Analiz evènman Cisco lè l sèvi avèk zouti ekstèn

Enfòmasyon sou pwodwi

Pwodwi a pèmèt itilizatè yo entegre ak Cisco SecureX epi jwenn aksè nan li lè l sèvi avèk karakteristik nan riban nan FMC la web koòdone.

Espesifikasyon

• Entegrasyon: Cisco SecureX
• Entèfas: FMC web koòdone
• Karakteristik riban: Anba chak paj

Enstriksyon Itilizasyon Pwodwi

Aksè SecureX lè l sèvi avèk riban an
Pou jwenn aksè nan SecureX lè l sèvi avèk karakteristik riban an, swiv etap sa yo:

1. Nan FMC, klike sou riban ki anba nenpòt paj FMC.
2. Klike sou "Jwenn SecureX".
3. Konekte nan SecureX.
4. Klike sou lyen an pou otorize aksè.
5. Klike sou riban an pou elaji epi sèvi ak li.

Analiz evènman lè l sèvi avèk zouti ekstèn
Pou fè analiz evènman lè l sèvi avèk zouti ekstèn, swiv etap sa yo:

1. Nan FMC, klike sou riban ki anba nenpòt paj FMC.
2. Klike sou "Jwenn SecureX".
3. Konekte nan SecureX.
4. Klike sou lyen an pou otorize aksè.
5. Klike sou riban an pou elaji epi sèvi ak li.

Analiz evènman ak repons menas Cisco SecureX
Cisco SecureX Threat Response (ansyen ke yo rekonèt kòm Cisco Threat Response) pèmèt itilizatè yo rapidman detekte, envestige, epi reponn a menas. Pou fè analiz evènman ak Cisco SecureX Threat Response, swiv etap sa yo:

1. Nan FMC, klike sou riban ki anba nenpòt paj FMC.
2. Klike sou "Jwenn SecureX".
3. Konekte nan SecureX.
4. Klike sou lyen an pou otorize aksè.
5. Klike sou riban an pou elaji epi sèvi ak li.

View Done evènman nan repons menas Cisco SecureX

Pou view done evènman nan Cisco SecureX menas repons, swiv
etap sa yo:

1. Konekte nan Cisco SecureX Threat Response jan yo mande l.

Sèvi ak envestigasyon evènman Web-Baze Resous
Pou mennen ankèt sou evènman yo webresous ki baze sou, swiv etap sa yo:

1. Konekte nan Cisco SecureX Threat Response jan yo mande l.
2. Sèvi ak karakteristik kontèks lanse kwaze pou jwenn plis enfòmasyon sou menas potansyèl yo webresous ki baze sou andeyò Sant Jesyon Firepower.
3. Klike dirèkteman nan yon evènman nan evènman an viewer oswa tablodbò nan Sant Jesyon Firepower a enfòmasyon ki enpòtan nan resous ekstèn lan.

Konsènan Jere Resous Kontèks Lanse kwa
Pou jere ekstèn webresous ki baze sou, swiv etap sa yo:

1. Ale nan Analiz > Avanse > Kontèks Cross-Launch.
2. Jere resous pre-defini ak twazyèm-pati yo ofri nan Cisco.
3. Ou ka enfim, efase, oswa chanje non resous yo jan sa nesesè.

FAQ

• K: Ki sa ki SecureX?
  A: SecureX se yon platfòm entegrasyon nan Cisco Cloud ki pèmèt itilizatè yo analize ensidan lè l sèvi avèk done total ki soti nan plizyè pwodwi, ki gen ladan Firepower.
• K: Kouman mwen ka jwenn aksè nan SecureX lè l sèvi avèk karakteristik riban an?
  A: Pou jwenn aksè nan SecureX lè l sèvi avèk karakteristik riban an, klike sou riban ki anba nenpòt paj FMC epi swiv etap yo bay yo.
• K: Èske mwen ka view done evènman nan Cisco SecureX menas repons?
  A: Wi, ou kapab view done evènman nan Cisco SecureX Threat Response lè w ap siyen an jan yo mande l.
• K: Kouman mwen ka mennen ankèt sou evènman yo web-resous ki baze sou?
  A: Pou envestige evènman lè l sèvi avèk webresous ki baze sou, konekte nan Cisco SecureX Threat Response epi sèvi ak karakteristik nan kontèks kwa-lansman pou jwenn enfòmasyon ki enpòtan.

Entegre ak Cisco SecureX

View epi travay ak done ki sòti nan tout pwodwi sekirite Cisco ou yo ak plis ankò atravè yon sèl fenèt, pòtal nwaj SecureX la. Sèvi ak zouti ki disponib atravè SecureX pou anrichi lachas ak envestigasyon menas ou yo. SecureX kapab tou bay enfòmasyon itil sou aparèy ak aparèy tankou si chak ap kouri yon vèsyon lojisyèl pi bon.

• Pou plis enfòmasyon sou SecureX, gade http://www.cisco.com/c/en/us/products/security/securex.html.
• Pou entegre Firepower ak SecureX, gade Gid Entegrasyon Firepower ak SecureX nan https://cisco.com/go/firepower-securex-documentation.

Aksede SecureX lè l sèvi avèk riban an
Riban an parèt anba chak paj nan FMC web koòdone. Ou ka sèvi ak riban pou byen vit vire nan lòt pwodwi sekirite Cisco epi travay ak done menas ki soti nan plizyè sous.

Anvan ou kòmanse

• Si ou pa wè riban SecureX nan anba FMC web paj koòdone, pa sèvi ak pwosedi sa a. Olye de sa, gade Gid Entegrasyon Firepower ak SecureX nan https://cisco.com/go/firepower-securex-documentation.
• Si ou pa deja gen yon kont SecureX, jwenn youn nan depatman IT ou a.

Pwosedi

• Etap 1 Nan FMC, klike sou riban ki anba nenpòt paj FMC.
• Etap 2 Klike sou Jwenn SecureX.
• Etap 3 Siyen nan SecureX.
• Etap 4 Klike sou lyen an pou otorize aksè.
• Etap 5 Klike sou riban an pou elaji epi sèvi ak li.

Kisa pou w fè annapre
Pou jwenn enfòmasyon sou karakteristik riban yo ak kijan pou itilize yo, gade èd sou entènèt nan SecureX.

Analiz evènman ak repons menas Cisco SecureX

Repons menas Cisco SecureX te konnen anvan kòm repons menas Cisco (CTR.) Rapidman detekte, mennen ankèt sou, epi reponn a menas lè l sèvi avèk repons menas Cisco SecureX, platfòm entegrasyon nan Cisco Cloud ki pèmèt ou analize ensidan lè l sèvi avèk done ki soti nan plizyè pwodwi, tankou Firepower.

• Pou enfòmasyon jeneral sou repons menas Cisco SecureX, gade: https://www.cisco.com/c/en/us/products/security/threat-response.html.
• Pou jwenn enstriksyon detaye pou entegre Firepower ak repons menas Cisco SecureX, gade:
• Firepower ak Cisco SecureX menas Entegrasyon Gid nan https://cisco.com/go/firepower-ctr-integration-docs.

View Done evènman nan repons menas Cisco SecureX

Anvan ou kòmanse

• Fikse entegrasyon an jan sa dekri nan Gid Entegrasyon Firepower ak Cisco SecureX menas repons nan https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.
• Review èd sou entènèt la nan repons menas Cisco SecureX pou aprann kijan pou jwenn, envestige, ak pran aksyon sou menas.
• Ou pral bezwen kalifikasyon ou pou jwenn aksè nan repons menas Cisco SecureX.

Pwosedi

Etap 1
Nan Firepower Management Center, fè youn nan bagay sa yo:

• Pou pivote nan repons Cisco SecureX menas soti nan yon evènman espesifik:
  • Navige nan yon paj anba meni Analiz > Entrizyon ki bay lis yon evènman sipòte.
  • Dwa-klike sou yon sous oswa adrès IP destinasyon epi chwazi View nan SecureX.
• Pou view enfòmasyon evènman an jeneral:
  • Navige nan Sistèm > Entegrasyon > Sèvis Cloud.
  • Klike sou lyen an view evènman nan repons menas Cisco SecureX.

Etap 2
Enskri nan repons menas Cisco SecureX jan yo mande l.

Sèvi ak envestigasyon evènman Web-Baze Resous
Sèvi ak karakteristik kontèks lanse kwaze a pou jwenn byen vit plis enfòmasyon sou menas potansyèl yo webresous ki baze sou andeyò Sant Jesyon Firepower. Pou egzanpample, ou ta ka:

• Chèche yon adrès IP sous sispèk nan yon sèvis Cisco oswa yon twazyèm pati ki akomode nan nwaj ki pibliye enfòmasyon sou menas li te ye ak sispèk, oswa
• Chèche ka sot pase yo nan yon menas patikilye nan mòso istorik òganizasyon w lan, si òganizasyon w la estoke done sa yo nan yon aplikasyon SIEM (Sekirite Information and Event Management).
• Chèche enfòmasyon sou yon patikilye file, ki gen ladan file enfòmasyon trajectoire, si òganizasyon w te deplwaye Cisco AMP pou endpoints.

Lè w ap mennen ankèt sou yon evènman, ou ka klike dirèkteman nan yon evènman nan evènman an viewer oswa tablodbò nan Sant Jesyon Firepower a enfòmasyon ki enpòtan nan resous ekstèn lan. Sa a pèmèt ou byen vit rasanble kontèks alantou yon evènman espesifik ki baze sou adrès IP li yo, pò, pwotokòl, domèn, ak / oswa SHA 256 hash. Pou egzanpampsi w ap gade widje tablodbò Top Attackers la epi w vle jwenn plis enfòmasyon sou youn nan adrès IP sous ki nan lis la. Ou vle wè ki enfòmasyon Talos pibliye sou adrès IP sa a, kidonk ou chwazi resous "Talos IP". Talos yo web sit ouvè a yon paj ki gen enfòmasyon sou adrès IP espesifik sa a. Ou ka chwazi nan yon seri lyen predefini pou Cisco yo itilize souvan ak sèvis entèlijans menas twazyèm pati, epi ajoute lyen koutim pou lòt websèvis ki baze sou, ak SIEM yo oswa lòt pwodwi ki gen yon web koòdone. Remake byen ke kèk resous ka mande pou yon kont oswa yon achte yon pwodwi.

Konsènan Jere Resous Kontèks Lanse kwa

• Jere ekstèn webresous ki baze sou lè l sèvi avèk Analiz > Avanse > Kontèks paj Lanse kwa.

Eksepsyon:
Jere lyen kwa-lansman nan yon aparèy Secure Network Analytics swiv pwosedi a nan Konfigure Cross-Launch Links pou Secure Network Analytics.

• Resous pre-defini yo ofri nan Cisco yo make ak logo Cisco a. Lyen ki rete yo se resous twazyèm pati.
• Ou ka enfim oswa efase nenpòt resous ou pa bezwen, oswa ou ka chanje non yo, pou egzanpample pa mete yon non ak yon "z" miniskil pou resous la klase nan pati anba a nan lis la. Enfim yon resous lansman kwa enfim li pou tout itilizatè yo. Ou pa ka retabli resous efase yo, men ou ka re-kreye yo.
• Pou ajoute yon resous, gade Ajoute Resous Kontèks Lanse Cross-Launch.

Kondisyon pou Custom Contextual Cross-Launch Resources

Lè w ajoute resous koutim kontèks kwa-lansman:

• Resous yo dwe aksesib atravè web navigatè.
• Se sèlman http ak https pwotokòl yo sipòte.
• Sèlman demann GET yo sipòte; Demann POST yo pa.
• Kodaj varyab nan URLs pa sipòte. Pandan ke adrès IPv6 ka mande pou separasyon kolon yo dwe kode, pifò sèvis pa mande pou kodaj sa a.
• Jiska 100 resous yo ka configuré, ki gen ladan resous pre-defini.
• Ou dwe yon itilizatè admin oswa analis sekirite pou kreye yon lansman kwa, men ou kapab tou yon analis sekirite lekti sèlman pou itilize yo.

Ajoute Resous Kontèks pou Lanse kwa

• Ou ka ajoute resous kontèks lanse tankou sèvis entèlijans menas ak enfòmasyon sekirite ak zouti Jesyon Evènman (SIEM).
• Nan deplwaman plizyè domèn, ou ka wè epi sèvi ak resous nan domèn paran yo, men ou ka sèlman kreye ak modifye resous nan domèn aktyèl la. Kantite total resous atravè tout domèn limite a 100.

Anvan ou kòmanse

• Si w ap ajoute lyen nan yon aparèy Secure Network Analytics, tcheke pou wè si lyen ou vle yo deja egziste; pifò lyen yo otomatikman kreye pou ou lè ou configured Cisco Security Analytics ak Logging (Sou lokal).
• Gade Kondisyon pou Resous Custom Contextual Cross-Launch.
• Si sa nesesè pou resous la, ou pral konekte ak, kreye oswa jwenn yon kont ak kalifikasyon yo bezwen pou aksè. Opsyonèlman, bay ak distribye kalifikasyon pou chak itilizatè ki bezwen aksè.
• Detèmine sentaks lyen rechèch la pou resous ou pral konekte a:
  • Aksede resous la atravè navigatè a epi, lè l sèvi avèk dokiman pou resous sa a jan sa nesesè, fòme lyen rechèch ki nesesè pou chèche yon s espesifik.ampki kalite enfòmasyon ou vle lyen rechèch ou a jwenn, tankou yon adrès IP.
  • Kouri rechèch la, epi kopye rezilta a URL soti nan ba kote navigatè a.
  • Pou egzanpample, ou ta ka gen rechèch la URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

Pwosedi

• Etap 1
  Chwazi Analiz > Avanse > Kontèks Cross-Launch.
• Etap 2 Klike sou New Cross-Launch.
  Nan fòm ki parèt, tout jaden ki make ak yon etwal mande pou yon valè.
• Etap 3 Antre yon non resous inik.
• Etap 4 kole travay la URL fisèl soti nan resous ou a nan URL Jaden modèl.
• Etap 5 Ranplase done espesifik yo (tankou yon adrès IP) nan chèn rechèch la ak yon varyab apwopriye: Pozisyon kurseur ou a, epi klike sou yon varyab (pa egzanp.ample, ip) yon fwa pou mete varyab la.
  • Nan ansyen anample ki soti nan seksyon "Anvan w kòmanse" pi wo a, rezilta a URL ta ka https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
  • Lè yo itilize lyen kontèks-lansman an, {ip} varyab nan URL pral ranplase pa adrès IP ke itilizatè a klike sou dwa-klike sou nan evènman an viewer oswa tablodbò.
  • Pou yon deskripsyon chak varyab, pase sou varyab la.
  • Ou ka kreye plizyè lyen kontèks kwa-lansman pou yon sèl zouti oswa sèvis, lè l sèvi avèk diferan varyab pou chak.
• Etap 6 Klike sou Test ak exampdone yo ( ) pou teste lyen ou ak example done.
• Etap 7 Ranje nenpòt pwoblèm.
• Etap 8 Klike sou Save.

Envestige Evènman Sèvi ak Kontèks Cross-Launch

Anvan ou kòmanse
Si resous ou pral jwenn aksè a mande kalifikasyon, asire w ke ou gen kalifikasyon sa yo.

Pwosedi

• Etap 1 Navige nan youn nan paj sa yo nan Firepower Management Center ki montre evènman yo:
  • Yon tablodbò (Plisview > Dashboards), oswa
  • Yon evènman viewpaj la (nenpòt opsyon meni anba meni analiz la ki gen ladann yon tablo evènman yo.)
• Etap 2 Dwa-klike sou evènman an nan enterè epi chwazi resous kontèks kwa-lansman yo itilize.
  • Si sa nesesè, desann nan meni kontèks la pou wè tout opsyon ki disponib.
  • Kalite done ou klike sou dwa-dwa a detèmine opsyon ou wè yo; pou egzanpampMen, si ou klike sou yon adrès IP, ou pral sèlman wè opsyon kontèks kwa-lansman ki gen rapò ak adrès IP.
  • Se konsa, pou egzanpample, pou jwenn menas entèlijans nan Cisco Talos sou yon adrès IP sous nan Widget tablodbò Top Attackers, chwazi Talos SrcIP oswa Talos IP.
  • Si yon resous gen plizyè varyab, opsyon pou chwazi resous sa a disponib sèlman pou evènman ki gen yon sèl valè posib pou chak varyab enkli.
  • Resous kontèks lanse kwaze a ouvè nan yon fenèt navigatè separe.
  • Li ka pran kèk tan pou rechèch la dwe trete, tou depann de kantite done yo dwe mande, vitès ak demann sou resous la, ak sou sa.
• Etap 3 Siyen nan resous la si sa nesesè.

Configured Cross-Launch Links pou Secure Network Analytics

• Ou ka lanse soti nan done evènman nan Firepower ak done ki gen rapò ak aparèy Secure Network Analytics ou a.
• Pou plis enfòmasyon sou pwodwi Secure Network Analytics, gade https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
• Pou enfòmasyon jeneral sou kontèks kwa-lansman, gade Envestige Evènman lè l sèvi avèk Kontèks Cross-Launch.
• Sèvi ak pwosedi sa a pou byen vit konfigirasyon yon seri lyen kwa-lansman nan aparèy Secure Network Analytics ou a.

Remak

• Si w bezwen fè chanjman nan lyen sa yo pita, retounen nan pwosedi sa a; ou pa ka fè chanjman dirèkteman sou paj lis kontèks kwa-lansman an.
• Ou ka manyèlman kreye lyen adisyonèl pou lansman kwaze nan aparèy Secure Network Analytics ou a lè l sèvi avèk pwosedi a nan Ajoute Resous Cross-Launch kontèks, men lyen sa yo ta endepandan de resous yo kreye oto-yo epi kidonk yo ta dwe manyèlman jere (efase, mete ajou, elatriye)

Anvan ou kòmanse

• Ou dwe gen yon aparèy Secure Network Analytics ki deplwaye epi ki fonksyone.
• Si ou vle voye done Firepower nan aparèy Secure Network Analytics ou a lè l sèvi avèk Cisco Security Analytics ak Logging (Sou lokal), gade Depo Done Remote sou yon Aparèy Secure Network Analytics.

Pwosedi

• Etap 1 Chwazi Sistèm > Logging > Sekirite Analytics & Logging.
• Etap 2 Pèmèt karakteristik la.
• Etap 3 Antre non host oswa adrès IP, ak pò, nan aparèy Secure Network Analytics ou a. Pò a default se 443.
• Etap 4 Klike sou Save.
• Etap 5 Verifye nouvo lyen kwa-lansman ou yo: Chwazi Analiz > Avanse > Kontèks-lansman kwa. Si ou bezwen fè chanjman, retounen nan pwosedi sa a; ou pa ka fè chanjman dirèkteman sou paj lis kontèks kwa-lansman an.

Kisa pou w fè annapre

• Pou lanse kwaze soti nan yon evènman nan evènman an Secure Network Analytics viewer, w ap bezwen kalifikasyon Secure Network Analytics ou.
• Pou kwaze lansman soti nan yon evènman nan evènman an FMC viewer oswa tablodbò, klike sou selil tab yon evènman ki enpòtan epi chwazi opsyon ki apwopriye a.
• Li ka pran kèk tan pou rechèch la trete, tou depann de kantite done yo dwe mande, vitès ak demann sou Stealthwatch Management Console, elatriye.

Konsènan voye mesaj Syslog pou evènman sekirite yo

• Ou ka voye done ki gen rapò ak koneksyon, entèlijans sekirite, entrizyon, ak file ak evènman malveyan atravè syslog nan yon zouti Sekirite Enfòmasyon ak Jesyon Evènman (SIEM) oswa yon lòt solisyon depo ak jesyon evènman ekstèn.
• Evènman sa yo pafwa refere tou kòm evènman Snort®.

Konsènan konfigirasyon sistèm nan voye done evènman sekirite nan Syslog

Yo nan lòd yo konfigirasyon sistèm nan voye syslog evènman sekirite, ou pral bezwen konnen sa ki annapre yo:

• Pi bon pratik pou konfigirasyon mesaj Syslog evènman sekirite
• Kote konfigirasyon pou Syslogs evènman sekirite
• Anviwònman platfòm FTD ki aplike nan mesaj Syslog evènman sekirite yo
• Si ou fè chanjman nan paramèt syslog nan nenpòt politik, ou dwe re-deplwaye pou chanjman yo pran efè.

Pi bon pratik pou konfigirasyon mesaj Syslog evènman sekirite

Aparèy ak vèsyon	Konfigirasyon Kote
Tout	Si w ap itilize syslog oswa magazen evènman deyò, evite karaktè espesyal nan non objè tankou non règleman ak non règ. Non objè yo pa ta dwe genyen karaktè espesyal, tankou vigil, ke aplikasyon k ap resevwa a ka itilize kòm separasyon.

Firepower menas defans

1.      Konfigirasyon paramèt platfòm FTD (Aparèy > Anviwònman platfòm > Anviwònman defans menas > Syslog.) Gade tou Anviwònman platfòm FTD ki aplike nan mesaj Syslog evènman sekirite yo. 2.      Nan onglet Logging politik kontwòl aksè ou a, chwazi pou itilize paramèt platfòm FTD yo. 3.      (Pou evènman entrizyon) Konfigure règleman entrizyon pou itilize paramèt ki nan tab Enskripsyon politik kontwòl aksè ou. (Sa a se default la.)   Anile nenpòt nan paramèt sa yo pa rekòmande. Pou plis detay esansyèl, gade Voye mesaj Syslog evènman sekirite nan aparèy FTD.

Tout lòt aparèy

1.      Kreye yon repons alèt. 2.      Konfigure règleman kontwòl aksè Logging pou itilize repons alèt la. 3.      (Pou evènman entrizyon) Konfigure paramèt syslog nan règleman entrizyon.  Pou plis detay, gade Voye Mesaj Syslog Evènman Sekirite Soti nan Aparèy Klasik yo.

Voye mesaj Syslog evènman sekirite nan aparèy FTD
Pwosedi sa a dokimante konfigirasyon pi bon pratik pou voye mesaj syslog pou evènman sekirite (koneksyon, koneksyon ki gen rapò ak sekirite, entrizyon, file, ak evènman malveyan) ki soti nan aparèy Firepower Threat Defense.

Remak
Anpil paramèt syslog Firepower menas defans pa aplikab pou evènman sekirite yo. Konfigure sèlman opsyon ki dekri nan pwosedi sa a.

Anvan ou kòmanse

• Nan FMC, konfigirasyon règleman pou jenere evènman sekirite epi verifye ke evènman ou espere wè yo parèt nan tablo ki aplikab yo anba meni analiz la.
• Rasanble adrès IP sèvè syslog la, pò, ak pwotokòl (UDP oswa TCP):
• Asire ke aparèy ou yo ka rive jwenn sèvè syslog la (yo).
• Konfime ke sèvè syslog la (yo) ka aksepte mesaj aleka.
• Pou jwenn enfòmasyon enpòtan sou koneksyon koneksyon, gade chapit sou koneksyon an.

Pwosedi

• Etap 1 Konfigure paramèt syslog pou aparèy defans menas Firepower ou a:
  • Klike sou Aparèy > Anviwònman platfòm.
  • Edite règleman sou anviwònman platfòm ki asosye ak aparèy defans menas Firepower ou a.
  • Nan fenèt navigasyon gòch la, klike sou Syslog.
  • Klike sou Sèvè Syslog epi klike sou Ajoute pou antre nan sèvè, pwotokòl, koòdone, ak enfòmasyon ki gen rapò. Si w gen kesyon sou opsyon nan paj sa a, gade Konfigure yon sèvè Syslog.
  • Klike sou Anviwònman Syslog ak konfigirasyon paramèt sa yo:
    • Pèmèt Timestamp sou Syslog Messages
    • Timestamp Fòma
    • Pèmèt ID Aparèy Syslog
  • Klike sou Enstalasyon Logging.
  • Chwazi si ou pa voye syslogs nan fòma EMBLEM.
  • Sove anviwònman ou yo.
• Etap 2 Konfigure paramèt jeneral pou kontwòl aksè a (ki gen ladan file ak anrejistreman malveyan):
  • Klike sou Règleman > Kontwòl Aksè.
  • Edite politik kontwòl aksè ki aplikab la.
  • Klike sou Logging.
  • Chwazi FTD 6.3 ak pita: Sèvi ak paramèt syslog ki configuré nan règleman FTD Anviwònman platfòm deplwaye sou aparèy la.
  • (Si ou vle) Chwazi yon Severite Syslog.
  • Si ou pral voye file ak evènman malveyan, chwazi Voye mesaj Syslog pou File ak evènman malveyan.
  • Klike sou Save.
• Etap 3 Pèmèt antre pou evènman koneksyon ki gen rapò ak sekirite pou règleman kontwòl aksè a:
  • Nan menm règleman kontwòl aksè a, klike sou tab la Sekirite entèlijans.
  • Nan chak nan kote sa yo, klike sou Logging ( ) ak pèmèt kòmansman ak fen koneksyon ak sèvè Syslog:
    • Anplis Règleman DNS.
    • Nan bwat Lis blòk la, pou Rezo ak pou URLs.
  • Klike sou Save.
• Etap 4 Pèmèt journal syslog pou chak règ nan règleman kontwòl aksè a:
  • Nan menm règleman kontwòl aksè a, klike sou tab la Règ.
  • Klike sou yon règ pou modifye.
  • Klike sou tab Logging nan règ la.
  • Chwazi si w ta dwe konekte kòmansman oswa fen koneksyon, oswa toude.
    (Enregistrement koneksyon jenere yon anpil nan done; anrejistreman tou de kòmansman ak fen jenere apeprè doub sa anpil done. Se pa tout koneksyon ki ka konekte tou de nan kòmansman ak nan fen.)
  • Si ou pral konekte file evènman yo, chwazi Log Files.
  • Pèmèt sèvè Syslog.
  • Verifye ke règ la se "Itilize konfigirasyon syslog default nan Logging Kontwòl Aksè."
  • Klike sou Ajoute.
  • Repete pou chak règ nan politik la.
• Etap 5 Si w pral voye evènman entrizyon:
  • Navige nan politik entrizyon ki asosye ak règleman kontwòl aksè ou a.
  • Nan politik entrizyon ou a, klike sou Anviwònman Avanse > Avètisman Syslog > Pèmèt.
  • Si sa nesesè, klike sou Edit
  • Antre opsyon:
    

    Opsyon	Valè
    Anrejistre lame	Sòf si w ap voye mesaj syslog evènman entrizyon nan yon sèvè syslog diferan pase w ap voye lòt mesaj syslog, kite sa a vid pou itilize paramèt ou te konfigirasyon pi wo yo.
    Etablisman	Anviwònman sa a aplikab sèlman si ou presize yon Hôte Loging nan paj sa a. Pou deskripsyon yo, gade Syslog Alert Facilities.
    Severite	Anviwònman sa a aplikab sèlman si ou presize yon Hôte Loging nan paj sa a. Pou deskripsyon, gade Nivo gravite Syslog.

  • Klike sou Retounen.
  • Klike sou Enfòmasyon sou Règleman nan fenèt navigasyon gòch la.
  • Klike sou Komite Chanjman yo.

Kisa pou w fè annapre

• (Si ou vle) Konfigure diferan paramèt anrejistreman pou règleman ak règ endividyèl yo. Gade ranje tab ki aplikab yo nan Kote Konfigirasyon pou Syslogs pou Koneksyon ak Evènman Entèlijans Sekirite (Tout Aparèy).
  • Paramèt sa yo pral mande repons alèt syslog, ki konfigirasyon jan sa dekri nan Kreye yon repons alèt Syslog. Yo pa sèvi ak paramèt platfòm ou configuré nan pwosedi sa a.
• Pou konfigirasyon anrejistreman syslog evènman sekirite pou aparèy klasik, gade Voye mesaj Syslog evènman sekirite soti nan aparèy klasik.
• Si w fini fè chanjman, deplwaye chanjman ou yo sou aparèy jere yo.

Voye mesaj Syslog evènman sekirite nan aparèy klasik yo

Anvan ou kòmanse

• Konfigure règleman pou jenere evènman sekirite.
• Asire ke aparèy ou yo ka rive jwenn sèvè syslog la (yo).
• Konfime ke sèvè syslog la (yo) ka aksepte mesaj aleka.
• Pou jwenn enfòmasyon enpòtan sou koneksyon koneksyon, gade chapit sou koneksyon an.

Pwosedi

• Etap 1 Konfigure yon repons alèt pou aparèy klasik ou yo: Gade Kreye yon repons alèt Syslog.
• Etap 2 Konfigure paramèt syslog nan règleman kontwòl aksè a:
  • Klike sou Règleman > Kontwòl Aksè.
  • Edite politik kontwòl aksè ki aplikab la.
  • Klike sou Logging.
  • Chwazi Voye lè l sèvi avèk alèt syslog espesifik.
  • Chwazi Syslog Alert ou te kreye pi wo a.
  • Klike sou Save.
• Etap 3 Si ou pral voye file ak evènman malveyan:
  • Chwazi Voye mesaj Syslog pou File ak evènman malveyan.
  • Klike sou Save.
• Etap 4 Si w pral voye evènman entrizyon:
  • Navige nan politik entrizyon ki asosye ak règleman kontwòl aksè ou a.
  • Nan politik entrizyon ou a, klike sou Anviwònman Avanse > Avètisman Syslog > Pèmèt.
  • Si sa nesesè, klike sou Edit
  • Antre opsyon:
    

    Opsyon	Valè
    Anrejistre lame	Sòf si w ap voye mesaj syslog evènman entrizyon nan yon sèvè syslog diferan pase w ap voye lòt mesaj syslog, kite sa a vid pou itilize paramèt ou te konfigirasyon pi wo yo.
    Etablisman	Anviwònman sa a aplikab sèlman si ou presize yon Hôte Loging nan paj sa a. Gade Syslog Alert Facilities.
    Severite	Anviwònman sa a aplikab sèlman si ou presize yon Hôte Loging nan paj sa a. Gade Nivo Severite Syslog.

  • Klike sou Retounen.
  • Klike sou Enfòmasyon sou Règleman nan fenèt navigasyon gòch la.
  • Klike sou Komite Chanjman yo.

Kisa pou w fè annapre

• (Si ou vle) Konfigure diferan paramèt anrejistreman pou règ kontwòl aksè endividyèl yo. Gade ranje tab ki aplikab yo nan Kote Konfigirasyon pou Syslogs pou Koneksyon ak Evènman Entèlijans Sekirite (Tout Aparèy). Paramèt sa yo pral mande repons alèt syslog, ki konfigirasyon jan sa dekri nan Kreye yon repons alèt Syslog. Yo pa sèvi ak paramèt ou configuré pi wo a.
• Pou konfigirasyon anrejistreman syslog evènman sekirite pou aparèy FTD, gade Voye mesaj Syslog evènman sekirite nan aparèy FTD.

Kote konfigirasyon pou Syslogs evènman sekirite

• Kote Konfigirasyon pou Syslogs pou Koneksyon ak Evènman Entèlijans Sekirite (Tout Aparèy)12
• Kote konfigirasyon pou Syslogs pou Evènman Entrizyon (aparèy FTD)
• Kote Konfigirasyon pou Syslogs pou Evènman Entrizyon (Aparèy ki pa FTD)
• Kote konfigirasyon pou Syslogs pou File ak Evènman malveyan

Kote Konfigirasyon pou Syslogs pou Koneksyon ak Evènman Entèlijans Sekirite (Tout Aparèy)
Genyen anpil kote pou configure paramètres journal. Sèvi ak tablo ki anba a pou asire w ke ou mete opsyon ou bezwen yo.

Enpòtan

• Fè atansyon ak anpil atansyon lè w ap konfigirasyon syslog, espesyalman lè w ap itilize defo eritye nan lòt konfigirasyon. Gen kèk opsyon ki PA disponib pou tout modèl aparèy jere ak vèsyon lojisyèl, jan yo note sa nan tablo ki anba a.
• Pou enfòmasyon enpòtan lè w ap konfigirasyon koneksyon koneksyon, gade chapit sou Koneksyon an.

Konfigirasyon Kote	Deskripsyon epi Plis Enfòmasyon
Aparèy > Anviwònman platfòm, Règleman Anviwònman Defans Menas, Syslog	Opsyon sa a aplike sèlman pou aparèy defans menas Firepower. Anviwònman ou konfigirasyon isit la ka espesifye nan anviwònman yo Logging pou yon politik Kontwòl Aksè ak Lè sa a, itilize oswa pase sou plas nan règleman ak règ ki rete nan tablo sa a. Gade Anviwònman Platfòm FTD ki Aplike pou Mesaj Syslog Evènman Sekirite yo ak Konsènan Syslog ak sou-sijè yo.
Règleman > Kontwòl Aksè, , Logging	Anviwònman ou konfigirasyon isit la yo se paramèt defo pou syslogs pou tout evènman entèlijans koneksyon ak sekirite, sof si ou pase sou plas nan règleman ak règ desandan yo nan kote ki espesifye nan rès ranje tablo sa a. Anviwònman rekòmande pou aparèy FTD: Sèvi ak Anviwònman platfòm FTD. Pou jwenn enfòmasyon, gade Anviwònman Platfòm FTD ki Aplike pou Mesaj Syslog Evènman Sekirite yo ak Konsènan Syslog ak sou-sijè yo. Anviwònman obligatwa pou tout lòt aparèy: Sèvi ak yon alèt syslog. Si ou presize yon alèt syslog, gade Kreye yon repons alèt Syslog. Pou plis enfòmasyon sou paramèt yo sou tab Enregistrasyon an, gade Anviwònman Enregistrement pou Règleman Kontwòl Aksè.

Règleman > Kontwòl Aksè, , Règ, Aksyon Default ranje, Logging ( )	Anviwònman anviwònman pou aksyon default ki asosye ak yon politik kontwòl aksè. Gade enfòmasyon sou ouvri sesyon an nan chapit Règ Kontwòl Aksè yo ak Koneksyon Koneksyon ak yon Aksyon Default Règleman.
Règleman > Kontwòl Aksè, , Règ, , Logging	Anviwònman anviwònman pou yon règ patikilye nan yon politik kontwòl aksè. Gade enfòmasyon sou ouvri sesyon an nan chapit Règ Kontwòl Aksè yo.
Règleman > Kontwòl Aksè, , Entèlijans sekirite, Logging ( )	Anviwònman anviwònman pou lis sekirite entèlijans blòk yo. Klike sou bouton sa yo pou konfigirasyon: • DNS Block List Opsyon Logging •  URL Blòk Lis Logging Opsyon • Opsyon pou anrejistreman lis bloke rezo a (pou adrès IP ki nan lis bloke a)   Gade Konfigirasyon Entèlijans Sekirite, ki gen ladan seksyon sou kondisyon yo, ak sou-sijè ak lyen.
Règleman > SSL, , Aksyon Default ranje, Logging ( )	Anviwònman anviwònman pou aksyon default ki asosye ak yon politik SSL. Gade Koneksyon Anrejistre ak Aksyon Default Règleman.
Politik > SSL, , , Logging	Anviwònman anviwònman pou règ SSL. Gade Konpozan Règ TLS/SSL.
Règleman > Prefiltre, , Aksyon Default ranje, Logging ( )	Anviwònman anviwònman pou aksyon default ki asosye ak yon politik prefiltre. Gade Koneksyon Anrejistre ak Aksyon Default Règleman.
Règleman > Prefiltre, , , Logging	Anviwònman anviwònman pou chak règ prefiltre nan yon politik prefiltre. Gade Konpozan Tinèl ak Règ Prefiltre
Règleman > Prefiltre, , , Logging	Anviwònman anviwònman pou chak règ tinèl nan yon politik prefiltre. Gade Konpozan Tinèl ak Règ Prefiltre
Anviwònman syslog adisyonèl pou konfigirasyon gwoup FTD:	Chapit Clustering for Firepower Threat Defense gen plizyè referans sou syslog; chèche chapit la pou "syslog."

Kote konfigirasyon pou Syslogs pou Evènman Entrizyon (aparèy FTD)
Ou ka presize paramèt syslog pou règleman entrizyon yo nan divès kote epi, opsyonèlman, eritye paramèt ki soti nan règleman kontwòl aksè oswa Anviwònman platfòm FTD oswa toude.

Konfigirasyon Kote	Deskripsyon epi Plis Enfòmasyon
Aparèy > Platfòm Anviwònman, Règleman Anviwònman Defans Menas, Syslog	Destinasyon Syslog ke ou konfigirasyon isit la ka espesifye nan tab la Logging nan yon politik kontwòl aksè ki ka default pou yon politik entrizyon. Gade Anviwònman Platfòm FTD ki Aplike pou Mesaj Syslog Evènman Sekirite yo ak Konsènan Syslog ak sou-sijè yo.
Règleman > Kontwòl Aksè, , Logging	Anviwònman defo pou destinasyon syslog pou entrizyon evènman yo, si règleman an entrizyon pa presize lòt lame antre. Gade Anviwònman Logging pou Règleman Kontwòl Aksè.
Règleman > Entrizyon, , Anviwònman avanse, pèmèt Syslog Alèt, klike sou Edit	Pou presize pèseptè syslog lòt pase destinasyon yo espesifye nan onglet Logging politik kontwòl aksè a, epi presize etablisman ak severite, gade Konfigirasyon Syslog Alerts pou Evènman Entrizyon. Si ou vle sèvi ak la Severite or Etablisman oswa tou de jan yo konfigirasyon nan politik la entrizyon, ou dwe tou konfigirasyon lame yo antre nan politik la. Si w itilize hôtes loging ki espesifye nan règleman kontwòl aksè a, severite ak etablisman ki espesifye nan politik entrizyon an p ap sèvi.

Kote Konfigirasyon pou Syslogs pou Evènman Entrizyon (Aparèy ki pa FTD)

• (Default) Règleman kontwòl aksè Anviwònman Anviwònman pou Règleman Kontwòl Aksè, SI w presize yon alèt syslog (Gade Kreye yon repons alèt Syslog.)
• Oswa gade Konfigirasyon Syslog Alerts pou Evènman Entrizyon.

Pa default, politik entrizyon an sèvi ak paramèt ki nan tab Logging politik kontwòl aksè a. Si paramèt ki aplikab pou aparèy ki pa FTD yo pa configuré la, yo p ap voye syslogs pou aparèy ki pa FTD epi okenn avètisman pa parèt.

Kote konfigirasyon pou Syslogs pou File ak Evènman malveyan

Konfigirasyon Kote	Deskripsyon epi Plis Enfòmasyon
Nan yon politik kontwòl aksè: Règleman > Kontwòl Aksè, , Logging	Sa a se kote prensipal la pou konfigirasyon sistèm nan voye syslog pou file ak evènman malveyan. Si ou pa sèvi ak paramèt syslog yo nan Anviwònman platfòm FTD, ou dwe kreye yon repons alèt tou. Gade Kreye yon repons alèt Syslog.

Konfigirasyon Kote	Deskripsyon epi Plis Enfòmasyon
Nan Anviwònman platfòm defans menas Firepower: Aparèy > Platfòm Anviwònman, Règleman Anviwònman Defans Menas, Syslog	Anviwònman sa yo aplike sèlman pou aparèy Firepower Threat Defense ki gen vèsyon ki sipòte, epi sèlman si ou konfigirasyon tab Logging nan règleman kontwòl aksè a pou itilize paramèt platfòm FTD yo. Gade Anviwònman Platfòm FTD ki Aplike pou Mesaj Syslog Evènman Sekirite yo ak Konsènan Syslog ak sou-sijè yo.
Nan yon règ kontwòl aksè: Règleman > Kontwòl Aksè, , , Logging	Si ou pa sèvi ak paramèt syslog yo nan Anviwònman platfòm FTD, ou dwe kreye yon repons alèt tou. Gade Kreye yon repons alèt Syslog.

Anatomi nan mesaj Syslog evènman sekirite

Exampmesaj evènman sekirite ki soti nan FTD (Evènman Entrizyon)

Tablo 1: Konpozan mesaj Syslog evènman sekirite yo

Atik Nimewo in Sample Mesaj	Header Eleman	Deskripsyon
0	PRI	Valè priyorite ki reprezante tou de Etablisman ak Severite alèt la. Valè a parèt nan mesaj syslog yo sèlman lè ou pèmèt antre nan fòma EMBLEM lè l sèvi avèk paramèt platfòm FMC. Si ou pèmèt antre nan evènman entrizyon atravè règleman kontwòl aksè tab Logging, valè PRI a otomatikman parèt nan mesaj syslog yo. Pou jwenn enfòmasyon sou fason pou aktive fòma EMBLEM la, gade Pèmèt Logging ak Konfigirasyon Anviwònman Debaz yo. Pou enfòmasyon sou PRI, gade RFC5424.
1	Timestamp	Dat ak lè mesaj syslog la te voye nan aparèy la. • (Syslog yo voye soti nan aparèy FTD) Pou syslog yo voye lè l sèvi avèk paramèt nan règleman kontwòl aksè a ak desandan li yo, oswa si yo espesifye yo sèvi ak fòma sa a nan Anviwònman platfòm FTD yo, fòma dat la se fòma ki defini nan ISO 8601 fwa.amp fòma jan sa espesifye nan RFC 5424 (yyyy-MM-ddTHH:mm:ssZ), kote lèt Z a endike zòn lè UTC a. • (Syslog yo voye soti nan tout lòt aparèy) Pou syslog yo voye lè l sèvi avèk paramèt nan règleman kontwòl aksè a ak desandan li yo, fòma dat la se fòma ki defini nan ISO 8601 fwa.amp fòma jan sa espesifye nan RFC 5424 (yyyy-MM-ddTHH:mm:ssZ), kote lèt Z a endike zòn lè UTC a. • Sinon, se mwa, jou, ak lè nan zòn lè UTC, menmsi zòn lè a pa endike.   Pou konfigirasyon timest laamp anviwònman nan FTD Anviwònman platfòm, gade Konfigirasyon Anviwònman Syslog.
2	Aparèy oswa koòdone kote yo te voye mesaj la. Sa a ka: • adrès IP nan koòdone la • Non host aparèy • Idantifyan aparèy koutim	(Pou syslog yo voye soti nan aparèy FTD) Si mesaj syslog la te voye lè l sèvi avèk Anviwònman platfòm FTD yo, sa a se valè ki konfigirasyon an Anviwònman Syslog pou la Pèmèt ID Aparèy Syslog opsyon, si yo espesifye. Sinon, eleman sa a pa prezan nan header la. Pou konfigirasyon sa a nan Anviwònman platfòm FTD, gade Konfigirasyon Anviwònman Syslog.

3	Valè koutim	Si mesaj la te voye lè l sèvi avèk yon repons alèt, sa a se Tag valè configuré nan repons alèt ki voye mesaj la, si konfigirasyon. (Gade Kreye yon repons alèt Syslog.) Sinon, eleman sa a pa prezan nan header la.
4	%FTD %NGIPS	Kalite aparèy ki voye mesaj la. • %FTD se defans menas Firepower • %NGIPS se tout lòt aparèy
5	Severite	Gravite ki espesifye nan paramèt syslog yo pou politik ki te deklanche mesaj la. Pou deskripsyon gravite yo, gade Nivo Severite oswa Nivo Severite Syslog.
6	Idantifyan kalite evènman	• 430001: Evènman entrizyon • 430002: Evènman koneksyon te konekte nan kòmansman koneksyon • 430003: Evènman koneksyon konekte nan fen koneksyon   • 430004: File evènman • 430005: File evènman malveyan
—	Etablisman	Gade Etablisman nan Mesaj Syslog Evènman Sekirite yo
—	Rès mesaj	Jaden ak valè separe pa kolon. Jaden ki gen valè vid oswa enkoni yo omisyon nan mesaj yo. Pou deskripsyon jaden yo, gade: • Koneksyon ak Sekirite Entèlijans Evènman Fields. • Jaden Evènman Entrizyon •  File ak Malveyan Evènman Fields   Remak              Lis deskripsyon jaden yo gen ladan tou de jaden syslog ak jaden vizib nan evènman an viewer (opsyon meni anba meni analiz la nan Sant Jesyon Firepower la web koòdone.) Jaden ki disponib atravè syslog yo make kòm sa yo. Gen kèk jaden vizib nan evènman an viewer yo pa disponib atravè syslog. Epitou, kèk jaden syslog yo pa enkli nan evènman an viewer (men yo ka disponib atravè rechèch), ak kèk jaden yo konbine oswa separe.

Etablisman nan mesaj Syslog evènman sekirite
Valè etablisman yo pa jeneralman enpòtan nan mesaj syslog pou evènman sekirite yo. Sepandan, si w bezwen etablisman, sèvi ak tablo sa a:

Aparèy	Pou Mete Etablisman nan Evènman Koneksyon	Pou Mete ladan l Etablisman in Evènman Entrizyon	Kote nan Syslog Message
FTD	Sèvi ak opsyon EMBLEM nan Anviwònman platfòm FTD. Etablisman se toujou Alèt pou evènman koneksyon lè w ap voye mesaj syslog lè l sèvi avèk Anviwònman platfòm FTD.	Sèvi ak opsyon EMBLEM nan Anviwònman platfòm FTD oswa konfigirasyon antre lè l sèvi avèk paramèt syslog yo nan politik entrizyon an. Si ou itilize politik entrizyon an, ou dwe presize tou lame anrejistreman an nan anviwònman politik entrizyon yo.	Etablisman pa parèt nan header mesaj la, men pèseptè syslog la ka jwenn valè a baze sou RFC 5424, seksyon 6.2.1.
		Pèmèt syslog alèt ak konfigirasyon etablisman ak severite sou politik entrizyon an. Gade Konfigirasyon Syslog Alerts pou Evènman Entrizyon.
Aparèy ki pa FTD	Sèvi ak yon repons alèt.	Sèvi ak paramèt syslog la nan paramèt avanse politik entrizyon yo oswa yon repons alèt ki idantifye nan tab Logging politik kontwòl aksè a.

Pou plis enfòmasyon, gade Etablisman ak Severite pou Alèt Syslog Entrizyon ak Kreye yon Repons Alèt Syslog.

Kalite mesaj Syslog Firepower
Firepower ka voye plizyè kalite done syslog, jan sa dekri nan tablo sa a:

Kalite Done Syslog	Gade
Jounal odit ki soti nan FMC	Stream Audit Logs nan Syslog ak chapit Auditing the System
Jounal odit ki soti nan aparèy klasik (ASA FirePOWER, NGIPSv)	Difize Jounal Odit ki soti nan Aparèy Klasik yo ak chapit Odit Sistèm nan Kòmand CLI: syslog
Sante aparèy ak mòso bwa ki gen rapò ak rezo soti nan aparèy FTD	Konsènan Syslog ak subtopics
Koneksyon, entèlijans sekirite, ak jounal evènman entrizyon soti nan aparèy FTD	Konsènan konfigirasyon sistèm nan voye done evènman sekirite nan Syslog.
Koneksyon, entèlijans sekirite, ak mòso bwa evènman entrizyon soti nan aparèy Classic	Konsènan konfigirasyon sistèm nan voye done evènman sekirite nan Syslog

Logs pou file ak evènman malveyan

Konsènan konfigirasyon sistèm nan voye done evènman sekirite nan Syslog

Limitasyon Syslog pou evènman sekirite yo

• Si w ap itilize syslog oswa magazen evènman deyò, evite karaktè espesyal nan non objè tankou non règleman ak non règ. Non objè yo pa ta dwe genyen karaktè espesyal, tankou vigil, ke aplikasyon k ap resevwa a ka itilize kòm separasyon.
• Sa ka pran jiska 15 minit pou evènman yo parèt sou pèseptè syslog ou a.
• Done pou sa ki annapre yo file ak evènman malveyan pa disponib atravè syslog:
• Evènman retrospektiv
• Evènman ki te pwodwi pa AMP pou endpoints

eStreamer sèvè difizyon

• Streamer Evènman an (eStreamer) pèmèt ou difize plizyè kalite done evènman ki soti nan yon Sant Jesyon Firepower nan yon aplikasyon kliyan ki devlope sou koutim. Pou plis enfòmasyon, gade Gid Entegrasyon Firepower System Evènman Streamer.
• Anvan aparèy ou vle itilize kòm yon sèvè eStreamer ka kòmanse difize evènman eStreamer nan yon kliyan ekstèn, ou dwe konfigirasyon sèvè eStreamer la pou voye evènman yo bay kliyan, bay enfòmasyon sou kliyan an, epi jenere yon seri kalifikasyon otantifikasyon pou itilize lè w ap etabli. kominikasyon. Ou ka fè tout travay sa yo nan koòdone itilizatè aparèy la. Yon fwa yo sove paramèt ou yo, evènman ou chwazi yo pral voye bay kliyan eStreamer lè yo mande yo.
• Ou ka kontwole ki kalite evènman sèvè eStreamer a kapab transmèt bay kliyan ki mande yo.

Tablo 2: Kalite evènman ki transmèt pa sèvè eStreamer la

Evènman Kalite	Deskripsyon
Evènman Entrizyon	evènman entrizyon ki te pwodwi pa aparèy jere
Entrizyon Evènman Pake Done	pake ki asosye ak evènman entrizyon
Entrizyon Evènman Siplemantè Done	done adisyonèl ki asosye ak yon evènman entrizyon tankou adrès IP orijin yon kliyan ki konekte ak yon web sèvè atravè yon proxy HTTP oswa balanse chaj
Evènman Dekouvèt	Evènman dekouvèt rezo
Korelasyon ak Pèmèt Lis evènman yo	korelasyon ak konfòmite pèmèt evènman lis
Alèt drapo enpak	alèt enpak ki te pwodwi pa FMC la
Evènman itilizatè yo	evènman itilizatè yo

Evènman Kalite	Deskripsyon
Evènman malveyan	evènman malveyan
File Evènman	file evènman yo
Evènman Koneksyon	enfòmasyon sou trafik sesyon ant hôtes kontwole ou ak tout lòt hôtes.

Konparezon Syslog ak eStreamer pou Sekirite Eventing

Anjeneral, òganizasyon ki pa kounye a gen gwo envestisman ki egziste deja nan eStreamer ta dwe itilize syslog olye ke eStreamer pou jere done evènman sekirite deyò.

Syslog	eStreamer
Pa gen okenn personnalisation obligatwa	Pèsonalizasyon enpòtan ak antretyen kontinyèl obligatwa pou akomode chanjman nan chak lage
Estanda	Pwopriyetè
Syslog estanda pa pwoteje kont pèt done, sitou lè w ap itilize UDP	Pwoteksyon kont pèt done
Voye dirèkteman nan aparèy	Voye soti nan FMC, ajoute pwosesis anlè
Sipò pou file ak evènman malveyan, koneksyon evènman (ki gen ladan evènman entèlijans sekirite) ak evènman entrizyon.	Sipò pou tout kalite evènman ki nan lis nan difizyon sèvè eStreamer.
Gen kèk done evènman yo ka voye sèlman nan FMC. Gade done yo voye sèlman atravè eStreamer, pa atravè Syslog.	Gen ladan done ki pa ka voye atravè syslog dirèkteman nan aparèy. Gade done yo voye sèlman atravè eStreamer, pa atravè Syslog.

Done yo voye sèlman atravè eStreamer, pa atravè Syslog
Done sa yo disponib sèlman nan Firepower Management Center e konsa yo pa ka voye pa syslog soti nan aparèy:

• Pake mòso bwa
• Entrizyon Evènman Siplemantè Done evènman yo
  Pou yon deskripsyon, gade difizyon sèvè eStreamer.
• Estatistik ak evènman total
• Evènman Dekouvèt Rezo
• Aktivite itilizatè ak evènman konekte
• Evènman korelasyon
• Pou evènman malveyan:
  • vèdik retrospektiv
  • ThreatName ak Disposition, sof si enfòmasyon sou SHA ki enpòtan yo te deja senkronize ak aparèy la
• Jaden sa yo:
  • Enpak ak ImpactFlag jaden
    Pou yon deskripsyon, gade difizyon sèvè eStreamer.
  • jaden IOC_Count la
• Pifò ID kri ak UUID.
  Eksepsyon:
  • Syslogs pou evènman koneksyon yo enkli bagay sa yo: FirewallPolicyUUID, FirewallRuleID, TunnelRuleID, MonitorRuleID, SI_CategoryID, SSL_PolicyUUID, ak SSL_RuleID
  • Syslogs pou evènman entrizyon yo gen ladan IntrusionPolicyUUID, GeneratorID, ak SignatureID.
• Metadata pwolonje, ki gen ladan men pa limite a:
  • Detay itilizatè yo bay pa LDAP, tankou non konplè, depatman, nimewo telefòn, elatriye. Syslog sèlman bay non itilizatè nan evènman yo.
  • Detay pou enfòmasyon ki baze sou eta a tankou detay Sètifika SSL. Syslog bay enfòmasyon debaz tankou anprent sètifika a, men li pa pral bay lòt detay sètifika tankou cert CN la.
  • Enfòmasyon detaye aplikasyon, tankou App Tags ak Kategori. Syslog bay sèlman non aplikasyon yo. Kèk mesaj metadata gen ladan tou enfòmasyon siplemantè sou objè yo.
• Enfòmasyon sou jeolokalizasyon

Chwazi kalite evènman eStreamer

• Bwat chèk Konfigirasyon Evènman eStreamer yo kontwole ki evènman sèvè eStreamer la ka transmèt.
• Kliyan ou a dwe toujou mande espesifikman kalite evènman ou vle li resevwa nan mesaj demann li voye bay sèvè eStreamer la. Pou plis enfòmasyon, gade Gid Entegrasyon Firepower System Streamer.
• Nan yon deplwaman miltidomèn, ou ka konfigirasyon eStreamer Evènman Konfigirasyon nan nenpòt nivo domèn. Sepandan, si yon domèn zansèt te pèmèt yon kalite evènman an patikilye, ou pa ka enfim kalite evènman sa a nan domèn desandan yo.
• Ou dwe yon itilizatè Admin pou fè travay sa a, pou FMC.

Pwosedi

• Etap 1 Chwazi Sistèm > Entegrasyon.
• Etap 2 Klike sou eStreamer.
• Etap 3 Anba eStreamer Evènman Konfigirasyon, tcheke oswa efase kare yo ki akote kalite evènman ou vle eStreamer voye pou mande kliyan, ki dekri nan eStreamer Sèvè Streaming.
• Etap 4 Klike sou Save.

Konfigirasyon kominikasyon kliyan eStreamer

• Anvan eStreamer ka voye evènman eStreamer bay yon kliyan, ou dwe ajoute kliyan an nan baz done sèvè eStreamer a soti nan paj eStreamer la. Ou dwe tou kopye sètifika otantifikasyon ki te pwodwi pa sèvè eStreamer la bay kliyan an. Apre w fin ranpli etap sa yo ou pa bezwen rekòmanse sèvis eStreamer la pou pèmèt kliyan an konekte ak sèvè eStreamer la.
• Nan yon deplwaman plizyè domèn, ou ka kreye yon kliyan eStreamer nan nenpòt domèn. Sètifika otantifikasyon an pèmèt kliyan an mande evènman sèlman nan domèn sètifika kliyan an ak nenpòt domèn pitit pitit. Paj konfigirasyon eStreamer la montre sèlman kliyan ki asosye ak domèn aktyèl la, kidonk si ou vle telechaje oswa anile yon sètifika, chanje nan domèn kote kliyan an te kreye.
• Ou dwe yon itilizatè Admin oswa Discovery Admin pou fè travay sa a, pou FMC.

Pwosedi

• Etap 1 Chwazi Sistèm > Entegrasyon.
• Etap 2 Klike sou eStreamer.
• Etap 3 Klike sou Kreye Kliyan.
• Etap 4 Nan jaden an Hostname, antre non an lame oswa adrès IP nan lame a kap kouri kliyan an eStreamer.
  Remak Si ou pa gen konfigirasyon rezolisyon DNS, sèvi ak yon adrès IP.
• Etap 5 Si ou vle ankripte sètifika a file, antre yon modpas nan jaden an Modpas.
• Etap 6 Klike sou Save.
  Sèvè eStreamer la kounye a pèmèt lame a jwenn aksè nan pò 8302 sou sèvè eStreamer la epi li kreye yon sètifika otantifikasyon pou itilize pandan otantifikasyon kliyan-sèvè.
• Etap 7 Klike sou Download ( ) akote non kliyan an pou telechaje sètifika a file.
• Etap 8 Sove sètifika a file nan anyè apwopriye kliyan ou a itilize pou otantifikasyon SSL.
• Etap 9 Pou anile aksè pou yon kliyan, klike sou Efase ( ) akote lame a ou vle retire.
  Remake byen ke ou pa bezwen rekòmanse sèvis eStreamer la; aksè a anile imedyatman.

Analiz evènman nan Splunk

• Ou ka itilize aplikasyon Cisco Secure Firewall (fka Firepower) pou Splunk (ansyen ke yo rekonèt kòm Cisco Firepower App pou Splunk) kòm yon zouti ekstèn pou montre ak travay avèk done evènman Firepower, pou chase ak mennen ankèt sou menas sou rezo w la.
• eStreamer obligatwa. Sa a se yon fonksyonalite avanse. Gade difizyon sèvè eStreamer.
• Pou plis enfòmasyon, gade https://cisco.com/go/firepower-for-splunk.

Analiz evènman nan IBM QRadar

• Ou ka sèvi ak aplikasyon Cisco Firepower pou IBM QRadar kòm yon fason altènatif pou montre done evènman yo epi ede w analize, chèche, ak envestige menas sou rezo w la.
• eStreamer obligatwa. Sa a se yon fonksyonalite avanse. Gade difizyon sèvè eStreamer.
• Pou plis enfòmasyon, gade https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/QRadar/integration-guide-for-the-cisco-firepower-app-for-ibm-qradar.html.

Istwa pou analize done evènman lè l sèvi avèk zouti ekstèn

Karakteristik	Version	Detay yo
SecureX riban	7.0	Riban SecureX pivote nan SecureX pou vizibilite enstantane nan menas nan menas atravè pwodwi sekirite Cisco ou yo. Pou montre riban SecureX nan FMC, gade Gid Entegrasyon Firepower ak SecureX nan https://cisco.com/go/firepower-securex-documentation. Nouvo/Modifye ekran: Nouvo paj: Sistèm > SecureX
Voye tout evènman koneksyon nan nwaj Cisco a	7.0	Ou kapab kounye a voye tout evènman koneksyon nan nwaj Cisco, olye ke jis voye evènman koneksyon ki gen gwo priyorite. Nouvo/Modifye ekran: Nouvo opsyon sou Sistèm > Entegrasyon > paj Cloud Services
Cross-lanse pou view done nan Secure Network Analytics	6.7	Karakteristik sa a entwodui yon fason rapid pou kreye plizyè antre pou aparèy Secure Network Analytics ou sou paj Analiz > Kontèks Cross-Launch. Antre sa yo pèmèt ou klike sou yon evènman ki enpòtan pou kwaze lanse Secure Network Analytics yon enfòmasyon ekspozisyon ki gen rapò ak pwen done ou te lanse. Nouvo atik meni: Sistèm > Logging > Sekirite Analytics ak Logging Nouvo paj pou konfigirasyon voye evènman nan Secure Network Analytics.

Kontèks kwa-lansman soti nan lòt kalite jaden	6.7	Kounye a ou ka lanse yon lòt aplikasyon ekstèn lè l sèvi avèk lòt kalite done evènman sa yo: • Règleman kontwòl aksè • Politik entrizyon • Pwotokòl aplikasyon • Aplikasyon kliyan an •  Web aplikasyon • Non itilizatè (ki gen ladan domèn)   Nouvo opsyon meni: Opsyon lansman kontèks-kwa yo disponib kounye a lè w klike sou kalite done ki anwo yo pou evènman yo nan widgets Dashboard ak tablo evènman yo nan paj anba meni analiz la. Sipòte platfòm: Firepower Management Center
Entegrasyon ak IBM QRadar	6.0 ak pita	Itilizatè IBM QRadar ka itilize yon nouvo aplikasyon Firepower espesifik pou analize done evènman yo. Fonksyonalite ki disponib yo afekte pa vèsyon Firepower ou a. Gade analiz evènman nan IBM QRadar.
Amelyorasyon nan entegrasyon ak repons menas Cisco SecureX	6.5	• Sipò pou nwaj rejyonal yo: • Etazini (Amerik di Nò) • Ewòp   • Sipò pou kalite evènman adisyonèl: •  File ak evènman malveyan • Evènman koneksyon ki gen anpil priyorite Sa yo se evènman koneksyon ki gen rapò ak sa ki annapre yo: • Evènman entrizyon • Evènman entèlijans sekirite •  File ak evènman malveyan     Ekran modifye: Nouvo opsyon sou Sistèm > Entegrasyon > Sèvis Cloud. Platfòm Sipòte: Tout aparèy sipòte nan lage sa a, swa atravè entegrasyon dirèk oswa syslog.
Syslog	6.5	AccessControlRuleName jaden an disponib kounye a nan mesaj syslog evènman entrizyon.
Entegrasyon ak Cisco Security Packet Analyzer	6.5	Sipò pou karakteristik sa a te retire.

Entegrasyon ak repons menas Cisco SecureX	6.3 (via syslog, lè l sèvi avèk yon prokurasyon pèseptè) 6.4 (dirèk)	Entegre done evènman entrizyon Firepower ak done ki soti nan lòt sous pou yon inifye view nan menas o rezo ou lè l sèvi avèk zouti analiz pwisan nan repons menas Cisco SecureX. Ekran modifye (vèsyon 6.4): Nouvo opsyon sou Sistèm > Entegrasyon > Sèvis Cloud. Platfòm ki sipòte: Aparèy defans menas Firepower kouri vèsyon 6.3 (via syslog) oswa 6.4.
Syslog sipò pou File ak evènman malveyan	6.4	Totalman kalifye file ak done evènman malveyan kounye a ka voye soti nan aparèy jere atravè syslog. Ekran modifye: Règleman > Kontwòl Aksè > Kontwòl Aksè > Logging. Platfòm Sipòte: Tout aparèy jere kouri vèsyon 6.4.
Entegrasyon ak Splunk	Sipòte tout vèsyon 6.x	Itilizatè Splunk yo ka itilize yon nouvo aplikasyon Splunk separe, aplikasyon Cisco Secure Firewall (fka Firepower) pou Splunk, pou analize evènman yo. Fonksyonalite ki disponib yo afekte pa vèsyon Firepower ou a. Gade analiz evènman nan Splunk.
Entegrasyon ak Cisco Security Packet Analyzer	6.3	Karakteristik prezante: imedyatman rechèch Cisco Security Packet Analyzer pou pake ki gen rapò ak yon evènman, Lè sa a, klike sou yo egzamine rezilta yo nan Cisco Security Packet Analyzer oswa telechaje yo pou analiz i yon lòt zouti ekstèn. Nouvo ekran: Sistèm > Entegrasyon > Analiz analizeur pake > Avanse > Pake Analyzer Queries Nouvo opsyon meni: Rekèt Pake Analyzer atik meni an lè w ap klike sou yon evènman sou paj Dashboar ak tab evènman ki nan paj anba meni analiz la. Sipòte platfòm: Firepower Management Center
Kontèks kwa-lansman	6.3	Karakteristik prezante: Dwa-klike sou yon evènman yo gade enfòmasyon ki gen rapò ak predefini oswa koutim URL- ki baze sou resous ekstèn. Nouvo ekran: Analiz > Avanse > Kontèks kwa-lansman Nouvo opsyon meni: Opsyon miltip lè klike sou yon evènman sou paj Dashboard e menm tab sou paj anba meni analiz la. Sipòte platfòm: Firepower Management Center

Mesaj Syslog pou koneksyon ak evènman entrizyon	6.3	Kapasite pou voye koneksyon konplètman kalifye ak evènman entrizyon nan depo ekstèn ak zouti atravè syslog, lè l sèvi avèk nouvo konfigirasyon inifye ak senplifye. Tèt mesaj yo estanda kounye a epi yo gen ladan idantifyan kalite evènman, epi mesaj yo pi piti paske jaden ki gen valè enkoni ak valè vid yo omisyon. Platfòm ki sipòte: • Tout nouvo fonctionnalités: aparèy FTD kouri vèsyon 6.3. • Kèk nouvo fonksyonalite: Aparèy ki pa FTD kouri vèsyon 6.3. • Mwens nouvo fonksyonalite: Tout aparèy kouri vèsyon ki pi gran pase 6.3. Pou plis enfòmasyon, gade sijè ki anba Konsènan Voye Mesaj Syslog pou Evènman Sekirite.
eStreamer	6.3	Te deplase kontni eStreamer soti nan chapit Sous Idantite Hôte a nan chapit sa a epi ajoute yon rezime konpare eStreamer ak syslog.

Dokiman / Resous

Analiz evènman Cisco lè l sèvi avèk zouti ekstèn [pdfGid Itilizatè Analiz evènman lè l sèvi avèk zouti ekstèn, evènman, analiz lè l sèvi avèk zouti ekstèn, lè l sèvi avèk zouti ekstèn, zouti ekstèn

Referans

• Manyèl itilizatè