-ați configurat mai sus.
      Facilitate Această setare este aplicabilă numai dacă specificați o gazdă de înregistrare pe această pagină.

      Consultați Facilități de alertă Syslog.
      Severitate Această setare este aplicabilă numai dacă specificați o gazdă de înregistrare pe această pagină.

      Consultați Nivelurile de severitate Syslog.
    • Faceți clic pe Înapoi.
    • Faceți clic pe Informații despre politică în panoul de navigare din stânga.
    • Faceți clic pe Commit Changes.

Ce să faci în continuare

  • (Opțional) Configurați diferite setări de înregistrare pentru regulile individuale de control al accesului. Consultați rândurile de tabel aplicabile în Locații de configurare pentru Syslog-uri pentru evenimente de conexiune și securitate (toate dispozitivele). Aceste setări vor necesita răspunsuri de alertă Syslog, care sunt configurate așa cum este descris în Crearea unui răspuns de alertă Syslog. Ei nu folosesc setările pe care le-ați configurat mai sus.
  • Pentru a configura înregistrarea în jurnal al evenimentelor de securitate pentru dispozitivele FTD, consultați Trimiterea mesajelor Syslog al evenimentelor de securitate de la dispozitivele FTD.

Locații de configurare pentru Syslogurile de evenimente de securitate

  • Locații de configurare pentru Syslog-uri pentru evenimente de conexiune și securitate (toate dispozitivele)12
  • Locații de configurare pentru Syslog-uri pentru evenimente de intruziune (dispozitive FTD)
  • Locații de configurare pentru Syslog-uri pentru evenimente de intruziune (Altele dispozitive decât FTD)
  • Locații de configurare pentru Syslog-uri pentru File și evenimente malware

Locații de configurare pentru Syslog-uri pentru evenimente de conexiune și securitate (toate dispozitivele)
Există multe locuri pentru a configura setările de înregistrare. Utilizați tabelul de mai jos pentru a vă asigura că setați opțiunile de care aveți nevoie.

Important

  • Acordați o atenție deosebită când configurați setările syslog, mai ales când utilizați valorile implicite moștenite din alte configurații. Este posibil ca unele opțiuni să NU fie disponibile pentru toate modelele de dispozitive gestionate și pentru toate versiunile de software, așa cum este menționat în tabelul de mai jos.
  • Pentru informații importante atunci când configurați înregistrarea conexiunilor, consultați capitolul privind înregistrarea conexiunilor.
Configurare Locaţie Descriere şi Mai mult Informaţii
Dispozitive > Setări platformă, Politica de setări pentru apărarea amenințărilor, Syslog Această opțiune se aplică numai dispozitivelor Firepower Threat Defense.

Setările pe care le configurați aici pot fi specificate în setările de înregistrare pentru o politică de control al accesului și apoi utilizate sau înlocuite în

politicile și regulile rămase din acest tabel.

Consultați Setările platformei FTD care se aplică mesajelor Syslog pentru evenimente de securitate și Despre Syslog și subsubiectele.
Politici > Control acces, , Înregistrare Setările pe care le configurați aici sunt setările implicite pentru syslog-urile pentru toate evenimentele de conexiune și informații de securitate, cu excepția cazului în care înlocuiți valorile implicite din politicile și regulile descendente în locațiile specificate în rândurile rămase ale acestui tabel.

Setare recomandată pentru dispozitivele FTD: Utilizați setările platformei FTD. Pentru informații, consultați Setările platformei FTD care se aplică mesajelor Syslog evenimente de securitate și Despre Syslog și subsubiectele.

Setare necesară pentru toate celelalte dispozitive: utilizați o alertă syslog.

Dacă specificați o alertă Syslog, consultați Crearea unui răspuns de alertă Syslog.

Pentru mai multe informații despre setările din fila Înregistrare, consultați Setări de înregistrare pentru politicile de control al accesului.
Politici > Control acces, , Reguli, Acțiune implicită rând,

Înregistrare (Cisco-Event-Analysis-Utilizarea-External-Tools-fig- (3) )

 Setări de înregistrare pentru acțiunea implicită asociată cu o politică de control al accesului.

Vedeți informații despre înregistrare în capitolul Reguli de control al accesului și Logare conexiuni cu o acțiune implicită de politică.
Politici > Control acces, , Reguli, , Înregistrare Setări de înregistrare pentru o anumită regulă dintr-o politică de control al accesului.

Consultați informații despre logare în capitolul Reguli de control al accesului.
Politici > Control acces, , Inteligență de securitate,

Înregistrare (Cisco-Event-Analysis-Utilizarea-External-Tools-fig- (2) )

 Setări de înregistrare pentru listele de blocare Security Intelligence. Faceți clic pe aceste butoane pentru a configura:

• Opțiuni de înregistrare a listei blocate DNS

•  URL Opțiuni de înregistrare a listei de blocare

• Opțiuni de înregistrare a listei de blocare a rețelei (pentru adresele IP din lista blocate)

 

Consultați Configurarea informațiilor de securitate, inclusiv secțiunea de cerințe preliminare și subsubiectele și linkurile.
Politici > SSL, ,

Acțiune implicită rând, Înregistrare (Cisco-Event-Analysis-Utilizarea-External-Tools-fig- (3) )

 Setări de înregistrare pentru acțiunea implicită asociată cu o politică SSL.

Consultați Înregistrarea conexiunilor cu o acțiune implicită de politică.
Politici > SSL, , , Înregistrare Setări de înregistrare pentru regulile SSL.

Consultați Componentele regulilor TLS/SSL.
Politici > Prefiltru, ,

Acțiune implicită rând, Înregistrare (Cisco-Event-Analysis-Utilizarea-External-Tools-fig- (3) )

 Setări de înregistrare pentru acțiunea implicită asociată cu o politică de prefiltru.

Consultați Înregistrarea conexiunilor cu o acțiune implicită de politică.
Politici > Prefiltru, ,

, Înregistrare

 Setări de înregistrare pentru fiecare regulă de prefiltru dintr-o politică de prefiltru.

Consultați Componentele regulilor de tunel și prefiltru
Politici > Prefiltru, ,

, Înregistrare

 Setări de înregistrare pentru fiecare regulă de tunel într-o politică de prefiltru.

Consultați Componentele regulilor de tunel și prefiltru
Setări suplimentare Syslog pentru configurațiile cluster FTD: Capitolul Clustering for the Firepower Threat Defense are mai multe referințe la syslog; caută în capitol „syslog”.

Locații de configurare pentru Syslog-uri pentru evenimente de intruziune (dispozitive FTD)
Puteți specifica setările syslog pentru politicile de intruziune în diferite locuri și, opțional, puteți moșteni setările din politica de control al accesului sau din Setările platformei FTD sau din ambele.

Configurare Locaţie Descriere şi Mai mult Informaţii
Dispozitive > Platformă Setări, Politica de setări pentru apărarea amenințărilor, Syslog Destinațiile Syslog pe care le configurați aici pot fi specificate în fila Înregistrare a unei politici de control al accesului, care poate fi implicită pentru o politică de intruziune.

Consultați Setările platformei FTD care se aplică mesajelor Syslog pentru evenimente de securitate și Despre Syslog și subsubiectele.
Politici > Control acces, , Înregistrare Setare implicită pentru destinația syslog pentru intruziune

evenimente, dacă politica de intruziune nu specifică alte gazde de înregistrare.

Consultați Setări de înregistrare pentru politicile de control al accesului.
Politici > Intruziune, , Setări avansate, activați Alertă Syslog, faceți clic Edita Pentru a specifica colectorii Syslog, alții decât destinațiile specificate în fila Înregistrare a politicii de control al accesului și pentru a specifica facilitatea și severitatea, consultați Configurarea alertării Syslog pentru evenimentele de intruziune.

Dacă doriți să utilizați Severitate or Facilitate sau ambele așa cum sunt configurate în politica de intruziune, trebuie de asemenea

configurați gazdele de înregistrare în politică. Dacă utilizați gazdele de înregistrare specificate în politica de control al accesului, severitatea și facilitatea specificate în politica de intruziune nu vor fi utilizate.

Locații de configurare pentru Syslog-uri pentru evenimente de intruziune (Altele dispozitive decât FTD)

  • (Implicit) Politică de control acces Setări de înregistrare pentru politicile de control al accesului, DACĂ specificați o alertă syslog (consultați Crearea unui răspuns de alertă Syslog.)
  • Sau consultați Configurarea alertelor Syslog pentru evenimentele de intruziune.

În mod implicit, politica de intruziune utilizează setările din fila Înregistrare a politicii de control al accesului. Dacă setările aplicabile altor dispozitive decât FTD nu sunt configurate acolo, syslog-urile nu vor fi trimise pentru alte dispozitive decât FTD și nu apare niciun avertisment.

Locații de configurare pentru Syslog-uri pentru File și evenimente malware

Configurare Locaţie Descriere şi Mai mult Informaţii
Într-o politică de control al accesului:

Politici > Control acces, , Înregistrare

 Aceasta este locația principală pentru configurarea sistemului pentru a trimite syslog-uri file și evenimente malware.

Dacă nu utilizați setările syslog din Setările platformei FTD, trebuie să creați și un răspuns de alertă. Consultați Crearea unui răspuns de alertă Syslog.
Configurare Locaţie Descriere şi Mai mult Informaţii
În setările platformei Firepower Threat Defense:

Dispozitive > Platformă Setări, Politica de setări pentru apărarea amenințărilor, Syslog

 Aceste setări se aplică numai dispozitivelor Firepower Threat Defense care rulează versiuni acceptate și numai dacă configurați fila Înregistrare din politica de control al accesului pentru a utiliza setările platformei FTD.

Consultați Setările platformei FTD care se aplică mesajelor Syslog pentru evenimente de securitate și Despre Syslog și subsubiectele.
Într-o regulă de control al accesului:

Politici > Control acces, , , Înregistrare

 Dacă nu utilizați setările syslog din Setările platformei FTD, trebuie să creați și un răspuns de alertă. Consultați Crearea unui răspuns de alertă Syslog.

Anatomia mesajelor Syslog de evenimente de securitate

Exampmesajul evenimentului de securitate de la FTD (Intrusion Event)

Cisco-Event-Analysis-Utilizarea-External-Tools-fig- (4)

Tabelul 1: Componentele mesajelor Syslog de evenimente de securitate

Articol Număr in Sample Mesaj Antet Element Descriere
0 PRI Valoarea de prioritate care reprezintă atât Facilitatea, cât și Severitatea alertei. Valoarea apare în mesajele syslog numai când activați înregistrarea în format EMBLEM folosind setările platformei FMC. daca tu

activați înregistrarea evenimentelor de intruziune prin politica de control al accesului Fila Înregistrare, valoarea PRI este afișată automat în mesajele syslog. Pentru informații despre cum să activați formatul EMBLEM, consultați Activarea înregistrării și configurarea setărilor de bază. Pentru informații despre PRI, vezi RFC5424.
1 Timestamp Data și ora la care mesajul syslog a fost trimis de pe dispozitiv.

• (Syslog-uri trimise de la dispozitivele FTD) Pentru syslog-urile trimise folosind setările din politica de control al accesului și descendenții acesteia, sau dacă se specifică utilizarea acestui format în FTD Platform Settings, formatul de dată este formatul definit în ISO 8601.amp formatul specificat în RFC 5424 (aaaa-LL-zzTHH:mm:ssZ), unde litera Z indică fusul orar UTC.

• (Syslog-uri trimise de pe toate celelalte dispozitive) Pentru syslog-urile trimise folosind setările din politica de control al accesului și descendenții acesteia, formatul datei este formatul definit în ISO 8601.amp

formatul specificat în RFC 5424 (aaaa-LL-zzTHH:mm:ssZ), unde litera Z indică fusul orar UTC.

• În caz contrar, este luna, ziua și ora din fusul orar UTC, deși fusul orar nu este indicat.

 

Pentru a configura timpulamp setarea în Setările platformei FTD, consultați Configurarea setărilor Syslog.
2 Dispozitiv sau interfață de la care a fost trimis mesajul.

Aceasta poate fi:

• Adresa IP a interfeței

• Nume gazdă dispozitiv

• Identificator personalizat de dispozitiv

 (Pentru syslog-urile trimise de la dispozitivele FTD)

Dacă mesajul syslog a fost trimis utilizând Setările platformei FTD, aceasta este valoarea configurată în Setări Syslog pentru Activați ID dispozitiv Syslog opțiune, dacă este specificată.

În caz contrar, acest element nu este prezent în antet.

Pentru a configura această setare în Setările platformei FTD, consultați Configurarea setărilor Syslog.
3 Valoare personalizată Dacă mesajul a fost trimis folosind un răspuns de alertă, acesta este Tag valoare configurată în răspunsul de alertă care a trimis mesajul, dacă este configurat. (Consultați Crearea unui răspuns de alertă Syslog.)

În caz contrar, acest element nu este prezent în antet.
4 %FTD

%NGIPS

 Tipul de dispozitiv care a trimis mesajul.

• %FTD este Firepower Threat Defense

• %NGIPS reprezintă toate celelalte dispozitive
5 Severitate Severitatea specificată în setările syslog pentru politica care a declanșat mesajul.

Pentru descrieri de severitate, consultați Niveluri de severitate sau Niveluri de severitate Syslog.
6 Identificator tip eveniment • 430001: eveniment de intruziune

• 430002: eveniment de conexiune înregistrat la începutul conexiunii

• 430003: eveniment de conexiune înregistrat la sfârșitul conexiunii

 

• 430004: File eveniment

• 430005: File eveniment malware
Facilitate Consultați Facilitatea în Mesaje Syslog pentru evenimente de securitate
Restul mesajului Câmpuri și valori separate prin două puncte.

Câmpurile cu valori goale sau necunoscute sunt omise din mesaje. Pentru descrierea câmpurilor, consultați:

• Câmpuri de evenimente de conexiune și informații de securitate.

• Câmpuri pentru evenimente de intruziune

•  File și câmpuri de evenimente malware

 

Nota              Listele de descriere a câmpurilor includ atât câmpuri syslog, cât și

câmpuri vizibile în eveniment viewer (opțiuni de meniu din meniul Analiză din Centrul de gestionare a puterii de foc web interfață.) Câmpurile disponibile prin syslog sunt etichetate ca atare.

Câteva câmpuri vizibile în eveniment viewer nu sunt disponibile prin syslog. De asemenea, unele câmpuri syslog nu sunt incluse în eveniment viewer (dar poate fi disponibil prin căutare), iar unele câmpuri sunt combinate sau separate.

Facilitate în Mesaje Syslog evenimente de securitate
Valorile facilitatilor nu sunt în general relevante în mesajele syslog pentru evenimentele de securitate. Cu toate acestea, dacă aveți nevoie de Facility, utilizați următorul tabel:

Dispozitiv Pentru a include instalația în evenimentele de conectare La Include Facilitate in Evenimente de intruziune Locație în Syslog Message
FTD Utilizați opțiunea EMBLEM în Setările platformei FTD.

Facilitatea este întotdeauna ALERTA pentru evenimente de conectare la trimiterea de mesaje syslog utilizând Setările platformei FTD.

 Utilizați opțiunea EMBLEM în Setările platformei FTD sau

configurați înregistrarea utilizând setările syslog din politica de intruziune. Dacă utilizați politica de intruziune, trebuie să specificați și gazda de înregistrare în setările politicii de intruziune.

 Facilitatea nu apare în antetul mesajului, dar colectorul syslog poate obține valoarea

bazat pe RFC 5424, secțiunea 6.2.1.
Activați alertele syslog și

configurați facilitatea și severitatea politicii de intruziune. Consultați Configurarea alertării Syslog pentru evenimente de intruziune.
Dispozitive altele decât FTD Utilizați un răspuns de alertă. Utilizați setarea Syslog din setările avansate ale politicii de intruziune sau un răspuns de alertă identificat în fila Înregistrare a politicii de control al accesului.

Pentru mai multe informații, consultați Facilități și severități pentru alertele Syslog de intruziune și Crearea unui răspuns de alertă Syslog.

Tipuri de mesaje Firepower Syslog
Firepower poate trimite mai multe tipuri de date syslog, așa cum este descris în următorul tabel:

Tip de date Syslog Vedea
Jurnalele de audit de la FMC Transmiteți jurnalele de audit către Syslog și capitolul Auditarea sistemului
Jurnalele de audit de pe dispozitivele clasice (ASA FirePOWER, NGIPSv) Transmiteți în flux jurnalele de audit de pe dispozitivele clasice și din capitolul Auditarea sistemului

Comanda CLI: syslog
Sănătatea dispozitivului și jurnalele legate de rețea de la dispozitivele FTD Despre Syslog și subteme
Jurnalele de conexiune, informații de securitate și evenimente de intruziune de la dispozitivele FTD Despre configurarea sistemului pentru a trimite date despre evenimente de securitate către Syslog.
Jurnalele de conexiune, informații de securitate și evenimente de intruziune de pe dispozitivele clasice Despre configurarea sistemului pentru a trimite date despre evenimente de securitate către Syslog
Jurnal pentru file și evenimente malware Despre configurarea sistemului pentru a trimite date despre evenimente de securitate către Syslog

Limitări ale Syslog pentru evenimente de securitate

  • Dacă veți utiliza syslog sau veți stoca evenimente în exterior, evitați caracterele speciale în numele obiectelor, cum ar fi numele politicilor și regulilor. Numele obiectelor nu trebuie să conțină caractere speciale, cum ar fi virgule, pe care aplicația destinatară le poate folosi ca separatori.
  • Poate dura până la 15 minute pentru ca evenimentele să apară în colectorul de jurnal de sistem.
  • Date pentru următoarele file și evenimentele malware nu sunt disponibile prin syslog:
  • Evenimente retrospective
  • Evenimente generate de AMP pentru puncte finale

Streamer pe server eStreamer

  • Event Streamer (eStreamer) vă permite să transmiteți mai multe tipuri de date despre evenimente de la un Centru de gestionare a Firepower către o aplicație client dezvoltată personalizat. Pentru mai multe informații, consultați Ghidul de integrare a fluxului de evenimente Firepower System.
  • Înainte ca dispozitivul pe care doriți să îl utilizați ca server eStreamer să poată începe transmiterea de evenimente eStreamer către un client extern, trebuie să configurați serverul eStreamer să trimită evenimente clienților, să furnizeze informații despre client și să genereze un set de acreditări de autentificare pe care să le utilizați atunci când stabiliți. comunicare. Puteți efectua toate aceste sarcini din interfața de utilizator a aparatului. Odată ce setările dvs. sunt salvate, evenimentele pe care le-ați selectat vor fi redirecționate către clienții eStreamer atunci când sunt solicitați.
  • Puteți controla ce tipuri de evenimente serverul eStreamer este capabil să transmită clienților care le solicită.

Tabelul 2: Tipuri de evenimente transmisibile de serverul eStreamer

Eveniment Tip Descriere
Evenimente de intruziune evenimente de intruziune generate de dispozitivele gestionate
Pachetul de date pentru evenimente de intruziune pachete asociate cu evenimente de intruziune
Date suplimentare despre evenimentul de intruziune date suplimentare asociate cu un eveniment de intruziune, cum ar fi adresele IP de origine ale unui client care se conectează la un web server printr-un proxy HTTP sau echilibrator de încărcare
Evenimente de descoperire Evenimente de descoperire a rețelei
Corelaţie și Permiteți Listează evenimente corelarea și conformitatea permit evenimentele listei
Alerte de semnalizare de impact alerte de impact generate de FMC
Evenimente utilizator evenimente de utilizator
Eveniment Tip Descriere
Evenimente malware evenimente malware
File Evenimente file evenimentelor
Evenimente de conectare informații despre traficul sesiunii dintre gazdele dvs. monitorizate și toate celelalte gazde.
Comparație între Syslog și eStreamer pentru Security Eventing

În general, organizațiile care nu au în prezent investiții semnificative în eStreamer ar trebui să folosească syslog mai degrabă decât eStreamer pentru a gestiona datele despre evenimentele de securitate în mod extern.

Syslog eStreamer
Nu este necesară personalizarea Personalizare semnificativă și întreținere continuă necesare pentru a se adapta schimbărilor din fiecare versiune
Standard Proprietate
Standardul Syslog nu protejează împotriva pierderii de date, mai ales atunci când utilizați UDP Protecție împotriva pierderii datelor
Trimite direct de pe dispozitive Trimite de la FMC, adăugând cheltuieli de procesare
Suport pentru file și evenimente malware, conexiune

evenimente (inclusiv evenimente de informații de securitate) și evenimente de intruziune.

 Suport pentru toate tipurile de evenimente enumerate în eStreamer Server Streaming.
Unele date despre evenimente pot fi trimise numai de la FMC. Vedeți Date trimise numai prin eStreamer, nu prin Syslog. Include date care nu pot fi trimise prin syslog direct de pe dispozitive. Vedeți Date trimise numai prin eStreamer, nu prin Syslog.

Date trimise numai prin eStreamer, nu prin Syslog
Următoarele date sunt disponibile numai de la Firepower Management Center și, prin urmare, nu pot fi trimise prin syslog de pe dispozitive:

  • Jurnalele de pachete
  • Intrusion Event Evenimente de date suplimentare
    Pentru o descriere, consultați eStreamer Server Streaming.
  • Statistici și evenimente agregate
  • Evenimente Network Discovery
  • Activitatea utilizatorului și evenimente de conectare
  • Evenimente de corelare
  • Pentru evenimente malware:
    • verdicte retroactive
    • ThreatName și Disposition, cu excepția cazului în care informațiile despre SHA-urile relevante au fost deja sincronizate cu dispozitivul
  • Următoarele câmpuri:
    • Câmpurile Impact și ImpactFlag
      Pentru o descriere, consultați eStreamer Server Streaming.
    • câmpul IOC_Count
  • Cele mai multe ID-uri brute și UUID-uri.
    Excepții:
    • Syslog-urile pentru evenimentele de conectare includ următoarele: FirewallPolicyUUID, FirewallRuleID, TunnelRuleID, MonitorRuleID, SI_CategoryID, SSL_PolicyUUID și SSL_RuleID
    • Syslog-urile pentru evenimentele de intruziune includ IntrusionPolicyUUID, GeneratorID și SignatureID
  • Metadate extinse, inclusiv, dar fără a se limita la:
    • Detaliile utilizatorului furnizate de LDAP, cum ar fi numele complet, departamentul, numărul de telefon etc. Syslog furnizează numai nume de utilizator în evenimente.
    • Detalii pentru informații bazate pe stat, cum ar fi detaliile certificatului SSL. Syslog oferă informații de bază, cum ar fi amprenta certificatului, dar nu va furniza alte detalii despre certificat, cum ar fi certificatul CN.
    • Informații detaliate despre aplicație, cum ar fi aplicația Tags și Categorii. Syslog oferă numai nume de aplicații. Unele mesaje cu metadate includ și informații suplimentare despre obiecte.
  • Informații despre geolocalizare

Alegerea tipurilor de evenimente eStreamer

  • Casetele de selectare Configurare eveniment eStreamer controlează ce evenimente poate transmite serverul eStreamer.
  • Clientul dvs. trebuie să solicite în mod specific tipurile de evenimente pe care doriți să le primească în mesajul de solicitare pe care îl trimite serverului eStreamer. Pentru mai multe informații, consultați Ghidul de integrare a fluxului de evenimente Firepower System.
  • Într-o implementare cu mai multe domenii, puteți configura configurația evenimentului eStreamer la orice nivel de domeniu. Cu toate acestea, dacă un domeniu strămoș a activat un anumit tip de eveniment, nu puteți dezactiva acel tip de eveniment în domeniile descendente.
  • Trebuie să fiți un utilizator Admin pentru a efectua această sarcină, pentru FMC.

Procedură

  • Pasul 1 Alegeți Sistem > Integrare.
  • Pasul 2 Faceți clic pe eStreamer.
  • Pasul 3 Sub eStreamer Event Configuration, bifați sau debifați casetele de selectare de lângă tipurile de evenimente pe care doriți să le redirecționeze eStreamer către clienții solicitanți, descrise în eStreamer Server Streaming.
  • Pasul 4 Faceți clic pe Salvare.

Configurarea comunicațiilor cu clientul eStreamer

  • Înainte ca eStreamer să poată trimite evenimente eStreamer unui client, trebuie să adăugați clientul la baza de date peer a serverului eStreamer de pe pagina eStreamer. De asemenea, trebuie să copiați pe client certificatul de autentificare generat de serverul eStreamer. După parcurgerea acestor pași, nu trebuie să reporniți serviciul eStreamer pentru a permite clientului să se conecteze la serverul eStreamer.
  • Într-o implementare cu mai multe domenii, puteți crea un client eStreamer în orice domeniu. Certificatul de autentificare permite clientului să solicite evenimente numai din domeniul certificatului clientului și din orice domeniu descendent. Pagina de configurare eStreamer afișează numai clienții asociați cu domeniul curent, așa că dacă doriți să descărcați sau să revocați un certificat, comutați la domeniul în care a fost creat clientul.
  • Trebuie să fiți administrator sau utilizator Discovery Admin pentru a efectua această sarcină, pentru FMC.

Procedură

  • Pasul 1 Alegeți Sistem > Integrare.
  • Pasul 2 Faceți clic pe eStreamer.
  • Pasul 3 Faceți clic pe Creare client.
  • Pasul 4 În câmpul Hostname, introduceți numele gazdei sau adresa IP a gazdei care rulează clientul eStreamer.
    Nota Dacă nu ați configurat rezoluția DNS, utilizați o adresă IP.
  • Pasul 5 Dacă doriți să criptați certificatul file, introduceți o parolă în câmpul Parolă.
  • Pasul 6 Faceți clic pe Salvare.
    Serverul eStreamer permite acum gazdei să acceseze portul 8302 de pe serverul eStreamer și creează un certificat de autentificare care să fie utilizat în timpul autentificării client-server.
  • Pasul 7 Faceți clic pe Descărcare (Cisco-Event-Analysis-Utilizarea-External-Tools-fig- (5) ) lângă numele de gazdă client pentru a descărca certificatul file.
  • Pasul 8 Salvați certificatul file în directorul corespunzător utilizat de clientul dumneavoastră pentru autentificarea SSL.
  • Pasul 9 Pentru a revoca accesul unui client, faceți clic pe Ștergere (Cisco-Event-Analysis-Utilizarea-External-Tools-fig- (6) ) lângă gazda pe care doriți să o eliminați.
    Rețineți că nu este necesar să reporniți serviciul eStreamer; accesul este revocat imediat.

Analiza evenimentelor în Splunk

  • Puteți utiliza aplicația Cisco Secure Firewall (fka Firepower) pentru Splunk (cunoscută anterior ca aplicația Cisco Firepower pentru Splunk) ca instrument extern pentru a afișa și a lucra cu datele despre evenimente Firepower, pentru a căuta și investiga amenințările din rețeaua dvs.
  • eStreamer este necesar. Aceasta este o funcționalitate avansată. Consultați Streaming server eStreamer.
  • Pentru mai multe informații, consultați https://cisco.com/go/firepower-for-splunk.

Analiza evenimentelor în IBM QRadar

Istoric pentru analiza datelor despre evenimente utilizând instrumente externe

Caracteristică Versiune Detalii
Panglică SecureX 7.0 Panglica SecureX pivotează în SecureX pentru vizibilitate instantanee în peisajul amenințărilor din produsele dumneavoastră de securitate Cisco.

Pentru a afișa panglica SecureX în FMC, consultați Ghidul de integrare Firepower și SecureX la https://cisco.com/go/firepower-securex-documentation.

Ecrane noi/modificate: Pagina nouă: Sistem > SecureX
Trimiteți toate evenimentele de conectare către cloudul Cisco 7.0 Acum puteți trimite toate evenimentele de conexiune către cloudul Cisco, în loc să trimiteți doar evenimente de conexiune cu prioritate ridicată.

Ecrane noi/modificate: opțiune nouă pe pagina Sistem > Integrare > Servicii cloud
Lansare încrucișată către view date în Secure Network Analytics 6.7 Această caracteristică introduce o modalitate rapidă de a crea mai multe intrări pentru dispozitivul dvs. Secure Network Analytics în pagina Analiză > Lansare încrucișată contextuală.

Aceste intrări vă permit să faceți clic dreapta pe un eveniment relevant pentru a lansa încrucișat Secure Network Analytics și a afișa informații legate de punctul de date de la care ați lansat încrucișat.

Element de meniu nou: Sistem > Înregistrare > Analize de securitate și înregistrare Pagina nouă pentru a configura trimiterea evenimentelor către Secure Network Analytics.
Lansare încrucișată contextuală

din tipuri de câmpuri suplimentare

 6.7 Acum puteți lansa încrucișat într-o aplicație externă folosind următoarele tipuri suplimentare de date despre evenimente:

• Politica de control al accesului

• Politica de intruziune

• Protocolul de aplicare

• Aplicație client

•  Web aplicarea

• Nume de utilizator (inclusiv domeniul)

 

Noi opțiuni de meniu: opțiunile de lansare încrucișată contextuală sunt acum disponibile când faceți clic dreapta pe tipurile de date de mai sus pentru evenimente în widget-urile tabloului de bord și tabelele de evenimente din paginile din meniul Analiză.

Platforme acceptate: Firepower Management Center
Integrare cu IBM QRadar 6.0 și ulterioare Utilizatorii IBM QRadar pot folosi o nouă aplicație specifică Firepower pentru a-și analiza datele despre evenimente. Funcționalitatea disponibilă este afectată de versiunea dvs. Firepower.

Consultați Analiza evenimentelor în IBM QRadar.
Îmbunătățiri ale integrării cu răspunsul la amenințări Cisco SecureX 6.5 • Suport pentru nori regionale:

• Statele Unite (America de Nord)

• Europa

 

• Suport pentru tipuri suplimentare de evenimente:

•  File și evenimente malware

• Evenimente de conexiune cu prioritate ridicată

Acestea sunt evenimente de conectare legate de următoarele:

• Evenimente de intruziune

• Evenimente de securitate

•  File și evenimente malware

 

 

Ecrane modificate: opțiuni noi activate Sistem > Integrare > Servicii cloud.

Platforme acceptate: Toate dispozitivele acceptate în această versiune, fie prin integrare directă, fie prin syslog.
Syslog 6.5 Câmpul AccessControlRuleName este acum disponibil în mesajele syslog a evenimentelor de intruziune.
Integrare cu Cisco Security Packet Analyzer 6.5 Suportul pentru această funcție a fost eliminat.
Integrare cu răspunsul la amenințări Cisco SecureX 6.3 (prin syslog, folosind un proxy

colector)

6.4

(direct)

 Integrați datele despre evenimentele de intruziune Firepower cu date din alte surse pentru o unitate unificată view de amenințări ale rețelei dvs. folosind instrumentele puternice de analiză din răspunsul la amenințări Cisco SecureX.

Ecrane modificate (versiunea 6.4): opțiuni noi activate Sistem > Integrare > Servicii cloud. Platforme acceptate: dispozitive Firepower Threat Defense care rulează versiunea 6.3 (prin syslog) sau 6.4.
Suport Syslog pentru File și evenimente malware 6.4 Complet calificat file și datele despre evenimentele malware pot fi acum trimise de pe dispozitivele gestionate prin syslog. Ecrane modificate: Politici > Control acces > Control acces > Înregistrare.

Platforme acceptate: Toate dispozitivele gestionate care rulează versiunea 6.4.
Integrare cu Splunk Acceptă toate versiunile 6.x Utilizatorii Splunk pot folosi o aplicație Splunk nouă, separată, aplicația Cisco Secure Firewall (fka Firepower) pentru Splunk, pentru a analiza evenimentele.

Funcționalitatea disponibilă este afectată de versiunea dvs. Firepower. Consultați Analiza evenimentelor în Splunk.
Integrare cu Cisco Security Packet Analyzer 6.3 Caracteristica introdusă: interogați instantaneu Cisco Security Packet Analyzer pentru pachete legate de un eveniment, apoi faceți clic pentru a examina rezultatele în Cisco Security Packet Analyzer sau descărcați-le pentru analiză într-un alt instrument extern.

Ecrane noi:

Sistem > Integrare > Analiza analizorului de pachete > Avansat > Interogări privind analizatorul de pachete

Opțiuni noi de meniu: Analizor de pachete de interogări element de meniu când faceți clic dreapta pe un eveniment din paginile Dashboar și tabelele de evenimente din paginile din meniul Analiză.

Platforme acceptate: Firepower Management Center
Lansare încrucișată contextuală 6.3 Caracteristica introdusă: faceți clic dreapta pe un eveniment pentru a căuta informații conexe predefinite sau personalizate URL-resurse externe bazate pe

Ecrane noi: Analiză > Avansat > Lansare încrucișată contextuală

Opțiuni noi de meniu: mai multe opțiuni atunci când faceți clic dreapta pe un eveniment din paginile tabloului de bord și chiar tabelele din paginile din meniul Analiză.

Platforme acceptate: Firepower Management Center
Mesaje Syslog pentru

evenimente de conectare și intruziune

 6.3 Abilitatea de a trimite conexiuni complet calificate și evenimente de intruziune către stocarea externă și instrumente prin syslog, folosind noi configurații unificate și simplificate. Antetele mesajelor sunt acum standardizate și includ identificatori de tip de eveniment, iar mesajele sunt mai mici, deoarece câmpurile cu valori necunoscute și goale sunt omise.

Platforme acceptate:

• Toate funcțiile noi: dispozitive FTD care rulează versiunea 6.3.

• Câteva funcționalități noi: dispozitive non-FTD care rulează versiunea 6.3.

• Mai puține funcționalități noi: Toate dispozitivele care rulează versiuni mai vechi decât 6.3.

Pentru mai multe informații, consultați subiectele din Despre trimiterea mesajelor Syslog pentru evenimente de securitate.
eStreamer 6.3 A mutat conținutul eStreamer din capitolul Surse de identitate gazdă în acest capitol și a adăugat un rezumat care compară eStreamer cu syslog.

Documente/Resurse

PDF thumbnailAnaliza evenimentelor folosind instrumente externe
User Guide · Event Analysis Using External Tools, Event, Analysis Using External Tools, Using External Tools, External Tools

Referințe

Publicat: 15 noiembrie 2023
Actualizat: 16 noiembrie 2023

Pune o întrebare

Use this section to ask about setup, compatibility, troubleshooting, or anything missing from this manual.

Pune o întrebare

Ask about setup, compatibility, troubleshooting, or anything missing from this manual. Name and email are optional.

CISCO M5 Update Patch Secure Network Analytics Instruction Manual
1 iunie 2026
CISCO Validated Profile Healthcare SD Access Vertical User Guide
26 mai 2026
Ghidul utilizatorului telefonului IP CISCO 6851
25 mai 2026
CISCO Partner Self Service User Guide
15 mai 2026