Cisco Gertaeren Analisia Kanpoko Tresnak erabiliz Erabiltzailearen Gida

Cisco Event Analysis Using External Tools User Guide

Cisco-logoa

Cisco gertaeren analisia kanpoko tresnak erabiliz

Cisco-Gertaerak-Analisia-Kanpoko-tresnak-PRO

Produktuaren informazioa

Produktuak erabiltzaileei Cisco SecureX-ekin integratzeko eta FMC-ko zinta funtzioa erabiliz atzitzeko aukera ematen die web interfazea.

Zehaztapenak

  • Integrazioa: Cisco SecureX
  • Interfazea: FMC web interfazea
  • Zinta Ezaugarri: Orrialde bakoitzaren behealdean

Produktuak erabiltzeko jarraibideak

SecureX-en sarbidea Zinta erabiliz
SecureX zinta funtzioa erabiliz atzitzeko, jarraitu urrats hauek:

  1. FMCn, egin klik FMC orriaren behealdean dagoen zinta.
  2. Egin klik "Lortu SecureX".
  3. Hasi saioa SecureX-en.
  4. Sakatu estekan sarbidea baimentzeko.
  5. Egin klik zinta zabaltzeko eta erabiltzeko.

Gertaeren analisia kanpoko tresnak erabiliz
Gertaerak aztertzeko kanpoko tresnak erabiliz, jarraitu urrats hauek:

  1. FMCn, egin klik FMC orriaren behealdean dagoen zinta.
  2. Egin klik "Lortu SecureX".
  3. Hasi saioa SecureX-en.
  4. Sakatu estekan sarbidea baimentzeko.
  5. Egin klik zinta zabaltzeko eta erabiltzeko.

Gertaeren analisia Cisco SecureX Threat Response-rekin
Cisco SecureX Threat Response (lehen Cisco Threat Response izenez ezagutzen zena) erabiltzaileei mehatxuei azkar detektatzeko, ikertzeko eta erantzuteko aukera ematen die. Cisco SecureX Threat Response-rekin gertaeren analisia egiteko, jarraitu urrats hauek:

  1. FMCn, egin klik FMC orriaren behealdean dagoen zinta.
  2. Egin klik "Lortu SecureX".
  3. Hasi saioa SecureX-en.
  4. Sakatu estekan sarbidea baimentzeko.
  5. Egin klik zinta zabaltzeko eta erabiltzeko.

View Gertaeren datuak Cisco SecureX Threat Response-n

To view gertaeren datuak Cisco SecureX Threat Response-n, jarraitu
urrats hauek:

  1. Hasi saioa Cisco SecureX Threat Response-n eskatu bezala.

Gertaeraren ikerketa erabiliz Web-Oinarritutako Baliabideak
Gertaerak erabiliz ikertzeko weboinarritutako baliabideak, jarraitu urrats hauek:

  1. Hasi saioa Cisco SecureX Threat Response-n eskatu bezala.
  2. Erabili testuinguruan zehar abiarazte-eginbidea hemen mehatxu potentzialei buruzko informazio gehiago aurkitzeko webFirepower Kudeaketa Zentrotik kanpo oinarritutako baliabideak.
  3. Egin klik zuzenean ekitaldiko gertaera batetik viewer edo panela Firepower Kudeaketa Zentroan kanpoko baliabidean dagokion informaziora.

Testuinguruko abiarazte gurutzatuaren baliabideak kudeatzeari buruz
Kanpokoa kudeatzeko weboinarritutako baliabideak, jarraitu urrats hauek:

  1. Joan Analisi > Aurreratua > Testuinguruko abiarazte gurutzatua atalera.
  2. Kudeatu Cisco-k eskaintzen dituen aurrez definitutako eta hirugarrenen baliabideak.
  3. Baliabideak desgaitu, ezabatu edo izena aldatu ditzakezu behar izanez gero.

Ohiko galderak

  • G: Zer da SecureX?
    E: SecureX Cisco Cloud-en integrazio-plataforma bat da, erabiltzaileei gertakariak aztertzeko aukera ematen die hainbat produktutatik bildutako datuak erabiliz, Firepower barne.
  • G: Nola atzi dezaket SecureX zinta funtzioa erabiliz?
    E: SecureX-en zinta funtzioa erabiliz atzitzeko, egin klik FMC orriaren behealdean dagoen zinta eta jarraitu emandako urratsak.
  • G: Ezin dut view gertaeren datuak Cisco SecureX Threat Response-n?
    A: Bai, ahal duzu view gertaeren datuak Cisco SecureX Threat Response-n saioa hasita eskatu bezala.
  • G: Nola iker ditzaket gertaerak erabiliz web-oinarritutako baliabideak?
    A: Gertaerak erabiliz ikertzeko weboinarritutako baliabideak, hasi saioa Cisco SecureX Threat Response-n eta erabili testuinguruan zehar abiarazte-eginbidea informazio garrantzitsua aurkitzeko.

Integratu Cisco SecureX-ekin

View eta lan egin zure Cisco segurtasun-produktu guztien eta beste datuekin beira-panel bakar baten bidez, SecureX hodeiko atarian. Erabili SecureX bidez eskuragarri dauden tresnak zure mehatxuen bilaketa eta ikerketak aberasteko. SecureX-ek tresnari eta gailuei buruzko informazio erabilgarria ere eman dezake, esate baterako, bakoitzak software-bertsio optimoa exekutatzen duen ala ez.

Sar zaitez SecureX zinta erabiliz
Zinta FMCko orrialde bakoitzaren behealdean agertzen da web interfazea. Zinta erabil dezakezu Cisco segurtasun-produktu batzuetara azkar aldatzeko eta hainbat iturritako mehatxuen datuekin lan egiteko.

Hasi baino lehen

  • FMCren behealdean SecureX zinta ikusten ez baduzu web interfaze-orriak, ez erabili prozedura hau. Horren ordez, ikusi Firepower eta SecureX Integrazio Gida helbidean https://cisco.com/go/firepower-securex-documentation.
  • SecureX konturik ez baduzu, eskuratu zure IT sailetik.

Prozedura

  • 1. urratsa FMCn, egin klik FMC orriaren behealdean dagoen zinta.
  • 2. urratsa Sakatu Lortu SecureX.
  • 3. urratsa Hasi saioa SecureX-en.
  • 4. urratsa Egin klik estekan sarbidea baimentzeko.
  • 5. urratsa Egin klik zinta zabaltzeko eta erabiltzeko.

Gero zer egin
Zinta-eginbideei eta horiek erabiltzeko moduari buruzko informazioa lortzeko, ikusi SecureX-en lineako laguntza.

Gertaeren analisia Cisco SecureX mehatxuen erantzunarekin

Cisco SecureX mehatxuen erantzuna Cisco Threat Response (CTR) izenez ezagutzen zen. Azkar detektatu, ikertu eta erantzun mehatxuei Cisco SecureX mehatxuen erantzuna erabiliz, Cisco Cloud-eko integrazio plataforma, hainbat produktutatik bildutako datuak erabiliz gertakariak aztertzeko aukera ematen duena, besteak beste. Su-potentzia.

View Gertaeren datuak Cisco SecureX mehatxuen erantzunan

Hasi baino lehen

Prozedura

1. urratsa
Firepower Management Center-en, egin hauetako bat:

  • Gertaera zehatz batetik Cisco SecureX mehatxuen erantzunera biratzeko:
    • Nabigatu Analisia > Intrusioak menuan onartzen den gertaera bat zerrendatzen duen orri batera.
    • Egin klik eskuineko botoiarekin iturburu edo helmugako IP helbide batean eta hautatu View SecureX-en.
  • To view gertaeren informazioa, oro har:
    • Nabigatu Sistema > Integrazioak > Hodeiko zerbitzuak.
    • Egin klik estekan view gertaerak Cisco SecureX mehatxuen erantzunean.

2. urratsa
Hasi saioa Cisco SecureX mehatxuen erantzuna eskatu bezala.

Gertaeraren ikerketa erabiliz Web-Oinarritutako Baliabideak
Erabili testuinguruko abiarazte gurutzatuaren funtzioa hemen mehatxu potentzialei buruzko informazio gehiago azkar aurkitzeko webFirepower Kudeaketa Zentrotik kanpo oinarritutako baliabideak. Adibidezample, baliteke:

  • Bilatu iturburu susmagarri bat mehatxu ezagunei eta susmagarriei buruzko informazioa argitaratzen duen Cisco edo hirugarrenen hodeian ostatatutako zerbitzu batean, edo
  • Bilatu mehatxu jakin baten iraganeko kasuak zure erakundearen erregistro historikoetan, zure erakundeak datu horiek Segurtasun Informazio eta Gertaerak Kudeatzeko (SIEM) aplikazio batean gordetzen baditu.
  • Bilatu jakin bati buruzko informazioa file, barne file ibilbidearen informazioa, zure erakundeak Cisco zabaldu badu AMP Amaierako puntuetarako.

Gertaera bat ikertzen duzunean, gertaera bateko gertaera batetik zuzenean klik egin dezakezu viewer edo panela Firepower Kudeaketa Zentroan kanpoko baliabidean dagokion informaziora. Honek gertaera zehatz baten inguruko testuingurua azkar biltzeko aukera ematen dizu bere IP helbideak, atakak, protokoloak, domeinuak eta/edo SHA 256 hash-en arabera. Adibidezample, demagun Erasotzaileen aginte-panelaren widget-a ikusten ari zarela eta zerrendatutako iturburu IP helbideetako bati buruzko informazio gehiago aurkitu nahi duzula. Talos-ek IP helbide honi buruz zer informazio argitaratzen duen ikusi nahi duzu, beraz, "Talos IP" baliabidea aukeratzen duzu. Talosak web gunea IP helbide zehatz honi buruzko informazioa duen orrialde batera irekitzen da. Aurrez definitutako esteka multzo batetik aukera dezakezu Cisco eta hirugarrenen mehatxuen adimen-zerbitzuetarako erabili ohi diren estekak, eta esteka pertsonalizatuak gehi ditzakezu beste batzuetara. web-oinarritutako zerbitzuei, eta SIEMei edo a duten beste produktu batzuei web interfazea. Kontuan izan baliabide batzuek kontua edo produktua erostea eska dezaketela.

Testuinguruko abiarazte gurutzatuaren baliabideak kudeatzeari buruz

  • Kanpokoa kudeatu weboinarritutako baliabideak Analisia > Aurreratua > Testuinguruko abiarazte gurutzatua orria erabiliz.

Salbuespena:
Kudeatu sareko abiarazte gurutzatuko estekak Secure Network Analytics tresna baterako Konfiguratu Cross-Launch Links for Secure Network Analytics-eko prozedurari jarraituz.

  • Ciscok eskaintzen dituen aurrez definitutako baliabideak Ciscoren logotipoarekin markatuta daude. Gainerako estekak hirugarrenen baliabideak dira.
  • Behar ez dituzun baliabideak desgaitu edo ezabatu ditzakezu, edo izena aldatu dezakezu, adibidezample izenari "z" minuskulaz aurrizkia jarriz, baliabidea zerrendaren behealdean ordenatzeko. Abiarazte gurutzatutako baliabide bat desgaituz gero, erabiltzaile guztientzat desgaitu egiten da. Ezin dituzu berrezarri ezabatutako baliabideak, baina berriro sor ditzakezu.
  • Baliabide bat gehitzeko, ikus Gehitu Testuinguruko abiarazteko baliabideak.

Testuinguru-abiarazte gurutzatuaren baliabide pertsonalizatuen baldintzak

Testuinguruko abiarazte gurutzatuaren baliabide pertsonalizatuak gehitzean:

  • Baliabideek bidez eskuragarri egon behar dute web arakatzailea.
  • http eta https protokoloak soilik onartzen dira.
  • GET eskaerak bakarrik onartzen dira; POST eskaerak ez dira.
  • Aldagaien kodeketa URLs ez da onartzen. IPv6 helbideek bi puntu-bereizleak kodetzea eska dezaketen arren, zerbitzu gehienek ez dute kodeketa hori behar.
  • Gehienez 100 baliabide konfigura daitezke, aurrez zehaztutako baliabideak barne.
  • Admin edo Security Analyst erabiltzailea izan behar duzu abiarazte gurutzatua sortzeko, baina irakurtzeko soilik den Segurtasun Analista ere izan zaitezke haiek erabiltzeko.

Gehitu Testuinguruko abiaraztearen baliabideak

  • Testuinguruko abiarazte gurutzatuaren baliabideak gehi ditzakezu, hala nola, mehatxuen adimen zerbitzuak eta Segurtasun Informazioa eta Gertaerak Kudeatzeko (SIEM) tresnak.
  • Domeinu anitzeko inplementazioetan, domeinu nagusietako baliabideak ikusi eta erabil ditzakezu, baina uneko domeinuko baliabideak soilik sortu eta edita ditzakezu. Domeinu guztietako baliabideen kopurua guztira 100era mugatzen da.

Hasi baino lehen

  • Secure Network Analytics tresna bati estekak gehitzen ari bazara, egiaztatu nahi dituzun estekak dagoeneko existitzen diren; esteka gehienak automatikoki sortzen dira Cisco Security Analytics and Logging (On Premises) konfiguratzen duzunean.
  • Ikusi Testuinguru gurutzatutako abiarazte pertsonalizaturako baliabideen baldintzak.
  • Baliabiderako behar izanez gero, kontu bat estekatu, sortu edo lortuko duzu eta sartzeko behar diren kredentzialak. Aukeran, esleitu eta banatu kredentzialak sarbidea behar duen erabiltzaile bakoitzari.
  • Zehaztu lotuko duzun baliabidearen kontsulta-estekaren sintaxia:
    • Sartu baliabidera nabigatzailearen bidez eta, behar den moduan baliabide horren dokumentazioa erabiliz, formulatu s zehatz bat bilatzeko beharrezkoa den kontsulta-esteka.ampZure kontsultaren esteka aurkitzea nahi duzun informazio motaren fitxategia, adibidez, IP helbidea.
    • Exekutatu kontsulta, ondoren kopiatu emaitza URL arakatzailearen kokapen-barratik.
    • Adibidezample, baliteke kontsulta izatea URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

Prozedura

  • 1. urratsa
    Aukeratu Analisia > Aurreratua > Testuinguruko abiarazte gurutzatua.
  • 2. urratsa Sakatu Cross-Launch berria.
    Agertzen den formularioan, izartxo batekin markatutako eremu guztiek balio bat behar dute.
  • 3. urratsa Sartu baliabide-izen esklusibo bat.
  • 4. urratsa Itsatsi lana URL katea zure baliabidetik sartu URL Txantiloi eremua.
  • 5. urratsa Ordezkatu datu zehatzak (adibidez, IP helbidea) kontsulta-katean aldagai egoki batekin: kokatu kurtsorea eta egin klik aldagai batean (adibidez.ample, ip) behin aldagaia txertatzeko.
    • AdibampGoiko "Hasi baino lehen" ataleko le, emaitza URL izan liteke https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
    • Testuinguruko abiarazte gurutzatuaren esteka erabiltzen denean, {ip} aldagaia URL Erabiltzaileak ekitaldian eskuineko botoiarekin klik egiten duen IP helbidearekin ordezkatuko da viewer edo aginte-panela.
    • Aldagai bakoitzaren deskribapena lortzeko, pasa ezazu sakatu aldagaiaren gainean.
    • Testuinguruko abiarazte gurutzatuaren esteka anitz sor ditzakezu tresna edo zerbitzu bakar baterako, bakoitzaren aldagai desberdinak erabiliz.
  • 6. urratsa Egin klik Probatu adibidezample datuak (Cisco-Gertaerak-Analisia-Kanpoko-tresnak-erabiltzea-irudi- (1) ) zure lotura probatzeko adibidezample datuak.
  • 7. urratsa Konpondu edozein arazo.
  • 8. urratsa Sakatu Gorde.

Ikertu gertaerak Testuinguruko abiarazte gurutzatua erabiliz

Hasi baino lehen
Atzituko duzun baliabideak kredentzialak behar baditu, ziurtatu kredentzial horiek dituzula.

Prozedura

  • 1. urratsa Joan gertaerak erakusten dituen Firepower Management Center-eko orri hauetako batera:
    • Aginte-panel bat (Gehiagoview > Aginte-panelak), edo
    • Gertaera bat viewer orrialdea (gertaeren taula barne duen Analisi menuko edozein menu aukera).
  • 2. urratsa Egin klik eskuineko botoiarekin intereseko gertaeran eta aukeratu erabili nahi duzun testuinguruko abiarazte gurutzatua.
    • Beharrezkoa bada, joan behera laster-menuan eskuragarri dauden aukera guztiak ikusteko.
    • Eskuineko botoiarekin klik egiten duzun datu motak zehazten ditu ikusten dituzun aukerak; adibidezampIzan ere, IP helbide batean eskuineko botoiarekin klik egiten baduzu, IP helbideetarako garrantzitsuak diren testuinguruko abiarazte-aukerak soilik ikusiko dituzu.
    • Beraz, adibidezample, Cisco Talos-en mehatxuen adimena lortzeko iturburuko IP helbide bati buruz Top Attackers paneleko widget-ean, aukeratu Talos SrcIP edo Talos IP.
    • Baliabide batek aldagai anitz barne hartzen baditu, baliabide hori aukeratzeko aukera sartutako aldagai bakoitzarentzat balio posible bakarra duten gertaeretarako soilik dago erabilgarri.
    • Testuinguruko abiarazte gurutzatuaren baliabidea arakatzailearen leiho bereizi batean irekitzen da.
    • Baliteke kontsulta prozesatzeko denbora pixka bat behar izatea, kontsultatu beharreko datu kopuruaren, baliabidearen abiaduraren eta eskariaren arabera, etab.
  • 3. urratsa Hasi saioa baliabidean behar izanez gero.
  • Firepower-ko gertaeren datuetatik gurutzatu dezakezu zure Secure Network Analytics tresnako erlazionatutako datuetara.
  • Secure Network Analytics produktuari buruzko informazio gehiago lortzeko, ikus https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
  • Testuinguruko gurutze-abiarazteari buruzko informazio orokorra lortzeko, ikus Ikertu gertaerak Testuinguru-abiaraztearen bidez.
  • Erabili prozedura hau zure Secure Network Analytics tresnarako abiarazte gurutzatuen esteka multzo bat azkar konfiguratzeko.

Oharra

  • Geroago esteka hauetan aldaketak egin behar badituzu, itzuli prozedura honetara; ezin duzu aldaketak zuzenean egin testuinguruko abiarazte gurutzatuaren zerrendaren orrian.
  • Esteka gehigarriak eskuz sor ditzakezu zure Secure Network Analytics tresnan gurutzatuta abiarazteko Gehitu Testuinguruko abiarazterako baliabideak ataleko prozedura erabiliz, baina esteka horiek automatikoki sortutako baliabideetatik independenteak izango lirateke eta, beraz, eskuz kudeatu beharko lirateke (ezabatu, eguneratua, etab.)

Hasi baino lehen

  • Inplementatu eta martxan dagoen Secure Network Analytics tresna izan behar duzu.
  • Firepower datuak zure Secure Network Analytics tresnara bidali nahi badituzu Cisco Security Analytics and Logging (lokalean) erabiliz, ikusi Urruneko datu biltegiratzea Secure Network Analytics Appliance batean.

Prozedura

  • 1. urratsa Hautatu Sistema > Erregistroa > Segurtasun Analitika eta Erregistroa.
  • 2. urratsa Gaitu funtzioa.
  • 3. urratsa Sartu zure Secure Network Analytics tresnaren ostalari-izena edo IP helbidea eta ataka. Ataka lehenetsia 443 da.
  • 4. urratsa Sakatu Gorde.
  • 5. urratsa Egiaztatu zure abiarazte gurutzatuaren esteka berriak: Hautatu Analisia > Aurreratua > Testuinguruko abiarazte gurutzatua. Aldaketak egin behar badituzu, itzuli prozedura honetara; ezin duzu aldaketak zuzenean egin testuinguruko abiarazte gurutzatuaren zerrendaren orrian.

Gero zer egin

  • Gertaera batetik Secure Network Analytics gertaera batera abiarazteko viewer, zure Secure Network Analytics kredentzialak beharko dituzu.
  • FMC ekitaldiko ekitaldi batetik abiarazte gurutzatzeko viewedo panelean, egin klik eskuineko botoiarekin dagokion gertaera baten taulako gelaxkan eta aukeratu aukera egokia.
  • Baliteke denbora pixka bat behar izatea kontsulta prozesatzeko, kontsultatu beharreko datu kopuruaren, abiaduraren eta Stealthwatch kudeaketa kontsolaren eskariaren arabera, etab.

Segurtasun Gertaeretarako Syslog mezuak bidaltzeari buruz

  • Konexioarekin, segurtasun adimenarekin, intrusioarekin eta erlazionatutako datuak bidal ditzakezu file eta malware-gertaerak syslog bidez Segurtasun Informazio eta Gertaerak Kudeatzeko (SIEM) tresna batera edo kanpoko gertaeren biltegiratze eta kudeaketa-soluzio batera.
  • Gertaera horiei Snort® gertaerak ere esaten zaie batzuetan.

Sistema konfiguratzeari buruz, Syslog-era segurtasun-gertaeren datuak bidaltzeko

Sistema segurtasun-gertaeren syslog-ak bidaltzeko konfiguratzeko, honako hau jakin beharko duzu:

  • Segurtasun Gertaeren Syslog Mezularitza konfiguratzeko praktika onak
  • Segurtasun Gertaeren Syslog-en konfigurazio-kokapenak
  • Segurtasun Gertaeren Syslog Mezuei aplikatzen zaizkien FTD plataformaren ezarpenak
  • Edozein politikatan syslog-en ezarpenetan aldaketak egiten badituzu, berriro zabaldu behar duzu aldaketak indarrean egon daitezen.

Segurtasun Gertaeren Syslog Mezularitza konfiguratzeko praktika onak

Gailua eta bertsioa Konfigurazioa Kokapena
Denak Syslog edo gertaerak kanpoan gordeko badituzu, saihestu karaktere bereziak objektuen izenetan, hala nola politika eta arauen izenak. Objektuen izenek ez dute karaktere berezirik eduki behar, hala nola, komak, aplikazio hartzaileak bereizle gisa erabil ditzakeen.
Su-potentzia Mehatxuen Defentsa 1.      Konfiguratu FTD plataformaren ezarpenak (Gailuak > Plataformaren ezarpenak > Mehatxuen defentsaren ezarpenak > Syslog.)

Ikusi ere Segurtasun Gertaeren Syslog mezuei aplikatzen zaizkien FTD plataformaren ezarpenak.

2.      Sarbide-kontroleko gidalerroak Erregistratzea fitxan, aukeratu FTD plataformaren ezarpenak erabiltzea.

3.      (Intrusio-gertaeretarako) Konfiguratu intrusio-politikak zure sarbide-kontrol-politika Erregistro fitxako ezarpenak erabiltzeko. (Hau da lehenetsia.)

 

Ez da gomendagarria ezarpen hauetakoren bat gainidaztea.

Ezinbesteko xehetasunetarako, ikus Bidali Segurtasun Gertaeren Syslog mezuak FTD gailuetatik.

Beste gailu guztiak 1.      Sortu alerta-erantzuna.

2.      Konfiguratu sarbide-kontrol-politika Erregistroa alerta-erantzuna erabiltzeko.

3.      (Intrusio-gertaeretarako) Konfiguratu syslog ezarpenak intrusio-politiketan.

 Xehetasun osoetarako, ikus Bidali Segurtasun Gertaeren Syslog mezuak gailu klasikoetatik.

Bidali Segurtasun Gertaeren Syslog mezuak FTD gailuetatik
Prozedura honek segurtasun-gertaeretarako syslog mezuak bidaltzeko praktika onen konfigurazioa dokumentatzen du (konexioa, segurtasunarekin lotutako konexioa, intrusioa, file, eta malware gertaerak) Firepower Threat Defense gailuetatik.

Oharra
Firepower Threat Defense syslog ezarpen asko ez dira aplikagarriak segurtasun-gertaeretan. Konfiguratu prozedura honetan deskribatutako aukerak soilik.

Hasi baino lehen

  • FMC-n, konfiguratu politikak segurtasun-gertaerak sortzeko eta egiaztatu espero dituzun gertaerak Analisia menuan dagozkion tauletan agertzen direla.
  • Bildu syslog zerbitzariaren IP helbidea, ataka eta protokoloa (UDP edo TCP):
  • Ziurtatu zure gailuak syslog zerbitzarietara irits daitezkeela.
  • Egiaztatu syslog zerbitzariak urruneko mezuak onartu ditzakeela.
  • Konexioen erregistroari buruzko informazio garrantzitsua lortzeko, ikusi Konexioen erregistroari buruzko kapitulua.

Prozedura

  • 1. urratsa Konfiguratu syslog ezarpenak zure Firepower Threat Defense gailurako:
    • Sakatu Gailuak > Plataformaren ezarpenak.
    • Editatu zure Firepower Threat Defense gailuarekin lotutako plataformaren ezarpenen politika.
    • Ezkerreko nabigazio-panelean, sakatu Syslog.
    • Sakatu Syslog Zerbitzariak eta sakatu Gehitu zerbitzaria, protokoloa, interfazea eta erlazionatutako informazioa sartzeko. Orri honetako aukerei buruzko galderarik baduzu, ikus Syslog zerbitzari bat konfiguratu.
    • Sakatu Syslog ezarpenak eta konfiguratu ezarpen hauek:
      • Gaitu Timestamp Syslog Messages-n
      • Denboralenaamp Formatua
      • Gaitu Syslog Gailu IDa
    • Sakatu Logging Setup.
    • Hautatu Syslog-ak EMBLEM formatuan bidali nahi dituzun ala ez.
    • Gorde zure ezarpenak.
  • 2. urratsa Konfiguratu erregistro-ezarpen orokorrak sarbide-kontroleko politikarako (barne file eta malware erregistroa):
    • Sakatu Politikak > Sarbide-kontrola.
    • Editatu aplikagarriak diren sarbide-kontrol-politika.
    • Sakatu Saioa hasi.
    • Hautatu FTD 6.3 eta berriagoa: Erabili gailuan inplementatutako FTD Plataformaren ezarpenen politikan konfiguratutako syslog ezarpenak.
    • (Aukerakoa) Hautatu Syslog Severity bat.
    • Bidaliko baduzu file eta malware gertaerak, hautatu Bidali Syslog mezuak honetarako File eta Malware gertaerak.
    • Sakatu Gorde.
  • 3. urratsa Gaitu Segurtasunarekin lotutako konexio-gertaeren erregistroa sarbide-kontroleko politikarako:
    • Sarbide-kontroleko politika berean, egin klik Security Intelligence fitxan.
    • Kokapen hauetako bakoitzean, sakatu Saioa hasi (Cisco-Gertaerak-Analisia-Kanpoko-tresnak-erabiltzea-irudi- (2) ) eta gaitu konexioen hasiera eta amaiera eta Syslog Server:
      • DNS politikaren ondoan.
      • Bloke-zerrenda koadroan, Sareetarako eta URLs.
    • Sakatu Gorde.
  • 4. urratsa Gaitu syslog erregistroa sarbide-kontroleko politikan arau bakoitzerako:
    • Sarbide-kontroleko politika berean, egin klik Arauak fitxan.
    • Egin klik arau batean editatzeko.
    • Egin klik Erregistroa fitxan arauan.
    • Aukeratu konexioen hasiera edo amaiera erregistratu nahi duzun ala biak.
      (Konexioaren erregistroak datu asko sortzen ditu; hasieran eta amaieran erregistratzeak datu horren bikoitza sortzen du gutxi gorabehera. Konexio guztiak ezin dira erregistratu hasieran eta amaieran).
    • Saioa egingo baduzu file gertaerak, hautatu Log Files.
    • Gaitu Syslog zerbitzaria.
    • Egiaztatu araua "Syslog konfigurazio lehenetsia erabiltzea Sarbide-kontroleko erregistroan" dela.
    • Sakatu Gehitu.
    • Errepikatu politikako arau bakoitzeko.
  • 5. urratsa Intrusio-gertaerak bidaliko badituzu:
    • Nabigatu zure sarbide-kontrol-politikarekin lotutako intrusio-politikara.
    • Zure intrusio-politikan, sakatu Ezarpen aurreratuak > Syslog alertak > Gaituta.
    • Beharrezkoa bada, sakatu Editatu
    • Sartu aukerak:
      Aukera Balioa
      Saio-ostalaria Intrusio gertaeren syslog mezuak beste syslog zerbitzari batera bidaliko ez badituzu beste syslog mezuak bidaliko dituzun baino, utzi hau hutsik goian konfiguratu dituzun ezarpenak erabiltzeko.
      Instalazioa Ezarpen hau orri honetan Logging Host bat zehazten baduzu soilik da aplikagarria.

      Deskribapenak ikusteko, ikus Syslog Alert Facilities.

      Larritasuna Ezarpen hau orri honetan Logging Host bat zehazten baduzu soilik da aplikagarria.

      Deskribapenak ikusteko, ikus Syslog larritasun mailak.

    • Sakatu Atzera.
    • Egin klik Politika-informazioa ezkerreko nabigazio-panelean.
    • Sakatu Konprometitu aldaketak.

Gero zer egin

  • (Aukera) Konfiguratu erregistro-ezarpen desberdinak politika eta arau indibidualetarako. Ikusi aplikagarriak diren taulako errenkadak Syslogs-en Konfigurazio-kokapenetan Konexio eta Security Intelligence Gertaeretarako (Gailu guztiak).
    • Ezarpen hauek syslog alerta-erantzunak beharko dituzte, Syslog alerta-erantzuna sortzean azaltzen den moduan konfiguratuta daudenak. Ez dituzte prozedura honetan konfiguratu dituzun plataformaren ezarpenak erabiltzen.
  • Gailu klasikoetarako segurtasun-gertaeren syslog-en erregistroa konfiguratzeko, ikus Bidali Segurtasun-gertaeren Syslog mezuak gailu klasikoetatik.
  • Aldaketak egiten amaitu baduzu, zabaldu zure aldaketak kudeatutako gailuetan.

Bidali Segurtasun Gertaeren Syslog mezuak gailu klasikoetatik

Hasi baino lehen

  • Konfiguratu politikak segurtasun-gertaerak sortzeko.
  • Ziurtatu zure gailuak syslog zerbitzarietara irits daitezkeela.
  • Egiaztatu syslog zerbitzariak urruneko mezuak onartu ditzakeela.
  • Konexioen erregistroari buruzko informazio garrantzitsua lortzeko, ikusi Konexioen erregistroari buruzko kapitulua.

Prozedura

  • 1. urratsa Konfiguratu alerta-erantzuna zure gailu klasikoetarako: Ikus Syslog alerta-erantzuna sortzea.
  • 2. urratsa Konfiguratu syslog ezarpenak sarbide-kontroleko politikan:
    • Sakatu Politikak > Sarbide-kontrola.
    • Editatu aplikagarriak diren sarbide-kontrol-politika.
    • Sakatu Saioa hasi.
    • Hautatu Bidali Syslog alerta zehatza erabiliz.
    • Hautatu goian sortu duzun Syslog alerta.
    • Sakatu Gorde.
  • 3. urratsa bidaliko baduzu file eta malware gertaerak:
    • Hautatu Bidali Syslog mezuak honetarako File eta Malware gertaerak.
    • Sakatu Gorde.
  • 4. urratsa Intrusio-gertaerak bidaliko badituzu:
    • Nabigatu zure sarbide-kontrol-politikarekin lotutako intrusio-politikara.
    • Zure intrusio-politikan, sakatu Ezarpen aurreratuak > Syslog alertak > Gaituta.
    • Beharrezkoa bada, sakatu Editatu
    • Sartu aukerak:
      Aukera Balioa
      Saio-ostalaria Intrusio gertaeren syslog mezuak beste syslog zerbitzari batera bidaliko ez badituzu beste syslog mezuak bidaliko dituzun baino, utzi hau hutsik goian konfiguratu dituzun ezarpenak erabiltzeko.
      Instalazioa Ezarpen hau orri honetan Logging Host bat zehazten baduzu soilik da aplikagarria.

      Ikus Syslog alerta-instalazioak.

      Larritasuna Ezarpen hau orri honetan Logging Host bat zehazten baduzu soilik da aplikagarria.

      Ikus Syslog larritasun-mailak.

    • Sakatu Atzera.
    • Egin klik Politika-informazioa ezkerreko nabigazio-panelean.
    • Sakatu Konprometitu aldaketak.

Gero zer egin

  • (Aukera) Konfiguratu erregistro-ezarpen desberdinak sarbide-kontroleko arau indibidualetarako. Ikusi aplikagarriak diren taulako errenkadak Syslogs-en Konfigurazio-kokapenetan Konexio eta Security Intelligence Gertaeretarako (Gailu guztiak). Ezarpen hauek syslog alerta-erantzunak beharko dituzte, Syslog alerta-erantzuna sortzean azaltzen den moduan konfiguratuta daudenak. Ez dituzte goian konfiguratu dituzun ezarpenak erabiltzen.
  • FTD gailuetarako segurtasun-gertaeren syslog-eko erregistroa konfiguratzeko, ikus Bidali segurtasun-gertaeren Syslog mezuak FTD gailuetatik.

Segurtasun Gertaeren Syslog-en konfigurazio-kokapenak

  • Konfigurazio-kokapenak Syslog-en Konexio eta Segurtasun Adimeneko Gertaeretarako (Gailu guztiak)12
  • Intrusio-gertaeretarako Syslog-en konfigurazio-kokapenak (FTD gailuak)
  • Intrusio-gertaeretarako Syslog-en konfigurazio-kokapenak (FTD ez diren gailuak)
  • Syslog-en konfigurazio-kokapenak File eta Malware Gertaerak

Konfigurazio-kokapenak Syslog-en Konexio eta Segurtasun Inteligentziako Gertaeretarako (Gailu guztiak)
Leku asko daude erregistro-ezarpenak konfiguratzeko. Erabili beheko taula behar dituzun aukerak ezartzen dituzula ziurtatzeko.

Garrantzitsua

  • Kontuz ibili syslog ezarpenak konfiguratzean, batez ere beste konfigurazioetatik heredatutako lehenetsiak erabiltzen dituzunean. Baliteke aukera batzuk EZ egotea erabilgarri kudeatutako gailu modelo eta software bertsio guztietan, beheko taulan adierazten den moduan.
  • Konexioen erregistroa konfiguratzean informazio garrantzitsua lortzeko, ikusi Konexioen erregistroari buruzko kapitulua.
Konfigurazioa Kokapena Deskribapena eta Gehiago Informazioa
Gailuak > Plataformaren ezarpenak, Mehatxuen Defentsa ezarpenen politika, Syslog Aukera hau Firepower Threat Defense gailuei soilik aplikatzen zaie.

Hemen konfiguratzen dituzun ezarpenak Sarbide-kontroleko politika baten Erregistroaren ezarpenetan zehaztu eta gero erabili edo gainidatzi daitezke

taula honetako gainerako politikak eta arauak.

Ikusi Segurtasun Gertaeren Syslog mezuei aplikatzen zaizkien FTD plataformaren ezarpenak eta Syslog eta azpigaiei buruz.

Politikak > Sarbide-kontrola, , Erregistratzea Hemen konfiguratzen dituzun ezarpenak syslog-en ezarpen lehenetsiak dira konexio- eta segurtasun-adimen-gertaera guztietarako, baldin eta hurrengo taulako gainerako errenkadetan zehaztutako kokapenetan ondorengo politika eta arauen lehenetsiak gainidazten badituzu.

FTD gailuetarako gomendatutako ezarpenak: Erabili FTD plataformaren ezarpenak. Informazioa lortzeko, ikus Segurtasun Gertaeren Syslog mezuei aplikatzen zaizkien FTD plataformaren ezarpenak eta Syslog-ari eta azpigaiei buruz.

Beste gailu guztietan beharrezko ezarpena: Erabili syslog alerta bat.

Syslog alerta bat zehazten baduzu, ikus Syslog alertaren erantzuna sortzea.

Erregistroa fitxako ezarpenei buruzko informazio gehiago lortzeko, ikus Sarbide-kontroleko gidalerroetarako erregistro-ezarpenak.

Politikak > Sarbide-kontrola, , Arauak, Ekintza lehenetsia errenkada,

Erregistratzea (Cisco-Gertaerak-Analisia-Kanpoko-tresnak-erabiltzea-irudi- (3) )

Sarbide-kontroleko politika batekin lotutako ekintza lehenetsiaren erregistro-ezarpenak.

Ikusi sarrera-kontroleko arauak kapituluan saioa hasteari buruz eta Politika lehenetsitako ekintza batekin konexioak erregistratzea.

Politikak > Sarbide-kontrola, , Arauak, , Erregistratzea Sarbide-kontroleko politika bateko arau jakin baterako erregistro-ezarpenak.

Ikusi saioa hasteari buruzko informazioa Sarbide-kontrol-arauak kapituluan.

Politikak > Sarbide-kontrola, , Segurtasun adimena,

Erregistratzea (Cisco-Gertaerak-Analisia-Kanpoko-tresnak-erabiltzea-irudi- (2) )

Security Intelligence Block zerrendetarako erregistro-ezarpenak. Egin klik botoi hauetan konfiguratzeko:

• DNS Blokeatu Zerrenda Erregistratzeko aukerak

•  URL Bloke-zerrenda erregistratzeko aukerak

• Sareko blokeo-zerrenda erregistratzeko aukerak (blokeatutako zerrendako IP helbideetarako)

 

Ikus Konfiguratu Security Intelligence, aurrebaldintzen atala barne, eta azpigaiak eta estekak.

Politikak > SSL, ,

Ekintza lehenetsia errenkada, Erregistratzea (Cisco-Gertaerak-Analisia-Kanpoko-tresnak-erabiltzea-irudi- (3) )

SSL politika batekin lotutako ekintza lehenetsiaren erregistro-ezarpenak.

Ikusi Politika lehenetsitako ekintza batekin konexioak erregistratzea.

Politikak > SSL, , , Erregistratzea SSL arauetarako erregistro-ezarpenak.

Ikus TLS/SSL arauen osagaiak.

Politikak > Aurreiragazkia, ,

Ekintza lehenetsia errenkada, Erregistratzea (Cisco-Gertaerak-Analisia-Kanpoko-tresnak-erabiltzea-irudi- (3) )

Aurreiragazte-politika batekin lotutako ekintza lehenetsiaren erregistro-ezarpenak.

Ikusi Politika lehenetsitako ekintza batekin konexioak erregistratzea.

Politikak > Aurreiragazkia, ,

, Erregistratzea

Aurreiragazte-arau bakoitzeko erregistro-ezarpenak aurreiragazte-politika batean.

Ikus tunelaren eta aurreiragazkien arauen osagaiak

Politikak > Aurreiragazkia, ,

, Erregistratzea

Tunel-arau bakoitzeko erregistro-ezarpenak aurreiragazte-politika batean.

Ikus tunelaren eta aurreiragazkien arauen osagaiak

FTD kluster konfigurazioetarako syslog ezarpen gehigarriak: Clustering for the Firepower Threat Defense kapituluak syslog-en erreferentzia anitz ditu; bilatu kapituluan "syslog".

Intrusio-gertaeretarako Syslog-en konfigurazio-kokapenak (FTD gailuak)
Intrusio-politiketarako syslog-en ezarpenak zehaztu ditzakezu hainbat tokitan eta, aukeran, sarbide-kontroleko politikatik edo FTD plataformaren ezarpenetatik edo bietatik hereda ditzakezu ezarpenak.

Konfigurazioa Kokapena Deskribapena eta Gehiago Informazioa
Gailuak > Plataforma Ezarpenak, Mehatxuen Defentsa ezarpenen politika, Syslog Hemen konfiguratzen dituzun Syslog-en helmugak sarbide-politika baten erregistroa fitxan zehaz daitezke, intrusio-politikaren lehenetsia izan daitekeena.

Ikusi Segurtasun Gertaeren Syslog mezuei aplikatzen zaizkien FTD plataformaren ezarpenak eta Syslog eta azpigaiei buruz.

Politikak > Sarbide-kontrola, , Erregistratzea Intrusiorako syslog helmugaren ezarpen lehenetsia

gertaerak, intrusio-politikak beste erregistro-ostalari batzuk zehazten ez baditu.

Ikus Sarbide-kontroleko gidalerroetarako erregistro-ezarpenak.

Politikak > Intrusioa, , Ezarpen aurreratuak, gaitu Syslog alerta, egin klik Editatu Sarbide-kontroleko gidalerroak Erregistroa fitxan zehaztutako helmugak ez diren syslog-biltzaileak zehazteko, eta instalazioa eta larritasuna zehazteko, ikus Intrusio-gertaeretarako Syslog alertak konfiguratzea.

Erabili nahi baduzu Larritasuna or Instalazioa edo biak intrusio-politikan konfiguratuta, behar duzu ere

konfiguratu erregistroko ostalariak politikan. Sarbide-kontroleko politikan zehaztutako erregistro-ostalariak erabiltzen badituzu, ez dira erabiliko intrusio-politikan zehaztutako larritasuna eta instalazioa.

Intrusio-gertaeretarako Syslog-en konfigurazio-kokapenak (FTD ez diren gailuak)

  • (Lehenetsia) Sarbide-kontrol-politika Sarbide-kontrol-politikaren erregistro-ezarpenak, syslog alerta bat zehazten baduzu (ikus Syslog alerta-erantzuna sortzea).
  • Edo ikus Sartze-gertaeretarako Syslog alertak konfiguratzea.

Lehenespenez, sartze-politika sarbide-politikaren Erregistroa fitxako ezarpenak erabiltzen ditu. FTD ez den beste gailuei dagozkien ezarpenak ez badira bertan konfiguratzen, ez dira sistemako log-ak bidaliko FTD ez beste gailuetarako eta ez da abisurik agertzen.

Syslog-en konfigurazio-kokapenak File eta Malware Gertaerak

Konfigurazioa Kokapena Deskribapena eta Gehiago Informazioa
Sarbide-kontroleko politika batean:

Politikak > Sarbide-kontrola, , Erregistratzea

Hau da sistema konfiguratzeko kokapen nagusia syslog-ak bidaltzeko file eta malware gertaerak.

FTD plataformaren ezarpenetan syslog ezarpenak erabiltzen ez badituzu, alerta-erantzun bat ere sortu behar duzu. Ikus Syslog alerta-erantzun bat sortzea.

Konfigurazioa Kokapena Deskribapena eta Gehiago Informazioa
Firepower Threat Defense plataformaren ezarpenetan:

Gailuak > Plataforma Ezarpenak, Mehatxuen Defentsa ezarpenen politika, Syslog

Ezarpen hauek onartzen diren bertsioak exekutatzen dituzten Firepower Threat Defense gailuei soilik aplikatzen zaizkie, eta sarbide-kontroleko politikan Erregistro fitxa konfiguratzen baduzu soilik FTD plataformaren ezarpenak erabiltzeko.

Ikusi Segurtasun Gertaeren Syslog mezuei aplikatzen zaizkien FTD plataformaren ezarpenak eta Syslog eta azpigaiei buruz.

Sarbide-kontroleko arau batean:

Politikak > Sarbide-kontrola, , , Erregistratzea

FTD plataformaren ezarpenetan syslog ezarpenak erabiltzen ez badituzu, alerta-erantzun bat ere sortu behar duzu. Ikus Syslog alerta-erantzun bat sortzea.

Segurtasun Gertaeren Syslog Mezuen Anatomia

ExampFTD-ren segurtasun-gertaeraren mezua (Intrusion Event)

Cisco-Gertaerak-Analisia-Kanpoko-tresnak-erabiltzea-irudi- (4)

1. taula: Segurtasun Gertaeren Syslog mezuen osagaiak

Elementua Zenbakia in Sample Mezua Goiburua Elementua Deskribapena
0 PRI Alertaren instalazioa eta larritasuna adierazten duen lehentasun-balioa. Balioa Syslog mezuetan bakarrik agertzen da saioa FMC plataformaren ezarpenak erabiliz EMBLEM formatuan saioa gaitzen duzunean. Zuk bada

Gaitu intrusio-gertaeren erregistroa sarbide-kontroleko politikaren bidez Erregistro fitxan, PRI balioa automatikoki bistaratuko da syslog mezuetan. EMBLEM formatua gaitzeari buruzko informazio gehiago lortzeko, ikus Gaitu erregistroa eta konfiguratu oinarrizko ezarpenak. PRIri buruzko informaziorako, ikus RFC5424.

1 Denboralenaamp Syslog mezua gailutik bidali den data eta ordua.

• (FTD gailuetatik bidalitako Syslog-ak) Sarbide-kontroleko politikan eta bere ondorengoen ezarpenak erabiliz bidalitako syslog-etarako, edo FTD Plataformaren Ezarpenetan formatu hau erabiltzeko zehaztuta badago, data-formatua ISO 8601-en definitutako formatua da.amp RFC 5424-n zehaztutako formatua (aaaa-MM-ddTHH:mm:ssZ), non Z hizkiak UTC ordu-eremua adierazten duen.

• (Beste gailu guztietatik bidalitako Syslog-ak) Sarbide-kontroleko politikan eta haren ondorengoen ezarpenak erabiliz bidalitako Syslog-en kasuan, data-formatua ISO 8601-en definitutako formatua da.amp

RFC 5424-n zehaztutako formatua (aaaa-MM-ddTHH:mm:ssZ), non Z hizkiak UTC ordu-eremua adierazten duen.

• Bestela, UTC ordu-eremuko hilabetea, eguna eta ordua da, ordu-eremua adierazten ez den arren.

 

Denborak konfiguratzekoamp ezarpena FTD plataformaren ezarpenetan, ikus Konfiguratu Syslog ezarpenak.

2 Mezua bidali den gailua edo interfazea.

Hau izan daiteke:

• Interfazearen IP helbidea

• Gailuaren ostalari-izena

• Gailuaren identifikatzaile pertsonalizatua

(FTD gailuetatik bidalitako sislogetarako)

Syslog mezua FTD plataformaren ezarpenak erabiliz bidali bazen, hau da konfiguratutako balioa Syslog ezarpenak rentzat Gaitu Syslog Gailu IDa aukera, zehazten bada.

Bestela, elementu hau ez dago goiburuan.

Ezarpen hau FTD plataformaren ezarpenetan konfiguratzeko, ikus Konfiguratu Syslog ezarpenak.

3 Balio pertsonalizatua Mezua alerta-erantzun baten bidez bidali bazen, hau da Tag mezua bidali duen alerta erantzunean konfiguratutako balioa, konfiguratuta badago. (Ikus Syslog alerta-erantzuna sortzea.)

Bestela, elementu hau ez dago goiburuan.

4 %FTD

%NGIPS

Mezua bidali duen gailu mota.

• %FTD Firepower Threat Defense da

• %NGIPS gainerako gailu guztiak dira

5 Larritasuna Mezua abiarazi duen politikarako syslog ezarpenetan zehaztutako larritasuna.

Larritasunaren deskribapenetarako, ikus Larritasun-mailak edo Syslog-en larritasun-mailak.

6 Gertaera motaren identifikatzailea • 430001: Intrusio-gertaera

• 430002: Konexio-gertaera erregistratu da konexioaren hasieran

• 430003: Konexio-gertaera erregistratu da konexioaren amaieran

 

• 430004: File gertaera

• 430005: File malware gertaera

Instalazioa Ikusi Instalazioa Segurtasun Gertaeren Syslog mezuetan
Mezuaren gainerakoa Bi puntuz bereizita dauden eremuak eta balioak.

Balio hutsak edo ezezagunak dituzten eremuak baztertzen dira mezuetatik. Eremuen deskribapenak ikusteko, ikusi:

• Konexio eta Segurtasun Inteligentziaren Gertaeren Eremuak.

• Intrusio Gertaeren Eremuak

•  File eta Malware Gertaeren Eremuak

 

Oharra              Eremuen deskribapen zerrendetan, bai syslog eremuak eta

ekitaldian ikusgai dauden eremuak viewer (Menu-aukerak Firepower Management Center-eko Analisi menuaren azpian web interfazea.) Syslog bidez eskuragarri dauden eremuak horrela etiketatuta daude.

Ekitaldian ikusgai dauden eremu batzuk viewer ez daude eskuragarri syslog bidez. Gainera, Syslog eremu batzuk ez dira ekitaldian sartzen viewer (baina bilaketa bidez erabilgarri egon daiteke), eta eremu batzuk konbinatu edo bereizten dira.

Segurtasun Gertaeren Syslog Mezuen instalazioa
Instalazio-balioak, oro har, ez dira garrantzitsuak Syslog mezuetan segurtasun-gertaeren kasuan. Hala ere, instalazioak behar badituzu, erabili taula hau:

Gailua Konexio-ekitaldietan instalazioa sartzeko To Sartu Instalazioa in Intrusio Gertaerak Kokapena Syslog Mezuan
FTD Erabili EMBLEMA aukera FTD plataformaren ezarpenetan.

Instalazioa beti da ALERTA FTD plataformaren ezarpenak erabiliz syslog mezuak bidaltzean konexio gertaeretarako.

Erabili EMBLEM aukera FTD plataformaren ezarpenetan edo

konfiguratu erregistroa intrusio-politikako syslog ezarpenak erabiliz. Intrusio-politika erabiltzen baduzu, erregistro-ostalaria ere zehaztu behar duzu intrusio-politikaren ezarpenetan.

Instalazioa ez da mezuen goiburuan agertzen, baina syslog biltzaileak balioa atera dezake

RFC 5424, 6.2.1 atalean oinarrituta.

Gaitu syslog alertak eta

konfiguratu erraztasuna eta larritasuna intrusio-politikan. Ikus Sartze-gertaeretarako Syslog alertak konfiguratzea.

FTD ez beste gailuak Erabili alerta-erantzun bat. Erabili syslog ezarpena intrusio-politikaren ezarpen aurreratuetan edo sarbide-kontroleko politika Erregistro fitxan identifikatutako alerta-erantzun bat.

Informazio gehiago lortzeko, ikusi Intrusioen Syslog Alertetarako instalazioak eta larritasunak eta Syslog Alert Erantzun bat sortzea.

Firepower Syslog mezu motak
Firepower-ek hainbat syslog datu-mota bidal ditzake, hurrengo taulan azaltzen den moduan:

Syslog datu mota Ikusi
FMC-ren auditoretza-erregistroak Igorri Ikuskaritza Erregistroak Syslog-era eta Sistema Auditoria kapitulura
Gailu klasikoetako ikuskapen-erregistroak (ASA FirePOWER, NGIPSv) Erreproduzitu Ikuskapen Erregistroak Gailu klasikoetatik eta Sistema Auditoria kapitulutik

CLI komandoa: syslog

Gailuaren osasuna eta sarearekin lotutako erregistroak FTD gailuetatik Syslog eta azpigaiei buruz
FTD gailuetako konexio, segurtasun adimena eta intrusio gertaeren erregistroak Sistema konfiguratzeari buruz, Syslog-era segurtasun-gertaeren datuak bidaltzeko.
Gailu klasikoetako konexio-, segurtasun adimen- eta intrusio-gertaeren erregistroak Sistema konfiguratzeari buruz, Syslog-era segurtasun-gertaeren datuak bidaltzeko
Erregistroak file eta malware gertaerak Sistema konfiguratzeari buruz, Syslog-era segurtasun-gertaeren datuak bidaltzeko

Syslog-en mugak segurtasun-gertaeretarako

  • Syslog edo gertaerak kanpoan gordeko badituzu, saihestu karaktere bereziak objektuen izenetan, hala nola politika eta arauen izenak. Objektuen izenek ez dute karaktere berezirik eduki behar, hala nola, komak, aplikazio hartzaileak bereizle gisa erabil ditzakeen.
  • Gertaerak Syslog-en biltzailean agertzeko 15 minutu behar izan ditzake.
  • Ondorengo datuak file eta malware gertaerak ez daude eskuragarri syslog bidez:
  • Atzera begirako gertaerak
  • Sortutako gertaerak AMP Amaierako puntuetarako

eStreamer Server Streaming

  • Event Streamer-ek (eStreamer) Firepower Kudeaketa Zentro batetik hainbat gertaera-datuak erreproduzitzeko aukera ematen dizu neurrira garatutako bezero-aplikazio batera. Informazio gehiago lortzeko, ikusi Firepower System Event Streamer Integrazio Gida.
  • eStreamer zerbitzari gisa erabili nahi duzun tresnak kanpoko bezero bati eStreamer gertaerak igortzen hasi aurretik, eStreamer zerbitzaria konfiguratu behar duzu bezeroei gertaerak bidal ditzan, bezeroari buruzko informazioa emateko eta autentifikazio-kredentzial multzo bat sortzeko. komunikazioa. Zeregin horiek guztiak tresnaren erabiltzaile-interfazetik egin ditzakezu. Zure ezarpenak gordetzen direnean, hautatu dituzun gertaerak eStreamer bezeroei birbidaliko zaizkie eskatutakoan.
  • eStreamer zerbitzariak eskatzen dituzten bezeroei zein gertaera mota transmititzeko gai den kontrola dezakezu.

2. taula: eStreamer zerbitzariak igorri ditzakeen gertaera motak

Gertaera Mota Deskribapena
Intrusio Gertaerak Kudeatutako gailuek sortutako intrusio-gertaerak
Intrusio-gertaera paketeen datuak intrusio-gertakariekin lotutako paketeak
Intrusio Gertaeraren Datu gehigarriak Intrusio-gertaera bati lotutako datu gehigarriak, esate baterako, a batera konektatzen den bezero baten jatorrizko IP helbideak web zerbitzari HTTP proxy edo karga-orekatzailearen bidez
Aurkikuntza Ekitaldiak Sarearen aurkikuntza ekitaldiak
Korrelazioa eta Baimendu Zerrenda Gertaerak korrelazioak eta betetzeak zerrendako gertaerak ahalbidetzen ditu
Eraginaren banderaren alertak FMCk sortutako eragin-alertak
Erabiltzaileen Gertaerak erabiltzaileen gertaerak
Gertaera Mota Deskribapena
Malware gertaerak malware gertaerak
File Gertaerak file gertaerak
Konexio Gertaerak Zure monitorizatutako ostalarien eta gainerako ostalari guztien arteko saio-trafikoari buruzko informazioa.
Syslog eta eStreamer-en alderaketa Security Eventing-erako

Orokorrean, gaur egun eStreamer-en inbertsio handirik ez duten erakundeek syslog erabili beharko lukete eStreamerren ordez segurtasun-gertaeren datuak kanpotik kudeatzeko.

Syslog eStreamer
Ez da pertsonalizaziorik behar Pertsonalizazio garrantzitsua eta etengabeko mantentze-lanak behar dira bertsio bakoitzean aldaketak egokitzeko
Estandarra Jabeduna
Syslog estandarrak ez du babesten datu-galeren aurka, batez ere UDP erabiltzen denean Datu-galeren aurkako babesa
Gailuetatik zuzenean bidaltzen du FMCtik bidaltzen du, prozesatzeko gainkostua gehituz
Laguntzarako file eta malware gertaerak, konexioa

gertaerak (segurtasun adimen-gertaerak barne) eta intrusio-gertaerak.

eStreamer Server Streaming-en zerrendatutako gertaera mota guztien laguntza.
Gertaeren datu batzuk FMCtik soilik bidal daitezke. Ikusi eStreamer bidez soilik bidalitako datuak, ez Syslog bidez. Syslog bidez zuzenean gailuetatik bidali ezin diren datuak biltzen ditu. Ikusi eStreamer bidez soilik bidalitako datuak, ez Syslog bidez.

Datuak eStreamer bidez bakarrik bidali dira, ez Syslog bidez
Datu hauek Firepower Management Center-etik soilik daude eskuragarri eta, beraz, ezin dira gailuetatik Syslog bidez bidali:

  • Paketeen erregistroak
  • Intrusio Gertaera Datu gehigarriak gertaerak
    Deskribapen bat lortzeko, ikus eStreamer Server Streaming.
  • Estatistika eta gertakari agregatuak
  • Sarearen aurkikuntza ekitaldiak
  • Erabiltzaileen jarduera eta saioa hasteko gertaerak
  • Korrelazio-gertaerak
  • Malware gertaeretarako:
    • atzera begirako epaiak
    • ThreatName eta Disposition, dagokion SHA-ei buruzko informazioa dagoeneko gailuarekin sinkronizatu ez bada
  • Eremu hauek:
    • Eragina eta ImpactFlag eremuak
      Deskribapen bat lortzeko, ikus eStreamer Server Streaming.
    • IOC_Count eremua
  • ID eta UUID gordina gehienak.
    Salbuespenak:
    • Konexio-gertaeren Syslog-ak honako hauek dira: FirewallPolicyUUID, FirewallRuleID, TunnelRuleID, MonitorRuleID, SI_CategoryID, SSL_PolicyUUID eta SSL_RuleID
    • Intrusio-gertaeren Syslog-ek IntrusionPolicyUUID, GeneratorID eta SignatureID barne hartzen dituzte
  • Metadatu hedatuak, besteak beste, baina hauek ez ezik:
    • LDAPek emandako erabiltzaileen xehetasunak, hala nola, izen-abizenak, saila, telefono-zenbakia, etab. Syslog-ek erabiltzaile-izenak soilik ematen ditu gertaeretan.
    • Estatuan oinarritutako informazioaren xehetasunak, hala nola SSL ziurtagiriaren xehetasunak. Syslog-ek oinarrizko informazioa eskaintzen du ziurtagiriaren hatz-marka bezalakoa, baina ez du ziurtagiriaren beste xehetasunik emango, adibidez, CN cert.
    • Aplikazioaren informazio zehatza, adibidez, aplikazioa Tags eta Kategoriak. Syslog-ek Aplikazioen izenak soilik eskaintzen ditu. Metadatu mezu batzuek objektuei buruzko informazio gehigarria ere badute.
  • Geolokalizazioari buruzko informazioa

eStreamer gertaera motak aukeratzea

  • eStreamer Gertaeraren Konfigurazioa kontrol-laukiek eStreamer zerbitzariak zein gertakari transmiti ditzakeen kontrolatzen dute.
  • Zure bezeroak eStreamer zerbitzariari bidaltzen dion eskaera-mezuan jaso nahi dituzun gertaera motak berariaz eskatu behar ditu oraindik. Informazio gehiago lortzeko, ikusi Firepower System Event Streamer Integrazio Gida.
  • Domeinu anitzeko inplementazioan, eStreamer Gertaeraren Konfigurazioa edozein domeinu mailan konfigura dezakezu. Hala ere, arbasoen domeinu batek gertaera mota jakin bat gaitu badu, ezin duzu gertaera mota hori desgaitu ondorengo domeinuetan.
  • Zeregin hau egiteko, FMC-rako, Administratzaile erabiltzailea izan behar duzu.

Prozedura

  • 1. urratsa Aukeratu Sistema > Integrazioa.
  • 2. urratsa Sakatu eStreamer.
  • 3. urratsa eStreamer Gertaeraren Konfigurazioan, markatu edo garbitu eStreamer-ek bezero eskatzaileei birbidaltzea nahi dituzun gertaera moten ondoan, eStreamer Server Streaming atalean deskribatuta.
  • 4. urratsa Sakatu Gorde.

eStreamer bezeroaren komunikazioak konfiguratzea

  • eStreamer-ek eStreamer gertaerak bezero bati bidali aurretik, bezeroa gehitu behar duzu eStreamer zerbitzariaren pareko datu-basean eStreamer orrialdetik. EStreamer zerbitzariak sortutako autentifikazio-ziurtagiria ere kopiatu behar duzu bezeroari. Urrats hauek amaitu ondoren, ez duzu eStreamer zerbitzua berrabiarazi behar bezeroa eStreamer zerbitzarira konektatzeko.
  • Domeinu anitzeko inplementazioan, eStreamer bezero bat sor dezakezu edozein domeinutan. Autentifikazio-ziurtagiriak bezeroari gertaerak eskatzeko aukera ematen dio bezeroaren ziurtagiriaren domeinutik eta ondorengo edozein domeinutik soilik. eStreamer konfigurazio-orriak uneko domeinuarekin erlazionatutako bezeroak bakarrik erakusten ditu, beraz ziurtagiri bat deskargatu edo baliogabetu nahi baduzu, aldatu bezeroa sortu zen domeinura.
  • Admin edo Discovery Admin erabiltzailea izan behar duzu zeregin hau egiteko, FMCrako.

Prozedura

  • 1. urratsa Aukeratu Sistema > Integrazioa.
  • 2. urratsa Sakatu eStreamer.
  • 3. urratsa Sakatu Sortu bezeroa.
  • 4. urratsa Ostalari-izena eremuan, idatzi eStreamer bezeroa exekutatzen duen ostalariaren ostalari-izena edo IP helbidea.
    Oharra DNS bereizmena konfiguratu ez baduzu, erabili IP helbide bat.
  • 5. urratsa Ziurtagiria enkriptatu nahi baduzu file, idatzi pasahitza Pasahitza eremuan.
  • 6. urratsa Sakatu Gorde.
    eStreamer zerbitzariak orain ostalariari eStreamer zerbitzariko 8302 ataka atzitzeko aukera ematen dio eta autentifikazio-ziurtagiri bat sortzen du bezero-zerbitzariaren autentifikazioan erabiltzeko.
  • 7. urratsa Egin klik Deskargatu (Cisco-Gertaerak-Analisia-Kanpoko-tresnak-erabiltzea-irudi- (5) ) bezeroaren ostalari-izenaren ondoan ziurtagiria deskargatzeko file.
  • 8. urratsa Gorde ziurtagiria file Zure bezeroak SSL autentifikaziorako erabiltzen duen direktorio egokira.
  • 9. urratsa Bezero bati sarbidea kentzeko, sakatu Ezabatu (Cisco-Gertaerak-Analisia-Kanpoko-tresnak-erabiltzea-irudi- (6) ) kendu nahi duzun ostalariaren ondoan.
    Kontuan izan ez duzula eStreamer zerbitzua berrabiarazi behar; sarbidea berehala kenduko da.

Gertaeren analisia Splunk-en

  • Splunk-erako Cisco Secure Firewall (fka Firepower) aplikazioa (lehen Cisco Firepower App for Splunk izenez ezagutzen zen) kanpoko tresna gisa erabil dezakezu Firepower gertaeren datuak bistaratzeko eta lan egiteko, zure sareko mehatxuak ehizatu eta ikertzeko.
  • eStreamer beharrezkoa da. Hau funtzionalitate aurreratua da. Ikusi eStreamer Server Streaming.
  • Informazio gehiagorako, ikus https://cisco.com/go/firepower-for-splunk.

Gertaeren analisia IBM QRadar-en

Gertaeren datuak kanpoko tresnak erabiliz aztertzeko historia

Ezaugarri Bertsioa Xehetasunak
SecureX zinta 7.0 SecureX zinta SecureX-era biratzen da zure Cisco segurtasun-produktuen mehatxuen panorama berehala ikusteko.

SecureX zinta FMCn bistaratzeko, ikusi Firepower eta SecureX Integrazio Gida helbidean https://cisco.com/go/firepower-securex-documentation.

Pantaila berriak/Aldatuak: Orri berria: Sistema > SecureX

Bidali konexio-gertaera guztiak Cisco hodera 7.0 Orain konexio-gertaera guztiak bidal ditzakezu Cisco hodera, lehentasun handiko konexio-gertaerak bidali beharrean.

Pantaila berriak/Aldatuak: Aukera berria Sistema > Integrazioa > Hodeiko Zerbitzuak orrian

Abiarazte gurutzatua view datuak Secure Network Analytics-en 6.7 Eginbide honek Sare Seguruko Analisirako tresnarako sarrera anitz sortzeko modu azkar bat aurkezten du Analisia > Testuinguruko abiarazte gurutzatua orrian.

Sarrera hauei esker, eskuineko botoiarekin klik egin dezakezu dagokion gertaera batean zehar abiarazteko Sare Seguruaren Analytics gurutzatuta abiarazi duzun datu-puntuarekin erlazionatutako bistaratzeko informazioa.

Menu-elementu berria: Sistema > Erregistroa > Segurtasun-analisia eta erregistroa Orri berria Secure Network Analytics-era gertaerak bidaltzea konfiguratzeko.

Testuinguruko abiarazte gurutzatua

eremu mota gehigarrietatik

6.7 Kanpoko aplikazio batera gurutzatu dezakezu orain gertaeren datu mota gehigarri hauek erabiliz:

• Sarbide-kontroleko politika

• Intrusio-politika

• Aplikazio-protokoloa

• Bezeroaren aplikazioa

•  Web aplikazioa

• Erabiltzaile izena (erreinua barne)

 

Menu-aukera berriak: Testuinguru-gurutze-abiarazte-aukerak eskuragarri daude orain, goiko datu-motetan eskuineko botoiarekin klik egitean Arbeleko widgetetan eta gertaeren tauletan Analisia menuko orrialdeetan.

Onartutako plataformak: Firepower Management Center

IBM QRadar-ekin integratzea 6.0 eta geroago IBM QRadar erabiltzaileek Firepower-en berariazko aplikazio berri bat erabil dezakete gertaeren datuak aztertzeko. Eskuragarri dauden funtzionalitateak zure Firepower bertsioak eragiten ditu.

Ikus Gertaeren analisia IBM QRadar-en.

Cisco SecureX mehatxuen erantzunarekin integratzeko hobekuntzak 6.5 • Eskualdeko hodeietarako laguntza:

• Estatu Batuak (Ipar Amerika)

• Europa

 

• Ekitaldi mota gehigarrietarako laguntza:

•  File eta malware gertaerak

• Lehentasun handiko konexio-gertaerak

Hauek hauekin erlazionatutako konexio-gertaerak dira:

• Intrusio-gertaerak

• Segurtasun Inteligentziako gertaerak

•  File eta malware gertaerak

 

 

Pantaila aldatuak: aukera berriak aktibatuta Sistema > Integrazioa > Hodeiko zerbitzuak.

Onartutako plataformak: bertsio honetan onartzen diren gailu guztiak, zuzeneko integrazio edo syslog bidez.

Syslog 6.5 AccessControlRuleName eremua eskuragarri dago orain intrusio-gertaeren syslog mezuetan.
Cisco Security Packet Analyzer-ekin integratzea 6.5 Eginbide honen laguntza kendu da.
Cisco SecureX mehatxuen erantzunarekin integratzea 6.3 (syslog bidez, proxy bat erabiliz

biltzailea)

6.4

(zuzena)

Integratu Firepower intrusio-gertaeren datuak beste iturri batzuetako datuekin bateratu baterako view zure sareko mehatxuak Cisco SecureX mehatxuen erantzunaren analisi-tresna indartsuak erabiliz.

Pantaila aldatuak (6.4 bertsioa): Aukera berriak aktibatuta Sistema > Integrazioa > Hodeiko zerbitzuak. Onartutako plataformak: Firepower Threat Defense 6.3 bertsioa (syslog bidez) edo 6.4 exekutatzen duten gailuak.

Syslog laguntzarako File eta Malware gertaerak 6.4 Guztiz kualifikatua file eta malware gertaeren datuak kudeatutako gailuetatik bidal daitezke orain syslog bidez. Pantaila aldatuak: Politikak > Sarbide-kontrola > Sarbide-kontrola > Erregistroa.

Onartutako plataformak: 6.4 bertsioa exekutatzen duten kudeatutako gailu guztiak.

Splunk-ekin integratzea 6.x bertsio guztiak onartzen ditu Splunk-eko erabiltzaileek Splunk aplikazio berri bat erabil dezakete, Splunk-erako Cisco Secure Firewall (fka Firepower) aplikazioa, gertaerak aztertzeko.

Eskuragarri dauden funtzionalitateak zure Firepower bertsioak eragiten ditu. Ikusi Gertaeren analisia Splunk-en.

Cisco Security Packet Analyzer-ekin integratzea 6.3 Aurkeztutako eginbidea: berehala kontsultatu Cisco Security Packet Analyzer gertaera batekin erlazionatutako paketeetarako, eta egin klik Cisco Security Packet Analyzer-en emaitzak aztertzeko edo deskargatu itzazu kanpoko beste tresna batean aztertzeko.

Pantaila berriak:

Sistema > Integrazioa > Pakete analizatzaileen analisia > Aurreratua > Pakete analizatzaileen kontsultak

Menu aukera berriak: Kontsulta paketeen analizatzailea menuko elementua Dashboar orrietako gertaera batean eta Analisi menuko orrietako gertaera-tauletan eskuineko botoiarekin klik egitean.

Onartutako plataformak: Firepower Management Center

Testuinguruko abiarazte gurutzatua 6.3 Aurkeztutako eginbidea: egin klik eskuineko botoiarekin gertaera batean erlazionatutako informazioa aurrez zehaztuta edo pertsonalizatuan bilatzeko URL-Oinarritutako kanpoko baliabideak.

Pantaila berriak: Analisia > Aurreratua > Testuinguruko abiarazte gurutzatua

Menu-aukera berriak: aukera anitz egiten duzunean eskuineko botoiarekin klik egitean Arbel-orrietako gertaera batean eta baita Analisi-menuko orrietako taulak ere.

Onartutako plataformak: Firepower Management Center

Syslog mezuak

konexio eta intrusio gertaerak

6.3 Syslog bidez kanpoko biltegiratze eta tresnetara konexio eta intrusio-gertaerak guztiz kualifikatuak bidaltzeko gaitasuna, konfigurazio bateratu eta sinplifikatu berriak erabiliz. Gaur egun, mezuen goiburuak estandarizatuta daude eta gertaera motaren identifikatzaileak dituzte, eta mezuak txikiagoak dira balio ezezagunak eta hutsak dituzten eremuak baztertzen direlako.

Onartutako plataformak:

• Funtzio berri guztiak: 6.3 bertsioa exekutatzen duten FTD gailuak.

• Funtzionalitate berri batzuk: 6.3 bertsioa exekutatzen duten FTDak ez diren gailuak.

• Funtzio berri gutxiago: 6.3 baino bertsio zaharragoak dituzten gailu guztiak.

Informazio gehiago lortzeko, ikusi Syslog mezuak bidaltzeari buruzko gaiak segurtasun-gertaeretarako.

eStreamer 6.3 Host Identity Sources kapitulutik kapitulu honetara eStreamer edukia eraman du eta laburpen bat gehitu du eStreamer syslog-ekin alderatuz.

Dokumentuak / Baliabideak

PDF thumbnailGertaeren analisia kanpoko tresnak erabiliz
User Guide · Event Analysis Using External Tools, Event, Analysis Using External Tools, Using External Tools, External Tools

Erreferentziak

Galdera bat egin

Use this section to ask about setup, compatibility, troubleshooting, or anything missing from this manual.

Galdera bat egin

Ask about setup, compatibility, troubleshooting, or anything missing from this manual. Name and email are optional.