思科火力

Cisco Firepower以前称为Sourcefire 3D,是一种入侵检测响应系统,可生成安全数据并增强InsightIDR分析。您也可以发送网络代理思科火力的事件。InsightIDR自动从此应用程序中分离和解析您的ID和Web代理日志。

配置说明适用于思科火力、Sourcefire 3D和思科fireight

本文档中的配置说明适用于Cisco火力、Sourcefire 3D和Cisco fireight。在InsightIDR中配置时,即使您使用的是Cisco火力或Cisco fireight,也必须在事件源下拉列表中选择Sourcefire 3D。

了解更多关于思科火力这里:https://supportforums.cisco.com/t5/intrusion-prevention-systems-ids/firepower-vs-ngips-vs-firesight-vs-firepower-management-center/td-p/2975375

配置Sourcefire 3D、Cisco火力或Cisco fireight向InsightIDR发送警报

  1. 转到SourceFire管理面板。
  2. 选择策略>行动>提醒.这时将出现一个弹出窗口。
  3. 从“创建警报”下拉菜单中选择创建Syslog警报。出现一个对话框。
  4. 在Name字段中,键入要用于标识已保存响应的名称。
  5. 在主机字段中,键入syslog服务器的主机名或IP地址。
    • 请注意,如果您在该字段中输入了无效的IPv4地址(如192.168.1.456),系统不会发出警告。相反,无效地址将被视为主机名。
  6. 在端口字段中,输入将配置InsightIDR收集器以用于此事件源的端口。
    • 缺省值是514。
  7. 选择警报为了方便。
  8. 选择警报严重性。
  9. 在Tag字段中,键入要在syslog消息中显示的标记名称。在标签名称中只使用字母数字字符。不能使用空格或下划线。
  10. 点击保存

当您创建警报响应时,它将自动启用。只有启用的警报响应才能生成警报。若要停止生成警报,可以暂时禁用警报响应,而不是删除配置。

请使用以下资源获取详细的配置说明:

          

           Syslog的例子

            
           

          

           

            

             1.

            <41>May 1 13:56:07 DefenseCenter SFAppliance: [19:2:1] http_inspect: DOUBLE DECODING ATTACK [Impact: Currently Not Vulnerable] From \"10.106.5.11\" at Fri May 1 19:56:07 2015 UTC [Classification: Not Suspicious Traffic] [Priority: 3] {tcp} 10.10.50.34:61163->50.16.218.55:80 .

如何在InsightIDR中配置该事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”界面时,单击设置事件源选择添加事件源从下拉列表。
  3. 在安全数据部分,单击id图标。将出现“添加事件源”面板。
  4. 选择你的收集器。
  5. 在选择事件源类型字段中,选择与Cisco安全解决方案对应的选项,如下表所示:
思科安全解决方案 InsightIDR事件源类型
亚撒 思科ASA事件源
NGIPS 思科ASA事件源
NGFW 思科ASA事件源
任何其他火力服务 思科ASA事件源
思科ASA与火力服务 思科ASA事件源
思科火力威胁防御(FTD) 思科FTD事件源
Sourcefire 3 d 思科火力(Sourcefire 3D)事件源

如果需要,还可以命名事件源。

  1. 选择时区与事件源日志的位置匹配的。
  2. 选择发送未经过滤的日志
  3. 选择监听网络端口并指定您之前使用的端口和协议。
    • 可以选择加密事件源,如果选择TCP通过下载Rapid7证书
  4. 点击保存

验证配置

查看Cisco火力日志在InsightIDR:从左边的菜单中,单击日志搜索查看日志以确保事件被转发到收集器。选择适用的日志集以及其中的日志名。日志名称将是事件源名称,如果未命名事件源,则为“Cisco Firepower”。Cisco Firepower日志流入以下日志集:

  • 网络代理
  • 入侵检测系统(IDS)

日志至少需要7分钟才能出现在“日志搜索”中

请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。

输入日志示例

您的Cisco Firepower日志将类似于以下内容:

         

          日志

           
          

         

          

           

            1.

           <113>Mar 18 11:38:39 Sourcefire3D sfdc1500avc: [Primary Detection Engine (11727814-7b90- 11e3 - b778 -a8d573eb9cc3)][MHPSA] Connection Type: Start, User: Unknown, Client: SSL Client, Application Protocol: HTTPS, Web App: Unknown,访问控制规则名称:catcha - scan_for_malware,访问控制规则动作:Allow,访问控制规则原因:未知,URL类别:停放域,URL声誉:知名,URL: https://rapid7.com,接口入口:s1p1,接口出口:s1p2,安全区域入口:内部,安全区域出口:外部,安全智能匹配IP:无,安全智能类别:无,客户端版本:(null),文件事件数:的事件:ip地址数0,0,TCP标志:0 x0, NetBIOS域:(null),启动程序包:4,应答数据包:4,发起者字节:608年,响应者字节:4368年,背景:未知,SSL规则名称:N / A, SSL流动状态:N / A, SSL密码套件:N / A, SSL证书:0000000000000000000000000000000000000000,SSL主题CN: N / A, SSL主题:N / A, SSL主题或者:N / A, SSL主题Org: N / A, SSL发行人CN: N / A, SSL发行人:N / A, SSL发行人OU: N / A, SSL发行人Org: N / A, SSL有效开始日期:N / A, SSL有效结束日期:N / A, SSL版本:N / A, SSL服务器证书状态:N / A, SSL实际行动:N / A, SSL预期行动:N / A, SSL服务器名称:(null), SSL URL类别:-、SSL会话ID: 00000000000000000000000000000000000000000000000000000000000000000000000000000000, SSL票据ID: 000000000000000000000000000000000000, {TCP} 10.7.30.21:53431 -> 66.55.15.70:443
          
         

          日志

           
          

         

          

           

            1.

           <113>Mar 18 11:38:39 R7 rapid7: Protocol: TCP, SrcIP: 10.100.17.210, OriginalClientIP:::, DstIP: 65.55.44.109, SrcPort: 63399, DstPort: 443, TCPFlags: 0x0, IngressInterface: insidepc, EgressInterface: outside, DE: Primary Detection Engine (ecfee06e-8a6f-11e7-89bd-80c23f143e0f), Policy: msa - access Control, ConnectType:启动,AccessControlRuleName: Allow- goodapps, AccessControlRuleAction: Allow, Prefilter Policy: Unknown, UserName: No Authentication Required, Client: SSL Client, ApplicationProtocol: HTTPS, WebApplication: Microsoft, InitiatorPackets: 3, ResponderPackets: 1, InitiatorBytes: 386, ResponderBytes: 66, NAPPolicy:平衡安全和连接,DNSResponseType:没有错误,天坑:未知,URLCategory:未知,URLReputation:风险未知,URL: https://microsoft.com
          
         

          日志

           
          

         

          

           

            1.

           <113>Mar 18 11:38:39 R7 rapid7: Protocol: TCP, SrcIP: 10.100.17.210, OriginalClientIP:::, DstIP: 65.55.44.109, SrcPort: 63399, DstPort: 443, TCPFlags: 0x0, IngressInterface: insidepc, EgressInterface: outside, DE: Primary Detection Engine (ecfee06e-8a6f-11e7-89bd-80c23f143e0f), Policy: msa - access Control, ConnectType:启动,AccessControlRuleName: Allow-GoodApps, AccessControlRuleAction: Block, Prefilter Policy: Unknown, UserName: No Authentication Required, Client: SSL Client, ApplicationProtocol: HTTPS, WebApplication: Microsoft, InitiatorPackets: 3, ResponderPackets: 1, InitiatorBytes: 386, ResponderBytes: 66, NAPPolicy:平衡安全和连接,DNSResponseType:没有错误,天坑:未知,URLCategory:未知,URLReputation:风险未知,URL: https://microsoft.com
          
         

          日志

           
          

         

          

           

            1.

           <113>3月18日11:38:39 Sourcefire3D sfdc1500avc:[主检测引擎(11727814-7b90-11e2-b768-a8d573eb9cc3)][MHPSA]连接类型:开始,用户:未知,客户端:DNS客户端,应用程序协议:DNS,Web应用程序:未知,访问控制规则名称:CatchAll-Scan_查找恶意软件,访问控制规则操作:阻止,访问控制规则原因:未知,URL类别:未知,URL信誉:风险未知,URL:https://rapid7.com,接口入口:s1p1,接口出口:s1p2,安全区域入口:内部,安全区域出口:外部,安全智能匹配IP:无,安全智能类别:无,客户端版本:(null),文件事件数:0,IPS事件数:0,TCP标志:0x0,NetBIOS域:(null),启动器数据包:1,响应程序数据包:1,启动器字节:91,响应程序字节:187,上下文:未知,SSL规则名称:N/A,SSL流状态:N/A,SSL密码套件:Nhttps://rapid7.com/A,SSL证书:0000000000000000000000000000,SSL主题CN:N/A,SSL主题国家:N/A,SSL主题OU:N/A,SSL主题组织:N/A,SSL颁发者CN:N/A,SSL颁发者国家:N/A,SSL颁发者OU:N/A,SSL颁发者组织:N/A,SSL有效开始日期:N/A,SSL有效结束日期:N/A,SSL版本:N/A,SSL服务器证书状态:N/A,SSL实际操作:N/A,SSL预期操作:N/A,SSL服务器名称:(null),SSL URL类别:N/A,SSL会话ID:0000000000000000000000000000000000000000000000000000000000,SSL票证ID:0000000000000000000000000000000000,{UDP}192.168.46.81:58962->8.8.8.8:53
          
         

          日志

           
          

         

          

           

            1.

           < 113 > 3月18 11:38:39 bos-vm-firesight SFIMS:[1:32123:2]“MALWARE-CNC Win.Trojan.Zbot变体出站连接”(影响:脆弱的)从\“10.3.20.108 \”星期二2016年2月16日20:12:48 UTC(分类:网络木马检测)(优先级:1){tcp} 208.118.237.215:59186(美国)- > 10.3.20.91:9999(未知)
          
         

          日志

           
          

         

          

           

            1.

           <113>Mar 18 11:38:39 cde2b sims: Protocol: TCP, SrcIP: 10.5.3.50, DstIP: 145.30.94.23, SrcPort: 27097, DstPort: 80, IngressZone: R7_Inside_SZ, EgressZone: R7_DMZ_SZ, Priority: 1, DE:主检测引擎(42e15562-35e7-11e7-ae87-a5aab8fb2207), Policy: CWF R7, GID: 1, SID: 25976, Revision: 2, Message:" Policy - other Adobe ColdFusion admin API访问尝试",分类:潜在的公司策略违反,客户端:Web浏览器,ApplicationProtocol: HTTP, ACPolicy: R7, NAPPolicy:平衡的安全和连接