思科ACS

思科访问控制系统(ACS)是思科的一种寿命结束的产品,它增强了可见性,并控制了跨域用户的访问。阅读更多关于产品这里:https://www.cisco.com/c/en/us/products/security/secure-access-control-system/index.html

配置Cisco设备将VPN数据发送到InsightIDR。

InsightIDR仅支持Cisco ACS 5版本。x和更高。

配置思科ACS

您必须配置设备将syslog发送到InsightIDR。

配置syslog日志转发。

  1. 登录到您的思科安全ACS控制台。
  2. 扩大系统管理员>日志配置并选择远程日志目标页面。
  3. 单击创建按钮以创建新的syslog目标。日志类型应自动为“Syslog”。
  4. 为syslog目标提供一个名称,例如“InsightIDR Collector”。
  5. 在“IP address”中输入采集器的IP地址。
  6. 在Collector上输入接收VPN事件的唯一端口。
  7. 输入远程日志目标消息的最大长度。
  8. 单击提交按钮,保存配置。
  1. 从左边的菜单中选择日志分类>全局。
  2. 选择ACS日志顶部的单选按钮。
  3. 单击编辑按钮在底部。
  1. 选择远程Syslog目标选项卡。
  2. 在“Available Targets”列表中,选择前面标识的InsightIDR Collector,然后单击>按钮将其移动到“选定目标”列表中。
  3. 单击提交按钮,保存配置。

要了解更多详细的说明和日志示例,你可以在这里阅读更多关于这个配置的信息:https://community.cisco.com/t5/security-documents/acs-5-x-configuring-the-external-syslog-server/ta-p/3143143

在InsightIDR中配置Cisco ACS

现在,您必须在InsightIDR中配置事件源以捕获Cisco ACS系统日志。为此:

  1. 从仪表板中选择数据收集从左边的菜单。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击VPN图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 可选地配置不活动超时阈值(以分钟为单位)。
  8. 配置您的默认域和任何高级设置
  9. 选择Syslog作为您的收集方法并指定在Cisco ACS配置期间识别的端口和协议。
  10. 单击保存按钮。