Analýza událostí Cisco pomocí externích nástrojů Uživatelská příručka

Analýza událostí Cisco pomocí externích nástrojů

Informace o produktu

Produkt umožňuje uživatelům integrovat se s Cisco SecureX a přistupovat k němu pomocí funkce pásu karet ve FMC web rozhraní.

Specifikace

• Integrace: Cisco SecureX
• Rozhraní: FMC web rozhraní
• Funkce pásu karet: Spodní část každé stránky

Návod k použití produktu

Přístup k SecureX pomocí pásu karet
Chcete-li získat přístup k SecureX pomocí funkce pásu karet, postupujte takto:

1. V FMC klikněte na pás karet ve spodní části kterékoli stránky FMC.
2. Klikněte na „Získat SecureX“.
3. Přihlaste se do SecureX.
4. Kliknutím na odkaz povolíte přístup.
5. Klepnutím na pás karet jej rozbalte a použijte.

Analýza událostí pomocí externích nástrojů
Chcete-li provést analýzu událostí pomocí externích nástrojů, postupujte takto:

1. V FMC klikněte na pás karet ve spodní části kterékoli stránky FMC.
2. Klikněte na „Získat SecureX“.
3. Přihlaste se do SecureX.
4. Kliknutím na odkaz povolíte přístup.
5. Klepnutím na pás karet jej rozbalte a použijte.

Analýza událostí pomocí Cisco SecureX Threat Response
Cisco SecureX Threat Response (dříve známá jako Cisco Threat Response) umožňuje uživatelům rychle detekovat, zkoumat a reagovat na hrozby. Chcete-li provést analýzu událostí pomocí Cisco SecureX Threat Response, postupujte takto:

1. V FMC klikněte na pás karet ve spodní části kterékoli stránky FMC.
2. Klikněte na „Získat SecureX“.
3. Přihlaste se do SecureX.
4. Kliknutím na odkaz povolíte přístup.
5. Klepnutím na pás karet jej rozbalte a použijte.

View Data událostí v Cisco SecureX Threat Response

Na view data událostí v Cisco SecureX Threat Response, následujte
tyto kroky:

1. Podle výzvy se přihlaste k Cisco SecureX Threat Response.

Použití vyšetřování událostí Web-Založené zdroje
Ke zkoumání událostí pomocí web-založené zdroje, postupujte takto:

1. Podle výzvy se přihlaste k Cisco SecureX Threat Response.
2. Pomocí kontextové funkce cross-launch naleznete další informace o potenciálních hrozbách v webzdroje mimo Firepower Management Center.
3. Klikněte přímo z události v události viewer nebo dashboard v Firepower Management Center k relevantním informacím v externím zdroji.

O správě kontextových cross-launch zdrojů
Chcete-li spravovat externí web-založené zdroje, postupujte takto:

1. Přejděte do části Analýza > Pokročilé > Kontextové křížové spuštění.
2. Spravujte předdefinované zdroje a zdroje třetích stran nabízené společností Cisco.
3. Prostředky můžete podle potřeby zakázat, odstranit nebo přejmenovat.

Nejčastější dotazy

• Otázka: Co je SecureX?
  Odpověď: SecureX je integrační platforma v Cisco Cloud, která uživatelům umožňuje analyzovat incidenty pomocí dat agregovaných z více produktů, včetně Firepower.
• Otázka: Jak mohu získat přístup k SecureX pomocí funkce pásu karet?
  Odpověď: Chcete-li získat přístup k SecureX pomocí funkce pásu karet, klikněte na pás karet ve spodní části jakékoli stránky FMC a postupujte podle uvedených kroků.
• Q: Mohu? view data událostí v Cisco SecureX Threat Response?
  A: Ano, můžete view data událostí v Cisco SecureX Threat Response tím, že se přihlásíte podle výzvy.
• Otázka: Jak mohu vyšetřovat události pomocí web-založené zdroje?
  A: Prozkoumat události pomocí webzdrojů, přihlaste se k Cisco SecureX Threat Response a použijte kontextovou funkci cross-launch k nalezení relevantních informací.

Integrace s Cisco SecureX

View a pracovat s daty ze všech vašich bezpečnostních produktů Cisco a dalších produktů prostřednictvím jediného skleněného panelu, cloudového portálu SecureX. Použijte nástroje dostupné prostřednictvím SecureX k obohacení vašeho hledání a vyšetřování hrozeb. SecureX může také poskytnout užitečné informace o zařízení a zařízení, například zda na každém běží optimální verze softwaru.

• Další informace o SecureX viz http://www.cisco.com/c/en/us/products/security/securex.html.
• Chcete-li integrovat Firepower s SecureX, podívejte se na Firepower and SecureX Integration Guide na https://cisco.com/go/firepower-securex-documentation.

Přístup k SecureX pomocí pásu karet
Pás karet se zobrazí ve spodní části každé stránky ve FMC web rozhraní. Pomocí pásu karet můžete rychle přejít na jiné bezpečnostní produkty Cisco a pracovat s daty o hrozbách z více zdrojů.

Než začnete

• Pokud nevidíte pás SecureX ve spodní části FMC web stránky rozhraní, nepoužívejte tento postup. Místo toho se podívejte do Firepower and SecureX Integration Guide na https://cisco.com/go/firepower-securex-documentation.
• Pokud ještě nemáte účet SecureX, získejte ho od svého IT oddělení.

Postup

• Krok 1 Ve FMC klikněte na pás karet ve spodní části kterékoli stránky FMC.
• Krok 2 Klikněte na Get SecureX.
• Krok 3 Přihlaste se do SecureX.
• Krok 4 Kliknutím na odkaz autorizujte přístup.
• Krok 5 Kliknutím na pás karet jej rozbalte a použijte.

Co dělat dál
Informace o funkcích pásu karet a jejich použití naleznete v online nápovědě v SecureX.

Analýza událostí s reakcí na hrozby Cisco SecureX

Reakce na hrozby Cisco SecureX byla dříve známá jako Cisco Threat Response (CTR). Rychle odhalujte, vyšetřujte a reagujte na hrozby pomocí reakce na hrozby Cisco SecureX, integrační platformy v Cisco Cloud, která vám umožňuje analyzovat incidenty pomocí dat agregovaných z různých produktů, včetně Palebná síla.

• Obecné informace o reakci na hrozby Cisco SecureX naleznete v části: https://www.cisco.com/c/en/us/products/security/threat-response.html.
• Podrobné pokyny pro integraci Firepower s reakcí na hrozby Cisco SecureX naleznete v části:
• Průvodce integrací reakce na hrozby Firepower a Cisco SecureX na https://cisco.com/go/firepower-ctr-integration-docs.

View Data událostí v reakci na hrozbu Cisco SecureX

Než začnete

• Nastavte integraci podle popisu v Příručce integrace reakce na hrozby Firepower a Cisco SecureX na adrese https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.
• Review online nápovědu v reakci na hrozby Cisco SecureX, kde se dozvíte, jak hrozby vyhledávat, vyšetřovat a podnikat.
• Pro přístup k reakci na hrozby Cisco SecureX budete potřebovat své přihlašovací údaje.

Postup

Krok 1
V Centru správy Firepower proveďte jednu z následujících akcí:

• Chcete-li přejít na reakci na hrozbu Cisco SecureX z konkrétní události:
  • Přejděte na stránku v nabídce Analýza > Narušení se seznamem podporované události.
  • Klikněte pravým tlačítkem na zdrojovou nebo cílovou IP adresu a vyberte View v SecureX.
• Na view informace o akci obecně:
  • Přejděte na Systém > Integrace > Cloudové služby.
  • Klikněte na odkaz view události v reakci na hrozby Cisco SecureX.

Krok 2
Přihlaste se k výzvě k reakci na hrozbu Cisco SecureX.

Použití vyšetřování událostí Web-Založené zdroje
Pomocí kontextové funkce cross-launch můžete rychle najít další informace o potenciálních hrozbách v webzdroje mimo Firepower Management Center. Napřample, můžeš:

• Vyhledejte podezřelou zdrojovou IP adresu v cloudové službě společnosti Cisco nebo třetí strany, která zveřejňuje informace o známých a podezřelých hrozbách, nebo
• Pokud vaše organizace ukládá tato data v aplikaci SIEM (Security Information and Event Management), vyhledejte minulé výskyty konkrétní hrozby v historických protokolech vaší organizace.
• Hledejte informace o konkrétním filevčetně file informace o trajektorii, pokud vaše organizace nasadila Cisco AMP pro koncové body.

Při vyšetřování události můžete kliknout přímo z události na událost viewer nebo dashboard v Firepower Management Center k relevantním informacím v externím zdroji. To vám umožní rychle shromáždit kontext kolem konkrétní události na základě jejích IP adres, portů, protokolu, domény a/nebo SHA 256 hash. NapřampPředpokládejme, že se díváte na ovládací panel Top Attackers a chcete zjistit více informací o jedné z uvedených zdrojových IP adres. Chcete vidět, jaké informace Talos publikuje o této IP adrese, tak si vyberete zdroj „Talos IP“. Talos web stránka se otevře na stránku s informacemi o této konkrétní IP adrese. Můžete si vybrat ze sady předdefinovaných odkazů na běžně používané služby Cisco a třetích stran pro analýzu hrozeb a přidat vlastní odkazy na další webna služby a na SIEM nebo jiné produkty, které mají a web rozhraní. Upozorňujeme, že některé zdroje mohou vyžadovat účet nebo nákup produktu.

O správě kontextových cross-launch zdrojů

• Spravovat externí webzdroje pomocí stránky Analýza > Pokročilé > Kontextové křížové spouštění.

Výjimka:
Spravujte cross-launch propojení se zařízením Secure Network Analytics podle postupu v části Konfigurace cross-launch Links for Secure Network Analytics.

• Předdefinované zdroje nabízené společností Cisco jsou označeny logem Cisco. Zbývající odkazy jsou zdroje třetích stran.
• Můžete zakázat nebo odstranit jakékoli zdroje, které nepotřebujete, nebo je můžete přejmenovat, napřample předřazením názvu malým písmenem „z“, aby se zdroj seřadil na konec seznamu. Zakázáním cross-launch prostředku jej zakážete pro všechny uživatele. Smazané zdroje nelze obnovit, ale můžete je znovu vytvořit.
• Chcete-li přidat zdroj, přečtěte si téma Přidání kontextových zdrojů pro různé verze.

Požadavky na vlastní kontextové cross-launch zdroje

Při přidávání vlastních kontextových zdrojů napříč spuštěním:

• Zdroje musí být přístupné prostřednictvím web prohlížeč.
• Podporovány jsou pouze protokoly http a https.
• Podporovány jsou pouze požadavky GET; Požadavky POST nejsou.
• Kódování proměnných v URLs není podporováno. Zatímco adresy IPv6 mohou vyžadovat zakódování oddělovačů dvojteček, většina služeb toto kódování nevyžaduje.
• Lze nakonfigurovat až 100 zdrojů, včetně předdefinovaných zdrojů.
• Abyste mohli vytvořit křížové spuštění, musíte být správcem nebo bezpečnostním analytikem, ale můžete být také bezpečnostním analytikem pouze pro čtení, abyste je mohli používat.

Přidejte kontextové zdroje pro křížové spouštění

• Můžete přidat kontextové cross-launch zdroje, jako jsou služby pro informace o hrozbách a nástroje pro správu bezpečnostních informací a událostí (SIEM).
• V nasazení ve více doménách můžete vidět a používat prostředky v nadřazených doménách, ale můžete vytvářet a upravovat prostředky pouze v aktuální doméně. Celkový počet zdrojů ve všech doménách je omezen na 100.

Než začnete

• Pokud přidáváte odkazy na zařízení Secure Network Analytics, zkontrolujte, zda požadované odkazy již existují; většina odkazů se automaticky vytvoří při konfiguraci Cisco Security Analytics a protokolování (on Premises).
• Viz Požadavky na vlastní kontextové cross-launch zdroje.
• Je-li to potřeba pro zdroj, na který budete odkazovat, vytvoříte nebo získáte účet a přihlašovací údaje potřebné pro přístup. Volitelně můžete přiřadit a distribuovat přihlašovací údaje pro každého uživatele, který potřebuje přístup.
• Určete syntaxi odkazu na dotaz pro zdroj, na který budete odkazovat:
  • Přistupte ke zdroji prostřednictvím prohlížeče a pomocí dokumentace k tomuto zdroji podle potřeby zformulujte odkaz na dotaz potřebný k vyhledání konkrétníhoample typu informací, které chcete, aby odkaz vašeho dotazu našel, jako je IP adresa.
  • Spusťte dotaz a zkopírujte výsledek URL z adresního řádku prohlížeče.
  • Napřample, možná máte dotaz URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

Postup

• Krok 1
  Zvolte Analýza > Pokročilé > Kontextové křížové spouštění.
• Krok 2 Klikněte na New Cross-Launch.
  Ve formuláři, který se zobrazí, všechna pole označená hvězdičkou vyžadují hodnotu.
• Krok 3 Zadejte jedinečný název zdroje.
• Krok 4 Vložte pracovní URL řetězec z vašeho zdroje do URL Pole šablony.
• Krok 5 Nahraďte konkrétní data (jako je IP adresa) v řetězci dotazu vhodnou proměnnou: Umístěte kurzor a poté klikněte na proměnnou (např.ample, ip) jednou pro vložení proměnné.
  • V example z části „Než začnete“ výše, výsledek URL může být https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
  • Když je použit kontextový křížový odkaz, proměnná {ip} v URL bude nahrazena IP adresou, na kterou uživatel v události klikne pravým tlačítkem viewer nebo palubní deska.
  • Pro popis každé proměnné najeďte myší na proměnnou.
  • Můžete vytvořit více kontextových křížových odkazů pro jeden nástroj nebo službu s použitím různých proměnných pro každou z nich.
• Krok 6 Klikněte na Test s exampdata ( ) otestujte svůj odkaz s exampdata.
• Krok 7 Opravte všechny problémy.
• Krok 8 Klikněte na Uložit.

Prozkoumejte události pomocí kontextového křížového spouštění

Než začnete
Pokud zdroj, ke kterému budete přistupovat, vyžaduje přihlašovací údaje, ujistěte se, že je máte.

Postup

• Krok 1 Přejděte na jednu z následujících stránek v centru Firepower Management Center, která zobrazuje události:
  • Palubní deska (Overview > Dashboards), popř
  • Událost viewna stránce (jakákoli možnost nabídky v nabídce Analýza, která obsahuje tabulku událostí.)
• Krok 2 Klikněte pravým tlačítkem na událost, která vás zajímá, a vyberte kontextový cross-launch zdroj, který chcete použít.
  • V případě potřeby přejděte v kontextové nabídce dolů a zobrazte všechny dostupné možnosti.
  • Typ dat, na který kliknete pravým tlačítkem, určuje možnosti, které uvidíte; napřampPokud klepnete pravým tlačítkem na IP adresu, zobrazí se pouze kontextové možnosti křížového spouštění, které jsou relevantní pro adresy IP.
  • Takže napřampChcete-li získat informace o hrozbách od Cisco Talos o zdrojové IP adrese v ovládacím panelu Top Attackers, vyberte Talos SrcIP nebo Talos IP.
  • Pokud zdroj obsahuje více proměnných, možnost vybrat tento zdroj je k dispozici pouze pro události, které mají jednu možnou hodnotu pro každou zahrnutou proměnnou.
  • Kontextový cross-launch zdroj se otevře v samostatném okně prohlížeče.
  • Zpracování dotazu může nějakou dobu trvat, v závislosti na množství dat, která mají být dotazována, rychlosti a náročnosti zdroje a tak dále.
• Krok 3 V případě potřeby se přihlaste ke zdroji.

Nakonfigurujte Cross-Launch Links pro Secure Network Analytics

• Můžete křížově spouštět data událostí ve Firepower a související data ve vašem zařízení Secure Network Analytics.
• Další informace o produktu Secure Network Analytics naleznete v části https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
• Obecné informace o kontextovém křížovém spouštění naleznete v tématu Zkoumání událostí pomocí kontextového křížového spouštění.
• Tento postup použijte k rychlé konfiguraci sady křížových odkazů na vaše zařízení Secure Network Analytics.

Poznámka

• Potřebujete-li tyto odkazy později změnit, vraťte se k tomuto postupu; nemůžete provádět změny přímo na stránce kontextového křížového výpisu.
• Další odkazy pro křížové spouštění do zařízení Secure Network Analytics můžete vytvořit ručně pomocí postupu v části Přidat kontextové zdroje pro křížové spouštění, ale tyto odkazy by byly nezávislé na automaticky vytvořených zdrojích, a bylo by tedy nutné je ručně spravovat (smazat, aktualizováno atd.)

Než začnete

• Musíte mít nasazené a spuštěné zařízení Secure Network Analytics.
• Pokud chcete odesílat data Firepower do zařízení Secure Network Analytics pomocí Cisco Security Analytics a protokolování (on Premises), přečtěte si téma Vzdálené úložiště dat na zařízení Secure Network Analytics Appliance.

Postup

• Krok 1 Vyberte Systém > Protokolování > Analýza zabezpečení a protokolování.
• Krok 2 Aktivujte funkci.
• Krok 3 Zadejte název hostitele nebo IP adresu a port vašeho zařízení Secure Network Analytics. Výchozí port je 443.
• Krok 4 Klikněte na Uložit.
• Krok 5 Ověřte své nové cross-launch odkazy: Vyberte Analysis > Advanced > Contextual Cross-launch. Pokud potřebujete provést změny, vraťte se k tomuto postupu; nemůžete provádět změny přímo na stránce kontextového křížového výpisu.

Co dělat dál

• Křížové spouštění z události do události Secure Network Analytics viewehm, budete potřebovat přihlašovací údaje Secure Network Analytics.
• Křížový start z události v události FMC viewnebo na řídicím panelu, klepněte pravým tlačítkem na buňku příslušné události v tabulce a vyberte příslušnou možnost.
• Zpracování dotazu může nějakou dobu trvat, v závislosti na množství dat, která mají být dotazována, rychlosti a náročnosti konzole Stealthwatch Management Console atd.

O odesílání zpráv Syslog pro události zabezpečení

• Můžete odesílat data týkající se připojení, bezpečnostního zpravodajství, narušení a file a malwarové události prostřednictvím syslogu do nástroje SIEM (Security Information and Event Management) nebo jiného externího řešení pro ukládání a správu událostí.
• Tyto události se také někdy označují jako události Snort®.

O konfiguraci systému pro odesílání dat událostí zabezpečení do Syslog

Abyste mohli nakonfigurovat systém tak, aby odesílal syslogy událostí zabezpečení, budete potřebovat znát následující:

• Doporučené postupy pro konfiguraci zasílání zpráv Syslog událostí zabezpečení
• Umístění konfigurace pro systémové protokoly událostí zabezpečení
• Nastavení platformy FTD, která se vztahují na zprávy Syslog událostí zabezpečení
• Pokud provedete změny v nastavení syslog v jakékoli zásadě, je nutné je znovu nasadit, aby se změny projevily.

Doporučené postupy pro konfiguraci zasílání zpráv Syslog událostí zabezpečení

Zařízení a verze	Konfigurace Umístění
Vše	Pokud budete používat syslog nebo externě ukládat události, vyhněte se speciálním znakům v názvech objektů, jako jsou názvy zásad a pravidel. Názvy objektů by neměly obsahovat speciální znaky, jako jsou čárky, které může přijímající aplikace použít jako oddělovače.

Obrana proti palebné síle

1.      Konfigurace nastavení platformy FTD (Zařízení > Nastavení platformy > Nastavení ochrany před hrozbami > Syslog.) Viz také Nastavení platformy FTD, která se vztahují na zprávy Syslog událostí zabezpečení. 2.      Na kartě Protokolování zásad řízení přístupu zvolte použití nastavení platformy FTD. 3.      (Pro události narušení) Nakonfigurujte zásady narušení tak, aby používali nastavení na kartě Protokolování zásad řízení přístupu. (Toto je výchozí nastavení.)   Přepsání kteréhokoli z těchto nastavení se nedoporučuje. Základní podrobnosti najdete v tématu Odesílání zpráv Syslog událostí zabezpečení ze zařízení FTD.

Všechna ostatní zařízení

1.      Vytvořte varovnou odpověď. 2.      Nakonfigurujte protokolování zásad řízení přístupu pro použití odezvy na výstrahu. 3.      (Pro události narušení) Nakonfigurujte nastavení syslog v zásadách narušení.  Úplné podrobnosti najdete v tématu Odesílání zpráv Syslog událostí zabezpečení z klasických zařízení.

Odesílat zprávy Syslog událostí zabezpečení ze zařízení FTD
Tento postup dokumentuje osvědčenou konfiguraci pro odesílání zpráv syslog pro události zabezpečení (připojení, připojení související se zabezpečením, narušení, filea malwarové události) ze zařízení Firepower Threat Defense.

Poznámka
Mnoho nastavení syslogu Firepower Threat Defense nelze na události zabezpečení použít. Nakonfigurujte pouze možnosti popsané v tomto postupu.

Než začnete

• Ve FMC nakonfigurujte zásady pro generování událostí zabezpečení a ověřte, zda se události, které očekáváte, zobrazí v příslušných tabulkách v nabídce Analýza.
• Shromážděte IP adresu syslog serveru, port a protokol (UDP nebo TCP):
• Ujistěte se, že vaše zařízení mohou dosáhnout serverů syslog.
• Potvrďte, že server(y) syslog může přijímat vzdálené zprávy.
• Důležité informace o protokolování připojení naleznete v kapitole Protokolování připojení.

Postup

• Krok 1 Nakonfigurujte nastavení syslog pro vaše zařízení Firepower Threat Defense:
  • Klikněte na Zařízení > Nastavení platformy.
  • Upravte zásady nastavení platformy spojené s vaším zařízením Firepower Threat Defense.
  • V levém navigačním podokně klikněte na Syslog.
  • Klepněte na Servery Syslog a klepněte na Přidat pro zadání serveru, protokolu, rozhraní a souvisejících informací. Máte-li dotazy ohledně možností na této stránce, přečtěte si část Konfigurace serveru Syslog.
  • Klikněte na Nastavení Syslog a nakonfigurujte následující nastavení:
    • Povolit Timestamp ve zprávách Syslog
    • Časamp Formát
    • Povolit ID zařízení Syslog
  • Klikněte na Nastavení protokolování.
  • Vyberte, zda chcete nebo nechcete odesílat syslogy ve formátu EMBLEM.
  • Uložte nastavení.
• Krok 2 Nakonfigurujte obecná nastavení protokolování pro zásady řízení přístupu (včetně file a protokolování malwaru):
  • Klikněte na Zásady > Řízení přístupu.
  • Upravte příslušné zásady řízení přístupu.
  • Klepněte na položku Protokolování.
  • Vyberte FTD 6.3 a novější: Použijte nastavení syslog nakonfigurované v zásadě nastavení platformy FTD nasazené na zařízení.
  • (Volitelné) Vyberte Závažnost Syslog.
  • Pokud pošlete file a malwarové události, vyberte možnost Odeslat zprávy Syslog pro File a malwarové události.
  • Klikněte na Uložit.
• Krok 3 Povolte protokolování událostí připojení souvisejících se zabezpečením pro zásadu řízení přístupu:
  • Ve stejné zásadě řízení přístupu klikněte na kartu Security Intelligence.
  • V každém z následujících umístění klikněte na Protokolování ( ) a povolte začátek a konec připojení a Syslog Server:
    • Kromě zásad DNS.
    • V poli Seznam blokování pro sítě a pro URLs.
  • Klikněte na Uložit.
• Krok 4 Povolte protokolování syslog pro každé pravidlo v zásadě řízení přístupu:
  • Ve stejné zásadě řízení přístupu klepněte na kartu Pravidla.
  • Klikněte na pravidlo, které chcete upravit.
  • Klepněte na kartu Protokolování v pravidle.
  • Vyberte, zda chcete protokolovat začátek nebo konec připojení nebo obojí.
    (Protokolování připojení generuje velké množství dat; protokolování začátku i konce generuje zhruba dvojnásobek dat. Ne každé připojení lze protokolovat na začátku i na konci.)
  • Pokud se budete přihlašovat file události, zvolte Protokol Files.
  • Povolit server Syslog.
  • Ověřte, že pravidlo je „Použít výchozí konfiguraci syslog v protokolování řízení přístupu“.
  • Klepněte na tlačítko Přidat.
  • Opakujte pro každé pravidlo v zásadě.
• Krok 5 Pokud budete odesílat události narušení:
  • Přejděte na zásady narušení související s vašimi zásadami řízení přístupu.
  • Ve své zásadě narušení klikněte na Pokročilá nastavení > Syslog Alerting > Povoleno.
  • V případě potřeby klepněte na Upravit
  • Zadejte možnosti:
    

    Volba	Hodnota
    Hostitel protokolování	Pokud nebudete posílat zprávy syslog událostí narušení na jiný server syslog, než budete posílat jiné zprávy syslog, ponechte toto prázdné, chcete-li použít nastavení, které jste nakonfigurovali výše.
    Zařízení	Toto nastavení je použitelné pouze v případě, že na této stránce určíte hostitele protokolování. Popis najdete v části Syslog Alert Facilities.
    Závažnost	Toto nastavení je použitelné pouze v případě, že na této stránce určíte hostitele protokolování. Popis viz Úrovně závažnosti syslogu.

  • Klepněte na tlačítko Zpět.
  • V levém navigačním podokně klikněte na možnost Informace o zásadách.
  • Klepněte na tlačítko Potvrdit změny.

Co dělat dál

• (Volitelné) Nakonfigurujte různá nastavení protokolování pro jednotlivé zásady a pravidla. Viz příslušné řádky tabulky v části Umístění konfigurace pro protokoly Syslog pro události připojení a bezpečnostní inteligence (všechna zařízení).
  • Tato nastavení budou vyžadovat odpovědi na výstrahu syslog, které jsou nakonfigurovány podle popisu v části Vytvoření odpovědi na výstrahu syslog. Nepoužívají nastavení platformy, která jste nakonfigurovali v tomto postupu.
• Chcete-li nakonfigurovat protokolování syslog událostí zabezpečení pro klasická zařízení, viz Odesílání zpráv syslog událostí zabezpečení z klasických zařízení.
• Pokud jste s prováděním změn skončili, implementujte je do spravovaných zařízení.

Odesílejte zprávy Syslog událostí zabezpečení z klasických zařízení

Než začnete

• Nakonfigurujte zásady pro generování událostí zabezpečení.
• Ujistěte se, že vaše zařízení mohou dosáhnout serverů syslog.
• Potvrďte, že server(y) syslog může přijímat vzdálené zprávy.
• Důležité informace o protokolování připojení naleznete v kapitole Protokolování připojení.

Postup

• Krok 1 Nakonfigurujte odpověď na výstrahu pro vaše klasická zařízení: Viz Vytvoření odpovědi na výstrahu Syslog.
• Krok 2 Nakonfigurujte nastavení syslog v zásadách řízení přístupu:
  • Klikněte na Zásady > Řízení přístupu.
  • Upravte příslušné zásady řízení přístupu.
  • Klepněte na položku Protokolování.
  • Vyberte Odeslat pomocí specifické výstrahy syslog.
  • Vyberte výstrahu Syslog, kterou jste vytvořili výše.
  • Klikněte na Uložit.
• Krok 3 Pokud odešlete file a malwarové události:
  • Vyberte možnost Odeslat zprávy Syslog pro File a malwarové události.
  • Klikněte na Uložit.
• Krok 4 Pokud budete odesílat události narušení:
  • Přejděte na zásady narušení související s vašimi zásadami řízení přístupu.
  • Ve své zásadě narušení klikněte na Pokročilá nastavení > Syslog Alerting > Povoleno.
  • V případě potřeby klepněte na Upravit
  • Zadejte možnosti:
    

    Volba	Hodnota
    Hostitel protokolování	Pokud nebudete posílat zprávy syslog událostí narušení na jiný server syslog, než budete posílat jiné zprávy syslog, ponechte toto prázdné, chcete-li použít nastavení, které jste nakonfigurovali výše.
    Zařízení	Toto nastavení je použitelné pouze v případě, že na této stránce určíte hostitele protokolování. Viz Zařízení výstrah Syslog.
    Závažnost	Toto nastavení je použitelné pouze v případě, že na této stránce určíte hostitele protokolování. Viz Úrovně závažnosti Syslog.

  • Klepněte na tlačítko Zpět.
  • V levém navigačním podokně klikněte na možnost Informace o zásadách.
  • Klepněte na tlačítko Potvrdit změny.

Co dělat dál

• (Volitelné) Nakonfigurujte různá nastavení protokolování pro jednotlivá pravidla řízení přístupu. Viz příslušné řádky tabulky v části Umístění konfigurace pro protokoly Syslog pro události připojení a bezpečnostní inteligence (všechna zařízení). Tato nastavení budou vyžadovat odpovědi na výstrahu syslog, které jsou nakonfigurovány podle popisu v části Vytvoření odpovědi na výstrahu syslog. Nepoužívají nastavení, která jste nakonfigurovali výše.
• Chcete-li nakonfigurovat protokolování syslog událostí zabezpečení pro zařízení FTD, viz Odesílání zpráv syslog událostí zabezpečení ze zařízení FTD.

Umístění konfigurace pro systémové protokoly událostí zabezpečení

• Umístění konfigurace pro systémové protokoly pro události připojení a bezpečnostního zpravodajství (všechna zařízení)12
• Umístění konfigurace pro Syslogs pro události narušení (FTD zařízení)
• Umístění konfigurace pro systémové protokoly pro události narušení (jiná zařízení než FTD)
• Umístění konfigurace pro Syslogs pro File a Malwarové události

Umístění konfigurace pro Syslogs pro připojení a události bezpečnostního zpravodajství (všechna zařízení)
Existuje mnoho míst pro konfiguraci nastavení protokolování. Pomocí níže uvedené tabulky se ujistěte, že jste nastavili možnosti, které potřebujete.

Důležité

• Při konfiguraci nastavení syslog věnujte zvýšenou pozornost, zejména pokud používáte zděděné výchozí hodnoty z jiných konfigurací. Některé možnosti NEMUSÍ být dostupné pro všechny modely spravovaných zařízení a verze softwaru, jak je uvedeno v tabulce níže.
• Důležité informace při konfiguraci protokolování připojení naleznete v kapitole Protokolování připojení.

Konfigurace Umístění	Popis a Více Informace
Zařízení > Nastavení platformy, Zásady nastavení ochrany před hrozbami, Syslog	Tato možnost platí pouze pro zařízení Firepower Threat Defense. Nastavení, která zde nakonfigurujete, lze zadat v nastavení protokolování pro zásadu řízení přístupu a poté použít nebo přepsat v zbývající zásady a pravidla v této tabulce. Viz Nastavení platformy FTD, která se vztahují na zprávy Syslog událostí a O Syslog a podtématech.
Zásady > Řízení přístupu, , Logování	Nastavení, která zde konfigurujete, jsou výchozí nastavení pro syslogs pro všechna připojení a události bezpečnostního zpravodajství, pokud nepřepíšete výchozí hodnoty v podřízených zásadách a pravidlech v umístěních určených ve zbývajících řádcích této tabulky. Doporučené nastavení pro zařízení FTD: Použijte nastavení platformy FTD. Informace naleznete v části Nastavení platformy FTD, která se vztahují na zprávy Syslog událostí a O Syslog a dílčích tématech. Požadované nastavení pro všechna ostatní zařízení: Použijte upozornění syslog. Pokud zadáte výstrahu syslog, viz Vytvoření odpovědi na výstrahu syslog. Další informace o nastavení na kartě Protokolování naleznete v části Nastavení protokolování pro zásady řízení přístupu.

Zásady > Řízení přístupu, , Pravidla, Výchozí akce řádek, Logování ( )	Nastavení protokolování pro výchozí akci spojenou se zásadou řízení přístupu. Viz informace o protokolování v kapitole Pravidla řízení přístupu a Protokolování připojení s výchozí akcí zásad.
Zásady > Řízení přístupu, , Pravidla, , Logování	Nastavení protokolování pro konkrétní pravidlo v zásadě řízení přístupu. Viz informace o přihlašování v kapitole Pravidla řízení přístupu.
Zásady > Řízení přístupu, , Bezpečnostní zpravodajství, Logování ( )	Nastavení protokolování pro seznamy blokování bezpečnostního zpravodajství. Pro konfiguraci klikněte na tato tlačítka: • Možnosti protokolování seznamu blokovaných DNS •  URL Možnosti protokolování seznamu bloků • Možnosti protokolování seznamu síťových bloků (pro adresy IP na seznamu blokovaných)   Viz Konfigurace Security Intelligence, včetně sekce předpokladů a podtémat a odkazů.
Zásady > SSL, , Výchozí akce řádek, Logování ( )	Nastavení protokolování pro výchozí akci spojenou se zásadou SSL. Viz Protokolování připojení s výchozí akcí zásad.
Zásady > SSL, , , Logování	Nastavení protokolování pro pravidla SSL. Viz Komponenty pravidla TLS/SSL.
Zásady > Předfiltr, , Výchozí akce řádek, Logování ( )	Nastavení protokolování pro výchozí akci spojenou se zásadou předběžného filtru. Viz Protokolování připojení s výchozí akcí zásad.
Zásady > Předfiltr, , , Logování	Nastavení protokolování pro každé pravidlo předběžného filtru v zásadě předběžného filtru. Viz Součásti pravidla tunelu a předfiltru
Zásady > Předfiltr, , , Logování	Nastavení protokolování pro každé pravidlo tunelu v zásadě předběžného filtru. Viz Součásti pravidla tunelu a předfiltru
Další nastavení syslog pro konfigurace clusteru FTD:	Kapitola Clustering for the Firepower Threat Defense obsahuje mnoho odkazů na syslog; vyhledejte v kapitole „syslog“.

Umístění konfigurace pro Syslogs pro události narušení (FTD zařízení)
Můžete zadat nastavení syslog pro zásady narušení na různých místech a volitelně převzít nastavení ze zásady řízení přístupu nebo nastavení platformy FTD nebo obou.

Konfigurace Umístění	Popis a Více Informace
Zařízení > Platforma Nastavení, Zásady nastavení ochrany před hrozbami, Syslog	Cíle Syslog, které zde konfigurujete, lze zadat na kartě Protokolování zásady řízení přístupu, což může být výchozí zásada narušení. Viz Nastavení platformy FTD, která se vztahují na zprávy Syslog událostí a O Syslog a podtématech.
Zásady > Řízení přístupu, , Logování	Výchozí nastavení pro cíl syslog pro narušení události, pokud politika narušení neurčuje jiné hostitele protokolování. Viz Nastavení protokolování pro zásady řízení přístupu.
Zásady > Narušení, , Pokročilá nastavení, povolit Syslog Alerting, klikněte Upravit	Chcete-li zadat jiné kolektory syslog, než jsou cíle zadané na kartě Protokolování zásad řízení přístupu, a určit zařízení a závažnost, viz Konfigurace upozornění syslog pro události narušení. Pokud chcete použít Závažnost or Zařízení nebo obojí, jak je nakonfigurováno v zásadách narušení, musíte také nakonfigurujte protokolovací hostitele v zásadě. Pokud použijete protokolovací hostitele uvedené v zásadě řízení přístupu, závažnost a zařízení uvedené v zásadách narušení nebudou použity.

Umístění konfigurace pro systémové protokoly pro události narušení (jiná zařízení než FTD)

• (Výchozí) Nastavení protokolování zásad řízení přístupu pro zásady řízení přístupu, POKUD určíte výstrahu syslog (viz Vytvoření odpovědi na výstrahu syslog.)
• Nebo si přečtěte část Konfigurace upozornění Syslog pro události narušení.

Ve výchozím nastavení zásada narušení používá nastavení na kartě Protokolování zásady řízení přístupu. Pokud zde nejsou nakonfigurována nastavení použitelná pro jiná zařízení než FTD, nebudou syslogy odesílány pro jiná zařízení než FTD a nezobrazí se žádné varování.

Umístění konfigurace pro Syslogs pro File a Malwarové události

Konfigurace Umístění	Popis a Více Informace
V zásadě řízení přístupu: Zásady > Řízení přístupu, , Logování	Toto je hlavní umístění pro konfiguraci systému pro odesílání syslogů file a malwarové události. Pokud nepoužijete nastavení syslog v nastavení platformy FTD, musíte také vytvořit výstrahu. Viz Vytvoření odpovědi na výstrahu Syslog.

Konfigurace Umístění	Popis a Více Informace
V nastavení platformy Firepower Threat Defense Platform: Zařízení > Platforma Nastavení, Zásady nastavení ochrany před hrozbami, Syslog	Tato nastavení se vztahují pouze na zařízení Firepower Threat Defense s podporovanými verzemi a pouze v případě, že nakonfigurujete kartu Protokolování v zásadách řízení přístupu pro použití nastavení platformy FTD. Viz Nastavení platformy FTD, která se vztahují na zprávy Syslog událostí a O Syslog a podtématech.
V pravidle řízení přístupu: Zásady > Řízení přístupu, , , Logování	Pokud nepoužijete nastavení syslog v nastavení platformy FTD, musíte také vytvořit výstrahu. Viz Vytvoření odpovědi na výstrahu Syslog.

Anatomie zpráv Syslog událostí zabezpečení

Exampzpráva bezpečnostní události z FTD (Intrusion Event)

Tabulka 1: Součásti zpráv Syslog událostí zabezpečení

Položka Číslo in Sample Zpráva	Záhlaví Živel	Popis
0	PRI	Hodnota priority, která představuje zařízení i závažnost výstrahy. Hodnota se objeví ve zprávách syslog pouze tehdy, když povolíte protokolování ve formátu EMBLEM pomocí nastavení platformy FMC. jestli ty povolit protokolování událostí narušení prostřednictvím záložky Záložka protokolování zásad řízení přístupu, hodnota PRI se automaticky zobrazuje ve zprávách syslog. Informace o tom, jak povolit formát EMBLEM, najdete v části Povolení protokolování a Konfigurace základních nastavení. Informace o PRI viz RFC 5424.
1	Časamp	Datum a čas odeslání zprávy syslog ze zařízení. • (Syslogy odesílané ze zařízení FTD) Pro syslogy odesílané pomocí nastavení v zásadě řízení přístupu a jejich potomků, nebo pokud je v nastavení platformy FTD určeno použití tohoto formátu, formát data je formát definovaný v ISO 8601 timestamp formát podle RFC 5424 (yyyy-MM-ddTHH:mm:ssZ), kde písmeno Z označuje časové pásmo UTC. • (Syslogy odesílané ze všech ostatních zařízení) Pro systémové protokoly odesílané pomocí nastavení v zásadě řízení přístupu a jejich potomků je formát data formát definovaný v ISO 8601 timestamp formát podle RFC 5424 (yyyy-MM-ddTHH:mm:ssZ), kde písmeno Z označuje časové pásmo UTC. • V opačném případě se jedná o měsíc, den a čas v časovém pásmu UTC, ačkoli časové pásmo není uvedeno.   Chcete-li nakonfigurovat časamp nastavení v Nastavení platformy FTD, viz Konfigurace nastavení Syslog.
2	Zařízení nebo rozhraní, ze kterého byla zpráva odeslána. Může to být: • IP adresa rozhraní • Název hostitele zařízení • Vlastní identifikátor zařízení	(Pro syslogy odeslané ze zařízení FTD) Pokud byla zpráva syslog odeslána pomocí nastavení platformy FTD, jedná se o hodnotu nakonfigurovanou v Nastavení Syslog pro Povolit ID zařízení Syslog možnost, je-li specifikována. Jinak tento prvek není v záhlaví přítomen. Chcete-li nakonfigurovat toto nastavení v nastavení platformy FTD, viz Konfigurace nastavení Syslog.

3	Vlastní hodnota	Pokud byla zpráva odeslána pomocí výstražné odpovědi, jedná se o Tag hodnota nakonfigurovaná v odpovědi na výstrahu, která zprávu odeslala, je-li nakonfigurována. (Viz Vytvoření odpovědi na výstrahu Syslog.) Jinak tento prvek není v záhlaví přítomen.
4	%FTD %NGIPS	Typ zařízení, které zprávu odeslalo. • %FTD je Firepower Threat Defense • %NGIPS jsou všechna ostatní zařízení
5	Závažnost	Závažnost zadaná v nastavení syslog pro zásadu, která spustila zprávu. Popisy závažnosti viz Úrovně závažnosti nebo Úrovně závažnosti syslog.
6	Identifikátor typu události	• 430001: Událost narušení • 430002: Událost připojení zaznamenaná na začátku připojení • 430003: Událost připojení zaznamenána na konci připojení   • 430004: File událost • 430005: File malware událost
—	Zařízení	Viz Zařízení ve zprávách Syslog událostí zabezpečení
—	Zbytek zprávy	Pole a hodnoty oddělené dvojtečkami. Pole s prázdnými nebo neznámými hodnotami jsou ze zpráv vynechána. Popis polí viz: • Pole událostí Connection a Security Intelligence. • Pole událostí narušení •  File a pole událostí malwaru   Poznámka              Seznamy popisů polí zahrnují pole syslog a pole viditelná v události viewer (možnosti nabídky v nabídce Analýza v Centru správy palebné síly web Pole dostupná přes syslog jsou takto označena. Některá pole viditelná v události viewnejsou dostupné přes syslog. V události také nejsou zahrnuta některá pole syslog viewer (ale může být k dispozici prostřednictvím vyhledávání) a některá pole jsou kombinována nebo oddělena.

Zařízení ve zprávách Syslog událostí zabezpečení
Hodnoty zařízení nejsou obecně relevantní ve zprávách syslog pro události zabezpečení. Pokud však požadujete Facility, použijte následující tabulku:

Zařízení	Zahrnout zařízení do událostí připojení	Na Zahrnout Zařízení in Události narušení	Umístění ve zprávě Syslog
FTD	Použijte volbu EMBLÉM v nastavení platformy FTD. Vybavení je vždy VÝSTRAHA pro události připojení při odesílání zpráv syslog pomocí nastavení platformy FTD.	Použijte volbu EMBLÉM v Nastavení platformy FTD popř nakonfigurujte protokolování pomocí nastavení syslog v zásadách narušení. Pokud použijete zásadu narušení, musíte také určit hostitele protokolování v nastavení zásad narušení.	Zařízení se v záhlaví zprávy nezobrazuje, ale kolektor syslog může hodnotu odvodit na základě RFC 5424, část 6.2.1.
		Povolit upozornění syslog a nakonfigurujte zařízení a závažnost na zásadách narušení. Viz Konfigurace upozornění Syslog pro události narušení.
Zařízení jiná než FTD	Použijte výstražnou reakci.	Použijte nastavení syslog v rozšířeném nastavení zásad narušení nebo odezvu na výstrahu identifikovanou na kartě Protokolování zásad řízení přístupu.

Další informace naleznete v části Zařízení a závažnosti pro výstrahy Syslog narušení a Vytvoření odpovědi na výstrahu Syslog.

Typy zpráv Firepower Syslog
Firepower může odesílat více typů dat syslog, jak je popsáno v následující tabulce:

Typ dat Syslog	Vidět
Protokoly auditu z FMC	Streamujte protokoly auditu do Syslog a kapitola Auditování systému
Protokoly auditu z klasických zařízení (ASA FirePOWER, NGIPSv)	Streamujte protokoly auditu z klasických zařízení a kapitola Auditování systému Příkaz CLI: syslog
Stav zařízení a protokoly související se sítí ze zařízení FTD	O Syslogu a podtématech
Připojení, bezpečnostní zpravodajství a protokoly událostí narušení ze zařízení FTD	O konfiguraci systému pro odesílání dat událostí zabezpečení do Syslog.
Připojení, bezpečnostní zpravodajství a protokoly událostí narušení z klasických zařízení	O konfiguraci systému pro odesílání dat událostí zabezpečení do Syslog

Záznamy pro file a malwarové události

O konfiguraci systému pro odesílání dat událostí zabezpečení do Syslog

Omezení Syslog pro události zabezpečení

• Pokud budete používat syslog nebo externě ukládat události, vyhněte se speciálním znakům v názvech objektů, jako jsou názvy zásad a pravidel. Názvy objektů by neměly obsahovat speciální znaky, jako jsou čárky, které může přijímající aplikace použít jako oddělovače.
• Může trvat až 15 minut, než se události objeví na vašem syslog kolektoru.
• Údaje pro následující file a události malwaru nejsou dostupné přes syslog:
• Retrospektivní akce
• Události generované uživatelem AMP pro koncové body

Streamování serveru eStreamer

• Event Streamer (eStreamer) vám umožňuje streamovat několik druhů dat událostí z Firepower Management Center do klientské aplikace vyvinuté na míru. Další informace naleznete v příručce Firepower System Event Streamer Integration Guide.
• Než zařízení, které chcete použít jako server eStreamer, může začít streamovat události eStreamer na externího klienta, musíte server eStreamer nakonfigurovat tak, aby odesílal události klientům, poskytoval informace o klientovi a vygeneroval sadu ověřovacích údajů, které se použijí při vytváření sdělení. Všechny tyto úkoly můžete provádět z uživatelského rozhraní zařízení. Po uložení nastavení budou vámi vybrané události na požádání předány klientům eStreamer.
• Můžete ovládat, jaké typy událostí je server eStreamer schopen přenášet klientům, kteří si je vyžádají.

Tabulka 2: Typy událostí přenositelné serverem eStreamer Server

Událost Typ	Popis
Události narušení	události narušení generované spravovanými zařízeními
Data paketu události narušení	pakety spojené s událostmi narušení
Další data o události narušení	další data spojená s událostí narušení, jako jsou původní IP adresy klienta připojujícího se k a web server přes HTTP proxy nebo load balancer
Discovery Events	Události zjišťování sítě
Korelace a Povolit Seznam událostí	korelace a soulad umožňují seznam událostí
Upozornění na příznak dopadu	upozornění na dopad generovaná FMC
Uživatelské události	uživatelské události

Událost Typ	Popis
Události týkající se malwaru	malwarové události
File Události	file události
Události připojení	informace o provozu relace mezi vašimi monitorovanými hostiteli a všemi ostatními hostiteli.

Porovnání Syslog a eStreamer pro bezpečnostní události

Obecně platí, že organizace, které v současnosti neinvestují do eStreameru významné investice, by měly ke správě dat bezpečnostních událostí externě používat spíše syslog než eStreamer.

Syslog	eStreamer
Není nutné žádné přizpůsobení	Pro přizpůsobení se změnám v každém vydání je nutné značné přizpůsobení a průběžná údržba
Norma	Proprietární
Standard Syslog nechrání před ztrátou dat, zejména při použití UDP	Ochrana proti ztrátě dat
Odesílá přímo ze zařízení	Odesílá z FMC, přidává režii zpracování
Podpora pro file a malwarové události, připojení události (včetně událostí bezpečnostního zpravodajství) a události narušení.	Podpora všech typů událostí uvedených v eStreamer Server Streaming.
Některá data událostí lze odeslat pouze z FMC. Viz Data odeslaná pouze přes eStreamer, nikoli přes Syslog.	Zahrnuje data, která nelze odeslat přes syslog přímo ze zařízení. Viz Data odeslaná pouze přes eStreamer, nikoli přes Syslog.

Data se odesílají pouze přes eStreamer, ne přes Syslog
Následující data jsou dostupná pouze z Firepower Management Center, a proto je nelze ze zařízení odesílat přes syslog:

• Protokoly paketů
• Události narušení Extra datové události
  Popis najdete v části Streamování serveru eStreamer.
• Statistiky a souhrnné události
• Události zjišťování sítě
• Aktivita uživatele a události přihlášení
• Korelační události
• U událostí s malwarem:
  • retrospektivní verdikty
  • ThreatName a Disposition, pokud informace o příslušných SHA již nebyly synchronizovány se zařízením
• Následující pole:
  • Pole Impact a ImpactFlag
    Popis najdete v části Streamování serveru eStreamer.
  • pole IOC_Count
• Většina nezpracovaných ID a UUID.
  Výjimky:
  • Syslogy pro události připojení zahrnují následující: FirewallPolicyUUID, FirewallRuleID, TunnelRuleID, MonitorRuleID, SI_CategoryID, SSL_PolicyUUID a SSL_RuleID
  • Syslogy pro události narušení zahrnují IntrusionPolicyUUID, GeneratorID a SignatureID
• Rozšířená metadata, včetně, ale nejen:
  • Údaje o uživateli poskytnuté LDAP, jako je celé jméno, oddělení, telefonní číslo atd. Syslog poskytuje v událostech pouze uživatelská jména.
  • Podrobnosti pro informace o stavu, jako jsou podrobnosti certifikátu SSL. Syslog poskytuje základní informace, jako je otisk certifikátu, ale neposkytne další podrobnosti certifikátu, jako je CN certifikátu.
  • Podrobné informace o aplikaci, jako je App Tags a Kategorie. Syslog poskytuje pouze názvy aplikací. Některé zprávy metadat také obsahují další informace o objektech.
• Geolokační informace

Výběr typů událostí eStreamer

• Zaškrtávací políčka Konfigurace událostí eStreamer určují, které události může server eStreamer přenášet.
• Váš klient musí stále konkrétně požadovat typy událostí, které chcete, aby obdržel ve zprávě požadavku, kterou odešle na server eStreamer. Další informace naleznete v příručce Firepower System Event Streamer Integration Guide.
• Ve vícedoménovém nasazení můžete nakonfigurovat konfiguraci události eStreamer na jakékoli úrovni domény. Pokud však doména předka povolila určitý typ události, nemůžete tento typ události zakázat v doménách potomků.
• K provedení tohoto úkolu pro FMC musíte být správcem.

Postup

• Krok 1 Vyberte Systém > Integrace.
• Krok 2 Klikněte na eStreamer.
• Krok 3 V části Konfigurace událostí eStreamer zaškrtněte nebo zrušte zaškrtnutí políček vedle typů událostí, které má eStreamer přeposílat žádajícím klientům, jak je popsáno v části Streamování serveru eStreamer.
• Krok 4 Klikněte na Uložit.

Konfigurace komunikace klienta eStreamer

• Než bude eStreamer moci odesílat události eStreamer klientovi, musíte klienta přidat do databáze partnerů serveru eStreamer ze stránky eStreamer. Musíte také zkopírovat ověřovací certifikát vygenerovaný serverem eStreamer do klienta. Po dokončení těchto kroků nemusíte restartovat službu eStreamer, aby se klient mohl připojit k serveru eStreamer.
• Ve vícedoménovém nasazení můžete vytvořit klienta eStreamer v jakékoli doméně. Ověřovací certifikát umožňuje klientovi požadovat události pouze z domény klientského certifikátu a jakýchkoli podřízených domén. Na konfigurační stránce eStreamer se zobrazují pouze klienti přidružení k aktuální doméně, takže pokud chcete stáhnout nebo zrušit certifikát, přepněte na doménu, kde byl klient vytvořen.
• Chcete-li provést tento úkol pro FMC, musíte být správcem nebo správcem zjišťování.

Postup

• Krok 1 Vyberte Systém > Integrace.
• Krok 2 Klikněte na eStreamer.
• Krok 3 Klikněte na Vytvořit klienta.
• Krok 4 Do pole Hostname zadejte název hostitele nebo IP adresu hostitele, na kterém běží klient eStreamer.
  Poznámka Pokud jste nenakonfigurovali překlad DNS, použijte adresu IP.
• Krok 5 Pokud chcete certifikát zašifrovat file, zadejte heslo do pole Heslo.
• Krok 6 Klikněte na Uložit.
  Server eStreamer nyní umožňuje hostiteli přístup k portu 8302 na serveru eStreamer a vytváří ověřovací certifikát, který se použije během ověřování klient-server.
• Krok 7 Klikněte na Stáhnout ( ) vedle názvu hostitele klienta ke stažení certifikátu file.
• Krok 8 Uložte certifikát file do příslušného adresáře používaného vaším klientem pro ověřování SSL.
• Krok 9 Chcete-li zrušit přístup pro klienta, klikněte na Odstranit ( ) vedle hostitele, kterého chcete odebrat.
  Upozorňujeme, že službu eStreamer nemusíte restartovat; přístup je okamžitě odvolán.

Analýza událostí ve Splunk

• Aplikaci Cisco Secure Firewall (fka Firepower) pro Splunk (dříve známou jako Cisco Firepower App for Splunk) můžete použít jako externí nástroj k zobrazení a práci s daty událostí Firepower, k vyhledávání a vyšetřování hrozeb ve vaší síti.
• Je vyžadován eStreamer. Toto je pokročilá funkce. Viz Streamování serveru eStreamer.
• Více informací viz https://cisco.com/go/firepower-for-splunk.

Analýza událostí v IBM QRadar

• Aplikaci Cisco Firepower pro IBM QRadar můžete použít jako alternativní způsob zobrazení dat událostí a pomoci vám analyzovat, hledat a vyšetřovat hrozby pro vaši síť.
• Je vyžadován eStreamer. Toto je pokročilá funkce. Viz Streamování serveru eStreamer.
• Více informací viz https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/QRadar/integration-guide-for-the-cisco-firepower-app-for-ibm-qradar.html.

Historie pro analýzu dat událostí pomocí externích nástrojů

Funkce	Verze	Podrobnosti
Páska SecureX	7.0	Pás karet SecureX se otočí do SecureX pro okamžitý přehled o hrozbách napříč vašimi bezpečnostními produkty Cisco. Chcete-li zobrazit pás karet SecureX v FMC, viz Firepower and SecureX Integration Guide na adrese https://cisco.com/go/firepower-securex-documentation. Nové/upravené obrazovky: Nová stránka: Systém > SecureX
Odesílejte všechny události připojení do cloudu Cisco	7.0	Nyní můžete odesílat všechny události připojení do cloudu Cisco, nikoli pouze odesílat události připojení s vysokou prioritou. Nové/upravené obrazovky: Nová možnost na stránce Systém > Integrace > Cloudové služby
Křížové spouštění na view data v Secure Network Analytics	6.7	Tato funkce představuje rychlý způsob, jak vytvořit více položek pro vaše zařízení Secure Network Analytics na stránce Analýza > Kontextové křížové spouštění. Tyto položky vám umožní kliknout pravým tlačítkem na relevantní událost, abyste křížově spustili Secure Network Analytics a zobrazili informace související s datovým bodem, ze kterého jste křížově spustili. Nová položka nabídky: Systém > Protokolování > Analýza zabezpečení a protokolování Nová stránka pro konfiguraci odesílání událostí do Secure Network Analytics.

Kontextové křížové spuštění z dalších typů polí	6.7	Nyní můžete křížově spustit externí aplikaci pomocí následujících dalších typů dat událostí: • Zásady řízení přístupu • Politika narušení • Aplikační protokol • Klientská aplikace •  Web aplikace • Uživatelské jméno (včetně realmu)   Nové možnosti nabídky: Možnosti kontextového spouštění napříč jsou nyní dostupné po kliknutí pravým tlačítkem na výše uvedené datové typy pro události ve widgetech Dashboard a tabulkách událostí na stránkách v nabídce Analýza. Podporované platformy: Firepower Management Center
Integrace s IBM QRadar	6.0 a novější	Uživatelé IBM QRadar mohou k analýze dat svých událostí použít novou aplikaci specifickou pro Firepower. Dostupné funkce jsou ovlivněny vaší verzí Firepower. Viz Analýza událostí v IBM QRadar.
Vylepšení integrace s reakcí na hrozby Cisco SecureX	6.5	• Podpora regionálních cloudů: • Spojené státy (Severní Amerika) • Evropa   • Podpora dalších typů událostí: •  File a malwarové události • Události připojení s vysokou prioritou Toto jsou události připojení související s následujícím: • Události narušení • Události Security Intelligence •  File a malwarové události     Upravené obrazovky: Nové možnosti zapnuty Systém > Integrace > Cloudové služby. Podporované platformy: Všechna zařízení podporovaná v tomto vydání, buď prostřednictvím přímé integrace nebo syslog.
Syslog	6.5	Pole AccessControlRuleName je nyní dostupné ve zprávách syslog událostí narušení.
Integrace s Cisco Security Packet Analyzer	6.5	Podpora této funkce byla odstraněna.

Integrace s reakcí na hrozby Cisco SecureX	6.3 (přes syslog, pomocí proxy kolektor) 6.4 (řídit)	Integrujte data událostí narušení Firepower s daty z jiných zdrojů pro sjednocení view hrozeb ve vaší síti pomocí výkonných analytických nástrojů v reakci na hrozby Cisco SecureX. Upravené obrazovky (verze 6.4): Nové možnosti zapnuty Systém > Integrace > Cloudové služby. Podporované platformy: Zařízení Firepower Threat Defense s verzí 6.3 (přes syslog) nebo 6.4.
Podpora Syslog pro File a malwarové události	6.4	Plně kvalifikovaný file a data o událostech malwaru lze nyní odesílat ze spravovaných zařízení prostřednictvím syslogu. Upravené obrazovky: Zásady > Řízení přístupu > Řízení přístupu > Protokolování. Podporované platformy: Všechna spravovaná zařízení s verzí 6.4.
Integrace s Splunk	Podporuje všechny verze 6.x	Uživatelé Splunk mohou k analýze událostí používat novou samostatnou aplikaci Splunk, aplikaci Cisco Secure Firewall (fka Firepower) pro Splunk. Dostupné funkce jsou ovlivněny vaší verzí Firepower. Viz Analýza událostí ve Splunk.
Integrace s Cisco Security Packet Analyzer	6.3	Zavedena funkce: Okamžitě dotazujte Cisco Security Packet Analyzer na pakety související s událostí, poté kliknutím prohlédněte výsledky v Cisco Security Packet Analyzer nebo si je stáhněte pro analýzu v jiném externím nástroji. Nové obrazovky: Systém > Integrace > Analýza paketového analyzátoru > Moderní > Dotazy analyzátoru paketů Nové možnosti menu: Query Packet Analyzer položku nabídky při kliknutí pravým tlačítkem na událost na stránkách Dashboar a tabulkách událostí na stránkách v nabídce Analýza. Podporované platformy: Firepower Management Center
Kontextové křížové spuštění	6.3	Zavedena funkce: Kliknutím pravým tlačítkem na událost vyhledáte související informace v předdefinovaných nebo vlastních předdefinovaných údajích URLzaložené na externích zdrojích. Nové obrazovky: Analýza > Moderní > Kontextové Cross-Launch Nové možnosti nabídky: Více možností při kliknutí pravým tlačítkem myši na událost na stránkách řídicího panelu a dokonce i na tabulky na stránkách v nabídce Analýza. Podporované platformy: Firepower Management Center

Zprávy syslog pro události připojení a narušení	6.3	Schopnost odesílat plně kvalifikované události připojení a narušení do externího úložiště a nástrojů prostřednictvím syslog pomocí nových sjednocených a zjednodušených konfigurací. Záhlaví zpráv jsou nyní standardizována a obsahují identifikátory typu události a zprávy jsou menší, protože pole s neznámými a prázdnými hodnotami jsou vynechána. Podporované platformy: • Všechny nové funkce: FTD zařízení s verzí 6.3. • Některé nové funkce: Zařízení bez FTD s verzí 6.3. • Méně nových funkcí: Všechna zařízení s verzemi staršími než 6.3. Další informace naleznete v tématech v části O odesílání zpráv Syslog pro události zabezpečení.
eStreamer	6.3	Přesunul obsah eStreamer z kapitoly Zdroje identity hostitele do této kapitoly a přidal shrnutí porovnávající eStreamer a syslog.