Sourcefire 3D(思科火力)
概述
以前被称为Sourcefire IDS,思科的火力是一个入侵检测响应系统,产生安全数据,并增强insight的分析。
在insighttops中配置此事件源时,在下拉框中显示为SourceFire IDS。
有关“火力”的更多信息,请单击在这里.
日志类型
SourceFire IDS只能产生IDS日志,而instops不支持。为了使此事件源正确地摄取数据,您必须将IDS日志转换为syslog日志。
启用:
- 进入sourcefire管理面板。
- 选择:Policies > Actions > Alerts。
- 将出现一个弹出窗口;为警报命名,并提供它可以转发syslog的端口(通常是收集器的主机和事件源的端口)。
你可以阅读详细的操作说明在这里.
Syslog的例子:
文本
1<41>May 1 13:56:07 DefenseCenter SFAppliance: [19:2:1] http_inspect: DOUBLE DECODING ATTACK [Impact: Currently Not Vulnerable] From \"10.106.5.11\" at Fri May 1 19:56:07 2015 UTC [Classification: Not Suspicious Traffic] [Priority: 3] {tcp} 10.10.50.34:61163->50.16.218.55:80 .
在你开始之前
InsightOps将只接受此事件源以syslog形式发出的警报;因此,必须将火力警报响应配置为syslog发送。
您可以在“火力”中阅读有关此进程的详细信息用户指南或在他们的配置指南.
在火力中创建Syslog警报
创建syslog告警。
- 选择Policies > Actions > Alerts
- 在“创建告警”下拉菜单中,选择“创建Syslog告警”
- 将出现一个对话框;在“名称”字段中,键入要用于标识已保存响应的名称
- 在Host字段中,键入syslog服务器的主机名或IP地址。
- 请注意,如果您在该字段中输入了无效的IPv4地址(如192.168.1.456),系统不会发出警告。相反,无效地址将被视为主机名。
- 在Port字段中,输入服务器用于syslog消息的端口。
- 缺省值是514
- 从设施列表中,选择一个设施。insights将与设施设置为ALERT一起工作。
- 从“严重性”列表中,选择严重性。InsightOps将在严重性设置为ALERT时工作。
- 在Tag字段中,键入要在syslog消息中显示的标记名称。在标签名称中只使用字母数字字符。不能使用空格或下划线。
- 单击Save。警报响应被保存并自动启用。
当您创建警报响应时,它将自动启用。只有启用的警报响应才能生成警报。若要停止生成警报,可以暂时禁用警报响应,而不是删除配置。
发送Syslog告警前
通过在InsightOps中添加事件源,确保syslog服务器可以接受远程消息
如何配置事件源
- 从仪表板上,选择左手菜单上的Data Collection
- 在页面右上方,选择“添加数据”
- 从安全数据部分选择IDS图标
- 选择收集器,并可选地命名事件源
- 从事件源选项列表中,选择Sourcefire 3D
- 选择一个时区,或者选择一个美国时区
- 可以选择发送未过滤的日志
- 配置不活动超时阈值(分钟)。
- 选择监听Syslog或日志聚合器;两者都需要指定端口和协议。如果选择TCP,也可以选择加密事件源
- 如果您选择加密,请选择“下载证书”按钮,该按钮将下载Rapid7的证书。这个文件将被调用
Rapid7CA.pem
并将允许InsightOps和Sourcefire 3D在日志转发过程中“信任”对方。
这个页面对你有帮助吗?