Sourcefire 3D(思科火力)

概述

以前被称为Sourcefire IDS,思科的火力是一个入侵检测响应系统,产生安全数据,并增强insight的分析。

在insighttops中配置此事件源时,在下拉框中显示为SourceFire IDS。

有关“火力”的更多信息,请单击在这里

日志类型

SourceFire IDS只能产生IDS日志,而instops不支持。为了使此事件源正确地摄取数据,您必须将IDS日志转换为syslog日志。

启用:

  1. 进入sourcefire管理面板。
  2. 选择:Policies > Actions > Alerts。
  3. 将出现一个弹出窗口;为警报命名,并提供它可以转发syslog的端口(通常是收集器的主机和事件源的端口)。

你可以阅读详细的操作说明在这里

Syslog的例子:

          

           文本

            
           

          

           

            

             1

            <41>May 1 13:56:07 DefenseCenter SFAppliance: [19:2:1] http_inspect: DOUBLE DECODING ATTACK [Impact: Currently Not Vulnerable] From \"10.106.5.11\" at Fri May 1 19:56:07 2015 UTC [Classification: Not Suspicious Traffic] [Priority: 3] {tcp} 10.10.50.34:61163->50.16.218.55:80 .

在你开始之前

InsightOps将只接受此事件源以syslog形式发出的警报;因此,必须将火力警报响应配置为syslog发送。

您可以在“火力”中阅读有关此进程的详细信息用户指南或在他们的配置指南

在火力中创建Syslog警报

创建syslog告警。

  1. 选择Policies > Actions > Alerts
  2. 在“创建告警”下拉菜单中,选择“创建Syslog告警”
  3. 将出现一个对话框;在“名称”字段中,键入要用于标识已保存响应的名称
  4. 在Host字段中,键入syslog服务器的主机名或IP地址。
    • 请注意,如果您在该字段中输入了无效的IPv4地址(如192.168.1.456),系统不会发出警告。相反,无效地址将被视为主机名。
  5. 在Port字段中,输入服务器用于syslog消息的端口。
    • 缺省值是514
  6. 从设施列表中,选择一个设施。insights将与设施设置为ALERT一起工作。
  7. 从“严重性”列表中,选择严重性。InsightOps将在严重性设置为ALERT时工作。
  8. 在Tag字段中,键入要在syslog消息中显示的标记名称。在标签名称中只使用字母数字字符。不能使用空格或下划线。
  9. 单击Save。警报响应被保存并自动启用。

当您创建警报响应时,它将自动启用。只有启用的警报响应才能生成警报。若要停止生成警报,可以暂时禁用警报响应,而不是删除配置。

发送Syslog告警前

通过在InsightOps中添加事件源,确保syslog服务器可以接受远程消息

如何配置事件源

  1. 从仪表板上,选择左手菜单上的Data Collection
  2. 在页面右上方,选择“添加数据”
  3. 从安全数据部分选择IDS图标
  4. 选择收集器,并可选地命名事件源
  5. 从事件源选项列表中,选择Sourcefire 3D
  6. 选择一个时区,或者选择一个美国时区
  7. 可以选择发送未过滤的日志
  8. 配置不活动超时阈值(分钟)。
  9. 选择监听Syslog或日志聚合器;两者都需要指定端口和协议。如果选择TCP,也可以选择加密事件源
  10. 如果您选择加密,请选择“下载证书”按钮,该按钮将下载Rapid7的证书。这个文件将被调用Rapid7CA.pem并将允许InsightOps和Sourcefire 3D在日志转发过程中“信任”对方。