思科ACS
思科访问控制系统(ACS)是思科的一种寿命结束的产品,它增强了可见性,并控制了跨域用户的访问。阅读更多关于产品这里:https://www.cisco.com/c/en/us/products/security/secure-access-control-system/index.html
配置Cisco设备将VPN数据发送到InsightIDR。
InsightIDR仅支持Cisco ACS 5版本。x和更高。
配置思科ACS
您必须配置设备将syslog发送到InsightIDR。
配置syslog日志转发。
- 登录到您的思科安全ACS控制台。
- 扩大系统管理员>日志配置并选择远程日志目标页面。
- 单击创建按钮以创建新的syslog目标。日志类型应自动为“Syslog”。
- 为syslog目标提供一个名称,例如“InsightIDR Collector”。
- 在“IP address”中输入采集器的IP地址。
- 在Collector上输入接收VPN事件的唯一端口。
- 输入远程日志目标消息的最大长度。
- 单击提交按钮,保存配置。
- 从左边的菜单中选择日志分类>全局。
- 选择ACS日志顶部的单选按钮。
- 单击编辑按钮在底部。
- 选择远程Syslog目标选项卡。
- 在“Available Targets”列表中,选择前面标识的InsightIDR Collector,然后单击>按钮将其移动到“选定目标”列表中。
- 单击提交按钮,保存配置。
要了解更多详细的说明和日志示例,你可以在这里阅读更多关于这个配置的信息:https://community.cisco.com/t5/security-documents/acs-5-x-configuring-the-external-syslog-server/ta-p/3143143
在InsightIDR中配置Cisco ACS
现在,您必须在InsightIDR中配置事件源以捕获Cisco ACS系统日志。为此:
- 从仪表板中选择数据收集从左边的菜单。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击VPN图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 选择发送未经过滤的日志.
- 可选地配置不活动超时阈值(以分钟为单位)。
- 配置您的默认域和任何高级设置.
- 选择Syslog作为您的收集方法并指定在Cisco ACS配置期间识别的端口和协议。
- 选择加密事件源,如果通过下载Rapid7证书.
- 单击保存按钮。
这个页面对你有帮助吗?