思科asa

您可以使用网络对象的管理自动化Cisco ASA InsightConnect插件.此外,您可以使用此插件来确定是否通过检查它在应用于防火墙规则的地址组中是否找到主机来阻止主机。Cisco ASA还允许您通过对象管理从防火墙中阻止和取消阻止主机。

要使用Cisco ASA插件,请选择现有用户帐户或创建专用用户帐户以在InsightConnect中配置连接。有关Cisco ASA插件的更多信息,请参阅扩展库清单

预期用途-检查思科ASA防火墙

Cisco ASA插件的常用情况是通过阻止在防火墙上快速响应威胁。这是通过管理地址组中的地址对象来实现的。首先,您必须拥有现有的Cisco ASA Deny-all防火墙策略,其中包含分配给策略的预定义地址组。由于检测到威胁,您可以利用Cisco ASA插件通过将恶意地址添加到预定义地址组,通过从预定义地址组中删除地址来阻止来自网络的恶意主机。在所描述的方式中使用Cisco ASA插件和防火墙功能允许大量动态地址的安全和灵活的策略管理。

您可以构建自己的工作流程来完成此用例,或者您可以选择许多从盒式框中的禁止外预设工作流程,以便防火墙阻止以快速启动和运行。这些都可以使用RAPID7扩展库

休息API代理

为了让Insight-Connect连接到思科ASA,它需要安装一个REST API代理,更多信息请使用以下思科文档:https://www.cisco.com/c/en/us/td/docs/security/asa/api/qsg-asa-api.html#pgfId-61941

创建用户并给予适当的权限:

  1. 连接到Cisco ASA设备并使用具有管理权限权限的用户帐户登录。
  2. 通过运行来输入启用模式启用命令。
  3. 通过runninng输入终端配置模式配置终端
  4. 使用以下命令结构创建用户用户名密码 <权限级别>. 例如用户名InsightConnect密码密码密码密码密码123特权15

创建新用户命令

  1. 如果尚未配置,则需要进行设置用户代理字符串的身份验证,为了做到这一点,在配置终端提示符中使用以下命令结构:HTTP server basic-auth-client ,例如:HTTP服务器基本auth-client洞察用户代理.注意:在一些思科设备版本中,有一个默认的用户代理REST API代理如果您的设备适用,您可以选择省略此步骤。

采取行动所需的前提条件:

Cisco ASA支持以下权限级别:

  • 需要权限级别3或更大来调用监视请求。
  • 调用GOT请求需要特权5级或更大。
  • 权限级别15是调用PUT/POST/DELETE操作所必需的。

用户帐户必须具有预期操作的必要权限:

  • 仅从Cisco ASA设备读取的操作需要权限级别5(以启用GET请求)
  • 对设备进行任何更新的操作都需要特权级别15

在InsightConnect中配置Cisco ASA连接

现在你已经在Cisco ASA中创建了你的用户,你可以在InsightConnect中配置Cisco ASA连接来使用插件。

  1. 在InsightConnect中,打开Cisco ASA插件的连接配置。
    • 在工作流建设会话期间选择Cisco ASA插件或通过选择独立创建连接时,您可以执行此操作插件&工具设置左边菜单上的选项卡。上插件&工具页面中,选择连接标签并单击添加连接在右上角。

在InsightConnect中添加连接

  1. 配置Cisco ASA插件的连接。

    • 赋予连接唯一且可识别的名称,选择orchstrator插件应运行,并从列表中选择Cisco ASA插件。如果它不可用,请从中导入插件安装插件选项卡。
  2. 配置您的思科ASA凭据。

    • 凭据字段,选择现有的Cisco ASA凭据或输入新创建的用户名和密码。
    • URL字段输入完整的URL到您的Cisco ASA实例。
    • 通过将“按值”设置为,可以指定是否要验证TLS/SSL真正的TLS/SSL验证字段
    • 如果为您的Cisco ASA设备使用自定义端口,您可以在端口字段,默认为443。
    • 用户代理领域输入先前配置的User Agent字符串。

思科ASA连接

测试你的连接

保存连接时,连接测试将尝试对指定的Cisco ASA设备进行身份验证。连接磁贴上的蓝色圆圈表示正在进行连接测试。

在进行中

成功的连接测试

如果没有循环,则连接成功,您可以开始与Cisco ASA协调流程。

成功

连接测试失败

红色圆圈表示连接测试失败。如果出现这种情况,请在再次尝试之前检查连接细节(包括ServiceNow URL、用户名和密码)。

失败的

日志可能包含有用的故障排除信息。首先,点击视图要查看最近的连接测试的列表。

查看最近的连接测试

测试状态选项卡,展开遇到错误以查看其日志的测试的下拉列表。

查看安全团队日志