Кіраўніцтва карыстальніка па аналізу падзей Cisco з выкарыстаннем знешніх інструментаў

Аналіз падзей Cisco з выкарыстаннем знешніх інструментаў

Інфармацыя аб прадукце

Прадукт дазваляе карыстальнікам інтэгравацца з Cisco SecureX і атрымліваць доступ да яго з дапамогай функцыі стужкі ў FMC web інтэрфейс.

Тэхнічныя характарыстыкі

• Інтэграцыя: Cisco SecureX
• інтэрфейс: FMC web інтэрфейс
• Асаблівасці стужкі: Унізе кожнай старонкі

Інструкцыя па ўжыванні прадукту

Доступ да SecureX з дапамогай стужкі
Каб атрымаць доступ да SecureX з дапамогай стужкі, выканайце наступныя дзеянні:

1. У FMC пстрыкніце стужку ўнізе любой старонкі FMC.
2. Націсніце «Атрымаць SecureX».
3. Увайдзіце ў SecureX.
4. Націсніце спасылку, каб аўтарызаваць доступ.
5. Націсніце стужку, каб разгарнуць і выкарыстоўваць яе.

Аналіз падзей з выкарыстаннем знешніх інструментаў
Каб правесці аналіз падзей з дапамогай знешніх інструментаў, выканайце наступныя дзеянні:

1. У FMC пстрыкніце стужку ўнізе любой старонкі FMC.
2. Націсніце «Атрымаць SecureX».
3. Увайдзіце ў SecureX.
4. Націсніце спасылку, каб аўтарызаваць доступ.
5. Націсніце стужку, каб разгарнуць і выкарыстоўваць яе.

Аналіз падзей з Cisco SecureX Threat Response
Cisco SecureX Threat Response (раней вядомая як Cisco Threat Response) дазваляе карыстальнікам хутка выяўляць, расследаваць і рэагаваць на пагрозы. Каб правесці аналіз падзей з дапамогай Cisco SecureX Threat Response, выканайце наступныя дзеянні:

1. У FMC пстрыкніце стужку ўнізе любой старонкі FMC.
2. Націсніце «Атрымаць SecureX».
3. Увайдзіце ў SecureX.
4. Націсніце спасылку, каб аўтарызаваць доступ.
5. Націсніце стужку, каб разгарнуць і выкарыстоўваць яе.

View Дадзеныя падзей у Cisco SecureX Threat Response

каб view дадзеныя падзей у Cisco SecureX Threat Response, прытрымлівацца
гэтыя крокі:

1. Увайдзіце ў Cisco SecureX Threat Response, калі будзе прапанавана.

Выкарыстанне расследавання падзей Web-На аснове рэсурсаў
Для расследавання падзей выкарыстоўваючы webна аснове рэсурсаў, выканайце наступныя дзеянні:

1. Увайдзіце ў Cisco SecureX Threat Response, калі будзе прапанавана.
2. Выкарыстоўвайце функцыю кантэкстнага перакрыжаванага запуску, каб знайсці больш інфармацыі аб патэнцыйных пагрозах у webрэсурсы па-за межамі Цэнтра кіравання агнявой моцай.
3. Націсніце непасрэдна з падзеі ў падзеі viewer або на прыборнай панэлі ў Цэнтры кіравання агнявой моцай да адпаведнай інфармацыі на знешнім рэсурсе.

Аб кіраванні кантэкстнымі рэсурсамі крос-запуску
Для кіравання знешнім webна аснове рэсурсаў, выканайце наступныя дзеянні:

1. Перайдзіце ў раздзел Аналіз > Дадаткова > Кантэкстны крос-запуск.
2. Кіруйце загадзя вызначанымі і староннімі рэсурсамі, прапанаванымі Cisco.
3. Вы можаце адключыць, выдаліць або перайменаваць рэсурсы па меры неабходнасці.

FAQ

• Пытанне: Што такое SecureX?
  A: SecureX - гэта інтэграцыйная платформа ў Cisco Cloud, якая дазваляе карыстальнікам аналізаваць інцыдэнты з выкарыстаннем даных, агрэгаваных з некалькіх прадуктаў, у тым ліку Firepower.
• Пытанне: Як я магу атрымаць доступ да SecureX з дапамогай стужкі?
  A: Каб атрымаць доступ да SecureX з дапамогай функцыі стужкі, пстрыкніце стужку ўнізе любой старонкі FMC і выканайце прапанаваныя крокі.
• Q: Ці магу я view дадзеныя падзей у Cisco SecureX Threat Response?
  A: Так, вы можаце view дадзеныя падзей у Cisco SecureX Threat Response, увайшоўшы ў сістэму па запыце.
• Q: Як я магу даследаваць падзеі з дапамогай web-рэсурсы?
  A: Для расследавання падзей з дапамогай webна аснове рэсурсаў, увайдзіце ў Cisco SecureX Threat Response і выкарыстоўвайце функцыю кантэкстнага перакрыжаванага запуску, каб знайсці адпаведную інфармацыю.

Інтэграцыя з Cisco SecureX

View і працаваць з дадзенымі з усіх вашых прадуктаў бяспекі Cisco і многім іншым праз адно шкло, воблачны партал SecureX. Выкарыстоўвайце інструменты, даступныя праз SecureX, каб пашырыць пошук і расследаванне пагроз. SecureX таксама можа прадастаўляць карысную інфармацыю аб прыладах і прыладах, напрыклад, ці працуе кожная з іх з аптымальнай версіяй праграмнага забеспячэння.

• Для атрымання дадатковай інфармацыі аб SecureX гл http://www.cisco.com/c/en/us/products/security/securex.html.
• Каб інтэграваць Firepower з SecureX, глядзіце Кіраўніцтва па інтэграцыі Firepower і SecureX на https://cisco.com/go/firepower-securex-documentation.

Доступ да SecureX з дапамогай стужкі
Стужка з'яўляецца ўнізе кожнай старонкі ў FMC web інтэрфейс. Вы можаце выкарыстоўваць стужку для хуткага пераключэння на іншыя прадукты бяспекі Cisco і працы з дадзенымі аб пагрозах з розных крыніц.

Перш чым пачаць

• Калі вы не бачыце стужку SecureX унізе FMC web старонак інтэрфейсу, не выкарыстоўвайце гэтую працэдуру. Замест гэтага глядзіце Кіраўніцтва па інтэграцыі Firepower і SecureX на https://cisco.com/go/firepower-securex-documentation.
• Калі ў вас яшчэ няма ўліковага запісу SecureX, атрымайце яго ў аддзеле ІТ.

Працэдура

• Крок 1 У FMC націсніце стужку ўнізе любой старонкі FMC.
• Крок 2 Націсніце Атрымаць SecureX.
• Крок 3 Увайдзіце ў SecureX.
• Крок 4 Націсніце спасылку, каб аўтарызаваць доступ.
• Крок 5 Націсніце стужку, каб разгарнуць і выкарыстоўваць яе.

Што рабіць далей
Інфармацыю аб функцыях стужкі і іх выкарыстанні глядзіце ў анлайн-даведцы SecureX.

Аналіз падзей з рэагаваннем на пагрозы Cisco SecureX

Рэакцыя на пагрозы Cisco SecureX раней была вядомая як сістэма рэагавання на пагрозы Cisco (CTR). Хуткае выяўленне, расследаванне і рэагаванне на пагрозы з дапамогай Cisco SecureX рэагавання на пагрозы, інтэграцыйнай платформы ў Cisco Cloud, якая дазваляе аналізаваць інцыдэнты з выкарыстаннем дадзеных, агрэгаваных з некалькіх прадуктаў, у тым ліку Агнявая моц.

• Для атрымання агульнай інфармацыі аб рэагаванні на пагрозы Cisco SecureX глядзіце: https://www.cisco.com/c/en/us/products/security/threat-response.html.
• Падрабязныя інструкцыі па інтэграцыі Firepower з рэагаваннем на пагрозы Cisco SecureX глядзіце:
• Кіраўніцтва па рэагаванні на пагрозы Firepower і Cisco SecureX па інтэграцыі https://cisco.com/go/firepower-ctr-integration-docs.

View Даныя падзей у рэакцыі на пагрозы Cisco SecureX

Перш чым пачаць

• Наладзьце інтэграцыю, як апісана ў Кіраўніцтве па інтэграцыі рэагавання на пагрозы Firepower і Cisco SecureX на https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.
• Review анлайн-даведка па рэагаванні на пагрозы Cisco SecureX, каб даведацца, як знаходзіць, расследаваць і прымаць меры ў сувязі з пагрозамі.
• Вам спатрэбяцца вашы ўліковыя даныя для доступу да адказу на пагрозы Cisco SecureX.

Працэдура

Крок 1
У Цэнтры кіравання агнём зрабіце адно з наступнага:

• Каб перайсці да адказу на пагрозу Cisco SecureX ад пэўнай падзеі:
  • Перайдзіце на старонку ў меню «Аналіз > Уварванні», дзе пералічана падзея, якая падтрымліваецца.
  • Пстрыкніце правай кнопкай мышы IP-адрас крыніцы або прызначэння і выберыце View у SecureX.
• каб view агульная інфармацыя пра падзеі:
  • Перайдзіце да Сістэма> Інтэграцыі> Воблачныя службы.
  • Націсніце спасылку на view падзеі ў рэакцыі на пагрозы Cisco SecureX.

Крок 2
Увайдзіце ў сістэму адказу на пагрозы Cisco SecureX, калі будзе прапанавана.

Выкарыстанне расследавання падзей Web-На аснове рэсурсаў
Выкарыстоўвайце функцыю кантэкстнага перакрыжаванага запуску, каб хутка знайсці дадатковую інфармацыю аб патэнцыйных пагрозах у webрэсурсы па-за межамі Цэнтра кіравання агнявой моцай. Напрыкладample, вы можаце:

• Знайдзіце падазроны зыходны IP-адрас у воблачнай службе Cisco або трэцяга боку, якая публікуе інфармацыю аб вядомых і меркаваных пагрозах, або
• Шукайце мінулыя выпадкі пэўнай пагрозы ў гістарычных журналах вашай арганізацыі, калі ваша арганізацыя захоўвае гэтыя даныя ў праграме кіравання інфармацыяй і падзеямі бяспекі (SIEM).
• Шукайце інфармацыю аб канкрэтным file, у тым ліку file інфармацыя аб траекторыі, калі ваша арганізацыя разгарнула Cisco AMP для канчатковых кропак.

Пры расследаванні падзеі вы можаце пстрыкнуць непасрэдна з падзеі ў падзеі viewer або на прыборнай панэлі ў Цэнтры кіравання агнявой моцай да адпаведнай інфармацыі на знешнім рэсурсе. Гэта дазваляе хутка сабраць кантэкст вакол канкрэтнай падзеі на аснове яе IP-адрасоў, партоў, пратаколу, дамена і/або хэша SHA 256. Напрыкладample, выкажам здагадку, што вы праглядаеце віджэт прыборнай панэлі Top Attackers і хочаце даведацца больш інфармацыі пра адзін з пералічаных зыходных IP-адрасоў. Вы хочаце паглядзець, якую інфармацыю публікуе Talos пра гэты IP-адрас, таму вы выбіраеце рэсурс «Talos IP». Талос web сайт адкрывае старонку з інфармацыяй аб гэтым канкрэтным IP-адрасе. Вы можаце выбраць з набору папярэдне вызначаных спасылак на часта выкарыстоўваюцца службы выведкі пагроз Cisco і старонніх вытворцаў, а таксама дадаць спецыяльныя спасылкі на іншыя web-сэрвісы, а таксама да SIEM або іншых прадуктаў, якія маюць a web інтэрфейс. Звярніце ўвагу, што для некаторых рэсурсаў можа спатрэбіцца ўліковы запіс або купля прадукту.

Аб кіраванні кантэкстнымі рэсурсамі крос-запуску

• Кіраванне знешнім web-рэсурсы з дапамогай старонкі Аналіз > Дадаткова > Кантэкстны крос-запуск.

Выключэнне:
Кіруйце спасылкамі перакрыжаванага запуску на прыладу Secure Network Analytics, выконваючы працэдуру ў раздзеле Наладзьце спасылкі перакрыжаванага запуску для Secure Network Analytics.

• Папярэдне вызначаныя рэсурсы, прапанаваныя Cisco, пазначаны лагатыпам Cisco. Астатнія спасылкі з'яўляюцца староннімі рэсурсамі.
• Вы можаце адключыць або выдаліць любыя рэсурсы, якія вам не патрэбныя, або вы можаце перайменаваць іх, напрыкладample, дадаўшы перад імем літару з малой літары, каб рэсурс размясціўся ўнізе спісу. Адключэнне рэсурсу крос-запуску адключае яго для ўсіх карыстальнікаў. Вы не можаце аднавіць выдаленыя рэсурсы, але вы можаце стварыць іх зноўку.
• Каб дадаць рэсурс, гл. Даданне кантэкстных рэсурсаў крос-запуску.

Патрабаванні да карыстацкіх кантэкстных рэсурсаў крос-запуску

Пры даданні карыстальніцкіх кантэкстных рэсурсаў перакрыжаванага запуску:

• Рэсурсы павінны быць даступныя праз web браўзер.
• Падтрымліваюцца толькі пратаколы http і https.
• Падтрымліваюцца толькі запыты GET; Запыты POST - не.
• Кадыроўка зменных у URLs не падтрымліваецца. У той час як адрасы IPv6 могуць патрабаваць кадавання падзельнікаў двукроп'я, большасць службаў не патрабуе гэтага кадавання.
• Можна наладзіць да 100 рэсурсаў, уключаючы папярэдне вызначаныя рэсурсы.
• Вы павінны быць адміністратарам або аналітыкам бяспекі, каб стварыць перакрыжаваны запуск, але вы таксама можаце быць аналітыкам бяспекі толькі для чытання, каб выкарыстоўваць іх.

Дадаць кантэкстныя рэсурсы крос-запуску

• Вы можаце дадаць кантэкстныя рэсурсы перакрыжаванага запуску, такія як службы выведкі пагроз і інструменты кіравання інфармацыяй і падзеямі бяспекі (SIEM).
• У шматдаменных разгортваннях вы можаце бачыць і выкарыстоўваць рэсурсы ў бацькоўскіх даменах, але ствараць і рэдагаваць рэсурсы можна толькі ў бягучым дамене. Агульная колькасць рэсурсаў ва ўсіх даменах абмежавана 100.

Перш чым пачаць

• Калі вы дадаяце спасылкі на прыладу Secure Network Analytics, праверце, ці існуюць патрэбныя спасылкі; большасць спасылак аўтаматычна ствараюцца для вас, калі вы наладжваеце Cisco Security Analytics і вядзенне журналаў (лакальна).
• Глядзіце патрабаванні да карыстальніцкіх кантэкстных рэсурсаў крос-запуску.
• Пры неабходнасці для рэсурсу, на які вы спасылаецеся, стварыце або атрымайце ўліковы запіс і ўліковыя дадзеныя, неабходныя для доступу. Пры жаданні прызначыце і раздайце ўліковыя дадзеныя для кожнага карыстальніка, якому патрабуецца доступ.
• Вызначце сінтаксіс спасылкі запыту для рэсурсу, на які вы будзеце спасылацца:
  • Атрымайце доступ да рэсурсу праз браўзер і, выкарыстоўваючы дакументацыю да гэтага рэсурсу, калі неабходна, сфармулюйце спасылку для запыту, неабходную для пошуку канкрэтнага сample тыпу інфармацыі, якую вы хочаце знайсці па спасылцы запыту, напрыклад, IP-адрас.
  • Запусціце запыт, затым скапіруйце вынік URL з панэлі размяшчэння браўзера.
  • Напрыкладample, магчыма, у вас ёсць запыт URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

Працэдура

• Крок 1
  Абярыце Аналіз > Дадаткова > Кантэкстны крос-запуск.
• Крок 2 Націсніце New Cross-Launch.
  У форме, якая з'явіцца, усе палі, пазначаныя зорачкай, патрабуюць значэння.
• Крок 3 Увядзіце унікальнае імя рэсурсу.
• Крок 4 Устаўце працоўны URL радок з вашага рэсурсу ў URL Поле шаблону.
• Крок 5. Заменіце пэўныя даныя (напрыклад, IP-адрас) у радку запыту адпаведнай зменнай. Размясціце курсор і пстрыкніце зменную (напрыклад,ample, ip) адзін раз, каб уставіць зменную.
  • У эксample з раздзела «Перш чым пачаць» вышэй, атрыманы вынік URL можа быць https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
  • Калі выкарыстоўваецца кантэкстная спасылка перакрыжаванага запуску, зменная {ip} у URL будзе заменены на IP-адрас, які карыстальнік пстрыкне правай кнопкай мышы ў выпадку viewer або прыборная панэль.
  • Для апісання кожнай зменнай навядзіце курсор на зменную.
  • Вы можаце стварыць некалькі кантэкстных спасылак перакрыжаванага запуску для аднаго інструмента або службы, выкарыстоўваючы розныя зменныя для кожнай.
• Крок 6 Націсніце Праверка з прыкладамampданыя ( ), каб праверыць вашу спасылку з exampданыя.
• Крок 7. Вырашыце любыя праблемы.
• Крок 8 Націсніце Захаваць.

Даследуйце падзеі з дапамогай кантэкстнага перакрыжаванага запуску

Перш чым пачаць
Калі рэсурс, да якога вы будзеце атрымліваць доступ, патрабуе ўліковых даных, пераканайцеся, што ў вас ёсць гэтыя ўліковыя даныя.

Працэдура

• Крок 1 Перайдзіце на адну з наступных старонак у Цэнтры кіравання агнявой моцай, якая паказвае падзеі:
  • Прыборная панэль (надview > Прыборныя панэлі), або
  • Падзея viewстаронка (любы пункт меню ў меню Аналіз, які змяшчае табліцу падзей.)
• Крок 2 Пстрыкніце правай кнопкай мышы цікавую падзею і абярыце кантэкстны рэсурс крос-запуску для выкарыстання.
  • Пры неабходнасці пракруціце кантэкстнае меню ўніз, каб убачыць усе даступныя параметры.
  • Тып дадзеных, якія вы пстрыкаеце правай кнопкай мышы, вызначае параметры, якія вы бачыце; напрыкладample, калі вы пстрыкніце IP-адрас правай кнопкай мышы, вы ўбачыце толькі кантэкстныя параметры перакрыжаванага запуску, якія адносяцца да IP-адрасоў.
  • Так, напрыкладample, каб атрымаць інфармацыю аб пагрозах ад Cisco Talos аб зыходным IP-адрасе ў віджэце панэлі кіравання Top Attackers, выберыце Talos SrcIP або Talos IP.
  • Калі рэсурс уключае некалькі зменных, магчымасць выбару гэтага рэсурсу даступна толькі для падзей, якія маюць адно магчымае значэнне для кожнай уключанай зменнай.
  • Рэсурс кантэкстнага крос-запуску адкрываецца ў асобным акне браўзера.
  • Апрацоўка запыту можа заняць некаторы час, у залежнасці ад аб'ёму запытаных даных, хуткасці і попыту на рэсурс і г.д.
• Крок 3 Пры неабходнасці ўвайдзіце на рэсурс.

Наладзьце спасылкі перакрыжаванага запуску для бяспечнай сеткавай аналітыкі

• Вы можаце перакрыжаваць даныя падзей у Firepower да звязаных даных у вашым прыладзе Secure Network Analytics.
• Для атрымання дадатковай інфармацыі аб прадукце Secure Network Analytics гл https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
• Для атрымання агульнай інфармацыі аб кантэкстным крос-запуску гл. Расследаванне падзей з выкарыстаннем кантэкстнага крос-запуску.
• Выкарыстоўвайце гэтую працэдуру, каб хутка наладзіць набор спасылак перакрыжаванага запуску на прыладу Secure Network Analytics.

Заўвага

• Калі вам спатрэбіцца ўнесці змены ў гэтыя спасылкі пазней, вярніцеся да гэтай працэдуры; вы не можаце ўносіць змены непасрэдна на кантэкстнай старонцы перакрыжаванага запуску.
• Вы можаце ўручную стварыць дадатковыя спасылкі для перакрыжаванага запуску ў вашым прыладзе Secure Network Analytics, выкарыстоўваючы працэдуру ў раздзеле «Дадаць кантэкстныя рэсурсы перакрыжаванага запуску», але гэтыя спасылкі не будуць залежаць ад аўтаматычна створаных рэсурсаў і, такім чынам, імі трэба будзе кіраваць уручную (выдаленне, абноўлены і г.д.)

Перш чым пачаць

• У вас павінна быць разгорнутая і запушчаная прылада Secure Network Analytics.
• Калі вы хочаце адправіць даныя Firepower на прыладу Secure Network Analytics з дапамогай аналітыкі бяспекі Cisco і вядзення журнала (лакальна), гл. Аддаленае захоўванне даных на прыладзе Secure Network Analytics.

Працэдура

• Крок 1 Абярыце Сістэма > Журнал > Аналітыка бяспекі і журнал.
• Крок 2 Уключыце функцыю.
• Крок 3 Увядзіце імя хаста або IP-адрас і порт вашай прылады Secure Network Analytics. Порт па змаўчанні - 443.
• Крок 4 Націсніце Захаваць.
• Крок 5 Праверце свае новыя спасылкі для крос-запуску: выберыце Аналіз > Дадаткова > Кантэкстны крос-запуск. Калі вам трэба ўнесці змены, вярніцеся да гэтай працэдуры; вы не можаце ўносіць змены непасрэдна на кантэкстнай старонцы перакрыжаванага запуску.

Што рабіць далей

• Для перакрыжаванага запуску з падзеі ў падзею Secure Network Analytics viewэ-э, вам спатрэбяцца ўліковыя даныя Secure Network Analytics.
• Для перакрыжаванага запуску з падзеі ў падзеі FMC viewer або прыборнай панэлі, пстрыкніце правай кнопкай мышы ячэйку табліцы адпаведнай падзеі і абярыце адпаведны параметр.
• Апрацоўка запыту можа заняць некаторы час у залежнасці ад аб'ёму запытаных даных, хуткасці і патрабаванняў да кансолі кіравання Stealthwatch і г.д.

Аб адпраўцы паведамленняў сістэмнага часопіса для падзей бяспекі

• Вы можаце адпраўляць даныя, звязаныя з падключэннем, інфармацыяй аб бяспецы, пранікненнем і file і падзеі шкоднаснага праграмнага забеспячэння праз сістэмны часопіс у інструмент кіравання інфармацыяй і падзеямі бяспекі (SIEM) або іншае вонкавае рашэнне для захоўвання і кіравання падзеямі.
• Гэтыя падзеі таксама часам называюць падзеямі Snort®.

Пра канфігурацыю сістэмы для адпраўкі дадзеных падзей бяспекі ў Syslog

Каб наладзіць сістэму для адпраўкі сістэмных часопісаў падзей бяспекі, вам неабходна ведаць наступнае:

• Рэкамендацыі па канфігурацыі паведамленняў у сістэмным журнале падзей бяспекі
• Размяшчэнне канфігурацыі для сістэмных часопісаў падзей бяспекі
• Налады платформы FTD, якія прымяняюцца да паведамленняў сістэмнага часопіса падзей бяспекі
• Калі вы ўносіце змены ў налады сістэмнага часопіса ў любой палітыцы, вы павінны паўторна разгарнуць, каб змены ўступілі ў сілу.

Рэкамендацыі па канфігурацыі паведамленняў у сістэмным журнале падзей бяспекі

Прылада і версія	Канфігурацыя Размяшчэнне
Усе	Калі вы будзеце выкарыстоўваць сістэмны часопіс або захоўваць падзеі звонку, пазбягайце спецыяльных сімвалаў у назвах аб'ектаў, такіх як палітыкі і правілы. Імёны аб'ектаў не павінны ўтрымліваць спецыяльныя сімвалы, такія як коскі, якія атрымальнае прыкладанне можа выкарыстоўваць у якасці падзельнікаў.

Абарона ад агнявой моцы

1.      Наладзьце параметры платформы FTD (Прылады > Налады платформы > Налады абароны ад пагроз > Syslog.) Глядзіце таксама налады платформы FTD, якія прымяняюцца да паведамленняў сістэмнага часопіса падзей бяспекі. 2.      На ўкладцы «Легістрацыя» палітыкі кантролю доступу выберыце выкарыстанне налад платформы FTD. 3.      (Для падзей пранікнення) Наладзьце палітыку пранікнення, каб выкарыстоўваць налады ў вашай палітыцы кіравання доступам, на ўкладцы Logging. (Гэта па змаўчанні.)   Перавызначэнне любога з гэтых параметраў не рэкамендуецца. Для атрымання важных звестак гл. Адпраўка паведамленняў сістэмнага часопіса падзей бяспекі з прылад FTD.

Усе астатнія прылады

1.      Стварыце адказ на папярэджанне. 2.      Наладзьце палітыку кіравання доступам Запіс для выкарыстання адказу на папярэджанне. 3.      (Для падзей уварванняў) Налада параметраў сістэмнага часопіса ў палітыках уварванняў.  Больш падрабязную інфармацыю глядзіце ў раздзеле "Адпраўка паведамленняў сістэмнага журнала падзей бяспекі" з класічных прылад.

Адпраўка паведамленняў сістэмнага часопіса падзей бяспекі з прылад FTD
Гэтая працэдура дакументуе найлепшую практыку канфігурацыі для адпраўкі паведамленняў сістэмнага часопіса аб падзеях бяспекі (злучэнне, злучэнне, звязанае з бяспекай, уварванне, file, і падзеі шкоднасных праграм) з прылад Firepower Threat Defense.

Заўвага
Многія налады сістэмнага журнала Firepower Threat Defense не прымяняюцца да падзей бяспекі. Наладзьце толькі параметры, апісаныя ў гэтай працэдуры.

Перш чым пачаць

• У FMC наладзьце палітыкі для стварэння падзей бяспекі і пераканайцеся, што падзеі, якія вы чакаеце, з'явяцца ў адпаведных табліцах у меню "Аналіз".
• Збярыце IP-адрас, порт і пратакол (UDP або TCP) сервера сістэмнага часопіса:
• Пераканайцеся, што вашы прылады могуць падключыцца да сервера(-аў) сістэмнага часопіса.
• Пацвердзіце, што сервер(ы) сістэмнага часопіса могуць прымаць аддаленыя паведамленні.
• Каб атрымаць важную інфармацыю аб вядзенні журнала злучэнняў, глядзіце раздзел аб вядзенні журнала злучэнняў.

Працэдура

• Крок 1 Наладзьце параметры сістэмнага часопіса для вашай прылады Firepower Threat Defense:
  • Націсніце «Прылады > Налады платформы».
  • Адрэдагуйце палітыку налад платформы, звязаную з прыладай Firepower Threat Defense.
  • На левай навігацыйнай панэлі націсніце Syslog.
  • Націсніце «Серверы Syslog» і націсніце «Дадаць», каб увесці інфармацыю аб серверы, пратаколе, інтэрфейсе і адпаведнай інфармацыі. Калі ў вас ёсць пытанні наконт параметраў на гэтай старонцы, глядзіце наладку сервера Syslog.
  • Націсніце Налады сістэмнага часопіса і наладзьце наступныя параметры:
    • Уключыць Timestamp у паведамленнях Syslog
    • Часamp фармат
    • Уключыць ідэнтыфікатар прылады Syslog
  • Націсніце Наладжванне журнала.
  • Выберыце, ці варта адпраўляць сістэмныя журналы ў фармаце EMBLEM.
  • Захавайце налады.
• Крок 2. Наладзьце агульныя параметры вядзення часопіса для палітыкі кантролю доступу (у тым ліку file і рэгістрацыя шкоднасных праграм):
  • Націсніце Палітыкі > Кантроль доступу.
  • Адрэдагуйце дзеючую палітыку кантролю доступу.
  • Націсніце Logging.
  • Выберыце FTD 6.3 і больш познюю версію: выкарыстоўвайце налады сістэмнага часопіса, наладжаныя ў палітыцы налад платформы FTD, разгорнутай на прыладзе.
  • (Неабавязкова) Выберыце сур'ёзнасць сістэмнага часопіса.
  • Калі дашлеце file і падзеі шкоднасных праграм, выберыце Адпраўляць паведамленні Syslog для File і падзеі шкоднасных праграм.
  • Націсніце Захаваць.
• Крок 3 Уключыце вядзенне часопісаў для падзей злучэнняў, звязаных з бяспекай, для палітыкі кантролю доступу:
  • У той жа палітыцы кантролю доступу націсніце ўкладку Security Intelligence.
  • У кожным з наступных месцаў націсніце Вядзенне журнала ( ) і ўключыць пачатак і канец злучэнняў і сервер Syslog:
    • Побач з палітыкай DNS.
    • У полі "Спіс блакіроўкі" для сетак і для URLs.
  • Націсніце Захаваць.
• Крок 4 Уключыце вядзенне часопіса ў сістэмны журнал для кожнага правіла ў палітыцы кантролю доступу:
  • У той жа палітыцы кантролю доступу націсніце ўкладку "Правілы".
  • Націсніце правіла для рэдагавання.
  • Націсніце на ўкладку Logging у правіле.
  • Выберыце, рэгістраваць пачатак ці канец злучэнняў, або абодва.
    (Запіс злучэння стварае шмат даных; рэгістрацыя як у пачатку, так і ў канцы стварае прыкладна ўдвая больш даных. Не кожнае злучэнне можа быць зарэгістравана як у пачатку, так і ў канцы.)
  • Калі вы будзеце ўваходзіць file падзей, абярыце Часопіс Files.
  • Уключыць сервер Syslog.
  • Пераканайцеся, што правіла «Выкарыстанне канфігурацыі сістэмнага часопіса па змаўчанні ў журнале кіравання доступам».
  • Націсніце Дадаць.
  • Паўтарыце для кожнага правіла ў палітыцы.
• Крок 5 Калі вы будзеце адпраўляць падзеі ўварвання:
  • Перайдзіце да палітыкі ўварванняў, звязанай з вашай палітыкай кантролю доступу.
  • У вашай палітыцы ўварванняў націсніце Дадатковыя налады > Абвестка сістэмнага журнала > Уключана.
  • Пры неабходнасці націсніце Рэдагаваць
  • Увядзіце параметры:
    

    Варыянт	Каштоўнасць
    Хост рэгістрацыі	Пакіньце гэтае поле пустым, каб выкарыстоўваць налады, наладжаныя вышэй, калі вы не будзеце адпраўляць паведамленні сістэмнага журнала пра падзеі ўварвання на іншы сервер сістэмнага журнала.
    Аб'ект	Гэта налада прымяняецца толькі ў тым выпадку, калі вы ўказваеце хост вядзення журнала на гэтай старонцы. Апісанні глядзіце ў раздзеле Абвесткі Syslog.
    Суровасць	Гэта налада прымяняецца толькі ў тым выпадку, калі вы ўказваеце хост вядзення журнала на гэтай старонцы. Для апісання гл. Узроўні сур'ёзнасці Syslog.

  • Націсніце Назад.
  • Націсніце Інфармацыя аб палітыцы на панэлі навігацыі злева.
  • Націсніце Зафіксаваць змены.

Што рабіць далей

• (Неабавязкова) Наладзьце розныя параметры вядзення часопіса для асобных палітык і правілаў. Глядзіце адпаведныя радкі табліцы ў раздзеле "Месцы канфігурацыі для сістэмных часопісаў для злучэнняў і падзей бяспекі (усе прылады).
  • Для гэтых параметраў спатрэбяцца адказы на папярэджанне сістэмнага журнала, якія наладжваюцца, як апісана ў раздзеле Стварэнне адказу на папярэджанне сістэмнага журнала. Яны не выкарыстоўваюць параметры платформы, якія вы сканфігуравалі ў гэтай працэдуры.
• Каб наладзіць запіс у журнал падзей бяспекі для класічных прылад, гл. Адпраўка паведамленняў у журнал падзей бяспекі з класічных прылад.
• Калі вы скончылі ўносіць змены, разгарніце іх на кіраваных прыладах.

Адпраўка паведамленняў сістэмнага часопіса падзей бяспекі з класічных прылад

Перш чым пачаць

• Наладзьце палітыкі для стварэння падзей бяспекі.
• Пераканайцеся, што вашы прылады могуць падключыцца да сервера(-аў) сістэмнага часопіса.
• Пацвердзіце, што сервер(ы) сістэмнага часопіса могуць прымаць аддаленыя паведамленні.
• Каб атрымаць важную інфармацыю аб вядзенні журнала злучэнняў, глядзіце раздзел аб вядзенні журнала злучэнняў.

Працэдура

• Крок 1 Наладзьце адказ на папярэджанне для вашых класічных прылад: Гл. Стварэнне адказу на папярэджанне Syslog.
• Крок 2 Наладзьце параметры сістэмнага часопіса ў палітыцы кантролю доступу:
  • Націсніце Палітыкі > Кантроль доступу.
  • Адрэдагуйце дзеючую палітыку кантролю доступу.
  • Націсніце Logging.
  • Абярыце Адправіць з выкарыстаннем пэўнага папярэджання сістэмнага журнала.
  • Выберыце абвестку Syslog, якую вы стварылі вышэй.
  • Націсніце Захаваць.
• Крок 3 Калі вы адправіце file і падзеі шкоднасных праграм:
  • Выберыце Адпраўляць паведамленні Syslog для File і падзеі шкоднасных праграм.
  • Націсніце Захаваць.
• Крок 4 Калі вы будзеце адпраўляць падзеі ўварвання:
  • Перайдзіце да палітыкі ўварванняў, звязанай з вашай палітыкай кантролю доступу.
  • У вашай палітыцы ўварванняў націсніце Дадатковыя налады > Абвестка сістэмнага журнала > Уключана.
  • Пры неабходнасці націсніце Рэдагаваць
  • Увядзіце параметры:
    

    Варыянт	Каштоўнасць
    Хост рэгістрацыі	Пакіньце гэтае поле пустым, каб выкарыстоўваць налады, наладжаныя вышэй, калі вы не будзеце адпраўляць паведамленні сістэмнага журнала пра падзеі ўварвання на іншы сервер сістэмнага журнала.
    Аб'ект	Гэта налада прымяняецца толькі ў тым выпадку, калі вы ўказваеце хост вядзення журнала на гэтай старонцы. Глядзіце абвесткі Syslog.
    Суровасць	Гэта налада прымяняецца толькі ў тым выпадку, калі вы ўказваеце хост вядзення журнала на гэтай старонцы. Глядзіце Узроўні сур'ёзнасці Syslog.

  • Націсніце Назад.
  • Націсніце Інфармацыя аб палітыцы на панэлі навігацыі злева.
  • Націсніце Зафіксаваць змены.

Што рабіць далей

• (Неабавязкова) Наладзьце розныя параметры вядзення часопіса для індывідуальных правілаў кантролю доступу. Глядзіце адпаведныя радкі табліцы ў раздзеле "Месцы канфігурацыі для сістэмных часопісаў для злучэнняў і падзей бяспекі (усе прылады). Для гэтых параметраў спатрэбяцца адказы на папярэджанне сістэмнага журнала, якія наладжваюцца, як апісана ў раздзеле Стварэнне адказу на папярэджанне сістэмнага журнала. Яны не выкарыстоўваюць параметры, якія вы наладзілі вышэй.
• Каб наладзіць запіс у журнал падзей бяспекі для прылад FTD, гл. Адпраўка паведамленняў у журнал падзей бяспекі з прылад FTD.

Размяшчэнне канфігурацыі для сістэмных часопісаў падзей бяспекі

• Месцы канфігурацыі для сістэмных часопісаў для злучэнняў і падзей бяспекі (усе прылады)12
• Месцы канфігурацыі для сістэмных часопісаў для падзей уварванняў (прылады FTD)
• Месцы канфігурацыі для сістэмных часопісаў для падзей уварванняў (прылады, акрамя FTD)
• Размяшчэнне канфігурацыі для Syslogs для File і падзеі шкоднасных праграм

Размяшчэнне канфігурацыі для сістэмных часопісаў для злучэнняў і падзей бяспекі (усе прылады)
Ёсць шмат месцаў, дзе можна наладзіць параметры запісу. Выкарыстоўвайце табліцу ніжэй, каб пераканацца, што вы ўсталявалі неабходныя параметры.

Важны

• Звяртайце асаблівую ўвагу пры канфігурацыі параметраў сістэмнага часопіса, асабліва пры выкарыстанні стандартных значэнняў, успадкаваных ад іншых канфігурацый. Некаторыя параметры могуць быць НЕдаступныя для ўсіх мадэляў кіраваных прылад і версій праграмнага забеспячэння, як паказана ў табліцы ніжэй.
• Каб атрымаць важную інфармацыю пры наладжванні журнала злучэнняў, глядзіце раздзел пра журнал злучэнняў.

Канфігурацыя Размяшчэнне	Апісанне і больш інфармацыя
Прылады > Налады платформы, палітыка налад абароны ад пагроз, Сістэмны часопіс	Гэты параметр прымяняецца толькі да прылад Firepower Threat Defense. Параметры, якія вы наладжваеце тут, можна ўказаць у наладах вядзення часопіса для палітыкі кантролю доступу, а затым выкарыстоўваць або перавызначыць у астатнія палітыкі і правілы ў гэтай табліцы. Глядзіце налады платформы FTD, якія прымяняюцца да паведамленняў сістэмнага часопіса падзей бяспекі, а таксама пра сістэмны часопіс і падтэмы.
Палітыкі > Кантроль доступу, , Нарыхтоўка лесу	Налады, якія вы наладжваеце тут, з'яўляюцца наладамі па змаўчанні для сістэмных часопісаў для ўсіх злучэнняў і падзей выведкі бяспекі, калі вы не адменіце налады па змаўчанні ў нашчадных палітыках і правілах у месцах, указаных у астатніх радках гэтай табліцы. Рэкамендаваны параметр для прылад FTD: выкарыстоўваць налады платформы FTD. Для атрымання інфармацыі гл. Налады платформы FTD, якія прымяняюцца да паведамленняў сістэмнага часопіса падзей бяспекі, а таксама гл. Аб сістэмным часопісе і падтэмах. Абавязковая налада для ўсіх іншых прылад: выкарыстоўваць абвестку сістэмнага журнала. Калі вы ўказваеце папярэджанне сістэмнага журнала, глядзіце Стварэнне адказу абвесткі сістэмнага часопіса. Для атрымання дадатковай інфармацыі аб параметрах на ўкладцы Logging гл.

Палітыкі > Кантроль доступу, , правілы, Дзеянне па змаўчанні радок, Нарыхтоўка лесу ( )	Параметры запісу для дзеяння па змаўчанні, звязанага з палітыкай кантролю доступу. Глядзіце інфармацыю пра рэгістрацыю ў раздзеле "Правілы кантролю доступу" і "Запіс злучэнняў з дзеяннем палітыкі па змаўчанні".
Палітыкі > Кантроль доступу, , правілы, , Нарыхтоўка лесу	Параметры запісу для пэўнага правіла ў палітыцы кантролю доступу. Глядзіце інфармацыю пра рэгістрацыю ў главе "Правілы кантролю доступу".
Палітыкі > Кантроль доступу, , Інтэлект бяспекі, Нарыхтоўка лесу ( )	Налады вядзення журнала для спісаў блакіровак Security Intelligence. Націсніце гэтыя кнопкі, каб наладзіць: • Параметры рэгістрацыі спісу блакіроўкі DNS •  URL Параметры запісу ў спіс блакіроўкі • Параметры рэгістрацыі ў спісе блакіраваных сетак (для IP-адрасоў у спісе блакіраваных)   Глядзіце раздзел «Настройка бяспекі Intelligence», уключаючы раздзел перадумоў, а таксама падтэмы і спасылкі.
Палітыкі > SSL, , Дзеянне па змаўчанні радок, Нарыхтоўка лесу ( )	Параметры запісу для дзеяння па змаўчанні, звязанага з палітыкай SSL. Гл. Рэгістрацыя злучэнняў з дзеяннем палітыкі па змаўчанні.
Палітыкі > SSL, , , Нарыхтоўка лесу	Налады вядзення часопіса для правілаў SSL. Глядзіце кампаненты правілаў TLS/SSL.
Палітыкі > Папярэдні фільтр, , Дзеянне па змаўчанні радок, Нарыхтоўка лесу ( )	Параметры запісу для дзеяння па змаўчанні, звязанага з палітыкай папярэдняга фільтра. Гл. Рэгістрацыя злучэнняў з дзеяннем палітыкі па змаўчанні.
Палітыкі > Папярэдні фільтр, , , Нарыхтоўка лесу	Параметры рэгістрацыі для кожнага правіла папярэдняй фільтрацыі ў палітыцы папярэдняй фільтрацыі. Глядзіце кампаненты правілы тунэля і папярэдняга фільтра
Палітыкі > Папярэдні фільтр, , , Нарыхтоўка лесу	Параметры запісу для кожнага правіла тунэля ў палітыцы папярэдняга фільтра. Глядзіце кампаненты правілы тунэля і папярэдняга фільтра
Дадатковыя налады сістэмнага часопіса для канфігурацый кластара FTD:	У раздзеле "Кластарызацыя для абароны ад пагроз агнявой моцы" ёсць некалькі спасылак на сістэмны часопіс; шукайце ў раздзеле "сістэмны часопіс".

Месцы канфігурацыі для сістэмных часопісаў для падзей уварванняў (прылады FTD)
Вы можаце ўказаць налады сістэмнага часопіса для палітык уварванняў у розных месцах і, пры жаданні, успадкаваць налады з палітыкі кантролю доступу або налад платформы FTD або абодвух.

Канфігурацыя Размяшчэнне	Апісанне і больш інфармацыя
прылады > Платформа Налады, палітыка налад абароны ад пагроз, Сістэмны часопіс	Пункты прызначэння сістэмнага журнала, якія вы наладжваеце тут, могуць быць указаны на ўкладцы "Вядзенне журнала" палітыкі кантролю доступу, якая можа быць стандартнай для палітыкі ўварванняў. Глядзіце налады платформы FTD, якія прымяняюцца да паведамленняў сістэмнага часопіса падзей бяспекі, а таксама пра сістэмны часопіс і падтэмы.
Палітыкі > Кантроль доступу, , Нарыхтоўка лесу	Параметр па змаўчанні для прызначэння сістэмнага журнала для ўварвання падзей, калі палітыка ўварванняў не вызначае іншыя хасты вядзення часопіса. Глядзіце налады вядзення часопіса для палітык кантролю доступу.
Палітыкі > Уварванне, , Дадатковыя налады, уключыць Абвестка Syslog, націсніце Рэдагаваць	Каб пазначыць зборшчыкі сістэмнага журнала, акрамя пунктаў прызначэння, указаных ва ўкладцы "Вядзенне часопіса" палітыкі кантролю доступу, а таксама вызначыць сродак і ступень сур'ёзнасці, глядзіце "Настройка сігналізацыі сістэмнага журнала аб падзеях уварванняў". Калі вы хочаце выкарыстоўваць Суровасць or Аб'ект або абодва, як наладжана ў палітыцы ўварванняў, вы таксама павінны наладзьце хасты вядзення часопіса ў палітыцы. Калі вы выкарыстоўваеце хасты вядзення часопіса, указаныя ў палітыцы кантролю доступу, ступень сур'ёзнасці і сродкі, указаныя ў палітыцы ўварвання, не будуць выкарыстоўвацца.

Месцы канфігурацыі для сістэмных часопісаў для падзей уварванняў (прылады, акрамя FTD)

• (Па змаўчанні) Палітыка кантролю доступу Налады вядзення часопісаў для палітык кантролю доступу, КАЛІ вы ўказваеце папярэджанне сістэмнага журнала (гл. Стварэнне адказу абвесткі сістэмнага журнала.)
• Або азнаёмцеся з раздзелам Наладжванне абвесткі Syslog для падзей пранікнення.

Па змаўчанні палітыка ўварванняў выкарыстоўвае налады на ўкладцы "Вядзенне журнала" палітыкі кантролю доступу. Калі налады, якія прымяняюцца да прылад, акрамя FTD, не настроены там, сістэмныя журналы не будуць адпраўляцца для прылад, акрамя FTD, і папярэджанне не з'явіцца.

Размяшчэнне канфігурацыі для Syslogs для File і падзеі шкоднасных праграм

Канфігурацыя Размяшчэнне	Апісанне і больш інфармацыя
У палітыцы кантролю доступу: Палітыкі > Кантроль доступу, , Нарыхтоўка лесу	Гэта галоўнае месца для канфігурацыі сістэмы для адпраўкі сістэмных часопісаў file і падзеі шкоднасных праграм. Калі вы не выкарыстоўваеце налады сістэмнага часопіса ў наладах платформы FTD, вы таксама павінны стварыць адказ на папярэджанне. Глядзіце Стварэнне адказу абвесткі Syslog.

Канфігурацыя Размяшчэнне	Апісанне і больш інфармацыя
У наладах платформы Firepower Threat Defense: прылады > Платформа Налады, палітыка налад абароны ад пагроз, Сістэмны часопіс	Гэтыя налады прымяняюцца толькі да прылад Firepower Threat Defense з падтрымоўванымі версіямі і толькі ў тым выпадку, калі вы наладзілі ўкладку "Вядзенне журнала" ў палітыцы кантролю доступу для выкарыстання налад платформы FTD. Глядзіце налады платформы FTD, якія прымяняюцца да паведамленняў сістэмнага часопіса падзей бяспекі, а таксама пра сістэмны часопіс і падтэмы.
У правіле кантролю доступу: Палітыкі > Кантроль доступу, , , Нарыхтоўка лесу	Калі вы не выкарыстоўваеце налады сістэмнага часопіса ў наладах платформы FTD, вы таксама павінны стварыць адказ на папярэджанне. Глядзіце Стварэнне адказу абвесткі Syslog.

Анатомія паведамленняў сістэмнага часопіса падзей бяспекі

Exampпаведамленне аб падзей бяспекі ад FTD (пранікненне)

Табліца 1: Кампаненты паведамленняў сістэмнага часопіса падзей бяспекі

Пункт Нумар in Sample паведамленне	Загаловак элемент	Апісанне
0	PRI	Прыярытэтнае значэнне, якое ўяўляе як сродак, так і сур'ёзнасць папярэджання. Значэнне з'яўляецца ў паведамленнях сістэмнага часопіса, толькі калі вы ўключыце рэгістрацыю ў фармаце EMBLEM з дапамогай налад платформы FMC. Калі вы уключыць рэгістрацыю падзей уварванняў праз укладку "Вядзенне журнала" палітыкі кантролю доступу, значэнне PRI аўтаматычна адлюстроўваецца ў паведамленнях сістэмнага часопіса. Для атрымання інфармацыі аб тым, як уключыць фармат EMBLEM, гл. Інфармацыю пра PRI гл RFC5424.
1	Часamp	Дата і час адпраўкі паведамлення сістэмнага журнала з прылады. • (Сістэмныя журналы, адпраўленыя з прылад FTD) Для сістэмных журналаў, адпраўленых з выкарыстаннем налад у палітыцы кантролю доступу і яе нашчадкаў, або калі пазначана выкарыстанне гэтага фармату ў наладах платформы FTD, фармат даты - гэта фармат, вызначаны ў ISO 8601 timestamp у фармаце RFC 5424 (гггг-ММ-ддТГЧ:хм:ссЗ), дзе літара Z пазначае часавы пояс UTC. • (Сістэмныя журналы, адпраўленыя з усіх іншых прылад) Для сістэмных журналаў, адпраўленых з выкарыстаннем налад у палітыцы кантролю доступу і яе нашчадкаў, фармат даты - гэта фармат, вызначаны ў ISO 8601 timestamp у фармаце RFC 5424 (гггг-ММ-ддТГЧ:хм:ссЗ), дзе літара Z пазначае часавы пояс UTC. • У адваротным выпадку гэта месяц, дзень і час у часавым поясе UTC, хаця часавы пояс не паказваецца.   Каб наладзіць часamp у наладах платформы FTD, гл. Наладжванне параметраў Syslog.
2	Прылада або інтэрфейс, з якога было адпраўлена паведамленне. Гэта можа быць: • IP-адрас інтэрфейсу • Імя хаста прылады • Карыстацкі ідэнтыфікатар прылады	(Для сістэмных часопісаў, адпраўленых з прылад FTD) Калі паведамленне сістэмнага журнала было адпраўлена з дапамогай налад платформы FTD, гэта значэнне настроена ў Налады сістэмнага часопіса для Уключыць ідэнтыфікатар прылады Syslog варыянт, калі пазначаны. У адваротным выпадку гэты элемент адсутнічае ў загалоўку. Каб наладзіць гэты параметр у наладах платформы FTD, гл.

3	Карыстальніцкае значэнне	Калі паведамленне было адпраўлена з дапамогай адказу на папярэджанне, гэта Tag значэнне, наладжанае ў адказе на папярэджанне, які адправіў паведамленне, калі настроена. (Гл. Стварэнне адказу абвесткі Syslog.) У адваротным выпадку гэты элемент адсутнічае ў загалоўку.
4	%FTD %NGIPS	Тып прылады, якая адправіла паведамленне. • %FTD - гэта абарона ад агнявой моцы • %NGIPS - усе астатнія прылады
5	Суровасць	Ступень сур'ёзнасці, указаная ў наладах сістэмнага журнала для палітыкі, якая выклікала паведамленне. Для апісання сур'ёзнасці гл. Узроўні сур'ёзнасці або Узроўні сур'ёзнасці Syslog.
6	Ідэнтыфікатар тыпу падзеі	• 430001: падзея пранікнення • 430002: падзея злучэння, зарэгістраваная ў пачатку злучэння • 430003: падзея злучэння, зарэгістраваная ў канцы злучэння   • 430004 год: File падзея • 430005 год: File падзея шкоднаснага ПЗ
—	Аб'ект	Глядзіце аб'ект у раздзеле "Паведамленні сістэмнага часопіса падзей бяспекі".
—	Астатак паведамлення	Палі і значэнні, падзеленыя двукроп'ем. Палі з пустымі або невядомымі значэннямі апускаюцца з паведамленняў. Апісанне палёў глядзіце: • Палі падзей злучэння і бяспекі. • Палі падзей пранікнення •  File і палі падзей шкоднасных праграм   Заўвага              Спісы апісання палёў уключаюць як палі сістэмнага часопіса, так і палі палі, бачныя ў падзеі viewэ-э (параметры меню ў меню «Аналіз» у Цэнтры кіравання агнявой моцай web інтэрфейс.) Палі, даступныя праз syslog, пазначаны такім чынам. Некаторыя палі бачныя ў падзеі viewer недаступныя праз syslog. Акрамя таго, некаторыя палі сістэмнага часопіса не ўключаны ў падзею viewэ-э (але можа быць даступна праз пошук), і некаторыя палі аб'яднаны або падзеленыя.

Сродак у паведамленнях сістэмнага часопіса падзей бяспекі
Значэнні аб'ектаў звычайна не актуальныя ў паведамленнях сістэмнага часопіса для падзей бяспекі. Аднак, калі вам патрабуецца Facility, выкарыстоўвайце наступную табліцу:

прылада	Каб уключыць аб'ект у падзеі падключэння	каб Уключыць Аб'ект in Падзеі ўварвання	Размяшчэнне ў паведамленні Syslog
FTD	Выкарыстоўвайце опцыю EMBLEM у наладах платформы FTD. Аб'ект заўсёды ПАВЯРЖЭННЕ для падзей злучэння пры адпраўцы паведамленняў сістэмнага часопіса з дапамогай налад платформы FTD.	Выкарыстоўвайце опцыю EMBLEM у наладах платформы FTD або наладзіць вядзенне часопіса з дапамогай параметраў сістэмнага часопіса ў палітыцы ўварванняў. Калі вы выкарыстоўваеце палітыку ўварванняў, вы таксама павінны ўказаць хост вядзення журнала ў параметрах палітыкі ўварвання.	Сродак не адлюстроўваецца ў загалоўку паведамлення, але калектар сістэмнага журнала можа атрымаць значэнне на аснове RFC 5424, раздзел 6.2.1.
		Уключыць абвесткі сістэмнага часопіса і наладзіць сродкі і сур'ёзнасць палітыкі ўварванняў. Гл. Наладжванне абвестак Syslog для падзей пранікнення.
Прылады, акрамя FTD	Выкарыстоўвайце адказ папярэджання.	Выкарыстоўвайце наладу сістэмнага часопіса ў дадатковых наладах палітыкі ўварванняў або адказ на папярэджанне, вызначаны на ўкладцы «Веданне журнала» палітыкі кантролю доступу.

Для атрымання дадатковай інфармацыі гл. Сродкі і ўзровень сур'ёзнасці для абвестак Syslog пра ўварванне і Стварэнне адказу на папярэджанне Syslog.

Тыпы паведамленняў сістэмнага часопіса Firepower
Firepower можа адпраўляць некалькі тыпаў дадзеных сістэмнага журнала, як апісана ў наступнай табліцы:

Тып даных Syslog	Глядзіце
Журналы аўдыту ад FMC	Перадайце журналы аўдыту ў Syslog і ў раздзел "Аўдыт сістэмы".
Журналы аўдыту з класічных прылад (ASA FirePOWER, NGIPSv)	Журналы аўдыту патоку з класічных прылад і главы "Аўдыт сістэмы". Каманда CLI: syslog
Журналы стану прылады і звязаныя з сеткай прылады з FTD	Пра Syslog і падтэмы
Журналы падзей злучэнняў, бяспекі і ўварванняў з прылад FTD	Пра канфігурацыю сістэмы для адпраўкі дадзеных падзей бяспекі ў Syslog.
Журналы падзей злучэнняў, бяспекі і ўварванняў з класічных прылад	Пра канфігурацыю сістэмы для адпраўкі дадзеных падзей бяспекі ў Syslog

Лагі для file і падзеі шкоднасных праграм

Пра канфігурацыю сістэмы для адпраўкі дадзеных падзей бяспекі ў Syslog

Абмежаванні Syslog для падзей бяспекі

• Калі вы будзеце выкарыстоўваць сістэмны часопіс або захоўваць падзеі звонку, пазбягайце спецыяльных сімвалаў у назвах аб'ектаў, такіх як палітыкі і правілы. Імёны аб'ектаў не павінны ўтрымліваць спецыяльныя сімвалы, такія як коскі, якія атрымальнае прыкладанне можа выкарыстоўваць у якасці падзельнікаў.
• Можа прайсці да 15 хвілін, перш чым падзеі з'явяцца ў вашым калектары сістэмных дзённікаў.
• Дадзеныя для наступнага file і падзеі шкоднасных праграм недаступныя праз syslog:
• Рэтраспектыўныя падзеі
• Падзеі, створаныя AMP для канчатковых кропак

Трансляцыя з сервера eStreamer

• Event Streamer (eStreamer) дазваляе вам перадаваць некалькі відаў даных падзей з Цэнтра кіравання Firepower у распрацаванае на заказ кліенцкае прыкладанне. Для атрымання дадатковай інфармацыі гл. Кіраўніцтва па інтэграцыі сістэмы Firepower System Event Streamer.
• Перш чым прылада, якую вы хочаце выкарыстоўваць у якасці сервера eStreamer, зможа пачаць трансляцыю падзей eStreamer на знешні кліент, вы павінны наладзіць сервер eStreamer для адпраўкі падзей кліентам, прадастаўлення інфармацыі аб кліенце і стварэння набору ўліковых дадзеных аўтэнтыфікацыі для выкарыстання пры ўсталяванні зносіны. Вы можаце выконваць усе гэтыя задачы з карыстацкага інтэрфейсу прылады. Пасля захавання налад выбраныя вамі падзеі будуць перасылацца кліентам eStreamer па запыце.
• Вы можаце кантраляваць, якія тыпы падзей сервер eStreamer здольны перадаваць кліентам, якія іх запытваюць.

Табліца 2: Тыпы падзей, якія перадаюцца серверам eStreamer

Падзея Тып	Апісанне
Падзеі ўварвання	падзеі ўварвання, якія ствараюцца кіраванымі прыладамі
Пакетныя даныя падзеі ўварвання	пакеты, звязаныя з падзеямі ўварвання
Дадатковыя даныя падзеі ўварвання	дадатковыя дадзеныя, звязаныя з падзеяй пранікнення, такія як першапачатковыя IP-адрасы кліента, які падключаецца да a web сервер праз HTTP-проксі або балансір нагрузкі
Падзеі Discovery	Падзеі выяўлення сеткі
Карэляцыя і Дазволіць Спіс падзей	карэляцыя і адпаведнасць дазваляюць спіс падзей
Абвесткі аб сцяжку ўздзеяння	абвесткі аб уздзеянні, створаныя FMC
Карыстальніцкія падзеі	падзеі карыстальніка

Падзея Тып	Апісанне
Падзеі шкоднасных праграм	падзеі шкоднасных праграм
File Падзеі	file падзеі
Падзеі падлучэння	інфармацыя аб сесійным трафіку паміж вашымі кантраляванымі хостамі і ўсімі іншымі хостамі.

Параўнанне Syslog і eStreamer для падзей бяспекі

Як правіла, арганізацыі, якія ў цяперашні час не маюць істотных інвестыцый у eStreamer, павінны выкарыстоўваць syslog, а не eStreamer для вонкавага кіравання дадзенымі падзей бяспекі.

Сістэмны часопіс	eStreamer
Наладжванне не патрабуецца	Для ўнясення змяненняў у кожны выпуск патрабуецца значная налада і пастаяннае абслугоўванне
Стандартны	Патэнтаваны
Стандарт Syslog не абараняе ад страты дадзеных, асабліва пры выкарыстанні UDP	Абарона ад страты дадзеных
Адпраўляе непасрэдна з прылад	Адпраўляе з FMC, дадаючы дадатковыя выдаткі на апрацоўку
Падтрымка для file і падзеі шкоднасных праграм, злучэнне падзеі (уключаючы падзеі разведкі бяспекі) і падзеі ўварвання.	Падтрымка ўсіх тыпаў падзей, пералічаных у eStreamer Server Streaming.
Некаторыя даныя аб падзеях можна адпраўляць толькі з FMC. Глядзіце даныя, адпраўленыя толькі праз eStreamer, а не праз Syslog.	Уключае даныя, якія немагчыма адправіць праз сістэмны часопіс непасрэдна з прылад. Глядзіце даныя, адпраўленыя толькі праз eStreamer, а не праз Syslog.

Дадзеныя адпраўляюцца толькі праз eStreamer, а не праз Syslog
Наступныя даныя даступныя толькі з Firepower Management Center і, такім чынам, не могуць быць адпраўлены праз сістэмны журнал з прылад:

• Журналы пакетаў
• Падзея ўварвання Дадатковыя падзеі дадзеных
  Апісанне глядзіце ў раздзеле Streaming сервера eStreamer.
• Статыстыка і сукупныя падзеі
• Падзеі Network Discovery
• Актыўнасць карыстальніка і падзеі ўваходу
• Карэляцыйныя падзеі
• Для падзей са шкоднаснымі праграмамі:
  • рэтраспектыўныя прысуды
  • ThreatName і Disposition, калі толькі інфармацыя аб адпаведных SHA не была сінхранізавана з прыладай
• Наступныя палі:
  • Палі Impact і ImpactFlag
    Апісанне глядзіце ў раздзеле Streaming сервера eStreamer.
  • поле IOC_Count
• Большасць неапрацаваных ідэнтыфікатараў і UUID.
  Выключэнні:
  • Сістэмныя журналы для падзей злучэння ўключаюць наступнае: FirewallPolicyUUID, FirewallRuleID, TunnelRuleID, MonitorRuleID, SI_CategoryID, SSL_PolicyUUID і SSL_RuleID
  • Сістэмныя часопісы для падзей уварванняў сапраўды ўключаюць IntrusionPolicyUUID, GeneratorID і SignatureID
• Пашыраныя метаданыя, уключаючы, але не абмяжоўваючыся імі:
  • Інфармацыя пра карыстальніка, прадастаўленая LDAP, такая як поўнае імя, аддзел, нумар тэлефона і г. д. Syslog паказвае толькі імёны карыстальнікаў у падзеях.
  • Падрабязныя звесткі аб стане інфармацыі, напрыклад звесткі аб сертыфікаце SSL. Syslog дае асноўную інфармацыю, напрыклад, адбітак пальца сертыфіката, але не дае іншыя дэталі сертыфіката, такія як CN сертыфіката.
  • Падрабязная інфармацыя аб прылажэнні, напрыклад прыл Tags і Катэгорыі. Syslog забяспечвае толькі імёны прыкладанняў. Некаторыя паведамленні метададзеных таксама ўключаюць дадатковую інфармацыю аб аб'ектах.
• Інфармацыя аб геалакацыі

Выбар тыпаў падзей eStreamer

• Сцяжкі eStreamer Event Configuration вызначаюць, якія падзеі можа перадаваць сервер eStreamer.
• Ваш кліент па-ранейшаму павінен канкрэтна запытваць тыпы падзей, якія вы хочаце, каб ён атрымаў, у паведамленні з запытам, якое ён адпраўляе на сервер eStreamer. Для атрымання дадатковай інфармацыі глядзіце Кіраўніцтва па інтэграцыі Firepower System Event Streamer.
• Пры шматдаменным разгортванні вы можаце наладзіць канфігурацыю падзеі eStreamer на любым узроўні дамена. Аднак, калі дамен-продак уключыў пэўны тып падзеі, вы не можаце адключыць гэты тып падзеі ў даменах-нашчадках.
• Вы павінны быць карыстальнікам адміністратара, каб выканаць гэтую задачу для FMC.

Працэдура

• Крок 1 Абярыце Сістэма > Інтэграцыя.
• Крок 2 Націсніце eStreamer.
• Крок 3 У раздзеле «Канфігурацыя падзей eStreamer» усталюйце або зніміце сцяжкі побач з тыпамі падзей, якія eStreamer павінен перанакіроўваць кліентам, якія запытваюць, апісаны ў раздзеле «Стрымліванне сервера eStreamer».
• Крок 4 Націсніце Захаваць.

Наладжванне сувязі кліента eStreamer

• Перш чым eStreamer зможа адпраўляць падзеі eStreamer кліенту, вы павінны дадаць кліент у базу дадзеных аднарангавых сервераў eStreamer са старонкі eStreamer. Вы таксама павінны скапіяваць на кліент сертыфікат аўтэнтыфікацыі, згенераваны серверам eStreamer. Пасля выканання гэтых крокаў вам не трэба перазапускаць службу eStreamer, каб дазволіць кліенту падключыцца да сервера eStreamer.
• Пры шматдаменным разгортванні вы можаце стварыць кліент eStreamer у любым дамене. Сертыфікат аўтэнтыфікацыі дазваляе кліенту запытваць падзеі толькі з дамена кліенцкага сертыфіката і любых даменаў-нашчадкаў. На старонцы канфігурацыі eStreamer паказаны толькі кліенты, звязаныя з бягучым даменам, таму, калі вы хочаце загрузіць або адклікаць сертыфікат, пераключыцеся на дамен, дзе быў створаны кліент.
• Для выканання гэтай задачы для FMC вы павінны быць адміністратарам або адміністратарам Discovery.

Працэдура

• Крок 1 Абярыце Сістэма > Інтэграцыя.
• Крок 2 Націсніце eStreamer.
• Крок 3 Націсніце «Стварыць кліент».
• Крок 4 У полі «Імя хаста» увядзіце імя хаста або IP-адрас хоста, на якім запушчаны кліент eStreamer.
  Заўвага Калі вы не наладзілі дазвол DNS, выкарыстоўвайце IP-адрас.
• Крок 5 Калі вы хочаце зашыфраваць сертыфікат file, увядзіце пароль у поле Пароль.
• Крок 6 Націсніце Захаваць.
  Сервер eStreamer цяпер дазваляе хосту атрымаць доступ да порта 8302 на серверы eStreamer і стварае сертыфікат аўтэнтыфікацыі для выкарыстання падчас аўтэнтыфікацыі кліент-сервер.
• Крок 7 Націсніце Загрузіць ( ) побач з імем хаста кліента, каб загрузіць сертыфікат file.
• Крок 8 Захавайце сертыфікат file у адпаведны каталог, які выкарыстоўваецца вашым кліентам для аўтэнтыфікацыі SSL.
• Крок 9 Каб адклікаць доступ для кліента, націсніце Выдаліць ( ) побач з хостам, які вы хочаце выдаліць.
  Звярніце ўвагу, што вам не трэба перазапускаць службу eStreamer; доступ неадкладна адмяняецца.

Аналіз падзей у Splunk

• Вы можаце выкарыстоўваць праграму Cisco Secure Firepower (fka Firepower) для Splunk (раней вядомую як праграма Cisco Firepower для Splunk) у якасці вонкавага інструмента для адлюстравання і працы з данымі падзей Firepower, каб шукаць і даследаваць пагрозы ў вашай сетцы.
• Патрабуецца eStreamer. Гэта пашыраны функцыянал. Глядзіце стрымінг сервера eStreamer.
• Для атрымання дадатковай інфармацыі гл https://cisco.com/go/firepower-for-splunk.

Аналіз падзей у IBM QRadar

• Вы можаце выкарыстоўваць праграму Cisco Firepower для IBM QRadar у якасці альтэрнатыўнага спосабу адлюстравання даных падзей і дапамогі ў аналізе, пошуку і расследаванні пагроз вашай сеткі.
• Патрабуецца eStreamer. Гэта пашыраны функцыянал. Глядзіце стрымінг сервера eStreamer.
• Для атрымання дадатковай інфармацыі гл https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/QRadar/integration-guide-for-the-cisco-firepower-app-for-ibm-qradar.html.

Гісторыя для аналізу даных падзей з дапамогай знешніх інструментаў

Асаблівасць	Версія	Дэталі
Стужка SecureX	7.0	Стужка SecureX паварочваецца ў SecureX для імгненнай бачнасці ландшафту пагроз у вашых прадуктах бяспекі Cisco. Каб адлюстраваць стужку SecureX у FMC, глядзіце Кіраўніцтва па інтэграцыі Firepower і SecureX на https://cisco.com/go/firepower-securex-documentation. Новыя/змененыя экраны: Новая старонка: Сістэма > SecureX
Адпраўляць усе падзеі злучэння ў воблака Cisco	7.0	Цяпер вы можаце адпраўляць усе падзеі злучэння ў воблака Cisco, а не проста адпраўляць падзеі злучэння з высокім прыярытэтам. Новыя/змененыя экраны: новая опцыя на старонцы Сістэма > Інтэграцыя > Воблачныя службы
Крос-запуск да view даныя ў Secure Network Analytics	6.7	Гэтая функцыя прадстаўляе хуткі спосаб стварэння некалькіх запісаў для вашай прылады Secure Network Analytics на старонцы Analysis > Contextual Cross-Launch. Гэтыя запісы дазваляюць пстрыкнуць правай кнопкай мышы адпаведную падзею для перакрыжаванага запуску Secure Network Analytics і адлюстравання інфармацыі, звязанай з кропкай даных, з якой вы перакрыжавана запусцілі. Новы пункт меню: Сістэма > Журнал > Аналітыка бяспекі і журнал Новая старонка для наладжвання адпраўкі падзей у Secure Network Analytics.

Кантэкстны крос-запуск з дадатковых тыпаў палёў	6.7	Цяпер вы можаце перакрыжавана запускаць знешняе прыкладанне, выкарыстоўваючы наступныя дадатковыя тыпы даных падзей: • Палітыка кантролю доступу • Палітыка ўварвання • Пратакол прымянення • Кліенцкае прыкладанне •  Web прымяненне • Імя карыстальніка (уключаючы вобласць)   Новыя параметры меню: параметры кантэкстнага перакрыжаванага запуску цяпер даступныя пры пстрычцы правай кнопкай мышы па вышэйзгаданых тыпах даных для падзей у віджэтах панэлі кіравання і табліцах падзей на старонках у меню "Аналіз". Падтрымліваюцца платформы: Цэнтр кіравання агнявой моцай
Інтэграцыя з IBM QRadar	6.0 і пазней	Карыстальнікі IBM QRadar могуць выкарыстоўваць новае спецыяльнае прыкладанне Firepower для аналізу даных падзей. Даступная функцыянальнасць залежыць ад вашай версіі Firepower. Гл. Аналіз падзей у IBM QRadar.
Паляпшэнні інтэграцыі з рэагаваннем на пагрозы Cisco SecureX	6.5	• Падтрымка рэгіянальных аблокаў: • Злучаныя Штаты (Паўночная Амерыка) • Еўропа   • Падтрымка дадатковых тыпаў падзей: •  File і падзеі шкоднасных праграм • Высокапрыярытэтныя падзеі злучэння Гэта падзеі злучэння, звязаныя з наступным: • Падзеі пранікнення • Падзеі службы бяспекі •  File і падзеі шкоднасных праграм     Змененыя экраны: уключаны новыя параметры Сістэма > Інтэграцыя > Воблачныя сэрвісы. Падтрымоўваныя платформы: усе прылады, якія падтрымліваюцца ў гэтым выпуску, праз прамую інтэграцыю або праз сістэмны журнал.
Сістэмны часопіс	6.5	Поле AccessControlRuleName цяпер даступна ў паведамленнях сістэмнага часопіса падзей пра ўварванне.
Інтэграцыя з Cisco Security Packet Analyzer	6.5	Падтрымка гэтай функцыі была выдалена.

Інтэграцыя з рэагаваннем на пагрозы Cisco SecureX	6.3 (праз syslog, выкарыстоўваючы проксі калекцыянер) 6.4 (прамы)	Інтэгруйце даныя падзей пра ўварванні Firepower з дадзенымі з іншых крыніц для адзінай сістэмы view пагроз вашай сеткі з дапамогай магутных інструментаў аналізу ў рэагаванні на пагрозы Cisco SecureX. Змененыя экраны (версія 6.4): уключаны новыя параметры Сістэма > Інтэграцыя > Воблачныя сэрвісы. Падтрымліваюцца платформы: прылады Firepower Threat Defense пад кіраваннем версіі 6.3 (праз syslog) або 6.4.
Падтрымка Syslog для File і падзеі шкоднасных праграм	6.4	Цалкам кваліфікаваны file і дадзеныя аб падзеях шкоднасных праграм цяпер могуць адпраўляцца з кіраваных прылад праз сістэмны часопіс. Мадыфікаваныя экраны: Палітыкі > Кантроль доступу > Кантроль доступу > Журнал. Падтрымліваюцца платформы: усе кіраваныя прылады пад кіраваннем версіі 6.4.
Інтэграцыя з Splunk	Падтрымлівае ўсе версіі 6.x	Карыстальнікі Splunk могуць выкарыстоўваць новую асобную праграму Splunk, праграму Cisco Secure Firewall (fka Firepower) для Splunk, для аналізу падзей. Даступная функцыянальнасць залежыць ад вашай версіі Firepower. Глядзіце аналіз падзей у Splunk.
Інтэграцыя з Cisco Security Packet Analyzer	6.3	Прадстаўлена асаблівасць: імгненна запытвайце ў аналізатара пакетаў бяспекі Cisco пакеты, звязаныя з падзеяй, затым пстрыкніце, каб праверыць вынікі ў аналізатары пакетаў бяспекі Cisco або спампуйце іх для аналізу ў іншы знешні інструмент. Новыя экраны: сістэма > Інтэграцыя > Аналіз аналізатара пакетаў > Пашыраны > Запыты аналізатара пакетаў Новыя параметры меню: Аналізатар пакетаў запытаў пункт меню пры пстрычцы правай кнопкай мышы на падзеі на старонках Dashboar і табліцах падзей на старонках у меню Analysis. Падтрымліваюцца платформы: Цэнтр кіравання агнявой моцай
Кантэкстны крос-запуск	6.3	Прадстаўлена функцыя: пстрыкніце падзею правай кнопкай мышы, каб знайсці звязаную інфармацыю ў прадусталяваным або карыстальніцкім рэжыме URL-на аснове знешніх рэсурсаў. Новыя экраны: Аналіз > Пашыраны > Кантэкстны крос-запуск Новыя параметры меню: некалькі параметраў пры пстрычцы правай кнопкай мышы на падзеі на старонках панэлі кіравання і нават у табліцах на старонках у меню аналізу. Падтрымліваюцца платформы: Цэнтр кіравання агнявой моцай

Паведамленні сістэмнага часопіса для падзеі злучэння і ўварвання	6.3	Магчымасць адпраўляць поўнае падключэнне і падзеі ўварвання ў знешняе сховішча і інструменты праз сістэмны часопіс з выкарыстаннем новых уніфікаваных і спрошчаных канфігурацый. Загалоўкі паведамленняў цяпер стандартызаваны і ўключаюць у сябе ідэнтыфікатары тыпаў падзей, а паведамленні менш, таму што палі з невядомымі і пустымі значэннямі апушчаны. Падтрымліваюцца платформы: • Усе новыя функцыі: прылады FTD пад кіраваннем версіі 6.3. • Некаторыя новыя функцыянальныя магчымасці: прылады без FTD пад кіраваннем версіі 6.3. • Менш новых функцыянальных магчымасцей: усе прылады з версіямі, старэйшымі за 6.3. Для атрымання дадатковай інфармацыі глядзіце тэмы ў раздзеле Аб адпраўцы паведамленняў сістэмнага часопіса для падзей бяспекі.
eStreamer	6.3	Змесціва eStreamer перанесена з главы "Крыніцы ідэнтыфікацыі хаста" ў гэтую главу і дададзена зводка, якая параўноўвае eStreamer з сістэмным часопісам.