

סיסקאָ עווענט אַנאַליסיס ניצן פונדרויסנדיק מכשירים

פּראָדוקט אינפֿאָרמאַציע
דער פּראָדוקט אַלאַוז ניצערס צו ויסשטימען מיט Cisco SecureX און אַקסעס עס מיט די בענד שטריך אין די FMC web צובינד.
ספּעסאַפאַקיישאַנז
- אינטעגראציע: Cisco SecureX
- צובינד: FMC web צובינד
- בענד שטריך: דנאָ פון יעדער בלאַט
פּראָדוקט באַניץ אינסטרוקציעס
אַקסעס SecureX ניצן די בענד
צו אַקסעס SecureX ניצן די בענד שטריך, נאָכגיין די סטעפּס:
- אין FMC, גיט די בענד אין די דנאָ פון קיין FMC בלאַט.
- דריקט "באַקומען SecureX".
- קלאָץ אין צו SecureX.
- דריקט דעם לינק צו דערלויבן אַקסעס.
- דריקט דעם בענד צו יקספּאַנד און נוצן עס.
עווענט אַנאַליסיס ניצן פונדרויסנדיק מכשירים
צו דורכפירן געשעעניש אַנאַליסיס מיט פונדרויסנדיק מכשירים, נאָכגיין די סטעפּס:
- אין FMC, גיט די בענד אין די דנאָ פון קיין FMC בלאַט.
- דריקט "באַקומען SecureX".
- קלאָץ אין צו SecureX.
- דריקט דעם לינק צו דערלויבן אַקסעס.
- דריקט דעם בענד צו יקספּאַנד און נוצן עס.
געשעעניש אַנאַליסיס מיט Cisco SecureX Threat Response
Cisco SecureX Threat Response (אַמאָל באקאנט ווי Cisco Threat Response) אַלאַוז ניצערס צו געשווינד דעטעקט, פאָרשן און ריספּאַנד צו טרעץ. צו דורכפירן געשעעניש אַנאַליסיס מיט Cisco SecureX Threat Response, נאָכגיין די סטעפּס:
- אין FMC, גיט די בענד אין די דנאָ פון קיין FMC בלאַט.
- דריקט "באַקומען SecureX".
- קלאָץ אין צו SecureX.
- דריקט דעם לינק צו דערלויבן אַקסעס.
- דריקט דעם בענד צו יקספּאַנד און נוצן עס.
View געשעעניש דאַטע אין Cisco SecureX Threat Response
צו view געשעעניש דאַטן אין Cisco SecureX Threat Response, נאָכגיין
די סטעפּס:
- קלאָץ אין צו Cisco SecureX Threat Response ווי פּראַמפּטיד.
געשעעניש ויספאָרשונג ניצן Web- באַזירט רעסאָורסעס
צו פאָרשן געשעענישן ניצן web- באזירט רעסורסן, נאָכגיין די סטעפּס:
- קלאָץ אין צו Cisco SecureX Threat Response ווי פּראַמפּטיד.
- ניצן די קאָנטעקסטואַל קרייַז-קאַטער שטריך צו געפֿינען מער אינפֿאָרמאַציע וועגן פּאָטענציעל טרעץ אין web- באזירט רעסורסן אַרויס פון די Firepower מאַנאַגעמענט צענטער.
- דריקט גלייך פֿון אַ געשעעניש אין דער געשעעניש viewאָדער דאַשבאָרד אין די Firepower מאַנאַגעמענט צענטער צו די באַטייַטיק אינפֿאָרמאַציע אין די פונדרויסנדיק מיטל.
וועגן אָנפירונג קאָנטעקסטואַל קראָס-קאַטער רעסאָורסעס
צו פירן פונדרויסנדיק web- באזירט רעסורסן, נאָכגיין די סטעפּס:
- גיין צו אַנאַליסיס> אַוואַנסירטע> קאָנטעקסטואַל קראָס-קאַטער.
- פירן די פאַר-דיפיינד און דריט-פּאַרטיי רעסורסן געפֿינט דורך Cisco.
- איר קענען דיסייבאַל, ויסמעקן אָדער רענאַמע רעסורסן ווי דארף.
FAQ
- ק: וואָס איז SecureX?
א: SecureX איז אַן ינאַגריישאַן פּלאַטפאָרמע אין די סיסקאָ קלאָוד וואָס אַלאַוז יוזערז צו אַנאַלייז ינסאַדאַנץ ניצן דאַטן געזאמלט פֿון קייפל פּראָדוקטן, אַרייַנגערעכנט Firepower. - ק: ווי קען איך אַקסעס SecureX ניצן די בענד שטריך?
א: צו אַקסעס SecureX ניצן די בענד שטריך, גיט די בענד אין די דנאָ פון קיין FMC בלאַט און נאָכגיין די צוגעשטעלט סטעפּס. - ק: קען איך view געשעעניש דאַטן אין Cisco SecureX Threat Response?
א: יאָ, איר קענען view געשעעניש דאַטן אין Cisco SecureX Threat Response דורך סיינינג אין ווי פּראַמפּטיד. - ק: ווי אַזוי קען איך פאָרשן געשעענישן ניצן web- באזירט רעסורסן?
א: צו פאָרשן געשעענישן ניצן web- באזירט רעסורסן, קלאָץ אין צו Cisco SecureX Threat Response און נוצן די קאָנטעקסטואַל קרייַז-קאַטער שטריך צו געפֿינען באַטייַטיק אינפֿאָרמאַציע.
ויסשטימען מיט Cisco SecureX
View און אַרבעט מיט דאַטן פון אַלע דיין סיסקאָ זיכערהייט פּראָדוקטן און מער דורך אַ איין גלאז שויב, די SecureX וואָלקן טויער. ניצן די מכשירים בנימצא דורך SecureX צו באַרייַכערן דיין סאַקאָנע כאַנץ און ינוועסטאַגיישאַנז. SecureX קענען אויך צושטעלן נוציק אינפֿאָרמאַציע וועגן אַפּפּליאַנסעס און מיטל, אַזאַ ווי צי יעדער איז פליסנדיק אַן אָפּטימאַל ווייכווארג ווערסיע.
- פֿאַר מער אינפֿאָרמאַציע וועגן SecureX, זען http://www.cisco.com/c/en/us/products/security/securex.html.
- צו ויסשטימען Firepower מיט SecureX, זען די Firepower און SecureX ינטעגראַטיאָן גייד בייַ https://cisco.com/go/firepower-securex-documentation.
אַקסעס SecureX ניצן די בענד
די בענד איז אין די דנאָ פון יעדער בלאַט אין די FMC web צובינד. איר קענען נוצן די בענד צו געשווינד מאַך צו אנדערע סיסקאָ זיכערהייט פּראָדוקטן און אַרבעטן מיט סאַקאָנע דאַטן פֿון קייפל קוואלן.
איידער איר אָנהייבן
- אויב איר טאָן ניט זען די SecureX בענד אין די דנאָ פון FMC web צובינד בלעטער, טאָן ניט נוצן דעם פּראָצעדור. אַנשטאָט, זען די Firepower און SecureX ינטעגראַטיאָן גייד בייַ https://cisco.com/go/firepower-securex-documentation.
- אויב איר טאָן ניט האָבן אַ SecureX חשבון, באַקומען איינער פון דיין IT אָפּטיילונג.
פּראָצעדור
- שריט 1 אין FMC, גיט די בענד אין די דנאָ פון קיין FMC בלאַט.
- שריט 2 גיט באַקומען סעקורעקס.
- שריט 3 קלאָץ אין צו SecureX.
- שריט 4 דריקט דעם לינק צו דערלויבן אַקסעס.
- שריט 5 דריקט דעם בענד צו יקספּאַנד און נוצן עס.
וואָס צו טאָן ווייַטער
פֿאַר אינפֿאָרמאַציע וועגן בענד פֿעיִקייטן און ווי צו נוצן זיי, זען די אָנליין הילף אין SecureX.
געשעעניש אַנאַליסיס מיט Cisco SecureX סאַקאָנע ענטפער
Cisco SecureX סאַקאָנע ענטפער איז געווען אַמאָל באקאנט ווי Cisco Threat Response (CTR.) גיך דעטעקט, פאָרשן און ריספּאַנד צו טרעץ ניצן Cisco SecureX סאַקאָנע ענטפער, די ינאַגריישאַן פּלאַטפאָרמע אין די Cisco Cloud וואָס אַלאַוז איר צו אַנאַלייז ינסאַדאַנץ ניצן דאַטן געזאמלט פֿון קייפל פּראָדוקטן, אַרייַנגערעכנט פיירפּאַוער.
- פֿאַר גענעראַל אינפֿאָרמאַציע וועגן Cisco SecureX סאַקאָנע ענטפער, זען: https://www.cisco.com/c/en/us/products/security/threat-response.html.
- פֿאַר דיטיילד ינסטראַקשאַנז פֿאַר ינטאַגרייטינג Firepower מיט Cisco SecureX סאַקאָנע ענטפער, זען:
- די Firepower און Cisco SecureX סאַקאָנע ענטפער ינטעגראַטיאָן גייד בייַ https://cisco.com/go/firepower-ctr-integration-docs.
View געשעעניש דאַטאַ אין Cisco SecureX סאַקאָנע ענטפער
איידער איר אָנהייבן
- שטעלן די ינאַגריישאַן ווי דיסקרייבד אין די Firepower און Cisco SecureX סאַקאָנע ענטפער ינטעגראַטיאָן גייד ביי https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.
- Review די אָנליין הילף אין Cisco SecureX סאַקאָנע ענטפער צו לערנען ווי צו געפֿינען, פאָרשן און נעמען קאַמף אויף טרעץ.
- איר וועט דאַרפֿן דיין קראַדענטשאַלז צו אַקסעס Cisco SecureX סאַקאָנע ענטפער.
פּראָצעדור
שריט 1
אין Firepower Management Center, טאָן איינער פון די פאלגענדע:
- צו ווענדן צו Cisco SecureX סאַקאָנע ענטפער פון אַ ספּעציפיש געשעעניש:
- נאַוויגירן צו אַ בלאַט אונטער די אַנאַליסיס> ינטרוזשאַנז מעניו וואָס רשימות אַ געשטיצט געשעעניש.
- רעכט גיט אַ מקור אָדער דעסטיניישאַן IP אַדרעס און סעלעקטירן View אין SecureX.
- צו view געשעעניש אינפֿאָרמאַציע בכלל:
- גיין צו סיסטעם> ינטעגראַטיאָנס> קלאָוד באַדינונגס.
- דריקט דעם לינק צו view געשעענישן אין Cisco SecureX סאַקאָנע ענטפער.
שריט 2
קלאָץ אין צו Cisco SecureX סאַקאָנע ענטפער ווי פּראַמפּטיד.
געשעעניש ויספאָרשונג ניצן Web- באַזירט רעסאָורסעס
ניצן די קאָנטעקסטואַל קרייַז-קאַטער שטריך צו געשווינד געפֿינען מער אינפֿאָרמאַציע וועגן פּאָטענציעל טרעץ אין web- באזירט רעסורסן אַרויס פון די Firepower מאַנאַגעמענט צענטער. פֿאַר עקסampאיר קען:
- זוכן אַ סאַספּישאַס מקור IP אַדרעס אין אַ סיסקאָ אָדער דריט-פּאַרטיי וואָלקן-כאָוסטיד דינסט וואָס פּאַבלישאַז אינפֿאָרמאַציע וועגן באַוווסט און סאַספּעקטיד טרעץ, אָדער
- קוק פֿאַר פאַרגאַנגענהייט קאַסעס פון אַ באַזונדער סאַקאָנע אין דיין היסטארישע לאָגס פון דיין אָרגאַניזאַציע, אויב דיין אָרגאַניזאַציע סטאָרז די דאַטן אין אַ זיכערהייט אינפֿאָרמאַציע און עווענט מאַנאַגעמענט (SIEM) אַפּלאַקיישאַן.
- קוקן פֿאַר אינפֿאָרמאַציע וועגן אַ באַזונדער file, אַרייַנגערעכנט file טרייַעקטאָריע אינפֿאָרמאַציע, אויב דיין אָרגאַניזאַציע האט דיפּלויד סיסקאָ AMP פֿאַר ענדפּאָינץ.
ווען איר ויספאָרשן אַ געשעעניש, איר קענען גיט גלייַך פֿון אַ געשעעניש אין דער געשעעניש viewאָדער דאַשבאָרד אין די Firepower מאַנאַגעמענט צענטער צו די באַטייַטיק אינפֿאָרמאַציע אין די פונדרויסנדיק מיטל. דאָס אַלאַוז איר געשווינד קלייַבן קאָנטעקסט אַרום אַ ספּעציפיש געשעעניש באזירט אויף זייַן IP אַדרעסעס, פּאָרץ, פּראָטאָקאָל, פעלד און / אָדער SHA 256 האַש. פֿאַר עקסampליי, רעכן איר זוכט אין די שפּיץ אַטאַקערז דאַשבאָרד ווידזשיט און איר ווילן צו געפֿינען מער אינפֿאָרמאַציע וועגן איינער פון די מקור IP אַדרעסעס ליסטעד. איר ווילן צו זען וואָס אינפֿאָרמאַציע Talos אַרויסגעבן וועגן דעם IP אַדרעס, אַזוי איר קלייַבן די מיטל "Talos IP". די טאַלאָ web פּלאַץ אָפּענס צו אַ בלאַט מיט אינפֿאָרמאַציע וועגן דעם ספּעציפיש IP אַדרעס. איר קענען קלייַבן פון אַ סכום פון פאַר-דיפיינד פֿאַרבינדונגען צו קאַמאַנלי געוויינט סיסקאָ און דריט-פּאַרטיי סאַקאָנע סייכל באַדינונגס, און לייגן מנהג לינקס צו אנדערע web-באזירט באַדינונגס, און צו SIEMs אָדער אנדערע פּראָדוקטן וואָס האָבן אַ web צובינד. באַמערקונג אַז עטלעכע רעסורסן קען דאַרפן אַ חשבון אָדער אַ פּראָדוקט קויפן.
וועגן אָנפירונג קאָנטעקסטואַל קראָס-קאַטער רעסאָורסעס
- פירן פונדרויסנדיק web-באזירט רעסורסן ניצן די אַנאַליסיס> אַוואַנסירטע> קאָנטעקסטואַל קראָס-קאַטער בלאַט.
אויסנאם:
פירן קרייַז-קאַטער פֿאַרבינדונגען צו אַ זיכער נעטוואָרק אַנאַליטיקס אַפּפּליאַנסע נאָך די פּראָצעדור אין קאַנפיגיער קראָס-קאַטער פֿאַרבינדונגען פֿאַר זיכער נעטוואָרק אַנאַליטיקס.
- פּרידיפיינד רעסורסן געפֿינט דורך סיסקאָ זענען אנגעצייכנט מיט די סיסקאָ לאָגאָ. די רוען לינקס זענען דריט-פּאַרטיי רעסורסן.
- איר קענען דיסייבאַל אָדער ויסמעקן קיין רעסורסן וואָס איר טאָן ניט דאַרפֿן, אָדער איר קענען רענאַמע זיי, למשלample דורך פּרעפיקס אַ נאָמען מיט אַ נידעריקער-פאַל "ז" אַזוי די מיטל סאָרץ צו די דנאָ פון דער רשימה. דיסייבלינג אַ קרייַז-קאַטער מיטל דיסייבאַלז עס פֿאַר אַלע יוזערז. איר קענען נישט ריינסטייט אויסגעמעקט רעסורסן, אָבער איר קענען שייַעך-שאַפֿן זיי.
- צו לייגן אַ מיטל, זען לייג קאָנטעקסטואַל קראָס-קאַטער רעסאָורסעס.
רעקווירעמענץ פֿאַר מנהג קאָנטעקסטואַל קראָס-קאַטער רעסאָורסעס
ווען אַדינג מנהג קאָנטעקסטואַל קרייַז-קאַטער רעסורסן:
- רעסורסן מוזן זיין צוטריטלעך דורך web בלעטערער.
- בלויז הטטפּ און https פּראָטאָקאָלס זענען געשטיצט.
- בלויז GET ריקוועס זענען געשטיצט; POST ריקוועס זענען נישט.
- קאָדירונג פון וועריאַבאַלז אין URLs איז נישט געשטיצט. כאָטש IPv6 אַדרעסעס קען דאַרפן קאָדירונג פון צווייפּינטל סעפּערייטערז, רובֿ באַדינונגס טאָן ניט דאַרפן דעם קאָדירונג.
- אַרויף צו 100 רעסורסן קענען זיין קאַנפיגיערד, אַרייַנגערעכנט פאַר-דיפיינד רעסורסן.
- איר מוזן זיין אַ אַדמיניסטראַטאָר אָדער זיכערהייט אַנאַליסט באַניצער צו שאַפֿן אַ קרייַז קאַטער, אָבער איר קענט אויך זיין אַ לייענ-בלויז זיכערהייט אַנאַליסט צו נוצן זיי.
לייג קאָנטעקסטואַל קראָס-קאַטער רעסאָורסעס
- איר קענען לייגן קאָנטעקסטואַל קרייַז-קאַטער רעסורסן אַזאַ ווי סאַקאָנע סייכל באַדינונגס און זיכערהייט אינפֿאָרמאַציע און עווענט מאַנאַגעמענט (SIEM) מכשירים.
- אין מולטידאָמאַין דיפּלוימאַנץ, איר קענען זען און נוצן רעסורסן אין פאָטער דאָומיינז, אָבער איר קענען בלויז שאַפֿן און רעדאַגירן רעסורסן אין דעם קראַנט פעלד. די גאַנץ נומער פון רעסורסן אין אַלע דאָומיינז איז לימיטעד צו 100.
איידער איר אָנהייבן
- אויב איר לייגן לינקס צו אַ זיכער נעטוואָרק אַנאַליטיקס אַפּפּליאַנסע, טשעק צו זען אויב די לינקס איר ווילן שוין עקסיסטירן; רובֿ פֿאַרבינדונגען זענען אויטאָמאַטיש באשאפן פֿאַר איר ווען איר קאַנפיגיער Cisco Security Analytics און לאָגינג (אויף לאָקאַל).
- זען רעקווירעמענץ פֿאַר מנהג קאָנטעקסטואַל קראָס-קאַטער רעסאָורסעס.
- אויב נויטיק פֿאַר די מיטל איר וועט לינק צו, שאַפֿן אָדער באַקומען אַ חשבון און די קראַדענטשאַלז דארף פֿאַר אַקסעס. אָפּטיאָנאַללי, באַשטימען און פאַרשפּרייטן קראַדענטשאַלז פֿאַר יעדער באַניצער וואָס דאַרף אַקסעס.
- באַשטימען די סינטאַקס פון די אָנפֿרעג לינק פֿאַר די מיטל צו וואָס איר וועט לינק:
- אַקסעס די מיטל דורך בלעטערער און, ניצן די דאַקיומענטיישאַן פֿאַר די מיטל ווי דארף, פאָרמולירן די אָנפֿרעג לינק דארף צו זוכן פֿאַר אַ ספּעציפיש ס.ampדי טיפּ פון אינפֿאָרמאַציע איר ווילן צו געפֿינען דיין אָנפֿרעג לינק, אַזאַ ווי אַן IP אַדרעס.
- לויפן די אָנפֿרעג, און נאָכמאַכן די ריזאַלטינג URL פון דעם בלעטערער ס אָרט באַר.
- פֿאַר עקסampליי, איר קען האָבן די אָנפֿרעג URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.
פּראָצעדור
- שריט 1
קלייַבן אַנאַליסיס > אַוואַנסירטע > קאָנטעקסטואַל קראָס-קאַטער. - טרעטן 2 דריקט New קראָס קאַטער.
אין די פאָרעם וואָס איז ארויס, אַלע פעלדער אנגעצייכנט מיט אַן אַסטעריסק דאַרפן אַ ווערט. - טרעטן 3 אַרייַן אַ יינציק מיטל נאָמען.
- שריט 4 פּאַפּ די אַרבעט URL שטריקל פון דיין מיטל אין די URL מוסטער פעלד.
- שריט 5 פאַרבייַטן די ספּעציפיש דאַטן (אַזאַ ווי אַן IP אַדרעס) אין די אָנפֿרעג שטריקל מיט אַ צונעמען בייַטעוודיק: שטעלן דיין לויפֿער, און גיט אַ בייַטעוודיק (למשלample, ip) אַמאָל צו אַרייַנלייגן די בייַטעוודיק.
- אין די עקסampפון די "איידער איר אָנהייבן" אָפּטיילונג אויבן, די ריזאַלטינג URL זאל זיין https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
- ווען די קאָנטעקסטואַל קרייַז-קאַטער לינק איז געניצט, די {יפּ} בייַטעוודיק אין די URL וועט זיין ריפּלייסט דורך די IP אַדרעס וואָס דער באַניצער רעכט קליקס אויף אין די געשעעניש viewער אָדער דאַשבאָרד.
- פֿאַר אַ באַשרייַבונג פון יעדער בייַטעוודיק, האָווער איבער די בייַטעוודיק.
- איר קענען מאַכן קייפל קאָנטעקסטואַל קרייַז-קאַטער פֿאַרבינדונגען פֿאַר אַ איין געצייַג אָדער דינסט, ניצן פאַרשידענע וועריאַבאַלז פֿאַר יעדער.
- טרעטן 6 דריקט טעסט מיט עקסampדי דאַטן (
) צו פּרובירן דיין לינק מיט עקסampדי דאַטן. - שריט 7 פאַרריכטן קיין פראבלעמען.
- שריט 8 דריקט היט.
ויספאָרשן געשעענישן ניצן קאָנטעקסטואַל קראָס-קאַטער
איידער איר אָנהייבן
אויב די מיטל איר וועט אַקסעס ריקווייערז קראַדענטשאַלז, מאַכן זיכער אַז איר האָבן די קראַדענטשאַלז.
פּראָצעדור
- שריט 1 נאַוויגירן צו איינער פון די פאלגענדע בלעטער אין די Firepower מאַנאַגעמענט צענטער וואָס ווייַזן געשעענישן:
- א דאַשבאָרד (איבערview > דאַשבאָרדז), אָדער
- אַ געשעעניש viewer בלאַט (יעדער מעניו אָפּציע אונטער די אַנאַליסיס מעניו וואָס כולל אַ טיש פון געשעענישן.)
- שריט 2 רעכט גיט די געשעעניש פון אינטערעס און קלייַבן די קאָנטעקסטואַל קרייַז-קאַטער מיטל צו נוצן.
- אויב נייטיק, מעגילע אַראָפּ אין די קאָנטעקסט מעניו צו זען אַלע בנימצא אָפּציעס.
- די דאַטן טיפּ איר רעכט גיט אויף דיטערמאַנז די אָפּציעס איר זען; פֿאַר עקסampאויב איר רעכט גיט אויף אַן IP אַדרעס, איר וועט בלויז זען קאָנטעקסטואַל קרייַז-קאַטער אָפּציעס וואָס זענען באַטייַטיק פֿאַר IP אַדרעסעס.
- אַזוי, למשלampצו באַקומען סאַקאָנע סייכל פון Cisco Talos וועגן אַ מקור IP אַדרעס אין די שפּיץ אַטאַקערז דאַשבאָרד ווידזשיט, קלייַבן Talos SrcIP אָדער Talos IP.
- אויב אַ מיטל ינקלודז קייפל וועריאַבאַלז, די אָפּציע צו קלייַבן דעם מיטל איז בנימצא בלויז פֿאַר געשעענישן וואָס האָבן אַ איין מעגלעך ווערט פֿאַר יעדער ינקלודעד בייַטעוודיק.
- די קאָנטעקסטואַל קרייַז-קאַטער מיטל אָפּענס אין אַ באַזונדער בלעטערער פֿענצטער.
- עס קען נעמען עטלעכע מאָל פֿאַר די אָנפֿרעג צו זיין פּראַסעסט, דיפּענדינג אויף די סומע פון דאַטן צו זיין קווערד, גיכקייַט און פאָדערונג אויף די מיטל, און אַזוי אויף.
- שריט 3 קלאָץ אין צו די מיטל אויב נייטיק.
קאַנפיגיער קרייַז-קאַטער פֿאַרבינדונגען פֿאַר זיכער נעטוואָרק אַנאַליטיקס
- איר קענען קרייַז-קאַטער פון געשעעניש דאַטן אין Firepower צו פֿאַרבונדענע דאַטן אין דיין זיכער נעטוואָרק אַנאַליטיקס אַפּפּליאַנסע.
- פֿאַר מער אינפֿאָרמאַציע וועגן די Secure Network Analytics פּראָדוקט, זען https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
- פֿאַר גענעראַל אינפֿאָרמאַציע וועגן קאָנטעקסטואַל קרייַז-לאַונטשער, זען ויספאָרשן געשעענישן ניצן קאָנטעקסטואַל קראָס-לאַונטשער.
- ניצן דעם פּראָצעדור צו געשווינד קאַנפיגיער אַ סכום פון קרייַז-קאַטער פֿאַרבינדונגען צו דיין זיכער נעטוואָרק אַנאַליטיקס אַפּפּליאַנסע.
באַמערקונג
- אויב איר דאַרפֿן צו מאַכן ענדערונגען צו די לינקס שפּעטער, צוריקקומען צו דעם פּראָצעדור; איר קענען נישט מאַכן ענדערונגען גלייַך אויף די קאָנטעקסטואַל קרייַז-קאַטער ליסטינג בלאַט.
- איר קענט מאַניואַלי שאַפֿן נאָך פֿאַרבינדונגען צו קרייז קאַטער אין דיין זיכער נעטוואָרק אַנאַליטיקס אַפּפּליאַנסע ניצן די פּראָצעדור אין לייג קאָנטעקסטואַל קראָס-קאַטער רעסאָורסעס, אָבער די פֿאַרבינדונגען וואָלט זיין פרייַ פון די אַוטאָ-באשאפן רעסורסן און זאָל זיין מאַניואַלי געראטן (געמעקט, דערהייַנטיקט, וכו')
איידער איר אָנהייבן
- איר מוזן האָבן אַ דיפּלויד און פליסנדיק זיכער נעטוואָרק אַנאַליטיקס אַפּפּליאַנסע.
- אויב איר ווילן צו שיקן Firepower דאַטן צו דיין זיכער נעטוואָרק אַנאַליטיקס אַפּפּליאַנסע ניצן סיסקאָ סעקוריטי אַנאַליטיקס און לאָגינג (אויף לאָקאַל), זען רימאָוט דאַטאַ סטאָרידזש אויף אַ זיכער נעטוואָרק אַנאַליטיקס אַפּפּליאַנסע.
פּראָצעדור
- שריט 1 סעלעקטירן סיסטעם > לאָגינג > זיכערהייט אַנאַליטיקס & לאָגינג.
- שריט 2 געבן די שטריך.
- טרעטן 3 אַרייַן די האָסטנאַמע אָדער IP אַדרעס און פּאָרט פון דיין זיכער נעטוואָרק אַנאַליטיקס אַפּפּליאַנסע. די פעליקייַט פּאָרט איז 443.
- שריט 4 דריקט היט.
- טרעטן 5 באַשטעטיקן דיין נייַ קרייַז-קאַטער לינקס: סעלעקטירן אַנאַליסיס > אַוואַנסירטע > קאָנטעקסטואַל קראָס-קאַטער. אויב איר דאַרפֿן צו מאַכן ענדערונגען, צוריקקומען צו דעם פּראָצעדור; איר קענען נישט מאַכן ענדערונגען גלייַך אויף די קאָנטעקסטואַל קרייַז-קאַטער ליסטינג בלאַט.
וואָס צו טאָן ווייַטער
- צו קרייַז-קאַטער פון אַ געשעעניש אין די סעקורע נעטוואָרק אַנאַליטיקס געשעעניש viewער, איר וועט דאַרפֿן דיין Secure Network Analytics קראַדענטשאַלז.
- צו קרייז קאַטער פון אַ געשעעניש אין די FMC געשעעניש viewאָדער דאַשבאָרד, רעכט גיט אויף אַ באַטייַטיק געשעעניש ס טיש צעל און קלייַבן די צונעמען אָפּציע.
- עס קען נעמען עטלעכע מאָל פֿאַר די אָנפֿרעג צו זיין פּראַסעסט, דיפּענדינג אויף די סומע פון דאַטן צו זיין קווערד, גיכקייַט און פאָדערונג אויף די סטעלטוואַטטש מאַנאַגעמענט קאַנסאָול, עטק.
וועגן שיקט סיסלאָג אַרטיקלען פֿאַר זיכערהייט געשעענישן
- איר קענען שיקן דאַטן שייַכות צו קשר, זיכערהייט סייכל, ינטרוזשאַן און file און מאַלוואַרע געשעענישן דורך סיסלאָג צו אַ זיכערהייט אינפֿאָרמאַציע און עווענט מאַנאַגעמענט (SIEM) געצייַג אָדער אן אנדער פונדרויסנדיק געשעעניש סטאָרידזש און פאַרוואַלטונג לייזונג.
- די געשעענישן זענען אויך מאל ריפערד צו ווי Snort® events.
וועגן קאַנפיגיערינג די סיסטעם צו שיקן זיכערהייט עווענט דאַטן צו Syslog
אין סדר צו קאַנפיגיער די סיסטעם צו שיקן זיכערהייט געשעעניש סיסלאָגס, איר דאַרפֿן צו וויסן די פאלגענדע:
- בעסטער פּראַקטיסיז פֿאַר קאַנפיגיערינג זיכערהייט עווענט סיסלאָג מעסידזשינג
- קאָנפיגוראַטיאָן לאָוקיישאַנז פֿאַר זיכערהייט עווענט סיסלאָגס
- FTD פּלאַטפאָרם סעטטינגס וואָס אַפּלייז צו זיכערהייט עווענט סיסלאָג אַרטיקלען
- אויב איר מאַכן ענדערונגען צו סיסלאָג סעטטינגס אין קיין פּאָליטיק, איר מוזן רעדפּלויז פֿאַר ענדערונגען צו נעמען ווירקונג.
בעסטער פּראַקטיסיז פֿאַר קאַנפיגיערינג זיכערהייט עווענט סיסלאָג מעסידזשינג
| מיטל און ווערסיע | קאָנפיגוראַטיאָן אָרט |
| אַלע | אויב איר וועט נוצן סיסלאָג אָדער קראָם געשעענישן ויסווייניק, ויסמיידן ספּעציעלע אותיות אין כייפעץ נעמען אַזאַ ווי פּאָליטיק און הערשן נעמען. אָבדזשעקט נעמען זאָל נישט אַנטהאַלטן ספּעציעלע אותיות, אַזאַ ווי קאָמע, וואָס די ריסיווינג אַפּלאַקיישאַן קען נוצן ווי סעפּערייטערז. |
| Firepower Threat Defense | 1. קאַנפיגיער FTD פּלאַטפאָרמע סעטטינגס (דיווייסאַז> פּלאַטפאָרם סעטטינגס> סאַקאָנע דיפענס סעטטינגס> Syslog.)
זען אויך FTD פּלאַטפאָרם סעטטינגס וואָס אַפּלייז צו זיכערהייט עווענט סיסלאָג אַרטיקלען. 2. אין דיין אַקסעס קאָנטראָל פּאָליטיק לאָגינג קוויטל, אַפּט צו נוצן די FTD פּלאַטפאָרמע סעטטינגס. 3. (פֿאַר ינטרוזשאַן געשעענישן) קאַנפיגיער ינטרוזשאַן פּאַלאַסיז צו נוצן די סעטטינגס אין דיין אַקסעס קאָנטראָל פּאָליטיק לאָגינג קוויטל. (דאס איז די פעליקייַט.)
אָוווערריידינג קיין פון די סעטטינגס איז נישט רעקאַמענדיד. פֿאַר יקערדיק דעטאַילס, זען שיקן זיכערהייט עווענט סיסלאָג אַרטיקלען פֿון FTD דעוויסעס. |
| אַלע אנדערע מכשירים | 1. שאַפֿן אַ פלינק ענטפער.
2. קאַנפיגיער אַקסעס קאָנטראָל פּאָליטיק לאָגינג צו נוצן די פלינק ענטפער. 3. (פֿאַר ינטרוזשאַן געשעענישן) קאַנפיגיער סיסלאָג סעטטינגס אין ינטרוזשאַן פּאַלאַסיז. פֿאַר גאַנץ דעטאַילס, זען שיקן זיכערהייט עווענט סיסלאָג אַרטיקלען פֿון קלאַסיש דעוויסעס. |
שיקן זיכערהייט עווענט סיסלאָג אַרטיקלען פֿון FTD דעוויסעס
דער פּראָצעדור דאָקומענטן די בעסטער פיר קאַנפיגיעריישאַן פֿאַר שיקט סיסלאָג אַרטיקלען פֿאַר זיכערהייט געשעענישן (פֿאַרבינדונג, זיכערהייט-פֿאַרבונדענע פֿאַרבינדונג, ינטרוזשאַן, file, און מאַלוואַרע געשעענישן) פֿון Firepower Threat Defense דעוויסעס.
באַמערקונג
פילע Firepower Threat Defense סיסלאָג סעטטינגס זענען נישט אָנווענדלעך צו זיכערהייט געשעענישן. קאַנפיגיער בלויז די אָפּציעס דיסקרייבד אין דעם פּראָצעדור.
איידער איר אָנהייבן
- אין FMC, קאַנפיגיער פּאַלאַסיז צו דזשענערייט זיכערהייט געשעענישן און באַשטעטיקן אַז די געשעענישן איר דערוואַרטן צו זען אין די אָנווענדלעך טישן אונטער די אַנאַליסיס מעניו.
- קלייַבן די סיסטלאָג סערווער IP אַדרעס, פּאָרט און פּראָטאָקאָל (UDP אָדער TCP):
- פאַרזיכערן אַז דיין דעוויסעס קענען דערגרייכן די סיסלאָג סערווער (s).
- באַשטעטיקן אַז די סיסלאָג סערווער (s) קענען אָננעמען ווייַט אַרטיקלען.
- פֿאַר וויכטיק אינפֿאָרמאַציע וועגן קשר לאָגינג, זען די קאַפּיטל אויף קאַנעקשאַן לאָגינג.
פּראָצעדור
- שריט 1 קאַנפיגיער סיסלאָג סעטטינגס פֿאַר דיין Firepower Threat Defense מיטל:
- גיט דיווייסאַז > פּלאַטפאָרמע סעטטינגס.
- רעדאַגירן די פּלאַטפאָרמע סעטטינגס פּאָליטיק פֿאַרבונדן מיט דיין Firepower Threat Defense מיטל.
- אין די לינקס נאַוויגאַציע שויב, גיט Syslog.
- דריקט Syslog Servers און גיט לייג צו אַרייַן סערווער, פּראָטאָקאָל, צובינד און פֿאַרבונדענע אינפֿאָרמאַציע. אויב איר האָט פֿראגן וועגן אָפּציעס אויף דעם בלאַט, זען קאַנפיגיער אַ סיסלאָג סערווירער.
- דריקט Syslog סעטטינגס און קאַנפיגיער די פאלגענדע סעטטינגס:
- געבן Timestamp אויף Syslog אַרטיקלען
- צייטamp פֿאָרמאַט
- געבן Syslog Device ID
- דריקט לאָגינג סעטאַפּ.
- סעלעקטירן אָדער נישט צו שיקן סיסלאָגס אין EMBLEM פֿאָרמאַט.
- היט דיין סעטטינגס.
- שריט 2 קאַנפיגיער אַלגעמיין לאָגינג סעטטינגס פֿאַר די אַקסעס קאָנטראָל פּאָליטיק (אַרייַנגערעכנט file און מאַלוואַרע לאָגינג):
- דריקט פּאַלאַסיז > אַקסעס קאָנטראָל.
- רעדאַגירן די אָנווענדלעך אַקסעס קאָנטראָל פּאָליטיק.
- דריקט לאָגינג.
- סעלעקטירן FTD 6.3 און שפּעטער: ניצן די סיסלאָג סעטטינגס קאַנפיגיערד אין די FTD פּלאַטפאָרם סעטטינגס פּאָליטיק דיפּלויד אויף די מיטל.
- (אָפּטיאָנאַל) אויסקלייַבן אַ סיסלאָג שטרענגקייַט.
- אויב איר וועט שיקן file און מאַלוואַרע געשעענישן, סעלעקטירן שיקן סיסלאָג אַרטיקלען פֿאַר File און מאַלוואַרע געשעענישן.
- דריקט היט.
- שריט 3 געבן לאָגינג פֿאַר זיכערהייט-פֿאַרבונדענע פֿאַרבינדונג געשעענישן פֿאַר אַקסעס קאָנטראָל פּאָליטיק:
- אין דער זעלביקער אַקסעס קאָנטראָל פּאָליטיק, גיט די זיכערהייט ינטעלליגענסע קוויטל.
- אין יעדער פון די פאלגענדע לאָוקיישאַנז, גיט לאָגינג (
) און געבן אָנהייב און סוף פון קאַנעקשאַנז און Syslog Server:
- חוץ דנס פּאָליטיק.
- אין די בלאָק רשימה קעסטל, פֿאַר נעטוואָרקס און פֿאַר URLs.
- דריקט היט.
- שריט 4 געבן סיסלאָג לאָגינג פֿאַר יעדער הערשן אין די אַקסעס קאָנטראָל פּאָליטיק:
- אין דער זעלביקער אַקסעס קאָנטראָל פּאָליטיק, גיט די כּללים קוויטל.
- דריקט אויף אַ הערשן צו רעדאַגירן.
- דריקט דעם לאָגינג קוויטל אין די הערשן.
- קלייַבן צי צו קלאָץ די אָנהייב אָדער סוף פון קאַנעקשאַנז, אָדער ביידע.
(פאַרבינדונג לאָגינג דזשענערייץ אַ פּלאַץ פון דאַטן; לאָגינג ביידע אָנהייב און סוף דזשענערייץ בעערעך טאָפּל אַז פיל דאַטן. ניט יעדער קשר קענען זיין לאָגד ביידע אין אָנהייב און סוף.) - אויב איר וועט קלאָץ file events, אויסקלייַבן קלאָץ Files.
- געבן Syslog Server.
- באַשטעטיקן אַז די הערשן איז "ניצן פעליקייַט סיסלאָג קאַנפיגיעריישאַן אין אַקסעס קאָנטראָל לאָגינג."
- דריקט לייג.
- איבערחזרן פֿאַר יעדער הערשן אין דער פּאָליטיק.
- שריט 5 אויב איר וועט שיקן ינטרוזשאַן געשעענישן:
- נאַוויגירן צו די ינטרוזשאַן פּאָליטיק פֿאַרבונדן מיט דיין אַקסעס קאָנטראָל פּאָליטיק.
- אין דיין ינטרוזשאַן פּאָליטיק, גיט Advanced Settings > Syslog Alerting > Enabled.
- אויב נייטיק, גיט רעדאַגירן
- אַרייַן אָפּציעס:
אָפּציע ווערט לאָגינג האָסט אויב איר וועט שיקן ינטרוזשאַן געשעעניש סיסלאָג אַרטיקלען צו אַ אַנדערש סיסלאָג סערווער ווי איר וועט שיקן אנדערע סיסלאָג אַרטיקלען, לאָזן דעם ליידיק צו נוצן די סעטטינגס וואָס איר האָט קאַנפיגיערד אויבן. מעכירעס די באַשטעטיקן איז אָנווענדלעך בלויז אויב איר ספּעציפיצירן אַ לאָגינג האָסט אויף דעם בלאַט. פֿאַר דיסקריפּשאַנז, זען Syslog Alert Facilities.
שטרענגקייט די באַשטעטיקן איז אָנווענדלעך בלויז אויב איר ספּעציפיצירן אַ לאָגינג האָסט אויף דעם בלאַט. פֿאַר דיסקריפּשאַנז, זען Syslog שטרענגקייַט לעוועלס.
- דריקט צוריק.
- דריקט פּאָליטיק אינפֿאָרמאַציע אין די לינקס נאַוויגאַציע שויב.
- דריקט קאָממיט ענדערונגען.
וואָס צו טאָן ווייַטער
- (אָפּטיאָנאַל) קאַנפיגיער פאַרשידענע לאָגינג סעטטינגס פֿאַר יחיד פּאַלאַסיז און כּללים. זען די אָנווענדלעך טיש ראָוז אין קאָנפיגוראַטיאָן לאָוקיישאַנז פֿאַר סיסלאָגס פֿאַר קאַנעקשאַן און זיכערהייט ינטעלליגענסע געשעענישן (אַלע דעוויסעס).
- די סעטטינגס וועט דאַרפן סיסלאָג פלינק רעספּאָנסעס, וואָס זענען קאַנפיגיערד ווי דיסקרייבד אין קריייטינג אַ סיסלאָג אַלערט ענטפער. זיי טאָן ניט נוצן די פּלאַטפאָרמע סעטטינגס איר קאַנפיגיערד אין דעם פּראָצעדור.
- צו קאַנפיגיער זיכערהייט געשעעניש סיסלאָג לאָגינג פֿאַר קלאַסיש דעוויסעס, זען שיקן זיכערהייט עווענט סיסלאָג אַרטיקלען פֿון קלאַסיש דעוויסעס.
- אויב איר האָט דורכגעקאָכט ענדערונגען, צעוויקלען דיין ענדערונגען צו געראטן דעוויסעס.
שיקן זיכערהייט עווענט סיסלאָג אַרטיקלען פון קלאַסיש דעוויסעס
איידער איר אָנהייבן
- קאַנפיגיער פּאַלאַסיז צו דזשענערייט זיכערהייט געשעענישן.
- פאַרזיכערן אַז דיין דעוויסעס קענען דערגרייכן די סיסלאָג סערווער (s).
- באַשטעטיקן אַז די סיסלאָג סערווער (s) קענען אָננעמען ווייַט אַרטיקלען.
- פֿאַר וויכטיק אינפֿאָרמאַציע וועגן קשר לאָגינג, זען די קאַפּיטל אויף קאַנעקשאַן לאָגינג.
פּראָצעדור
- שריט 1 קאַנפיגיער אַ פלינק ענטפער פֿאַר דיין קלאַסיש דעוויסעס: זען קריייטינג אַ סיסלאָג אַלערט ענטפער.
- שריט 2 קאַנפיגיער סיסלאָג סעטטינגס אין די אַקסעס קאָנטראָל פּאָליטיק:
- דריקט פּאַלאַסיז > אַקסעס קאָנטראָל.
- רעדאַגירן די אָנווענדלעך אַקסעס קאָנטראָל פּאָליטיק.
- דריקט לאָגינג.
- סעלעקטירן שיקן ניצן ספּעציפיש סיסלאָג פלינק.
- אויסקלייַבן די Syslog Alert איר באשאפן אויבן.
- דריקט היט.
- שריט 3 אויב איר וועט שיקן file און מאַלוואַרע געשעענישן:
- סעלעקטירן שיקן סיסלאָג אַרטיקלען פֿאַר File און מאַלוואַרע געשעענישן.
- דריקט היט.
- שריט 4 אויב איר וועט שיקן ינטרוזשאַן געשעענישן:
- נאַוויגירן צו די ינטרוזשאַן פּאָליטיק פֿאַרבונדן מיט דיין אַקסעס קאָנטראָל פּאָליטיק.
- אין דיין ינטרוזשאַן פּאָליטיק, גיט Advanced Settings > Syslog Alerting > Enabled.
- אויב נייטיק, גיט רעדאַגירן
- אַרייַן אָפּציעס:
אָפּציע ווערט לאָגינג האָסט אויב איר וועט שיקן ינטרוזשאַן געשעעניש סיסלאָג אַרטיקלען צו אַ אַנדערש סיסלאָג סערווער ווי איר וועט שיקן אנדערע סיסלאָג אַרטיקלען, לאָזן דעם ליידיק צו נוצן די סעטטינגס וואָס איר האָט קאַנפיגיערד אויבן. מעכירעס די באַשטעטיקן איז אָנווענדלעך בלויז אויב איר ספּעציפיצירן אַ לאָגינג האָסט אויף דעם בלאַט. זען Syslog Alert Facilities.
שטרענגקייט די באַשטעטיקן איז אָנווענדלעך בלויז אויב איר ספּעציפיצירן אַ לאָגינג האָסט אויף דעם בלאַט. זען סיסלאָג שטרענגקייַט לעוועלס.
- דריקט צוריק.
- דריקט פּאָליטיק אינפֿאָרמאַציע אין די לינקס נאַוויגאַציע שויב.
- דריקט קאָממיט ענדערונגען.
וואָס צו טאָן ווייַטער
- (אָפּטיאָנאַל) קאַנפיגיער פאַרשידענע לאָגינג סעטטינגס פֿאַר יחיד אַקסעס קאָנטראָל כּללים. זען די אָנווענדלעך טיש ראָוז אין קאַנפיגיעריישאַן לאָוקיישאַנז פֿאַר סיסלאָגס פֿאַר קאַנעקשאַן און זיכערהייט ינטעלליגענסע געשעענישן (אַלע דעוויסעס). די סעטטינגס וועט דאַרפן סיסלאָג פלינק רעספּאָנסעס, וואָס זענען קאַנפיגיערד ווי דיסקרייבד אין קריייטינג אַ סיסלאָג אַלערט ענטפער. זיי טאָן ניט נוצן די סעטטינגס איר קאַנפיגיערד אויבן.
- צו קאַנפיגיער זיכערהייט געשעעניש סיסלאָג לאָגינג פֿאַר FTD דעוויסעס, זען שיקן זיכערהייט עווענט סיסלאָג אַרטיקלען פֿון FTD דעוויסעס.
קאָנפיגוראַטיאָן לאָוקיישאַנז פֿאַר זיכערהייט עווענט סיסלאָגס
- קאַנפיגיעריישאַן לאָוקיישאַנז פֿאַר סיסלאָגס פֿאַר קאַנעקשאַן און זיכערהייט ינטעלליגענסע געשעענישן (אַלע דעוויסעס)12
- קאַנפיגיעריישאַן לאָוקיישאַנז פֿאַר סיסלאָגס פֿאַר ינטרוזשאַן געשעענישן (FTD דעוויסעס)
- קאַנפיגיעריישאַן לאָוקיישאַנז פֿאַר סיסלאָגס פֿאַר ינטרוזשאַן געשעענישן (אנדערע דעוויסעס ווי FTD)
- קאָנפיגוראַטיאָן לאָוקיישאַנז פֿאַר סיסלאָגס פֿאַר File און מאַלוואַרע געשעענישן
קאַנפיגיעריישאַן לאָוקיישאַנז פֿאַר סיסלאָגס פֿאַר קאַנעקשאַן און זיכערהייט ינטעלליגענסע געשעענישן (אַלע דעוויסעס)
עס זענען פילע ערטער צו קאַנפיגיער לאָגינג סעטטינגס. ניצן די טיש אונטן צו ענשור אַז איר שטעלן די אָפּציעס איר דאַרפֿן.
וויכטיק
- באַצאָלן אָפּגעהיט ופמערקזאַמקייט ווען קאַנפיגיער סיסלאָג סעטטינגס, ספּעציעל ווען איר נוצן ינכעראַטיד דיפאָלץ פון אנדערע קאַנפיגיעריישאַנז. עטלעכע אָפּציעס קען נישט זיין בארעכטיגט פֿאַר אַלע געראטן מיטל מאָדעלס און ווייכווארג ווערסיעס, ווי אנגעוויזן אין די טיש אונטן.
- פֿאַר וויכטיק אינפֿאָרמאַציע ווען קאַנפיגיערינג קשר לאָגינג, זען די קאַפּיטל אויף קאַנעקשאַן לאָגינג.
| קאָנפיגוראַטיאָן אָרט | באַשרייַבונג און מער אינפֿאָרמאַציע |
| דעוויסעס > פּלאַטפאָרמע סעטטינגס, סאַקאָנע דיפענס סעטטינגס פּאָליטיק, Syslog | דער אָפּציע אַפּלייז בלויז צו Firepower Threat Defense דעוויסעס.
סעטטינגס איר קאַנפיגיער דאָ קענען זיין ספּעסיפיעד אין די לאָגינג סעטטינגס פֿאַר אַ אַקסעס קאָנטראָל פּאָליטיק און דעמאָלט געוויינט אָדער אָווועררייד אין די רוען פּאַלאַסיז און כּללים אין דעם טיש. זען FTD פּלאַטפאָרם סעטטינגס וואָס אַפּלייז צו זיכערהייט עווענט סיסלאָג אַרטיקלען און וועגן סיסלאָג און סובטאָפּיקס. |
| פּאַלאַסיז> אַקסעס קאָנטראָל, , לאָגינג | סעטטינגס איר קאַנפיגיער דאָ זענען די פעליקייַט סעטטינגס פֿאַר סיסלאָגס פֿאַר אַלע קאַנעקשאַנז און זיכערהייט סייכל געשעענישן, סייַדן איר אָווועררייד די דיפאָלץ אין אָפּשטאַמלינג פּאַלאַסיז און כּללים אין די לאָוקיישאַנז ספּעסיפיעד אין די רוען ראָוז פון דעם טיש.
רעקאַמענדיד באַשטעטיקן פֿאַר FTD דעוויסעס: ניצן FTD פּלאַטפאָרם סעטטינגס. פֿאַר אינפֿאָרמאַציע, זען FTD פּלאַטפאָרם סעטטינגס וואָס אַפּלייז צו זיכערהייט עווענט סיסלאָג אַרטיקלען און וועגן סיסלאָג און סובטאָפּיקס. פארלאנגט באַשטעטיקן פֿאַר אַלע אנדערע דעוויסעס: ניצן אַ סיסלאָג פלינק. אויב איר ספּעציפיצירן אַ סיסלאָג פלינק, זען קריייטינג אַ סיסלאָג אַלערט ענטפער. פֿאַר מער אינפֿאָרמאַציע וועגן די סעטטינגס אויף די לאָגינג קוויטל, זען לאָגינג סעטטינגס פֿאַר אַקסעס קאָנטראָל פּאַלאַסיז. |
| פּאַלאַסיז> אַקסעס קאָנטראָל, , כּללים, פעליקייַט קאַמף ריי,
לאָגינג ( |
לאָגינג סעטטינגס פֿאַר די פעליקייַט קאַמף פֿאַרבונדן מיט אַ אַקסעס קאָנטראָל פּאָליטיק.
זען אינפֿאָרמאַציע וועגן לאָגינג אין די קאַפּיטל אַקסעס קאָנטראָל רולעס און לאָגינג קאַנעקשאַנז מיט אַ פּאָליטיק פעליקייַט קאַמף. |
| פּאַלאַסיז> אַקסעס קאָנטראָל, , כּללים, , לאָגינג | לאָגינג סעטטינגס פֿאַר אַ באַזונדער הערשן אין אַ אַקסעס קאָנטראָל פּאָליטיק.
זען אינפֿאָרמאַציע וועגן לאָגינג אין די קאַפּיטל אַקסעס קאָנטראָל רולעס. |
| פּאַלאַסיז> אַקסעס קאָנטראָל, , סעקוריטי ינטעלליגענסע,
לאָגינג ( |
לאָגינג סעטטינגס פֿאַר זיכערהייט ינטעלליגענסע בלאַק רשימות. דריקט אויף די קנעפּלעך צו קאַנפיגיער:
• דנס בלאָק רשימה לאָגינג אָפּציעס • URL בלאָק רשימה לאָגינג אָפּציעס • נעץ בלאָק רשימה לאָגינג אָפּציעס (פֿאַר IP אַדרעסעס אויף די בלאַקט רשימה)
זען קאַנפיגיער זיכערהייט ינטעלליגענסע, אַרייַנגערעכנט די פּרירעקוואַזאַץ אָפּטיילונג, און סובטאָפּיקס און לינקס. |
| פּאַלאַסיז > SSL, ,
פעליקייַט קאַמף ריי, לאָגינג ( |
לאָגינג סעטטינגס פֿאַר די פעליקייַט קאַמף פֿאַרבונדן מיט אַן SSL פּאָליטיק.
זען לאָגינג קאַנעקשאַנז מיט אַ פּאָליטיק פעליקייַט קאַמף. |
| פּאַלאַסיז > SSL, , , לאָגינג | לאָגינג סעטטינגס פֿאַר SSL כּללים.
זען TLS / SSL הערשן קאַמפּאָונאַנץ. |
| פּאַלאַסיז > פּרעפילטער, ,
פעליקייַט קאַמף ריי, לאָגינג ( |
לאָגינג סעטטינגס פֿאַר די פעליקייַט קאַמף פֿאַרבונדן מיט אַ פּריפילטער פּאָליטיק.
זען לאָגינג קאַנעקשאַנז מיט אַ פּאָליטיק פעליקייַט קאַמף. |
| פּאַלאַסיז > פּרעפילטער, ,
, לאָגינג |
לאָגינג סעטטינגס פֿאַר יעדער פּריפילטער הערשן אין אַ פּריפילטער פּאָליטיק.
זען טוננעל און פּרעפילטער הערשן קאַמפּאָונאַנץ |
| פּאַלאַסיז > פּרעפילטער, ,
, לאָגינג |
לאָגינג סעטטינגס פֿאַר יעדער טונעל הערשן אין אַ פּריפילטער פּאָליטיק.
זען טוננעל און פּרעפילטער הערשן קאַמפּאָונאַנץ |
| נאָך סיסלאָג סעטטינגס פֿאַר FTD קנויל קאַנפיגיעריישאַנז: | די קלאַסטערינג פֿאַר די Firepower Threat Defense קאַפּיטל האט קייפל באַווייַזן צו סיסלאָג; זוכן דעם קאַפּיטל פֿאַר "סיסלאָג." |
קאַנפיגיעריישאַן לאָוקיישאַנז פֿאַר סיסלאָגס פֿאַר ינטרוזשאַן געשעענישן (FTD דעוויסעס)
איר קענען ספּעציפיצירן סיסלאָג סעטטינגס פֿאַר ינטרוזשאַן פּאַלאַסיז אין פאַרשידן ערטער און, אָפּטיאָנאַללי, ירשענען סעטטינגס פֿון די אַקסעס קאָנטראָל פּאָליטיק אָדער די FTD פּלאַטפאָרם סעטטינגס אָדער ביידע.
| קאָנפיגוראַטיאָן אָרט | באַשרייַבונג און מער אינפֿאָרמאַציע |
| דיווייסאַז > פּלאַטפאָרמע סעטטינגס, סאַקאָנע דיפענס סעטטינגס פּאָליטיק, Syslog | סיסלאָג דעסטאַניישאַנז אַז איר קאַנפיגיער דאָ קענען זיין ספּעסיפיעד אין די לאָגינג קוויטל פון אַ אַקסעס קאָנטראָל פּאָליטיק וואָס קענען זיין די פעליקייַט פֿאַר אַ ינטרוזשאַן פּאָליטיק.
זען FTD פּלאַטפאָרם סעטטינגס וואָס אַפּלייז צו זיכערהייט עווענט סיסלאָג אַרטיקלען און וועגן סיסלאָג און סובטאָפּיקס. |
| פּאַלאַסיז> אַקסעס קאָנטראָל, , לאָגינג | פעליקייַט באַשטעטיקן פֿאַר סיסלאָג דעסטיניישאַן פֿאַר ינטרוזשאַן
געשעענישן, אויב די ינטרוזשאַן פּאָליטיק קען נישט ספּעציפיצירן אנדערע לאָגינג מחנות. זען לאָגינג סעטטינגס פֿאַר אַקסעס קאָנטראָל פּאַלאַסיז. |
| פּאַלאַסיז > ינטרוזשאַן, , אַוואַנסירטע סעטטינגס, געבן Syslog Alerting, גיט רעדאַגירן | צו ספּעציפיצירן סיסלאָג קאַלעקטערז אנדערע ווי די דעסטאַניישאַנז ספּעסיפיעד אין די אַקסעס קאָנטראָל פּאָליטיק לאָגינג קוויטל, און צו ספּעציפיצירן מעכירעס און שטרענגקייַט, זען קאַנפיגיערינג סיסלאָג אַלערטינג פֿאַר ינטרוזשאַן געשעענישן.
אויב איר ווילן צו נוצן די שטרענגקייט or מעכירעס אָדער ביידע ווי קאַנפיגיערד אין די ינטרוזשאַן פּאָליטיק, איר מוזן אויך קאַנפיגיער די לאָגינג מחנות אין די פּאָליטיק. אויב איר נוצן די לאָגינג מחנות ספּעסיפיעד אין די אַקסעס קאָנטראָל פּאָליטיק, די שטרענגקייַט און מעכירעס ספּעסיפיעד אין די ינטרוזשאַן פּאָליטיק וועט נישט זיין געוויינט. |
קאַנפיגיעריישאַן לאָוקיישאַנז פֿאַר סיסלאָגס פֿאַר ינטרוזשאַן געשעענישן (אנדערע דעוויסעס ווי FTD)
- (פעליקייַט) אַקסעס קאָנטראָל פּאָליטיק לאָגינג סעטטינגס פֿאַר אַקסעס קאָנטראָל פּאָליסיעס, אויב איר ספּעציפיצירן אַ סיסלאָג פלינק (זען קריייטינג אַ סיסלאָג אַלערט ענטפער.)
- אָדער זען קאַנפיגיערינג סיסלאָג אַלערטינג פֿאַר ינטרוזשאַן געשעענישן.
דורך פעליקייַט, די ינטרוזשאַן פּאָליטיק ניצט די סעטטינגס אין די לאָגינג קוויטל פון די אַקסעס קאָנטראָל פּאָליטיק. אויב סעטטינגס אָנווענדלעך צו אנדערע דעוויסעס ווי FTD זענען נישט קאַנפיגיערד דאָרט, סיסלאָגס וועט נישט זיין געשיקט פֿאַר אנדערע דעוויסעס ווי FTD און קיין ווארענונג איז ארויס.
קאָנפיגוראַטיאָן לאָוקיישאַנז פֿאַר סיסלאָגס פֿאַר File און מאַלוואַרע געשעענישן
| קאָנפיגוראַטיאָן אָרט | באַשרייַבונג און מער אינפֿאָרמאַציע |
| אין אַ אַקסעס קאָנטראָל פּאָליטיק:
פּאַלאַסיז> אַקסעס קאָנטראָל, , לאָגינג |
דאָס איז דער הויפּט אָרט פֿאַר קאַנפיגיערינג די סיסטעם צו שיקן סיסלאָגס פֿאַר file און מאַלוואַרע געשעענישן.
אויב איר טאָן ניט נוצן די סיסלאָג סעטטינגס אין FTD פּלאַטפאָרם סעטטינגס, איר מוזן אויך מאַכן אַ פלינק ענטפער. זען קריייטינג אַ סיסלאָג אַלערט ענטפער. |
| קאָנפיגוראַטיאָן אָרט | באַשרייַבונג און מער אינפֿאָרמאַציע |
| אין Firepower Threat Defense Platform סעטטינגס:
דיווייסאַז > פּלאַטפאָרמע סעטטינגס, סאַקאָנע דיפענס סעטטינגס פּאָליטיק, Syslog |
די סעטטינגס אַפּלייז בלויז צו Firepower Threat Defense דעוויסעס וואָס לויפן שטיצט ווערסיעס, און בלויז אויב איר קאַנפיגיער די לאָגינג קוויטל אין די אַקסעס קאָנטראָל פּאָליטיק צו נוצן FTD פּלאַטפאָרמע סעטטינגס.
זען FTD פּלאַטפאָרם סעטטינגס וואָס אַפּלייז צו זיכערהייט עווענט סיסלאָג אַרטיקלען און וועגן סיסלאָג און סובטאָפּיקס. |
| אין אַ אַקסעס קאָנטראָל הערשן:
פּאַלאַסיז> אַקסעס קאָנטראָל, , , לאָגינג |
אויב איר טאָן ניט נוצן די סיסלאָג סעטטינגס אין FTD פּלאַטפאָרם סעטטינגס, איר מוזן אויך מאַכן אַ פלינק ענטפער. זען קריייטינג אַ סיסלאָג אַלערט ענטפער. |
אַנאַטאָמי פון זיכערהייט עווענט סיסלאָג אַרטיקלען
Exampדי זיכערהייט געשעעניש אָנזאָג פון FTD (ינטרוזשאַן עווענט)

טיש 1: קאַמפּאָונאַנץ פון זיכערהייט עווענט סיסלאָג אַרטיקלען
| נומער נומער in Sample אָנזאָג | כעדער עלעמענט | באַשרייַבונג |
| 0 | פּריי | די בילכערקייַט ווערט וואָס רעפּראַזענץ ביידע פאַסיליטי און שטרענגקייַט פון די פלינק. די ווערט איז בלויז אין די סיסלאָג אַרטיקלען ווען איר געבן לאָגינג אין EMBLEM פֿאָרמאַט מיט FMC פּלאַטפאָרמע סעטטינגס. אויב דו
געבן לאָגינג פון ינטרוזשאַן געשעענישן דורך אַקסעס קאָנטראָל פּאָליטיק לאָגינג קוויטל, די פּרי ווערט איז אויטאָמאַטיש געוויזן אין די סיסלאָג אַרטיקלען. פֿאַר אינפֿאָרמאַציע אויף ווי צו געבן די EMBLEM פֿאָרמאַט, זען געבן לאָגינג און קאַנפיגיער באַסיק סעטטינגס. פֿאַר אינפֿאָרמאַציע אויף PRI, זען RFC5424. |
| 1 | צייטamp | דאַטע און צייט ווען די סיסלאָג אָנזאָג איז געשיקט פֿון די מיטל.
• (סיסלאָגס געשיקט פֿון FTD דעוויסעס) פֿאַר סיסלאָגס געשיקט ניצן סעטטינגס אין די אַקסעס קאָנטראָל פּאָליטיק און זיין קינדסקינדער, אָדער אויב ספּעסיפיעד צו נוצן דעם פֿאָרמאַט אין די FTD פּלאַטפאָרם סעטטינגס, די דאַטע פֿאָרמאַט איז די פֿאָרמאַט דיפיינד אין די ISO 8601 צייט.amp פֿאָרמאַט ווי ספּעסיפיעד אין RFC 5424 (יייי-ממ-דדטהה:מם:ססז), ווו די בריוו ז ינדיקייץ די UTC צייט זאָנע. • (סיסלאָגס געשיקט פֿון אַלע אנדערע דעוויסעס) פֿאַר סיסלאָגס געשיקט ניצן סעטטינגס אין די אַקסעס קאָנטראָל פּאָליטיק און זיין קינדסקינדער, די דאַטע פֿאָרמאַט איז די פֿאָרמאַט דיפיינד אין די ISO 8601 צייט.amp פֿאָרמאַט ווי ספּעסיפיעד אין RFC 5424 (יייי-ממ-דדטהה:מם:ססז), ווו די בריוו ז ינדיקייץ די UTC צייט זאָנע. • אַנדערש, דאָס איז דער חודש, טאָג און צייט אין UTC צייט זאָנע, כאָטש די צייט זאָנע איז נישט אנגעוויזן.
צו קאַנפיגיער די צייטamp באַשטעטיקן אין FTD פּלאַטפאָרם סעטטינגס, זען קאַנפיגיער סיסלאָג סעטטינגס. |
| 2 | מיטל אָדער צובינד פון וואָס די אָנזאָג איז געשיקט.
דאָס קען זיין: • IP אַדרעס פון די צובינד • מיטל האָסטנאַמע • מנהג מיטל ידענטיפיער |
(פֿאַר סיסלאָגס געשיקט פֿון FTD דעוויסעס)
אויב די סיסלאָג אָנזאָג איז געשיקט מיט די FTD פּלאַטפאָרם סעטטינגס, דאָס איז די ווערט קאַנפיגיערד אין Syslog סעטטינגס פֿאַר די געבן Syslog Device ID אָפּציע, אויב ספּעסיפיעד. אַנדערש, דעם עלעמענט איז נישט פאָרשטעלן אין די כעדער. צו קאַנפיגיער דעם באַשטעטיקן אין FTD פּלאַטפאָרם סעטטינגס, זען קאַנפיגיער סיסלאָג סעטטינגס. |
| 3 | מנהג ווערט | אויב דער אָנזאָג איז געשיקט מיט אַ פלינק ענטפער, דאָס איז די Tag ווערט קאַנפיגיערד אין די פלינק ענטפער וואָס געשיקט דעם אָנזאָג, אויב קאַנפיגיערד. (זען קריייטינג אַ סיסלאָג אַלערט ענטפער.)
אַנדערש, דעם עלעמענט איז נישט פאָרשטעלן אין די כעדער. |
| 4 | %FTD
%NGIPS |
טיפּ פון מיטל וואָס געשיקט די אָנזאָג.
• %FTD איז פיירפּאַוער טרעט דיפענס • %NGIPS איז אַלע אנדערע דעוויסעס |
| 5 | שטרענגקייט | די שטרענגקייַט ספּעסיפיעד אין די סיסלאָג סעטטינגס פֿאַר די פּאָליטיק וואָס טריגערד דעם אָנזאָג.
פֿאַר שטרענגקייט דיסקריפּשאַנז, זען שטרענגקייַט לעוועלס אָדער סיסלאָג שטרענגקייַט לעוועלס. |
| 6 | געשעעניש טיפּ אידענטיפיצירן | • 430001: ינטרוזשאַן געשעעניש
• 430002: קאַנעקשאַן געשעעניש לאָגד אין אָנהייב פון קשר • 430003: קאַנעקשאַן געשעעניש לאָגד אין די סוף פון קשר
• 430004: File געשעעניש • 430005: File מאַלוואַרע געשעעניש |
| — | מעכירעס | זען פאַסיליטיז אין זיכערהייט עווענט סיסלאָג אַרטיקלען |
| — | רעשט פון אָנזאָג | פעלדער און וואַלועס אפגעשיידט דורך צווייפּינטל.
פעלדער מיט ליידיק אָדער אומבאַקאַנט וואַלועס זענען איבערגעהיפּערט פון אַרטיקלען. פֿאַר פעלד דיסקריפּשאַנז, זען: • קאַנעקשאַן און זיכערהייט ינטעלליגענסע עווענט פיעלדס. • ינטרוזשאַן עווענט פיעלדס • File און מאַלוואַרע עווענט פיעלדס
באַמערקונג פעלד באַשרייַבונג רשימות אַרייַננעמען ביידע סיסלאָג פעלדער און פעלדער קענטיק אין דער געשעעניש viewער (מעניו אָפּציעס אונטער די אַנאַליסיס מעניו אין די Firepower Management Center web צובינד.) פעלדער בנימצא דורך סיסלאָג זענען לייבאַלד ווי אַזאַ. עטלעכע פעלדער קענטיק אין דער געשעעניש viewזיי זענען נישט בנימצא דורך סיסטלאָג. אויך, עטלעכע סיסלאָג פעלדער זענען נישט אַרייַנגערעכנט אין דער געשעעניש viewער (אָבער קען זיין בארעכטיגט דורך זוכן), און עטלעכע פעלדער זענען קאַמביינד אָדער אפגעשיידט. |
מעכירעס אין זיכערהייט עווענט סיסלאָג אַרטיקלען
מעכירעס וואַלועס זענען בכלל נישט באַטייַטיק אין סיסלאָג אַרטיקלען פֿאַר זיכערהייט געשעענישן. אָבער, אויב איר דאַרפֿן פאַסיליטי, נוצן די פאלגענדע טיש:
| מיטל | צו אַרייַננעמען מעכירעס אין קאַנעקשאַן געשעענישן | צו אַרייַננעמען מעכירעס in ינטרוזשאַן געשעענישן | אָרט אין Syslog אָנזאָג |
| FTD | ניצן די EMBLEM אָפּציע אין FTD פּלאַטפאָרם סעטטינגס.
מעכירעס איז שטענדיק ALERT פֿאַר קשר געשעענישן ווען שיקט סיסלאָג אַרטיקלען ניצן FTD פּלאַטפאָרם סעטטינגס. |
ניצן די EMBLEM אָפּציע אין FTD פּלאַטפאָרם סעטטינגס אָדער
קאַנפיגיער לאָגינג ניצן די סיסלאָג סעטטינגס אין די ינטרוזשאַן פּאָליטיק. אויב איר נוצן די ינטרוזשאַן פּאָליטיק, איר מוזן אויך ספּעציפיצירן די לאָגינג באַלעבאָס אין די ינטרוזשאַן פּאָליטיק סעטטינגס. |
מעכירעס איז נישט געוויזן אין די אָנזאָג כעדער, אָבער די סיסלאָג קאַלעקטער קענען באַקומען די ווערט
באזירט אויף RFC 5424, אָפּטיילונג 6.2.1. |
| געבן סיסלאָג אַלערטינג און
קאַנפיגיער מעכירעס און שטרענגקייַט אויף די ינטרוזשאַן פּאָליטיק. זען קאַנפיגיער סיסלאָג אַלערינג פֿאַר ינטרוזשאַן געשעענישן. |
|||
| אנדערע דעוויסעס ווי FTD | ניצן אַ פלינק ענטפער. | ניצן די סיסלאָג באַשטעטיקן אין די ינטרוזשאַן פּאָליטיק אַוואַנסירטע סעטטינגס אָדער אַ פלינק ענטפער יידענאַפייד אין די אַקסעס קאָנטראָל פּאָליטיק לאָגינג קוויטל. |
פֿאַר מער אינפֿאָרמאַציע, זען פאַסילאַטיז און שטרענגקייַט פֿאַר ינטרוזשאַן סיסלאָג אַלערץ און קריייטינג אַ סיסלאָג אַלערט ענטפער.
Firepower Syslog אָנזאָג טייפּס
Firepower קענען שיקן קייפל סיסלאָג דאַטן טייפּס, ווי דיסקרייבד אין די פאלגענדע טיש:
| Syslog Data Type | זען |
| קאָנטראָלירן לאָגס פֿון FMC | סטרים קאָנטראָלירן לאָגס צו Syslog און די קאַפּיטל אַודיטינג די סיסטעם |
| קאָנטראָלירן לאָגס פון קלאַסיש דעוויסעס (ASA FirePOWER, NGIPSv) | סטרים קאָנטראָלירן לאָגס פֿון קלאַסיש דעוויסעס און די קאַפּיטל אַודיטינג די סיסטעם
CLI באַפֿעל: syslog |
| מיטל געזונט און נעץ-פֿאַרבונדענע לאָגס פֿון FTD דעוויסעס | וועגן Syslog און סובטאָפּיקס |
| קאַנעקשאַן, זיכערהייט סייכל און ינטרוזשאַן געשעעניש לאָגס פֿון FTD דעוויסעס | וועגן קאַנפיגיערינג די סיסטעם צו שיקן זיכערהייט עווענט דאַטן צו Syslog. |
| קאַנעקשאַן, זיכערהייט סייכל און ינטרוזשאַן געשעעניש לאָגס פֿון קלאַסיש דעוויסעס | וועגן קאַנפיגיערינג די סיסטעם צו שיקן זיכערהייט עווענט דאַטן צו Syslog |
| לאָגס פֿאַר file און מאַלוואַרע געשעענישן | וועגן קאַנפיגיערינג די סיסטעם צו שיקן זיכערהייט עווענט דאַטן צו Syslog |
לימיטיישאַנז פון Syslog פֿאַר זיכערהייט געשעענישן
- אויב איר וועט נוצן סיסלאָג אָדער קראָם געשעענישן ויסווייניק, ויסמיידן ספּעציעלע אותיות אין כייפעץ נעמען אַזאַ ווי פּאָליטיק און הערשן נעמען. אָבדזשעקט נעמען זאָל נישט אַנטהאַלטן ספּעציעלע אותיות, אַזאַ ווי קאָמע, וואָס די ריסיווינג אַפּלאַקיישאַן קען נוצן ווי סעפּערייטערז.
- עס קען נעמען אַרויף צו 15 מינוט פֿאַר געשעענישן צו דערשייַנען אויף דיין סיסלאָג קאַלעקטער.
- דאַטן פֿאַר די פאלגענדע file און מאַלוואַרע געשעענישן זענען נישט בנימצא דורך סיסלאָג:
- רעטראָספּעקטיוו געשעענישן
- געשעענישן דזשענערייטאַד דורך AMP פֿאַר ענדפּאָינץ
eStreamer סערווירער סטרימינג
- די עווענט סטרימער (eStreamer) אַלאַוז איר צו סטרימינג עטלעכע מינים פון געשעעניש דאַטן פֿון אַ Firepower מאַנאַגעמענט צענטער צו אַ מנהג-דעוועלאָפּעד קליענט אַפּלאַקיישאַן. פֿאַר מער אינפֿאָרמאַציע, זען Firepower System Event Streamer Integration Guide.
- איידער די אַפּפּליאַנסע איר ווילן צו נוצן ווי אַן eStreamer סערווער קענען אָנהייבן סטרימינג eStreamer events צו אַ פונדרויסנדיק קליענט, איר מוזן קאַנפיגיער די eStreamer סערווער צו שיקן events צו קלייאַנץ, צושטעלן אינפֿאָרמאַציע וועגן דעם קליענט און דזשענערייט אַ גאַנג פון אָטענטאַקיישאַן קראַדענטשאַלז צו נוצן ווען גרינדן קאָמוניקאַציע. איר קענען דורכפירן אַלע די טאַסקס פֿון די באַניצער צובינד פון די אַפּפּליאַנסע. אַמאָל דיין סעטטינגס זענען געראטעוועט, די געשעענישן וואָס איר האָט אויסגעקליבן וועט זיין פאָרווערדיד צו eStreamer קלייאַנץ ווען געבעטן.
- איר קענט קאָנטראָלירן וואָס טייפּס פון געשעענישן די eStreamer סערווער איז ביכולת צו אַריבערפירן צו קלייאַנץ וואָס בעטן זיי.
טיש 2: געשעעניש טייפּס טראַנסמיטטאַבלע דורך די eStreamer סערווירער
| געשעעניש טיפּ | באַשרייַבונג |
| ינטרוזשאַן געשעענישן | ינטרוזשאַן געשעענישן דזשענערייטאַד דורך געראטן דעוויסעס |
| ינטרוסיאָן עווענט פּאַקאַט דאַטאַ | פּאַקיץ פֿאַרבונדן מיט ינטרוזשאַן געשעענישן |
| ינטרוזשאַן עווענט עקסטרע דאַטאַ | נאָך דאַטן פֿאַרבונדן מיט אַ ינטרוזשאַן געשעעניש אַזאַ ווי די ערידזשאַנייטינג IP אַדרעסעס פון אַ קליענט קאַנעקטינג צו אַ web סערווער דורך אַ הטטפּ פראקסי אָדער מאַסע באַלאַנסער |
| Discovery Events | נעטוואָרק ופדעקונג געשעענישן |
| קאָראַליישאַן און לאָזן רשימה געשעענישן | קאָראַליישאַן און העסקעם לאָזן רשימה געשעענישן |
| פּראַל פלאַג אַלערץ | פּראַל אַלערץ דזשענערייטאַד דורך די FMC |
| באַניצער געשעענישן | באַניצער געשעענישן |
| געשעעניש טיפּ | באַשרייַבונג |
| מאַלוואַרע געשעענישן | מאַלוואַרע געשעענישן |
| File געשעענישן | file געשעענישן |
| קשר געשעענישן | אינפֿאָרמאַציע וועגן די סעסיע פאַרקער צווישן דיין מאָניטאָרעד מחנות און אַלע אנדערע מחנות. |
פאַרגלייַך פון Syslog און eStreamer פֿאַר זיכערהייט עווענטינג
אין אַלגעמיין, אָרגאַנאַזיישאַנז וואָס טאָן ניט איצט האָבן באַטייַטיק יגזיסטינג ינוועסמאַנט אין eStreamer זאָל נוצן סיסלאָג אלא ווי eStreamer צו פירן זיכערהייט געשעעניש דאַטן ויסווייניק.
| Syslog | eStreamer |
| קיין קוסטאָמיזאַטיאָן פארלאנגט | באַטייטיק קוסטאָמיזאַטיאָן און אָנגאָינג וישאַלט פארלאנגט צו אַקאַמאַדייט ענדערונגען אין יעדער מעלדונג |
| נאָרמאַל | פּראַפּרייאַטערי |
| סיסלאָג נאָרמאַל טוט נישט באַשיצן קעגן דאַטן אָנווער, ספּעציעל ווען איר נוצן UDP | שוץ קעגן דאַטן אָנווער |
| סענדז גלייַך פון דעוויסעס | סענדז פֿון FMC, אַדינג פּראַסעסינג אָוווערכעד |
| שטיצן פֿאַר file און מאַלוואַרע געשעענישן, קשר
געשעענישן (אַרייַנגערעכנט זיכערהייט סייכל געשעענישן) און ינטרוזשאַן געשעענישן. |
שטיצן פֿאַר אַלע געשעעניש טייפּס ליסטעד אין eStreamer Server Streaming. |
| עטלעכע געשעעניש דאַטן קענען זיין געשיקט בלויז פֿון FMC. זען דאַטן געשיקט בלויז דורך eStreamer, ניט דורך Syslog. | כולל דאַטן וואָס קענען ניט זיין געשיקט דורך סיסלאָג גלייַך פֿון דעוויסעס. זען דאַטן געשיקט בלויז דורך eStreamer, ניט דורך Syslog. |
דאַטן געשיקט בלויז דורך eStreamer, ניט דורך Syslog
די פאלגענדע דאַטן זענען בארעכטיגט בלויז פֿון Firepower מאַנאַגעמענט צענטער און קענען ניט זיין געשיקט דורך סיסלאָג פֿון דעוויסעס:
- פּאַקאַט לאָגס
- ינטרוזשאַן עווענט עקסטראַ דאַטאַ געשעענישן
פֿאַר אַ באַשרייַבונג, זען eStreamer Server Streaming. - סטאַטיסטיק און געמיינזאַם געשעענישן
- נעטוואָרק דיסקאָווערי events
- באַניצער אַקטיוויטעטן און לאָגין געשעענישן
- קאָראַליישאַן געשעענישן
- פֿאַר מאַלוואַרע געשעענישן:
- רעטראַספּעקטיוו ווערדיקטס
- ThreatName און Disposition, סייַדן אינפֿאָרמאַציע וועגן די באַטייַטיק SHAs איז שוין סינגקראַנייזד צו די מיטל
- די פאלגענדע פעלדער:
- ימפּאַקט און ימפּאַקטפלאַג פעלדער
פֿאַר אַ באַשרייַבונג, זען eStreamer Server Streaming. - די IOC_Count פעלד
- ימפּאַקט און ימפּאַקטפלאַג פעלדער
- רובֿ רוי IDs און UUIDs.
אויסנעמען:- סיסלאָגס פֿאַר קשר געשעענישן אַרייַננעמען די פאלגענדע: FirewallPolicyUUID, FirewallRuleID, TunnelRuleID, MonitorRuleID, SI_CategoryID, SSL_PolicyUUID און SSL_RuleID
- סיסלאָגס פֿאַר ינטרוזשאַן געשעענישן אַרייַננעמען IntrusionPolicyUUID, GeneratorID און SignatureID
- עקסטענדעד מעטאַדאַטאַ, אַרייַנגערעכנט אָבער ניט לימיטעד צו:
- באַניצער דעטאַילס צוגעשטעלט דורך LDAP, אַזאַ ווי פול נאָמען, אָפּטיילונג, טעלעפאָן נומער, אאז"ו ו. Syslog גיט בלויז באַניצער נעמען אין די געשעענישן.
- דעטאַילס פֿאַר שטאַט-באזירט אינפֿאָרמאַציע אַזאַ ווי SSL סערטיפיקאַט דעטאַילס. Syslog גיט יקערדיק אינפֿאָרמאַציע ווי די פינגערפּרינט סערטיפיקאַט, אָבער וועט נישט צושטעלן אנדערע באַווייַזן דעטאַילס ווי די סערט CN.
- דיטיילד אַפּלאַקיישאַן אינפֿאָרמאַציע, אַזאַ ווי אַפּ Tags און קאַטעגאָריעס. Syslog גיט בלויז אַפּפּליקאַטיאָן נעמען. עטלעכע מעטאַדאַטאַ אַרטיקלען אויך אַרייַננעמען עקסטרע אינפֿאָרמאַציע וועגן די אַבדזשעקץ.
- געאָלאָקאַטיאָן אינפֿאָרמאַציע
טשאָאָסינג eStreamer עווענט טייפּס
- די eStreamer עווענט קאָנפיגוראַטיאָן טשעק באָקסעס קאָנטראָלירן וואָס געשעענישן די eStreamer סערווער קענען אַריבערפירן.
- דיין קליענט מוזן נאָך ספּאַסיפיקלי בעטן די טייפּס פון געשעענישן איר ווילן צו באַקומען אין די בעטן אָנזאָג וואָס עס סענדז צו די eStreamer סערווער. פֿאַר מער אינפֿאָרמאַציע, זען די Firepower System Event Streamer Integration Guide.
- אין אַ מולטידאָמאַין דיפּלוימאַנט, איר קענען קאַנפיגיער eStreamer Event Configuration אין קיין פעלד מדרגה. אָבער, אויב אַן אָוועס פעלד האט ענייבאַלד אַ באַזונדער געשעעניש טיפּ, איר קענען נישט דיסייבאַל דעם געשעעניש טיפּ אין די אָפּשטאַמלינג דאָומיינז.
- איר מוזן זיין אַ אַדמיניסטראַטאָר באַניצער צו דורכפירן דעם אַרבעט פֿאַר FMC.
פּראָצעדור
- שריט 1 קלייַבן סיסטעם > ינטעגראַטיאָן.
- שריט 2 דריקט אויף eStreamer.
- שריט 3 אונטער eStreamer עווענט קאָנפיגוראַטיאָן, טשעק אָדער ויסמעקן די טשעק באָקסעס ווייַטער צו די טייפּס פון געשעענישן איר ווילן eStreamer צו פאָרויס צו ריקוועסטינג קלייאַנץ, דיסקרייבד אין eStreamer Server Streaming.
- שריט 4 דריקט היט.
קאַנפיגיער eStreamer קליענט קאָמוניקאַציע
- איידער eStreamer קענען שיקן eStreamer events צו אַ קליענט, איר מוזן לייגן דעם קליענט צו די eStreamer סערווער ס פּירז דאַטאַבייס פֿון די eStreamer בלאַט. איר מוזן אויך נאָכמאַכן די אָטענטאַקיישאַן באַווייַזן דזשענערייטאַד דורך די eStreamer סערווער צו דעם קליענט. נאָך קאַמפּליטינג די סטעפּס איר טאָן ניט דאַרפֿן צו ריסטאַרט די eStreamer דינסט צו געבן דעם קליענט צו פאַרבינדן צו די eStreamer סערווער.
- אין אַ מולטידאָמאַין דיפּלוימאַנט, איר קענען שאַפֿן אַן eStreamer קליענט אין קיין פעלד. די אָטענטאַקיישאַן באַווייַזן אַלאַוז דער קליענט צו בעטן געשעענישן בלויז פֿון די פעלד פון די קליענט באַווייַזן און קיין אָפּשטאַמלינג דאָומיינז. די eStreamer קאַנפיגיעריישאַן בלאַט ווייזט בלויז קלייאַנץ פֿאַרבונדן מיט דעם קראַנט פעלד, אַזוי אויב איר ווילן צו אָפּלאָדירן אָדער אָפּרופן אַ באַווייַזן, באַשטימען צו די פעלד ווו דער קליענט איז באשאפן.
- איר מוזן זיין אַ אַדמיניסטראַטאָר אָדער דיסקאָווערי אַדמיניסטראַטאָר באַניצער צו דורכפירן דעם אַרבעט פֿאַר FMC.
פּראָצעדור
- שריט 1 קלייַבן סיסטעם > ינטעגראַטיאָן.
- שריט 2 דריקט אויף eStreamer.
- טרעטן 3 גיט שאַפֿן קליענט.
- טרעטן 4 אין די האָסטנאַמע פעלד, אַרייַן די באַלעבאָס נאָמען אָדער IP אַדרעס פון דער באַלעבאָס מיט די eStreamer קליענט.
באַמערקונג אויב איר האָט נישט קאַנפיגיערד דנס האַכלאָטע, נוצן אַן IP אַדרעס. - שריט 5 אויב איר ווילן צו ינקריפּט די באַווייַזן file, אַרייַן אַ פּאַראָל אין די פּאַראָל פעלד.
- שריט 6 דריקט היט.
דער eStreamer סערווער איצט אַלאַוז דער באַלעבאָס צו אַקסעס פּאָרט 8302 אויף די eStreamer סערווער און קריייץ אַן אָטענטאַקיישאַן באַווייַזן צו נוצן בעשאַס קליענט-סערווער אָטענטאַקיישאַן. - שריט 7 גיט אראפקאפיע (
) ווייַטער צו דעם קליענט האָסטנאַמע צו אָפּלאָדירן די באַווייַזן file. - שריט 8 היט די באַווייַזן file צו די צונעמען וועגווייַזער געניצט דורך דיין קליענט פֿאַר SSL אָטענטאַקיישאַן.
- שריט 9 צו אָפּרופן אַקסעס פֿאַר אַ קליענט, גיט ויסמעקן (
) לעבן דער באַלעבאָס איר ווילן צו באַזייַטיקן.
באַמערקונג אַז איר טאָן ניט דאַרפֿן צו ריסטאַרט די eStreamer דינסט; צוטריט איז ריוואָוקט מיד.
געשעעניש אַנאַליסיס אין ספּלונק
- איר קענט נוצן די Cisco Secure Firewall (fka Firepower) אַפּ פֿאַר Splunk (אַמאָל באקאנט ווי די Cisco Firepower אַפּ פֿאַר Splunk) ווי אַ פונדרויסנדיק געצייַג צו ווייַזן און אַרבעטן מיט Firepower געשעעניש דאַטן, צו גיינ אַף און פאָרשן טרעץ אויף דיין נעץ.
- eStreamer איז פארלאנגט. דאָס איז אַ אַוואַנסירטע פאַנגקשאַנאַליטי. זען eStreamer Server Streaming.
- פֿאַר מער אינפֿאָרמאַציע, זען https://cisco.com/go/firepower-for-splunk.
געשעעניש אַנאַליסיס אין IBM QRadar
- איר קענט נוצן די Cisco Firepower אַפּ פֿאַר IBM QRadar ווי אַן אַלטערנאַטיווע וועג צו ווייַזן געשעעניש דאַטן און העלפֿן איר אַנאַלייז, זוכן און פאָרשן טרעץ צו דיין נעץ.
- eStreamer איז פארלאנגט. דאָס איז אַ אַוואַנסירטע פאַנגקשאַנאַליטי. זען eStreamer Server Streaming.
- פֿאַר מער אינפֿאָרמאַציע, זען https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/QRadar/integration-guide-for-the-cisco-firepower-app-for-ibm-qradar.html.
געשיכטע פֿאַר אַנאַלייזינג געשעעניש דאַטן מיט פונדרויסנדיק מכשירים
| שטריך | ווערסיע | דעטאַילס |
| סעקורעקס בענד | 7.0 | די SecureX בענד פּיוואַץ אין SecureX פֿאַר רעגע וויזאַביליטי אין די סאַקאָנע לאַנדשאַפט אַריבער דיין סיסקאָ זיכערהייט פּראָדוקטן.
צו ווייַזן די SecureX בענד אין FMC, זען די Firepower און SecureX ינטעגראַטיאָן גייד ביי https://cisco.com/go/firepower-securex-documentation. נייַ / מאָדיפיעד סקרינז: נייַ בלאַט: סיסטעם > SecureX |
| שיקן אַלע פֿאַרבינדונג געשעענישן צו די סיסקאָ וואָלקן | 7.0 | איר קענט איצט שיקן אַלע פֿאַרבינדונג געשעענישן צו די סיסקאָ וואָלקן, אלא ווי נאָר שיקן הויך-בילכערקייַט פֿאַרבינדונג געשעענישן.
ניו / מאָדיפיעד סקרינז: נייַ אָפּציע אויף די סיסטעם> ינטעגראַטיאָן> קלאָוד באַדינונגס בלאַט |
| קרייַז-קאַטער צו view דאַטן אין זיכער נעטוואָרק אַנאַליטיקס | 6.7 | דער שטריך ינטראַדוסיז אַ שנעל וועג צו שאַפֿן קייפל איינסן פֿאַר דיין סעקורע נעטוואָרק אַנאַליטיקס אַפּפּליאַנסע אויף די אַנאַליסיס> קאָנטעקסטואַל קראָס-קאַטער בלאַט.
די איינסן לאָזן איר רעכט-גיט אַ באַטייַטיק געשעעניש צו קרייז-קאַטער סעקורע נעטוואָרק אַנאַליטיקס אַ אַרויסווייַזן אינפֿאָרמאַציע שייַכות צו די דאַטן פונט פון וואָס איר קרייַז-לאַנטשט. נייַ מעניו נומער: סיסטעם> לאָגינג> זיכערהייט אַנאַליטיקס און לאָגינג נייַ בלאַט צו קאַנפיגיער שיקט געשעענישן צו זיכער נעטוואָרק אַנאַליטיקס. |
| קאָנטעקסטואַל קרייַז-קאַטער
פון נאָך פעלד טייפּס |
6.7 | איר קענען איצט קרייַז-קאַטער אין אַ פונדרויסנדיק אַפּלאַקיישאַן ניצן די פאלגענדע נאָך טייפּס פון געשעעניש דאַטן:
• אַקסעס קאָנטראָל פּאָליטיק • ינטרוזשאַן פּאָליטיק • אַפּפּליקאַטיאָן פּראָטאָקאָל • קליענט אַפּלאַקיישאַן • Web אַפּלאַקיישאַן • נאמען (אַרייַנגערעכנט מעלוכע)
ניו מעניו אָפּציעס: קאָנטעקסטואַל-קרייַז קאַטער אָפּציעס זענען איצט בנימצא ווען רעכט-קליקינג די אויבן דאַטן טייפּס פֿאַר געשעענישן אין דאַשבאָרד ווידזשיץ און געשעעניש טישן אויף בלעטער אונטער די אַנאַליסיס מעניו. שטיצט פּלאַטפאָרמס: Firepower Management Center |
| ינטעגראַטיאָן מיט IBM QRadar | 6.0 און שפּעטער | IBM QRadar יוזערז קענען נוצן אַ נייַע Firepower-ספּעציפיש אַפּ צו אַנאַלייז זייער געשעעניש דאַטן. די פאַנגקשאַנאַליטי איז אַפעקטאַד דורך דיין Firepower ווערסיע.
זען געשעעניש אַנאַליסיס אין IBM QRadar. |
| ענכאַנסמאַנץ צו ינטאַגריישאַן מיט Cisco SecureX סאַקאָנע ענטפער | 6.5 | • שטיצן פֿאַר רעגיאָנאַל וואלקנס:
• פאַרייניקטע שטאַטן (צפון אַמעריקע) • אייראָפּע
• שטיצן פֿאַר נאָך געשעעניש טייפּס: • File און מאַלוואַרע געשעענישן • הויך-בילכערקייַט קשר events דאָס זענען פֿאַרבינדונג געשעענישן שייַכות צו די פאלגענדע: • ינטרוזשאַן געשעענישן • זיכערהייַט ינטעלליגענסע געשעענישן • File און מאַלוואַרע געשעענישן
מאָדיפיעד סקרינז: נייַ אָפּציעס אויף סיסטעם> ינטעגראַטיאָן> קלאָוד באַדינונגס. שטיצט פּלאַטפאָרמס: אַלע דעוויסעס געשטיצט אין דעם מעלדונג, אָדער דורך דירעקט ינאַגריישאַן אָדער סיסטלאָג. |
| Syslog | 6.5 | די AccessControlRuleName פעלד איז איצט בנימצא אין ינטרוזשאַן געשעעניש סיסלאָג אַרטיקלען. |
| ינטעגראַטיאָן מיט Cisco Security Packet Analyzer | 6.5 | שטיצן פֿאַר דעם שטריך איז אַוועקגענומען. |
| ינטעגראַטיאָן מיט Cisco SecureX סאַקאָנע ענטפער | 6.3 (דורך סיסלאָג, ניצן אַ פּראַקסי
זאַמלער) 6.4 (דירעקט) |
ויסשטימען פיירפּאַוער ינטרוזשאַן געשעעניש דאַטן מיט דאַטן פון אנדערע קוואלן פֿאַר אַ יונאַפייד view פון טרעץ פון דיין נעץ ניצן די שטאַרק אַנאַליסיס מכשירים אין Cisco SecureX סאַקאָנע ענטפער.
מאָדיפיעד סקרינז (ווערסיע 6.4): נייַ אָפּציעס אויף סיסטעם> ינטעגראַטיאָן> קלאָוד באַדינונגס. שטיצט פּלאַטפאָרמס: Firepower Threat Defense דעוויסעס מיט ווערסיע 6.3 (דורך סיסלאָג) אָדער 6.4. |
| Syslog שטיצן פֿאַר File און מאַלוואַרע געשעענישן | 6.4 | גאָר קוואַלאַפייד file און מאַלוואַרע געשעעניש דאַטן קענען איצט זיין געשיקט פֿון געראטן דעוויסעס דורך סיסלאָג. מאַדאַפייד סקרינז: פּאַלאַסיז> אַקסעס קאָנטראָל> אַקסעס קאָנטראָל> לאָגינג.
שטיצט פּלאַטפאָרמס: אַלע געראטן דעוויסעס מיט ווערסיע 6.4. |
| ינאַגריישאַן מיט ספּלונק | שטיצט אַלע 6.קס ווערסיעס | ספּלונק יוזערז קענען נוצן אַ נייַע באַזונדער ספּלונק אַפּ, Cisco Secure Firewall (fka Firepower) אַפּ פֿאַר ספּלונק, צו אַנאַלייז events.
די פאַנגקשאַנאַליטי איז אַפעקטאַד דורך דיין Firepower ווערסיע. זען געשעעניש אַנאַליסיס אין ספּלונק. |
| ינטעגראַטיאָן מיט Cisco Security Packet Analyzer | 6.3 | שטריך באַקענענ: גלייך אָנפֿרעג Cisco Security Packet Analyzer פֿאַר פּאַקיץ שייַכות צו אַ געשעעניש, און גיט צו ונטערזוכן די רעזולטאַטן אין Cisco Security Packet Analyzer אָדער אראפקאפיע זיי פֿאַר אַנאַליסיס אין אן אנדער פונדרויסנדיק געצייַג.
ניו סקרינז: סיסטעם > ינטעגראַטיאָן > פּאַקאַט אַנאַליזער אַנאַליסיס > אַוואַנסירטע > פּאַקאַט אַנאַליזער פֿראגן ניו מעניו אָפּציעס: אָנפֿרעג פּאַקאַט אַנאַליזער מעניו נומער ווען רעכט-קליקינג אויף אַ געשעעניש אויף דאַשבאָאַר בלעטער און געשעעניש טישן אויף בלעטער אונטער די אַנאַליסיס מעניו. שטיצט פּלאַטפאָרמס: Firepower Management Center |
| קאָנטעקסטואַל קרייַז-קאַטער | 6.3 | פיטשער ינטראָודוסט: רעכט גיט אַ געשעעניש צו קוקן אַרויף פֿאַרבונדענע אינפֿאָרמאַציע אין פּרעדעפינעד אָדער מנהג URL-באזירט פונדרויסנדיק רעסורסן.
ניו סקרינז: אַנאַליסיס > אַוואַנסירטע > קאָנטעקסטואַל קראָס-קאַטער ניו מעניו אָפּציעס: קייפל אָפּציעס ווען רעכט-קליקינג אויף אַ געשעעניש אויף דאַשבאָרד בלעטער און אפילו טישן אויף בלעטער אונטער די אַנאַליסיס מעניו. שטיצט פּלאַטפאָרמס: Firepower Management Center |
| סיסלאָג אַרטיקלען פֿאַר
פֿאַרבינדונג און ינטרוזשאַן געשעענישן |
6.3 | פיייקייט צו שיקן גאָר קוואַלאַפייד קאַנעקשאַנז און ינטרוזשאַן געשעענישן צו פונדרויסנדיק סטאָרידזש און מכשירים דורך סיסלאָג, ניצן נייַע יונאַפייד און סימפּלאַפייד קאַנפיגיעריישאַנז. אָנזאָג כעדערז זענען איצט סטאַנדערדייזד און אַרייַננעמען געשעעניש טיפּ ידענטיפיערס, און אַרטיקלען זענען קלענערער ווייַל פעלדער מיט אומבאַקאַנט און ליידיק וואַלועס זענען איבערגעהיפּערט.
שטיצט פּלאַטפאָרמס: • אַלע נייַע פאַנגקשאַנאַליטי: FTD דעוויסעס פליסנדיק ווערסיע 6.3. • עטלעכע נייַע פאַנגקשאַנאַליטי: ניט-פטד דעוויסעס פליסנדיק ווערסיע 6.3. • ווייניקער נייַ פאַנגקשאַנאַליטי: אַלע דעוויסעס פליסנדיק ווערסיעס עלטער ווי 6.3. פֿאַר מער אינפֿאָרמאַציע, זען די טעמעס אונטער וועגן שיקט סיסלאָג אַרטיקלען פֿאַר זיכערהייט געשעענישן. |
| eStreamer | 6.3 | אריבערגעפארן eStreamer אינהאַלט פון די האָסט אידענטיטעט קוואלן קאַפּיטל צו דעם קאַפּיטל און צוגעגעבן אַ קיצער וואָס קאַמפּערינג eStreamer צו סיסלאָג. |
דאָקומענטן / רעסאָורסעס
![]() | עווענט אַנאַליסיס ניצן פונדרויסנדיק מכשירים |
רעפערענצן
- באַניצער מאַנואַלmanual.tools
