Cisco Firepower 6

Данное руководство описывает процесс настройки сбора и отправки событий модульной платформы безопасности Cisco Firepower в R-Vision SIEM.

Настройка Cisco Firepower

Устройства Firepower поддерживают возможность передачи событий с помощью службы syslog.

В экосистему Firepower входят следующие устройства:

  • Firepower Management Center (Firepower MC) — узел централизованного управления устройствами Firepower.

  • Firepower Next Generation IPS (Firepower NGIPS) — узел, исполняющий функции IPS.

  • Firepower Threat Defense (Firepower FTD) — узел, предотвращающий вторжения. Выполняет функции контроля и видимости приложений (Application Visibility and Controls, AVC), фильтрации URL, идентификации и аутентификации пользователей, а также защиты от вредоносных программ.

  • Cisco Adaptive Security Appliance (ASA) — межсетевой экран, выполняющий функции узлов, перечисленных выше (кроме MC). Также может выступать в качестве модулей для ASA. Инструкция по настройке Cisco ASA представлена по ссылке.

Алгоритмы подключения устройств через Firepower MC:

Настройка Firepower MC

Для настройки Firepower MC выполните следующие действия:

  1. Войдите в веб-интерфейс Cisco Firepower MC.

  2. Нажмите на кнопку cisco firepower button settings и перейдите на вкладку configuration.

  3. На вкладке Audit Log заполните поля:

    • Send Audit Log to Syslog — установите значение Enabled.

    • Hosts (Up to 5) — введите адрес коллектора SIEM.

    • Facility — выберите категорию для событий, поступающих с устройства.

    • Severity — выберите уровень событий для отправки в SIEM.

    • Tag — введите Cisco MC.

    Для полей Send Audit Log to HTTP Server и URL to Post Audit заполнение не требуется.

    Рекомендуем предварительно проверить соединение, нажав на кнопку Test Syslog Server.

    cisco firepower syslog test

  4. Нажмите на кнопку Save.

Настройка Firepower NGIPS

Для настройки Firepower NGIPS выполните следующие действия:

  1. Перейдите в раздел Devices → Platform Settings.

  2. Если для платформы еще не создана политика, создайте ее. Для этого:

    1. Нажмите на кнопку New Policy.

    2. Выберите тип платформы — Firepower Settings.

    3. В появившейся форме заполните поля и выберите устройства Firepower NGIPS, с которых планируете передавать события в SIEM.

  3. Перейдите на страницу настройки политики, нажав на кнопку cisco firepower button edit.

  4. Перейдите в раздел Audit Log.

  5. Заполните поля по аналогии с Firepower MC, заменив значение поля Tag на Cisco NGIPS.

  6. Нажмите на кнопку Save.

Настройка Firepower FTD

Для настройки Firepower FTD выполните следующие действия:

  1. Перейдите в раздел Devices → Platform Settings.

  2. Если для платформы еще не создана политика, создайте ее. Для этого:

    1. Нажмите на кнопку New Policy.

    2. Выберите тип платформы — Threat Defense Settings.

    3. В появившейся форме заполните поля и выберите устройства Firepower FTD, с которых планируете передавать события в SIEM.

  3. Перейдите на страницу настройки политики, нажав на кнопку cisco firepower button edit.

  4. Перейдите в раздел Syslog.

  5. На вкладке Logging Setup установите флажки рядом со следующими опциями:

    • Enable Logging

    • Enable Logging on the failover standby unit

    • Send debug messages as syslogs

  6. На вкладке Logging Destinations создайте точку отправки. Для этого выполните следующие действия:

    1. Нажмите на кнопку Add и выберите следующие пункты:

      • Logging Destination — Syslog Servers.

      • Event Class - Filter on Severity и выберите уровень логирования.

    2. Нажмите кнопку OK.

      cisco firepower logging filter

  7. На вкладке Syslog Settings настройте следующие поля:

    • Facility — выберите категорию для событий, поступающих с устройства;

    • Enable Timestamp on Syslog Messages — включите;

    • Timestamp Format — выберите формат RFC 5424;

    • Enable Syslog Device ID — включите;

    • Host Name — выберите имя хоста.

  8. На вкладке Syslog Servers создайте точку отправки. Для этого выполните следующие действия:

    1. Нажмите на кнопку Add и заполните поля:

      • IP Address — выберите объект-хост, в котором указан IP-адрес коллектора или нажмите на cisco firepower button plus, чтобы создать объект типа host;

      • Protocol — протокол, настроенный на точке сбора коллектора SIEM;

      • Port — порт, слушаемый коллектором;

      • Reachable By — варианты управления сервером (выберите Device Management Interface).

        cisco firepower syslog server

  9. Нажмите на кнопку Save. После настройки политик перейдите на вкладку Deploy → Deployment, выберите все устройства и нажмите на кнопку Deploy.

Настройка в R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    1. Тип точки входа — Syslog;

    2. Порт точки входа и Протокол — в соответствии с настройками на стороне syslog-сервера.

  3. Добавьте на конвейер элемент Нормализатор с соответствующим правилом (id:RV-N-23). Соедините нормализатор с точкой входа.

  4. Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.

  5. Сохраните и установите конфигурацию конвейера.

    Пример конфигурации конвейера cisco firepower pipeline scheme

Информацию о событиях Firepower можно посмотреть в официальной документации Cisco.

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение