የውጭ መሳሪያዎች የተጠቃሚ መመሪያን በመጠቀም የ Cisco ክስተት ትንተና

Cisco Event Analysis Using External Tools User Guide

Cisco-ሎጎ

የውጭ መሳሪያዎችን በመጠቀም Cisco ክስተት ትንተና

Cisco-ክስተት-ትንታኔ-የውጫዊ-መሳሪያዎች-PRO መጠቀም

የምርት መረጃ

ምርቱ ተጠቃሚዎች ከሲስኮ ሴክዩርኤክስ ጋር እንዲዋሃዱ እና በኤፍኤምሲ ውስጥ ያለውን የሪባን ባህሪ በመጠቀም እንዲደርሱበት ያስችላቸዋል web በይነገጽ.

ዝርዝሮች

  • ውህደት፡ Cisco SecureX
  • በይነገጽ፡ ኤፍኤምሲ web በይነገጽ
  • የሪባን ባህሪ፡ የእያንዳንዱ ገጽ የታችኛው ክፍል

የምርት አጠቃቀም መመሪያዎች

ሪባንን በመጠቀም SecureX መድረስ
የሪባን ባህሪን በመጠቀም SecureXን ለመድረስ እነዚህን ደረጃዎች ይከተሉ፡

  1. በFMC ውስጥ በማንኛውም የFMC ገጽ ግርጌ ያለውን ሪባን ጠቅ ያድርጉ።
  2. "SecureX አግኝ" ን ጠቅ ያድርጉ።
  3. ወደ SecureX ይግቡ።
  4. መዳረሻን ለመፍቀድ አገናኙን ጠቅ ያድርጉ።
  5. ለማስፋት እና ለመጠቀም ሪባንን ጠቅ ያድርጉ።

የውጭ መሳሪያዎችን በመጠቀም የክስተት ትንተና
ውጫዊ መሳሪያዎችን በመጠቀም የክስተት ትንተና ለማካሄድ የሚከተሉትን ደረጃዎች ይከተሉ።

  1. በFMC ውስጥ በማንኛውም የFMC ገጽ ግርጌ ያለውን ሪባን ጠቅ ያድርጉ።
  2. "SecureX አግኝ" ን ጠቅ ያድርጉ።
  3. ወደ SecureX ይግቡ።
  4. መዳረሻን ለመፍቀድ አገናኙን ጠቅ ያድርጉ።
  5. ለማስፋት እና ለመጠቀም ሪባንን ጠቅ ያድርጉ።

የክስተት ትንተና ከሲስኮ ሴክዩር ኤክስ ስጋት ምላሽ
Cisco SecureX ማስፈራሪያ ምላሽ (የቀድሞው Cisco Threat Response በመባል የሚታወቀው) ተጠቃሚዎች ዛቻዎችን በፍጥነት እንዲያውቁ፣ እንዲመረመሩ እና ምላሽ እንዲሰጡ ያስችላቸዋል። በ Cisco SecureX Threat Response የክስተት ትንተና ለመስራት እነዚህን ደረጃዎች ይከተሉ፡

  1. በFMC ውስጥ በማንኛውም የFMC ገጽ ግርጌ ያለውን ሪባን ጠቅ ያድርጉ።
  2. "SecureX አግኝ" ን ጠቅ ያድርጉ።
  3. ወደ SecureX ይግቡ።
  4. መዳረሻን ለመፍቀድ አገናኙን ጠቅ ያድርጉ።
  5. ለማስፋት እና ለመጠቀም ሪባንን ጠቅ ያድርጉ።

View የክስተት ውሂብ በ Cisco SecureX ስጋት ምላሽ

ለ view የክስተት መረጃ በ Cisco SecureX ስጋት ምላሽ፣ ተከተል
እነዚህ እርምጃዎች:

  1. በተጠየቀው መሰረት ወደ Cisco SecureX ዛቻ ምላሽ ይግቡ።

በመጠቀም የክስተት ምርመራ Web-የተመሰረቱ ሀብቶች
በመጠቀም ክስተቶችን ለመመርመር web-የተመሰረቱ ሀብቶች, የሚከተሉትን ደረጃዎች ይከተሉ:

  1. በተጠየቀው መሰረት ወደ Cisco SecureX ዛቻ ምላሽ ይግቡ።
  2. በ ውስጥ ሊኖሩ ስለሚችሉ ስጋቶች ተጨማሪ መረጃ ለማግኘት የአውድ-አስጀማሪ ባህሪን ይጠቀሙ webከእሳት ኃይል አስተዳደር ማእከል ውጭ የተመሰረቱ ሀብቶች።
  3. በክስተቱ ውስጥ ከአንድ ክስተት በቀጥታ ጠቅ ያድርጉ viewer ወይም ዳሽቦርድ በፋየር ፓወር ማኔጅመንት ማእከል ውስጥ በውጫዊ መገልገያ ውስጥ ያለውን ተዛማጅ መረጃ ለማግኘት።

ስለ አውዳዊ ተሻጋሪ ማስጀመሪያ መርጃዎችን ስለመቆጣጠር
ውጫዊን ለማስተዳደር web-የተመሰረቱ ሀብቶች, የሚከተሉትን ደረጃዎች ይከተሉ:

  1. ወደ ትንተና > የላቀ > አውዳዊ ክሮስ-ጀምር ይሂዱ።
  2. በሲስኮ የቀረቡትን አስቀድሞ የተገለጹ እና የሶስተኛ ወገን ሀብቶችን ያስተዳድሩ።
  3. እንደ አስፈላጊነቱ መርጃዎችን ማሰናከል፣ መሰረዝ ወይም እንደገና መሰየም ይችላሉ።

የሚጠየቁ ጥያቄዎች

  • ጥ: SecureX ምንድን ነው?
    መ፡ ሴክዩርኤክስ በሲስኮ ክላውድ ውስጥ ያለ የውህደት መድረክ ነው።
  • ጥ፡ የሪባን ባህሪን ተጠቅሜ ሴኩሬክስን እንዴት ማግኘት እችላለሁ?
    መ: የሪባን ባህሪን በመጠቀም ሴኩሬክስን ለማግኘት ከማንኛውም የFMC ገጽ ግርጌ ያለውን ሪባን ጠቅ ያድርጉ እና የተሰጡትን ደረጃዎች ይከተሉ።
  • ጥ: እችላለሁ? view የክስተት መረጃ በ Cisco SecureX ስጋት ምላሽ?
    መ: አዎ፣ ትችላለህ view በ Cisco SecureX ስጋት ምላሽ ውስጥ የክስተት ውሂብ በተጠየቀው መሰረት በመግባት።
  • ጥ፡ ክስተቶችን በመጠቀም እንዴት መመርመር እችላለሁ web-የተመሰረቱ ሀብቶች?
    መ: በመጠቀም ክስተቶችን ለመመርመር web-የተመሰረቱ መርጃዎች፣ ወደ Cisco SecureX Threat Response ይግቡ እና ተገቢውን መረጃ ለማግኘት የአውድ-አስጀማሪ ባህሪን ይጠቀሙ።

ከ Cisco SecureX ጋር ያዋህዱ

View እና ከሁሉም የሲስኮ ደህንነት ምርቶችዎ እና ሌሎችም በአንድ የመስታወት መስታወት ሴኩሬኤክስ ደመና ፖርታል በኩል በመረጃ ይስሩ። የእርስዎን ስጋት አደን እና ምርመራዎችን ለማበልጸግ በሴክዩርኤክስ በኩል ያሉትን መሳሪያዎች ይጠቀሙ። SecureX እንዲሁም እያንዳንዱ በጣም ጥሩውን የሶፍትዌር ሥሪት እያሄደ ስለመሆኑ ያሉ ጠቃሚ የመሳሪያ እና የመሳሪያ መረጃዎችን ሊያቀርብ ይችላል።

ሪባንን በመጠቀም SecureX ይድረሱ
ሪባን በኤፍኤምሲ ውስጥ በእያንዳንዱ ገጽ ግርጌ ላይ ይታያል web በይነገጽ. ወደ ሌሎች የሲስኮ ደህንነት ምርቶች በፍጥነት ለማዞር እና ከበርካታ ምንጮች የተገኘ የዛቻ መረጃ ጋር ለመስራት ሪባንን መጠቀም ይችላሉ።

ከመጀመርዎ በፊት

  • በኤፍኤምሲ ግርጌ ላይ የሴኪዩርኤክስ ሪባን ካላዩ:: web የበይነገጽ ገጾች, ይህን አሰራር አይጠቀሙ. በምትኩ፣ የFirepower እና SecureX ውህደት መመሪያን በ ላይ ይመልከቱ https://cisco.com/go/firepower-securex-documentation.
  • የSecureX መለያ ከሌለህ፣ ከአይቲ ክፍልህ አግኝ።

አሰራር

  • ደረጃ 1 በFMC ውስጥ በማንኛውም የFMC ገጽ ግርጌ ያለውን ሪባን ጠቅ ያድርጉ።
  • ደረጃ 2 SecureX ን ጠቅ ያድርጉ።
  • ደረጃ 3 ወደ SecureX ይግቡ።
  • ደረጃ 4 መዳረሻን ለመፍቀድ አገናኙን ጠቅ ያድርጉ።
  • ደረጃ 5 ለማስፋት እና ለመጠቀም ሪባንን ጠቅ ያድርጉ።

ቀጥሎ ምን ማድረግ እንዳለበት
ስለ ሪባን ባህሪያት እና እንዴት እንደሚጠቀሙባቸው መረጃ ለማግኘት በSecureX ውስጥ ያለውን የመስመር ላይ እገዛ ይመልከቱ።

የክስተት ትንተና ከ Cisco SecureX ስጋት ምላሽ

የCisco SecureX ማስፈራሪያ ምላሽ በቀድሞው የሲሲስኮ ማስፈራሪያ ምላሽ (ሲቲአር) በመባል ይታወቅ ነበር። በሲስኮ ሴክዩር ኤክስ የዛቻ ምላሽን በመጠቀም ዛቻዎችን በፍጥነት ያግኙ፣ ይመርምሩ እና ምላሽ ይስጡ፣ በሲስኮ ክላውድ ውስጥ ያለው የውህደት መድረክ ከበርካታ ምርቶች የተሰበሰበ ውሂብን በመጠቀም ክስተቶችን እንዲተነትኑ ያደርጋል፣ ጨምሮ የእሳት ኃይል.

View Cisco SecureX ስጋት ምላሽ ውስጥ ክስተት ውሂብ

ከመጀመርዎ በፊት

  • በFirepower እና Cisco SecureX ስጋት ምላሽ ውህደት መመሪያ ላይ እንደተገለጸው ውህደቱን ያዘጋጁ https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.
  • Review በመስመር ላይ እርዳታ በ Cisco SecureX ስጋት ምላሽ እንዴት ማግኘት፣ መመርመር እና ማስፈራሪያዎችን መውሰድ እንደሚቻል ለማወቅ።
  • የCisco SecureX ማስፈራሪያ ምላሽን ለመድረስ የእርስዎን ምስክርነቶች ያስፈልግዎታል።

አሰራር

ደረጃ 1
በእሳት ኃይል አስተዳደር ማእከል ውስጥ ከሚከተሉት ውስጥ አንዱን ያድርጉ።

  • ከአንድ የተወሰነ ክስተት ወደ Cisco SecureX ማስፈራሪያ ምላሽ ለመስጠት፡-
    • የሚደገፍ ክስተትን ወደ ሚዘረዝር ትንተና> ጣልቃገብነት ምናሌ ስር ወዳለው ገጽ ይሂዱ።
    • የምንጭ ወይም መድረሻ አይፒ አድራሻን በቀኝ ጠቅ ያድርጉ እና ይምረጡ View በ SecureX.
  • ለ view በአጠቃላይ የክስተት መረጃ፡-
    • ወደ ሲስተም > ውህደቶች > የክላውድ አገልግሎቶች ሂድ።
    • ሊንኩን ይጫኑ view Cisco SecureX ስጋት ምላሽ ውስጥ ክስተቶች.

ደረጃ 2
በተጠየቀው መሰረት ወደ Cisco SecureX ስጋት ምላሽ ይግቡ።

በመጠቀም የክስተት ምርመራ Web-የተመሰረቱ ሀብቶች
በ ውስጥ ሊሆኑ ስለሚችሉ ስጋቶች ተጨማሪ መረጃ ለማግኘት የአውድ-አስጀማሪ ባህሪን ተጠቀም webከእሳት ኃይል አስተዳደር ማእከል ውጭ የተመሰረቱ ሀብቶች። ለ example፣ የሚከተሉትን ማድረግ ትችላለህ፡-

  • ስለታወቁ እና ስለተጠረጠሩ ስጋቶች መረጃ የሚያትመውን አጠራጣሪ ምንጭ አይፒ አድራሻን በሲስኮ ወይም በሶስተኛ ወገን ደመና የሚስተናገድ አገልግሎት ይፈልጉ።
  • ድርጅትዎ ያንን ውሂብ በደህንነት መረጃ እና የክስተት አስተዳደር (SIEM) መተግበሪያ ውስጥ ካከማቸ በድርጅትዎ የታሪክ ምዝግብ ማስታወሻዎች ውስጥ ያለፉትን የአንድ የተወሰነ ስጋት ሁኔታዎችን ይፈልጉ።
  • ስለ አንድ የተወሰነ መረጃ ይፈልጉ fileጨምሮ file የጉዞ መረጃ፣ የእርስዎ ድርጅት Cisco ን ካሰማራ AMP ለመጨረሻ ነጥቦች.

አንድን ክስተት በሚመረመሩበት ጊዜ፣ በክስተቱ ውስጥ ካለ ክስተት በቀጥታ ጠቅ ማድረግ ይችላሉ። viewer ወይም ዳሽቦርድ በፋየር ፓወር ማኔጅመንት ማእከል ውስጥ በውጫዊ መገልገያ ውስጥ ያለውን ተዛማጅ መረጃ ለማግኘት። ይህ በአይ ፒ አድራሻዎቹ፣ ወደቦች፣ ፕሮቶኮል፣ ጎራ እና/ወይም SHA 256 hash ላይ በመመስረት በአንድ የተወሰነ ክስተት ዙሪያ አውድ በፍጥነት እንዲሰበስቡ ያስችልዎታል። ለ exampየ Top Attackers ዳሽቦርድ መግብርን እየተመለከቱ ከሆነ እና ከተዘረዘሩት የአይፒ አድራሻዎች ስለ አንዱ ተጨማሪ መረጃ ማግኘት ከፈለጉ። ታሎስ ስለዚህ አይፒ አድራሻ ምን መረጃ እንደሚያትመው ማየት ይፈልጋሉ፣ ስለዚህ የ"Talos IP" መርጃን ይምረጡ። ታሎስ web ጣቢያ ስለዚህ ልዩ የአይፒ አድራሻ መረጃ ወዳለው ገጽ ይከፈታል። ከቅድመ-የተገለጹ አገናኞች ስብስብ በተለምዶ ከሚጠቀሙት Cisco እና የሶስተኛ ወገን ስጋት መረጃ አገልግሎቶች መምረጥ እና ብጁ አገናኞችን ወደ ሌሎች ማከል ይችላሉ። web-የተመሰረቱ አገልግሎቶች፣ እና ለ SIEMs ወይም ሌሎች ምርቶች ሀ web በይነገጽ. አንዳንድ ግብዓቶች መለያ ወይም የምርት ግዢ ሊጠይቁ እንደሚችሉ ልብ ይበሉ።

ስለ አውዳዊ ተሻጋሪ ማስጀመሪያ መርጃዎችን ስለመቆጣጠር

  • ውጫዊውን ያስተዳድሩ webየትንታኔ > የላቀ > አውደ-አቋራጭ ማስጀመሪያ ገጽን በመጠቀም -የተመሰረተ መርጃዎች።

በስተቀር፡
አቋራጭ ማስጀመሪያ አገናኞችን ወደ ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ መሳሪያ አስተዳድር ለአስተማማኝ የአውታረ መረብ ትንታኔ ተሻጋሪ ማስጀመሪያ አገናኞችን አዋቅር።

  • በሲስኮ የሚቀርቡ ቅድመ-የተገለጹ ሀብቶች በሲስኮ አርማ ምልክት ተደርጎባቸዋል። የተቀሩት ማገናኛዎች የሶስተኛ ወገን ሀብቶች ናቸው.
  • የማይፈልጓቸውን ማናቸውንም ሀብቶች ማሰናከል ወይም መሰረዝ ይችላሉ, ወይም እንደገና መሰየም ይችላሉ, ለምሳሌample በትንሽ ፊደል “z” ስም ቅድመ ቅጥያ በማድረግ ሃብቱ ከዝርዝሩ ግርጌ ይደረደራል። ተሻጋሪ ጅምርን ማሰናከል ለሁሉም ተጠቃሚዎች ያሰናክለዋል። የተሰረዙ ንብረቶችን ወደነበሩበት መመለስ አይችሉም፣ ግን እንደገና መፍጠር ይችላሉ።
  • ሃብት ለመጨመር አውዳዊ-አስጀማሪ መርጃዎችን አክል ይመልከቱ።

ብጁ አውዳዊ ተሻጋሪ-ማስጀመሪያ መርጃዎች መስፈርቶች

ብጁ ዐውደ-ጽሑፋዊ የማስጀመሪያ መርጃዎችን ሲያክሉ፡-

  • ግብዓቶች በ በኩል ተደራሽ መሆን አለባቸው web አሳሽ.
  • http እና https ፕሮቶኮሎች ብቻ ናቸው የሚደገፉት።
  • የGET ጥያቄዎች ብቻ ይደገፋሉ፤ የPOST ጥያቄዎች አይደሉም።
  • ውስጥ ተለዋዋጮች ኢንኮዲንግ URLs አይደገፍም። የIPv6 አድራሻዎች ኮሎን ሴፓራተሮች እንዲሰቀሉ ሊጠይቁ ቢችሉም፣ አብዛኛዎቹ አገልግሎቶች ይህን ኢንኮዲንግ አያስፈልጋቸውም።
  • አስቀድሞ የተገለጹ ሀብቶችን ጨምሮ እስከ 100 የሚደርሱ ሀብቶች ሊዋቀሩ ይችላሉ።
  • የመስቀለኛ መንገድን ለመፍጠር የአስተዳዳሪ ወይም የደህንነት ተንታኝ ተጠቃሚ መሆን አለብህ፣ ነገር ግን እነሱን ለመጠቀም ተነባቢ-ብቻ የደህንነት ተንታኝ መሆን ትችላለህ።

አውዳዊ ተሻጋሪ-ማስጀመሪያ መርጃዎችን ያክሉ

  • እንደ የስጋት መረጃ አገልግሎቶች እና የደህንነት መረጃ እና የክስተት አስተዳደር (SIEM) መሳሪያዎች ያሉ አውድ-አስጀማሪ ምንጮችን ማከል ይችላሉ።
  • በባለብዙ ጎራ ማሰማራቶች ውስጥ በወላጅ ጎራዎች ውስጥ ሃብቶችን ማየት እና መጠቀም ይችላሉ ነገርግን አሁን ባለው ጎራ ውስጥ ምንጮችን መፍጠር እና ማርትዕ ይችላሉ። በሁሉም ጎራዎች ያሉት አጠቃላይ የሃብቶች ብዛት በ100 የተገደበ ነው።

ከመጀመርዎ በፊት

  • ወደ ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ መሳሪያ አገናኞችን እያከሉ ከሆነ፣ የሚፈልጓቸው አገናኞች መኖራቸውን ያረጋግጡ። የሲስኮ ሴኩሪቲ ትንታኔ እና ሎግ (በግቢ) ሲያዋቅሩ አብዛኛዎቹ አገናኞች በራስ ሰር ይፈጠራሉ።
  • ብጁ አውዳዊ ተሻጋሪ-ማስጀመሪያ መርጃዎችን ለማግኘት መስፈርቶችን ይመልከቱ።
  • ለሀብቱ አስፈላጊ ከሆነ ወደ አድራሻው ይገናኛሉ ፣ ይፍጠሩ ወይም ያገኛሉ እና ለመዳረሻ የሚያስፈልጉትን ምስክርነቶች። እንደ አማራጭ፣ መዳረሻ ለሚፈልግ ለእያንዳንዱ ተጠቃሚ ምስክርነቶችን ይመድቡ እና ያሰራጩ።
  • ለሚገናኙት መገልገያ የመጠይቁን አገናኝ አገባብ ይወስኑ፡-
    • ንብረቱን በአሳሽ በኩል ይድረሱ እና፣ እንደአስፈላጊነቱ የዚያን መረጃ ሰነድ በመጠቀም፣ የተወሰነ s ለመፈለግ የሚያስፈልገውን የጥያቄ ማገናኛ ያዘጋጁ።ampየጥያቄ አገናኝዎ እንዲያገኝ ከሚፈልጉት የመረጃ አይነት ለምሳሌ እንደ አይፒ አድራሻ።
    • መጠይቁን ያሂዱ እና ውጤቱን ይቅዱ URL ከአሳሹ መገኛ አሞሌ።
    • ለ example፣ መጠይቁ ሊኖርህ ይችላል። URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

አሰራር

  • ደረጃ 1
    ትንተና > የላቀ > አውዳዊ ተሻጋሪ ማስጀመርን ይምረጡ።
  • ደረጃ 2 አዲስ ክሮስ-ጀምርን ጠቅ ያድርጉ።
    በሚታየው ቅጽ፣ በኮከብ ምልክት የተደረገባቸው ሁሉም መስኮች ዋጋ ያስፈልጋቸዋል።
  • ደረጃ 3 ልዩ የንብረት ስም ያስገቡ።
  • ደረጃ 4 ስራውን ይለጥፉ URL ከሀብትዎ ወደ ውስጥ ያለው ሕብረቁምፊ URL የአብነት መስክ።
  • ደረጃ 5 በመጠይቁ ሕብረቁምፊ ውስጥ ያለውን የተወሰነ ውሂብ (እንደ አይፒ አድራሻ ያለ) በተገቢው ተለዋዋጭ ይተኩ፡ ጠቋሚዎን ያስቀምጡ እና ከዚያ ተለዋዋጭ ይንኩ።ample, ip) ተለዋዋጭውን ለማስገባት አንድ ጊዜ.
    • በ example ከላይ "ከመጀመርዎ በፊት" ክፍል, ውጤቱ URL ሊሆን ይችላል። https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
    • የአውድ-አስጀማሪ ማገናኛ ጥቅም ላይ ሲውል፣ የ{ip} ተለዋዋጭ በ URL በክስተቱ ውስጥ ተጠቃሚው በቀኝ ጠቅ በሚያደርገው የአይፒ አድራሻ ይተካል። viewer ወይም ዳሽቦርድ.
    • ለእያንዳንዱ ተለዋዋጭ መግለጫ በተለዋዋጭ ላይ አንዣብብ።
    • ለእያንዳንዳቸው የተለያዩ ተለዋዋጮችን በመጠቀም ለአንድ መሳሪያ ወይም አገልግሎት ብዙ አውድ-አቋራጭ ማስጀመሪያ አገናኞችን መፍጠር ይችላሉ።
  • ደረጃ 6 ፈተናን ከ exampመረጃ (የሲስኮ-ክስተት-ትንታኔ-የውጭ-መሳሪያዎችን መጠቀም-በለስ- (1) ) ከቀድሞው ጋር ያለዎትን ግንኙነት ለመሞከርample ውሂብ።
  • ደረጃ 7 ማንኛውንም ችግር ያስተካክሉ.
  • ደረጃ 8 አስቀምጥን ጠቅ ያድርጉ።

አውዳዊ መስቀል-ማስጀመርን በመጠቀም ክስተቶችን መርምር

ከመጀመርዎ በፊት
የሚደርሱበት መገልገያ ምስክርነቶችን የሚፈልግ ከሆነ እነዚያ ምስክርነቶች እንዳሉዎት ያረጋግጡ።

አሰራር

  • ደረጃ 1 ክንውኖችን ወደሚያሳየው በእሳት ኃይል አስተዳደር ማእከል ውስጥ ከሚከተሉት ገጾች ወደ አንዱ ይሂዱ፡
    • ዳሽቦርድ (ላይview > ዳሽቦርዶች)፣ ወይም
    • ክስተት viewer ገጽ (የክስተቶች ሰንጠረዥን ያካተተ የትንታኔ ሜኑ ስር ያለ ማንኛውም የሜኑ አማራጭ።)
  • ደረጃ 2 የፍላጎት ክስተትን በቀኝ ጠቅ ያድርጉ እና ለመጠቀም የአውድ-ማስጀመሪያ መርጃውን ይምረጡ።
    • አስፈላጊ ከሆነ ሁሉንም ያሉትን አማራጮች ለማየት በአውድ ምናሌው ውስጥ ወደ ታች ይሸብልሉ።
    • በቀኝ ጠቅ ያደረጉበት የውሂብ አይነት የሚያዩትን አማራጮች ይወስናል; ለ exampየአይ ፒ አድራሻን በቀኝ ጠቅ ካደረግክ ከአይፒ አድራሻዎች ጋር ተዛማጅነት ያላቸውን የአውድ-አስጀማሪ አማራጮችን ብቻ ታያለህ።
    • ስለዚህ ለ exampበ Top Attackers ዳሽቦርድ መግብር ውስጥ ስላለው ምንጭ የአይፒ አድራሻ ከሲስኮ ታሎስ የስጋት መረጃ ለማግኘት Talos SrcIP ወይም Talos IP ን ይምረጡ።
    • ሃብቱ ብዙ ተለዋዋጮችን ካካተተ፣ ሀብቱን የመምረጥ ምርጫው የሚገኘው ለእያንዳንዱ የተካተተ ተለዋዋጭ አንድ ነጠላ እሴት ላላቸው ክስተቶች ብቻ ነው።
    • የአውድ-አስጀማሪ መርጃው በተለየ የአሳሽ መስኮት ውስጥ ይከፈታል።
    • እንደ የመረጃው መጠን፣ እንደ ሀብቱ ፍጥነት እና ፍላጎት፣ እና የመሳሰሉት ላይ በመመስረት መጠይቁ እስኪሰራ ድረስ የተወሰነ ጊዜ ሊወስድ ይችላል።
  • ደረጃ 3 አስፈላጊ ከሆነ ወደ ሀብቱ ይግቡ።
  • በFirepower ውስጥ ካለው የክስተት ውሂብ ወደ ደህንነቱ በተጠበቀ የአውታረ መረብ ትንታኔ መሳሪያ ውስጥ ወዳለ ተዛማጅ ውሂብ ማስጀመር ይችላሉ።
  • ስለ ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ ምርት ተጨማሪ መረጃ ለማግኘት ይመልከቱ https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
  • ስለ ዐውደ-ጽሑፋዊ አቋራጭ ማስጀመሪያ አጠቃላይ መረጃ፣ አውዳዊ መስቀል-ማስጀመርን በመጠቀም ክንውኖችን መርምር ይመልከቱ።
  • ወደ ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ መሳሪያ ስብስብ አቋራጭ አገናኞችን በፍጥነት ለማዋቀር ይህን አሰራር ይጠቀሙ።

ማስታወሻ

  • በኋላ በእነዚህ አገናኞች ላይ ለውጦችን ማድረግ ከፈለጉ ወደዚህ አሰራር ይመለሱ; በዐውደ-ጽሑፍ ማስጀመሪያ ዝርዝር ገጽ ላይ በቀጥታ ለውጦችን ማድረግ አይችሉም።
  • አውዳዊ አቋራጭ ማስጀመሪያ መርጃዎችን አክል ውስጥ ያለውን አሰራር በመጠቀም ወደ ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ መሳሪያ ለማስጀመር ተጨማሪ አገናኞችን እራስዎ መፍጠር ይችላሉ፣ነገር ግን እነዚያ አገናኞች በራስ-ከተፈጠሩት ግብዓቶች ነፃ ስለሚሆኑ በእጅ መተዳደር አለባቸው (መሰረዝ፣ ተዘምኗል ፣ ወዘተ.)

ከመጀመርዎ በፊት

  • ደህንነቱ የተጠበቀ የአውታረ መረብ አናሌቲክስ መሳሪያ የሚሰራ እና የሚያሄድ መሆን አለበት።
  • የFirepower ውሂብን ወደ እርስዎ ደህንነቱ የተጠበቀ የአውታረ መረብ አናሌቲክስ መሳሪያ በሲስኮ ሴኩሪቲ ትንታኔ እና ሎግ (በግቢ) በመጠቀም ለመላክ ከፈለጉ ደህንነቱ በተጠበቀ የአውታረ መረብ ትንታኔ መሳሪያ ላይ የርቀት ውሂብ ማከማቻን ይመልከቱ።

አሰራር

  • ደረጃ 1 ሲስተም > መግባት > የደህንነት ትንታኔ እና መግባትን ይምረጡ።
  • ደረጃ 2 ባህሪውን አንቃ።
  • ደረጃ 3 ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ መሳሪያዎን የአስተናጋጅ ስም ወይም አይፒ አድራሻ እና ወደብ ያስገቡ። ነባሪ ወደብ 443 ነው።
  • ደረጃ 4 አስቀምጥን ጠቅ ያድርጉ።
  • ደረጃ 5 አዲሱን የማስጀመሪያ አገናኞችዎን ያረጋግጡ፡- Analysis > የላቀ > አውዳዊ ክሮስ-ማስጀመር የሚለውን ይምረጡ። ለውጦችን ማድረግ ከፈለጉ ወደዚህ አሰራር ይመለሱ; በዐውደ-ጽሑፍ ማስጀመሪያ ዝርዝር ገጽ ላይ በቀጥታ ለውጦችን ማድረግ አይችሉም።

ቀጥሎ ምን ማድረግ እንዳለበት

  • ከአንድ ክስተት ወደ ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ ክስተት ለማስጀመር viewኧረ ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ ምስክርነቶች ያስፈልጉዎታል።
  • በFMC ክስተት ውስጥ ካለ አንድ ክስተት ለማስጀመር viewer ወይም dashboard፣ ተዛማጅ የክስተት ሰንጠረዥ ሕዋስ በቀኝ ጠቅ ያድርጉ እና ተገቢውን አማራጭ ይምረጡ።
  • መጠይቁን ለማስኬድ የተወሰነ ጊዜ ሊወስድ ይችላል፣ የሚጠየቀው የውሂብ መጠን፣ ፍጥነት እና ፍላጎት በStealthwatch Management Console፣ ወዘተ ላይ በመመስረት።

ለደህንነት ክስተቶች የSyslog መልዕክቶችን ስለመላክ

  • ከግንኙነት፣ ከደህንነት መረጃ፣ ከጣልቃ ገብነት እና ጋር የተያያዘ ውሂብ መላክ ትችላለህ file እና የማልዌር ክስተቶች በ syslog ወደ የደህንነት መረጃ እና የክስተት አስተዳደር (SIEM) መሳሪያ ወይም ሌላ የውጭ ክስተት ማከማቻ እና አስተዳደር መፍትሄ።
  • እነዚህ ክስተቶች አንዳንድ ጊዜ Snort® ክስተቶች ተብለው ይጠራሉ.

የደህንነት ክስተት ውሂብ ወደ Syslog ለመላክ ስርዓቱን ስለማዋቀር

የደህንነት ክስተት syslogs ለመላክ ስርዓቱን ለማዋቀር የሚከተሉትን ማወቅ ያስፈልግዎታል።

  • የደህንነት ክስተት Syslog መልእክትን የማዋቀር ምርጥ ልምዶች
  • ለደህንነት ክስተት ሲስሎጎች የማዋቀር ቦታዎች
  • ለደህንነት ክስተት ሲስሎግ መልእክቶች የሚተገበሩ የኤፍቲዲ የመሳሪያ ስርዓት ቅንጅቶች
  • በማናቸውም ፖሊሲ ውስጥ በ syslog ቅንብሮች ላይ ለውጦችን ካደረጉ ለውጦቹ እንዲተገበሩ እንደገና መቀጠር አለብዎት።

የደህንነት ክስተት Syslog መልእክትን የማዋቀር ምርጥ ልምዶች

መሣሪያ እና ስሪት ማዋቀር አካባቢ
ሁሉም syslogን የምትጠቀም ከሆነ ወይም ክስተቶችን በውጪ የምታከማች ከሆነ፣ እንደ ፖሊሲ እና ደንብ ስሞች ባሉ የነገር ስሞች ውስጥ ያሉ ልዩ ቁምፊዎችን አስወግድ። የነገር ስሞች እንደ ነጠላ ሰረዝ ያሉ ልዩ ቁምፊዎችን መያዝ የለባቸውም፣ ይህም የመቀበያ ማመልከቻ እንደ መለያየት ሊጠቀምበት ይችላል።
የእሳት አደጋ መከላከያ 1.      የ FTD መድረክ ቅንብሮችን ያዋቅሩ (መሳሪያዎች > የመድረክ ቅንጅቶች > የማስፈራሪያ መከላከያ መቼቶች > Syslog.)

እንዲሁም ለደህንነት ክስተት ሲስሎግ መልእክቶች የሚተገበሩ የኤፍቲዲ የመሳሪያ ስርዓት ቅንብሮችን ይመልከቱ።

2.      በእርስዎ የመዳረሻ ቁጥጥር ፖሊሲ ውስጥ የመግቢያ ትሩ ውስጥ የኤፍቲዲ የመሳሪያ ስርዓት ቅንብሮችን ለመጠቀም ይምረጡ።

3.      (ለመግባት ክስተቶች) የመዳረሻ መቆጣጠሪያ መመሪያዎ የመግቢያ ትር ውስጥ ያሉትን ቅንብሮች ለመጠቀም የጣልቃ ፖሊሲዎችን ያዋቅሩ። (ይህ ነባሪው ነው።)

 

ከእነዚህ ቅንብሮች ውስጥ ማንኛቸውንም መሻር አይመከርም።

አስፈላጊ ዝርዝሮችን ለማግኘት ከኤፍቲዲ መሳሪያዎች የደህንነት ክስተት ሲስሎግ መልዕክቶችን ላክ ይመልከቱ።

ሁሉም ሌሎች መሳሪያዎች 1.      የማንቂያ ምላሽ ይፍጠሩ።

2.      የማንቂያ ምላሹን ለመጠቀም የመዳረሻ ቁጥጥር ፖሊሲን ያዋቅሩ።

3.      (ለመግባት ክስተቶች) በወረራ ፖሊሲዎች ውስጥ የ syslog ቅንብሮችን ያዋቅሩ።

 ለተሟላ ዝርዝሮች፣የደህንነት ክስተት Syslog መልዕክቶችን ከክላሲክ መሳሪያዎች ላክ ይመልከቱ።

የደህንነት ክስተት Syslog መልዕክቶችን ከኤፍቲዲ መሳሪያዎች ይላኩ።
ይህ አሰራር ለደህንነት ሁነቶች (ግንኙነት ፣ ከደህንነት ጋር የተገናኘ ግንኙነት ፣ ጣልቃ ገብነት ፣ ጣልቃ ገብነት ፣ file, እና የማልዌር ክስተቶች) ከFirepower ዛቻ መከላከያ መሳሪያዎች.

ማስታወሻ
ብዙ የፋየር ፓወር ዛቻ መከላከያ ሲሳይሎግ ቅንጅቶች ለደህንነት ሁነቶች ተፈጻሚነት አይኖራቸውም። በዚህ አሰራር ውስጥ የተገለጹትን አማራጮች ብቻ ያዋቅሩ.

ከመጀመርዎ በፊት

  • በFMC ውስጥ የደህንነት ክስተቶችን ለማፍለቅ ፖሊሲዎችን ያዋቅሩ እና እንዲያዩዋቸው የሚጠብቁዋቸው ክስተቶች በመተንተን ሜኑ ስር ባሉ የሚመለከታቸው ሰንጠረዦች ውስጥ እንደሚታዩ ያረጋግጡ።
  • የሲሳይሎግ አገልጋይ አይፒ አድራሻን፣ ወደብ እና ፕሮቶኮሉን (UDP ወይም TCP) ሰብስብ፦
  • የእርስዎ መሣሪያዎች ወደ syslog አገልጋይ(ዎች) መድረስ እንደሚችሉ ያረጋግጡ።
  • የ syslog አገልጋይ(ዎች) የርቀት መልዕክቶችን መቀበል እንደሚችሉ ያረጋግጡ።
  • ስለ ግንኙነት ምዝግብ ማስታወሻ ጠቃሚ መረጃ ለማግኘት የግንኙነት ምዝግብ ማስታወሻውን ምዕራፍ ይመልከቱ።

አሰራር

  • ደረጃ 1 ለእርስዎ የፋየር ፓወር ማስፈራሪያ መከላከያ መሳሪያ የ syslog ቅንብሮችን ያዋቅሩ፡
    • መሣሪያዎች > የመሣሪያ ስርዓት ቅንብሮችን ጠቅ ያድርጉ።
    • ከFirepower ዛቻ መከላከያ መሳሪያዎ ጋር የተጎዳኘውን የመድረክ ቅንጅቶችን ፖሊሲ ያርትዑ።
    • በግራ የዳሰሳ መቃን ውስጥ፣ Syslog ን ጠቅ ያድርጉ።
    • Syslog Serversን ጠቅ ያድርጉ እና አገልጋይ፣ ፕሮቶኮል፣ በይነገጽ እና ተዛማጅ መረጃዎችን ለማስገባት አክል የሚለውን ይጫኑ። በዚህ ገጽ ላይ ስላሉት አማራጮች ጥያቄዎች ካሉዎት፣ ሲሳይሎግ አገልጋይ አዋቅር የሚለውን ይመልከቱ።
    • የ Syslog ቅንብሮችን ጠቅ ያድርጉ እና የሚከተሉትን ቅንብሮች ያዋቅሩ።
      • Timest አንቃamp በ Syslog መልዕክቶች ላይ
      • ወቅታዊamp ቅርጸት
      • የ Syslog መሣሪያ መታወቂያን አንቃ
    • የመግቢያ ማዋቀርን ጠቅ ያድርጉ።
    • በEMBLEM ቅርጸት syslogs ለመላክ ወይም ላለመላክ ይምረጡ።
    • ቅንብሮችዎን ያስቀምጡ።
  • ደረጃ 2 የመዳረሻ ቁጥጥር ፖሊሲ አጠቃላይ የምዝግብ ማስታወሻ ቅንብሮችን ያዋቅሩ (ጨምሮ file እና ማልዌር መግባት)
    • መመሪያዎች > የመዳረሻ መቆጣጠሪያን ጠቅ ያድርጉ።
    • የሚመለከተውን የመዳረሻ መቆጣጠሪያ ፖሊሲ ያርትዑ።
    • Logging የሚለውን ጠቅ ያድርጉ።
    • FTD 6.3 ን ይምረጡ እና በኋላ፡ በመሣሪያው ላይ በተዘረጋው የኤፍቲዲ ፕላትፎርም ቅንጅቶች ፖሊሲ ውስጥ የተዋቀረውን የ syslog ቅንብሮችን ይጠቀሙ።
    • (አማራጭ) የ Syslog ከባድነት ይምረጡ።
    • የምትልክ ከሆነ file እና የማልዌር ክስተቶች፣ የSyslog መልዕክቶችን ላክ የሚለውን ይምረጡ File እና የማልዌር ክስተቶች።
    • አስቀምጥን ጠቅ ያድርጉ።
  • ደረጃ 3 ለመዳረሻ ቁጥጥር ፖሊሲ ከደህንነት ጋር ለተያያዙ የግንኙነት ክስተቶች መግባትን አንቃ፡-
    • በተመሳሳዩ የመዳረሻ ቁጥጥር ፖሊሲ ውስጥ የደህንነት ኢንተለጀንስ ትርን ጠቅ ያድርጉ።
    • በእያንዳንዱ ከሚከተሉት ቦታዎች ውስጥ መግባትን ጠቅ ያድርጉ (የሲስኮ-ክስተት-ትንታኔ-የውጭ-መሳሪያዎችን መጠቀም-በለስ- (2) ) እና የግንኙነቶች መጀመሪያ እና መጨረሻ እና ሲሳይሎግ አገልጋይን አንቃ፡-
      • ከዲኤንኤስ ፖሊሲ ጎን።
      • በብሎክ ዝርዝር ሳጥን ውስጥ ለአውታረ መረቦች እና ለ URLs.
    • አስቀምጥን ጠቅ ያድርጉ።
  • ደረጃ 4 በመዳረሻ ቁጥጥር ፖሊሲ ውስጥ ለእያንዳንዱ ህግ የሲሲሎግ ምዝግብ ማስታወሻን ያንቁ፡-
    • በተመሳሳዩ የመዳረሻ ቁጥጥር ፖሊሲ ውስጥ የሩልስ ትሩን ጠቅ ያድርጉ።
    • ለማርትዕ ደንብን ጠቅ ያድርጉ።
    • በደንቡ ውስጥ የመግቢያ ትሩን ጠቅ ያድርጉ።
    • የግንኙነቶች መጀመሪያ ወይም መጨረሻ፣ ወይም ሁለቱንም እንደሚገቡ ይምረጡ።
      (የግንኙነት ምዝግብ ማስታወሻ ብዙ ውሂብ ያመነጫል፤ ሁለቱንም መጀመሪያ እና መጨረሻ ላይ መግባቱ ያን ያህል ውሂብ በግምት በእጥፍ ያመነጫል። እያንዳንዱ ግንኙነት መጀመሪያ እና መጨረሻ ላይ ሊገባ አይችልም።)
    • ከገቡ file ክስተቶች, Log የሚለውን ይምረጡ Files.
    • Syslog አገልጋይን አንቃ።
    • ደንቡ "በመዳረሻ መቆጣጠሪያ ምዝግብ ማስታወሻ ውስጥ ነባሪ የሲኤስሎግ ውቅረትን መጠቀም" መሆኑን ያረጋግጡ።
    • አክል የሚለውን ጠቅ ያድርጉ።
    • በፖሊሲው ውስጥ ለእያንዳንዱ ደንብ ይድገሙት.
  • ደረጃ 5 የመጥለፍ ድርጊቶችን ከላከ፡-
    • ከመዳረሻ ቁጥጥር ፖሊሲዎ ጋር ወደተገናኘው የወረራ ፖሊሲ ይሂዱ።
    • በወረራ ፖሊሲዎ ውስጥ የላቁ መቼቶች > Syslog ማንቂያ > ነቅቷል የሚለውን ጠቅ ያድርጉ።
    • አስፈላጊ ከሆነ አርትዕን ጠቅ ያድርጉ
    • አማራጮችን አስገባ፡
      አማራጭ ዋጋ
      የምዝግብ ማስታወሻ አስተናጋጅ የወረራ ክስተት ሲሳይሎግ መልእክቶችን ወደ ሌላ ሲሲሎግ አገልጋይ ካልልክ በቀር፣ ይህንን ባዶ ይተውት ከላይ ያዋቀሯቸውን መቼቶች ይጠቀሙ።
      መገልገያ ይህ ቅንብር ተፈጻሚ የሚሆነው በዚህ ገጽ ላይ የምዝግብ ማስታወሻ አስተናጋጅ ከገለጹ ብቻ ነው።

      መግለጫዎችን ለማግኘት፣ Syslog Alert Facilitiesን ይመልከቱ።

      ከባድነት ይህ ቅንብር ተፈጻሚ የሚሆነው በዚህ ገጽ ላይ የምዝግብ ማስታወሻ አስተናጋጅ ከገለጹ ብቻ ነው።

      መግለጫዎችን ለማግኘት፣ Syslog የክብደት ደረጃዎችን ይመልከቱ።

    • ተመለስን ጠቅ ያድርጉ።
    • በግራ የአሰሳ መቃን ውስጥ የፖሊሲ መረጃን ጠቅ ያድርጉ።
    • ለውጦችን አስገባ የሚለውን ጠቅ ያድርጉ።

ቀጥሎ ምን ማድረግ እንዳለበት

  • (አማራጭ) ለግል ፖሊሲዎች እና ደንቦች የተለያዩ የመግቢያ መቼቶችን ያዋቅሩ። የሚመለከታቸውን የሰንጠረዥ ረድፎችን በማዋቀር አካባቢዎች ለ Syslogs ለግንኙነት እና ለደህንነት ኢንተለጀንስ ዝግጅቶች (ሁሉም መሳሪያዎች) ይመልከቱ።
    • እነዚህ መቼቶች የ syslog ማንቂያ ምላሾችን ይፈልጋሉ፣ እነዚህም የSyslog Alert ምላሽ መፍጠር ላይ እንደተገለጸው የተዋቀሩ ናቸው። በዚህ አሰራር ውስጥ ያዋቅሯቸውን የመሳሪያ ስርዓት መቼቶች አይጠቀሙም.
  • ለክላሲክ መሳሪያዎች የደህንነት ክስተት ሲስሎግ ምዝግብ ማስታወሻን ለማዋቀር ፣የደህንነት ክስተት Syslog Messages from Classic Devices የሚለውን ይመልከቱ።
  • ለውጦችን ማድረግ ከጨረሱ ለውጦችዎን ወደ ሚተዳደሩ መሳሪያዎች ያሰማሩ።

የደህንነት ክስተት Syslog መልዕክቶችን ከክላሲክ መሳሪያዎች ላክ

ከመጀመርዎ በፊት

  • የደህንነት ክስተቶችን ለመፍጠር ፖሊሲዎችን ያዋቅሩ።
  • የእርስዎ መሣሪያዎች ወደ syslog አገልጋይ(ዎች) መድረስ እንደሚችሉ ያረጋግጡ።
  • የ syslog አገልጋይ(ዎች) የርቀት መልዕክቶችን መቀበል እንደሚችሉ ያረጋግጡ።
  • ስለ ግንኙነት ምዝግብ ማስታወሻ ጠቃሚ መረጃ ለማግኘት የግንኙነት ምዝግብ ማስታወሻውን ምዕራፍ ይመልከቱ።

አሰራር

  • ደረጃ 1 ለእርስዎ ክላሲክ መሣሪያዎች የማንቂያ ምላሽን ያዋቅሩ፡ የሲስሎግ ማንቂያ ምላሽ መፍጠርን ይመልከቱ።
  • ደረጃ 2 በመዳረሻ መቆጣጠሪያ ፖሊሲ ውስጥ የ syslog ቅንብሮችን ያዋቅሩ።
    • መመሪያዎች > የመዳረሻ መቆጣጠሪያን ጠቅ ያድርጉ።
    • የሚመለከተውን የመዳረሻ መቆጣጠሪያ ፖሊሲ ያርትዑ።
    • Logging የሚለውን ጠቅ ያድርጉ።
    • የተወሰነ syslog ማንቂያ በመጠቀም ላክ የሚለውን ይምረጡ።
    • ከላይ የፈጠርከውን Syslog ማንቂያ ምረጥ።
    • አስቀምጥን ጠቅ ያድርጉ።
  • ደረጃ 3 የምትልክ ከሆነ file እና የማልዌር ክስተቶች፡-
    • ለ Syslog መልዕክቶችን ላክ የሚለውን ይምረጡ File እና የማልዌር ክስተቶች።
    • አስቀምጥን ጠቅ ያድርጉ።
  • ደረጃ 4 የመጥለፍ ድርጊቶችን ከላከ፡-
    • ከመዳረሻ ቁጥጥር ፖሊሲዎ ጋር ወደተገናኘው የወረራ ፖሊሲ ይሂዱ።
    • በወረራ ፖሊሲዎ ውስጥ የላቁ መቼቶች > Syslog ማንቂያ > ነቅቷል የሚለውን ጠቅ ያድርጉ።
    • አስፈላጊ ከሆነ አርትዕን ጠቅ ያድርጉ
    • አማራጮችን አስገባ፡
      አማራጭ ዋጋ
      የምዝግብ ማስታወሻ አስተናጋጅ የወረራ ክስተት ሲሳይሎግ መልእክቶችን ወደ ሌላ ሲሲሎግ አገልጋይ ካልልክ በቀር፣ ይህንን ባዶ ይተውት ከላይ ያዋቀሯቸውን መቼቶች ይጠቀሙ።
      መገልገያ ይህ ቅንብር ተፈጻሚ የሚሆነው በዚህ ገጽ ላይ የምዝግብ ማስታወሻ አስተናጋጅ ከገለጹ ብቻ ነው።

      Syslog ማንቂያ መገልገያዎችን ይመልከቱ።

      ከባድነት ይህ ቅንብር ተፈጻሚ የሚሆነው በዚህ ገጽ ላይ የምዝግብ ማስታወሻ አስተናጋጅ ከገለጹ ብቻ ነው።

      የ Syslog የክብደት ደረጃዎችን ይመልከቱ።

    • ተመለስን ጠቅ ያድርጉ።
    • በግራ የአሰሳ መቃን ውስጥ የፖሊሲ መረጃን ጠቅ ያድርጉ።
    • ለውጦችን አስገባ የሚለውን ጠቅ ያድርጉ።

ቀጥሎ ምን ማድረግ እንዳለበት

  • (አማራጭ) ለግል የመዳረሻ ቁጥጥር ደንቦች የተለያዩ የመግቢያ መቼቶችን ያዋቅሩ። የሚመለከታቸውን የሰንጠረዥ ረድፎችን በማዋቀር አካባቢዎች ለ Syslogs ለግንኙነት እና ለደህንነት ኢንተለጀንስ ዝግጅቶች (ሁሉም መሳሪያዎች) ይመልከቱ። እነዚህ መቼቶች የ syslog ማንቂያ ምላሾችን ይፈልጋሉ፣ እነዚህም የSyslog Alert ምላሽ መፍጠር ላይ እንደተገለጸው የተዋቀሩ ናቸው። ከላይ ያዋቅሯቸውን መቼቶች አይጠቀሙም።
  • ለኤፍቲዲ መሳሪያዎች የደህንነት ክስተት syslog ምዝግብ ማስታወሻን ለማዋቀር ከኤፍቲዲ መሳሪያዎች የደህንነት ክስተት Syslog Messagesን ይመልከቱ።

ለደህንነት ክስተት ሲስሎጎች የማዋቀር ቦታዎች

  • ለ Syslogs ለግንኙነት እና ለደህንነት ኢንተለጀንስ ዝግጅቶች (ሁሉም መሳሪያዎች) የማዋቀር ቦታዎች 12
  • ለ Syslogs ለወረራ ክስተቶች (ኤፍቲዲ መሳሪያዎች) የማዋቀር ቦታዎች
  • የማዋቀሪያ ቦታዎች ለ Syslogs ለወረራ ክስተቶች (ከኤፍቲዲ ሌላ መሣሪያዎች)
  • የማዋቀር ቦታዎች ለ Syslogs ለ File እና የማልዌር ክስተቶች

ለ Syslogs የግንኙነት እና የደህንነት ኢንተለጀንስ ዝግጅቶች (ሁሉም መሳሪያዎች) የማዋቀር ቦታዎች
የምዝግብ ማስታወሻ ቅንብሮችን ለማዋቀር ብዙ ቦታዎች አሉ። የሚፈልጓቸውን አማራጮች ማዘጋጀትዎን ለማረጋገጥ ከዚህ በታች ያለውን ሰንጠረዥ ይጠቀሙ።

አስፈላጊ

  • የ syslog ቅንብሮችን ሲያዋቅሩ በተለይም ከሌሎች ውቅሮች የተወረሱ ነባሪዎችን ሲጠቀሙ ጥንቃቄ ያድርጉ። ከታች ባለው ሠንጠረዥ እንደተገለጸው አንዳንድ አማራጮች ለሁሉም የሚተዳደሩ የመሣሪያ ሞዴሎች እና የሶፍትዌር ስሪቶች ላይገኙ ይችላሉ።
  • የግንኙነት ምዝግብ ማስታወሻን ሲያዋቅሩ ጠቃሚ መረጃ ለማግኘት የግንኙነት ምዝግብ ማስታወሻውን ምዕራፍ ይመልከቱ።
ማዋቀር አካባቢ መግለጫ እና ተጨማሪ መረጃ
መሳሪያዎች > የመድረክ ቅንጅቶችየዛቻ መከላከያ ቅንጅቶች ፖሊሲ፣ ሲሳይሎግ ይህ አማራጭ የሚመለከተው በፋየር ፓወር ዛቻ መከላከያ መሳሪያዎች ላይ ብቻ ነው።

እዚህ ያዋቅሯቸው ቅንብሮች የመዳረሻ ቁጥጥር ፖሊሲ ውስጥ በምዝግብ ማስታወሻ ቅንብሮች ውስጥ ሊገለጹ እና ከዚያ ጥቅም ላይ ሊውሉ ወይም ሊሻሩ ይችላሉ።

በዚህ ሠንጠረዥ ውስጥ የቀሩት ፖሊሲዎች እና ደንቦች.

ለደህንነት ክስተት ሲስሎግ መልእክቶች እና ስለ ሲሳይሎግ እና ንዑስ ርዕሶች የሚመለከተውን የ FTD መድረክ ቅንብሮችን ይመልከቱ።

መመሪያዎች > የመዳረሻ መቆጣጠሪያ, , መግባት እዚህ ያዋቅሯቸው ቅንብሮች በቀሩት የዚህ ሠንጠረዥ ረድፎች ውስጥ በተገለጹት ቦታዎች ላይ የዘር ፖሊሲዎችን እና ደንቦችን እስካልተሻገሩ ድረስ ለሁሉም የግንኙነት እና የደህንነት መረጃ ክስተቶች የ syslogs ነባሪ ቅንብሮች ናቸው።

ለኤፍቲዲ መሳሪያዎች የሚመከር ቅንብር፡ የኤፍቲዲ ፕላትፎርም ቅንብሮችን ይጠቀሙ። ለመረጃ፣ ለደህንነት ክስተት ሲስሎግ መልእክቶች እና ስለ ሲሳይሎግ እና ንዑስ ርዕሶች የሚተገበር የFTD መድረክ ቅንብሮችን ይመልከቱ።

ለሁሉም ሌሎች መሳሪያዎች አስፈላጊ ቅንብር፡ የ syslog ማንቂያ ይጠቀሙ።

የ syslog ማንቂያ ከገለጽክ የ Syslog Alert ምላሽ መፍጠር ተመልከት።

በመግቢያ ትሩ ላይ ስላሉት መቼቶች የበለጠ መረጃ ለማግኘት የመዳረሻ መቆጣጠሪያ ፖሊሲዎችን የመግቢያ መቼቶች ይመልከቱ።

መመሪያዎች > የመዳረሻ መቆጣጠሪያ, , ደንቦች, ነባሪ እርምጃ ረድፍ፣

መግባት (የሲስኮ-ክስተት-ትንታኔ-የውጭ-መሳሪያዎችን መጠቀም-በለስ- (3) )

ከመዳረሻ ቁጥጥር ፖሊሲ ጋር ለተገናኘው ነባሪ እርምጃ የምዝግብ ማስታወሻ ቅንብሮች።

በመዳረሻ ቁጥጥር ሕጎች ምዕራፍ ውስጥ ስለመግባት እና ግንኙነቶችን ከፖሊሲ ነባሪ እርምጃ ጋር ስለመግባት መረጃን ይመልከቱ።

መመሪያዎች > የመዳረሻ መቆጣጠሪያ, , ደንቦች, , መግባት በመዳረሻ ቁጥጥር ፖሊሲ ውስጥ ለአንድ የተወሰነ ደንብ የምዝግብ ማስታወሻ ቅንብሮች።

በመዳረሻ ቁጥጥር ሕጎች ምዕራፍ ውስጥ ስለመግባት መረጃን ይመልከቱ።

መመሪያዎች > የመዳረሻ መቆጣጠሪያ, , የደህንነት ኢንተለጀንስ,

መግባት (የሲስኮ-ክስተት-ትንታኔ-የውጭ-መሳሪያዎችን መጠቀም-በለስ- (2) )

የመግቢያ ቅንብሮች ለደህንነት ኢንተለጀንስ አግድ ዝርዝሮች። ለማዋቀር እነዚህን አዝራሮች ጠቅ ያድርጉ፡-

• የዲ ኤን ኤስ አግድ ዝርዝር የመግቢያ አማራጮች

•  URL የዝርዝር ምዝግብ ማስታወሻ አማራጮችን አግድ

• የአውታረ መረብ እገዳ ዝርዝር የምዝግብ ማስታወሻ አማራጮች (በተከለከለው ዝርዝር ውስጥ ላሉ የአይፒ አድራሻዎች)

 

ቅድመ ሁኔታዎችን ክፍል እና ንዑስ ርዕሶችን እና አገናኞችን ጨምሮ የደህንነት መረጃን አዋቅር ይመልከቱ።

መመሪያዎች > SSL, ,

ነባሪ እርምጃ ረድፍ፣ መግባት (የሲስኮ-ክስተት-ትንታኔ-የውጭ-መሳሪያዎችን መጠቀም-በለስ- (3) )

ከSSL ፖሊሲ ጋር ለተገናኘው ነባሪ እርምጃ የምዝግብ ማስታወሻ ቅንብሮች።

ከፖሊሲ ነባሪ እርምጃ ጋር ግንኙነቶችን መግባትን ይመልከቱ።

ፖሊሲዎች > SSL, , , መግባት ለኤስኤስኤል ህጎች የመግቢያ ቅንብሮች።

TLS/SSL ደንብ ክፍሎችን ይመልከቱ።

መመሪያዎች > ቅድመ ማጣሪያ, ,

ነባሪ እርምጃ ረድፍ፣ መግባት (የሲስኮ-ክስተት-ትንታኔ-የውጭ-መሳሪያዎችን መጠቀም-በለስ- (3) )

ከቅድመ ማጣሪያ መመሪያ ጋር ለተገናኘው ነባሪ እርምጃ የምዝግብ ማስታወሻ ቅንብሮች።

ከፖሊሲ ነባሪ እርምጃ ጋር ግንኙነቶችን መግባትን ይመልከቱ።

መመሪያዎች > ቅድመ ማጣሪያ, ,

, መግባት

በቅድመ ማጣሪያ መመሪያ ውስጥ ለእያንዳንዱ የቅድመ ማጣሪያ ደንብ የምዝግብ ማስታወሻ ቅንብሮች።

ዋሻ እና ቅድመ ማጣሪያ ደንብ ክፍሎችን ይመልከቱ

መመሪያዎች > ቅድመ ማጣሪያ, ,

, መግባት

በቅድመ ማጣሪያ መመሪያ ውስጥ ለእያንዳንዱ የዋሻ ህግ የምዝግብ ማስታወሻ ቅንብሮች።

ዋሻ እና ቅድመ ማጣሪያ ደንብ ክፍሎችን ይመልከቱ

ለኤፍቲዲ ክላስተር ውቅሮች ተጨማሪ የሲኤስሎግ ቅንብሮች፡- የፋየር ሃይል ማስፈራሪያ መከላከያ ምእራፍ ስብስብ ለ syslog በርካታ ማጣቀሻዎች አሉት። “syslog” የሚለውን ምዕራፍ ይፈልጉ።

ለ Syslogs ለወረራ ክስተቶች (ኤፍቲዲ መሳሪያዎች) የማዋቀር ቦታዎች
በተለያዩ ቦታዎች ለወረራ ፖሊሲዎች የሲሲሎግ መቼቶችን መግለጽ እና እንደ አማራጭ ቅንብሮችን ከመዳረሻ መቆጣጠሪያ ፖሊሲ ወይም ከኤፍቲዲ የመሳሪያ ስርዓት ቅንብሮች ወይም ከሁለቱም መውረስ ይችላሉ።

ማዋቀር አካባቢ መግለጫ እና ተጨማሪ መረጃ
መሳሪያዎች > መድረክ ቅንብሮችየዛቻ መከላከያ ቅንጅቶች ፖሊሲ፣ ሲሳይሎግ እዚህ የሚያዋቅሯቸው የሳይሎግ መድረሻዎች የመዳረሻ መቆጣጠሪያ ፖሊሲ መግቢያ ላይ ሊገለጹ ይችላሉ ይህም ለወረራ ፖሊሲ ነባሪ ሊሆን ይችላል።

ለደህንነት ክስተት ሲስሎግ መልእክቶች እና ስለ ሲሳይሎግ እና ንዑስ ርዕሶች የሚመለከተውን የ FTD መድረክ ቅንብሮችን ይመልከቱ።

መመሪያዎች > የመዳረሻ መቆጣጠሪያ, , መግባት የ syslog መድረሻ ነባሪ ቅንብር ለጠለፋ

ክስተቶች፣ የጣልቃ ፖሊሲው ሌሎች የምዝግብ ማስታወሻ አስተናጋጆችን ካልገለፀ።

የመዳረሻ መቆጣጠሪያ መመሪያዎችን ለማግኘት የመግቢያ መቼቶችን ይመልከቱ።

ፖሊሲዎች > ጣልቃ መግባት, , የላቁ ቅንብሮች፣ አንቃ Syslog ማንቂያ, ጠቅ ያድርጉ አርትዕ በመዳረሻ መቆጣጠሪያ ፖሊሲ የመግቢያ ትሩ ላይ ከተገለጹት መድረሻዎች ውጪ ሲሳይሎግ ሰብሳቢዎችን ለመለየት እና ፋሲሊቲውን እና ክብደቱን ለመለየት፣የወረራ ክስተቶችን የSyslog Alertingን በማዋቀር ላይ ይመልከቱ።

መጠቀም ከፈለጉ ከባድነት or መገልገያ ወይም ሁለቱም በወረራ ፖሊሲ ውስጥ እንደተዋቀሩ፣ እርስዎም ማድረግ አለብዎት

በፖሊሲው ውስጥ የምዝግብ ማስታወሻ አስተናጋጆችን ያዋቅሩ። በመዳረሻ ቁጥጥር ፖሊሲ ውስጥ የተገለጹትን የምዝግብ ማስታወሻ አስተናጋጆችን ከተጠቀሙ፣ በወረራ ፖሊሲ ውስጥ የተገለፀው ክብደት እና ፋሲሊቲ ስራ ላይ አይውልም።

የማዋቀሪያ ቦታዎች ለ Syslogs ለወረራ ክስተቶች (ከኤፍቲዲ ሌላ መሣሪያዎች)

  • (ነባሪ) የመዳረሻ መቆጣጠሪያ ፖሊሲ የመዳረሻ መቆጣጠሪያ ፖሊሲዎች መግቢያ መቼቶች፣ ሲሳይሎግ ማንቂያ ከገለጹ (የሲሳይሎግ ማንቂያ ምላሽ መፍጠርን ይመልከቱ።)
  • ወይም ለጠለፋ ክስተቶች የSyslog ማንቂያን ማዋቀርን ይመልከቱ።

በነባሪነት፣ የጣልቃ ፖሊሲው በመዳረሻ መቆጣጠሪያ መመሪያው ውስጥ ባለው የመግቢያ ትሩ ውስጥ ያሉትን መቼቶች ይጠቀማል። ከኤፍቲዲ ውጭ ባሉ መሳሪያዎች ላይ ተፈጻሚነት ያላቸው ቅንብሮች እዚያ ካልተዋቀሩ፣ syslogs ከኤፍቲዲ ውጪ ለሌላ መሳሪያዎች አይላክም እና ምንም ማስጠንቀቂያ አይታይም።

የማዋቀር ቦታዎች ለ Syslogs ለ File እና የማልዌር ክስተቶች

ማዋቀር አካባቢ መግለጫ እና ተጨማሪ መረጃ
በመዳረሻ ቁጥጥር ፖሊሲ ውስጥ፡-

መመሪያዎች > የመዳረሻ መቆጣጠሪያ, , መግባት

ይህ syslogs ለመላክ ስርዓቱን ለማዋቀር ዋናው ቦታ ነው። file እና የማልዌር ክስተቶች።

በ FTD Platform Settings ውስጥ የ syslog ቅንብሮችን ካልተጠቀሙ፣ እንዲሁም የማንቂያ ምላሽ መፍጠር አለብዎት። የ Syslog ማንቂያ ምላሽ መፍጠርን ይመልከቱ።

ማዋቀር አካባቢ መግለጫ እና ተጨማሪ መረጃ
በፋየር ኃይል ዛቻ መከላከያ መድረክ ቅንብሮች ውስጥ፡-

መሳሪያዎች > መድረክ ቅንብሮችየዛቻ መከላከያ ቅንጅቶች ፖሊሲ፣ ሲሳይሎግ

እነዚህ ቅንብሮች የሚደገፉ ስሪቶችን በሚያሄዱ ፋየር ፓወር ዛቻ መከላከያ መሳሪያዎች ላይ ብቻ ነው የሚደገፉት፣ እና የ FTD የመሳሪያ ስርዓት መቼቶችን ለመጠቀም በመዳረሻ መቆጣጠሪያ ፖሊሲ ውስጥ የምዝግብ ማስታወሻን ካዋቀሩ ብቻ ነው።

ለደህንነት ክስተት ሲስሎግ መልእክቶች እና ስለ ሲሳይሎግ እና ንዑስ ርዕሶች የሚመለከተውን የ FTD መድረክ ቅንብሮችን ይመልከቱ።

በመዳረሻ መቆጣጠሪያ ደንብ ውስጥ፡-

መመሪያዎች > የመዳረሻ መቆጣጠሪያ, , , መግባት

በ FTD Platform Settings ውስጥ የ syslog ቅንብሮችን ካልተጠቀሙ፣ እንዲሁም የማንቂያ ምላሽ መፍጠር አለብዎት። የ Syslog ማንቂያ ምላሽ መፍጠርን ይመልከቱ።

የደህንነት ክስተት ሲስሎግ መልእክቶች አናቶሚ

Exampየደህንነት ክስተት መልእክት ከኤፍቲዲ (የጣልቃ ገብነት ክስተት)

የሲስኮ-ክስተት-ትንታኔ-የውጭ-መሳሪያዎችን መጠቀም-በለስ- (4)

ሠንጠረዥ 1፡ የደህንነት ክስተት ሲሳይሎግ መልእክቶች አካላት

ንጥል ቁጥር in Sample መልእክት ራስጌ ንጥረ ነገር መግለጫ
0 ፒ.አይ. ሁለቱንም መገልገያ እና የማንቂያውን ክብደት የሚወክል ቅድሚያ የሚሰጠው ዋጋ። እሴቱ በ EMBLEM ቅርጸት መግባትን የኤፍኤምሲ ፕላትፎርም መቼቶችን በመጠቀም መግባትን ሲያነቁ በሲሲሎግ መልእክቶች ውስጥ ይታያል። አንተ

በመዳረሻ ቁጥጥር ፖሊሲ ውስጥ የመግባት ክስተቶችን ማንቃት የመግቢያ ትሩ ፣ የ PRI እሴቱ በቀጥታ በ syslog መልዕክቶች ውስጥ ይታያል። የ EMBLEM ቅርጸትን እንዴት ማንቃት እንደሚቻል ላይ መረጃ ለማግኘት መግባትን አንቃ የሚለውን ይመልከቱ እና መሰረታዊ ቅንብሮችን ያዋቅሩ። ስለ PRI መረጃ፣ ይመልከቱ RFC5424.

1 ወቅታዊamp የ syslog መልእክት ከመሣሪያው የተላከበት ቀን እና ሰዓት።

• (ከኤፍቲዲ መሳሪያዎች የተላኩ ሲሲሎጎች) በመዳረሻ ቁጥጥር ፖሊሲ እና በዘሮቹ ውስጥ ቅንብሮችን በመጠቀም ለተላኩ ሲሲሎጎች ወይም ይህንን ቅርጸት በኤፍቲዲ ፕላትፎርም ቅንጅቶች ውስጥ ለመጠቀም ከተገለጸ የቀን ቅርፀቱ በ ISO 8601 ጊዜst ውስጥ የተገለጸው ቅርጸት ነው።amp በ RFC 5424 (yyyy-MM-ddTHH:mm:ssZ) ላይ እንደተገለጸው፣ Z ፊደል የUTC የሰዓት ሰቅን የሚያመለክት ነው።

• (ከሌሎች መሳሪያዎች የተላኩ ሲሳይሎጎች) በመዳረሻ ቁጥጥር ፖሊሲ እና በዘሮቹ ውስጥ ቅንብሮችን በመጠቀም ለተላኩ ሲሲሎጎች የቀን ቅርፀቱ በ ISO 8601 ጊዜst ውስጥ የተገለጸው ቅርጸት ነው።amp

በ RFC 5424 (yyyy-MM-ddTHH:mm:ssZ) ላይ እንደተገለጸው፣ Z ፊደል የUTC የሰዓት ሰቅን የሚያመለክት ነው።

• ያለበለዚያ፣ በUTC የሰዓት ሰቅ ውስጥ ወር፣ ቀን እና ሰዓቱ ነው፣ ምንም እንኳን የሰዓት ዞኑ ባይገለጽም።

 

ሰዓቱን ለማዋቀርamp በ FTD መድረክ ቅንጅቶች ውስጥ ማቀናበር፣ የSyslog Settingsን አዋቅር የሚለውን ይመልከቱ።

2 መልእክቱ የተላከበት መሳሪያ ወይም በይነገጽ።

ይህ ሊሆን ይችላል፡-

የበይነገጹ የአይ ፒ አድራሻ

• የመሣሪያ አስተናጋጅ ስም

• ብጁ መሣሪያ ለዪ

(ከኤፍቲዲ መሳሪያዎች ለተላኩ syslogs)

የ syslog መልእክት የ FTD ፕላትፎርም ቅንጅቶችን በመጠቀም የተላከ ከሆነ፣ የተዋቀረው ይህ ዋጋ ነው። Syslog ቅንብሮች የ Syslog መሣሪያ መታወቂያን አንቃ አማራጭ, ከተገለጸ.

አለበለዚያ ይህ ንጥረ ነገር በርዕሱ ውስጥ የለም.

ይህንን ቅንብር በኤፍቲዲ ፕላትፎርም ቅንጅቶች ውስጥ ለማዋቀር፣ የSyslog Settingsን አዋቅር የሚለውን ይመልከቱ።

3 ብጁ እሴት መልእክቱ የተላከው የማንቂያ ምላሽን በመጠቀም ከሆነ ይህ ነው። Tag መልእክቱን በላከው የማንቂያ ምላሽ ውስጥ የተዋቀረ እሴት፣ ከተዋቀረ። (የ Syslog ማንቂያ ምላሽ መፍጠርን ይመልከቱ።)

አለበለዚያ ይህ ንጥረ ነገር በርዕሱ ውስጥ የለም.

4 %ኤፍቲዲ

% NGIPS

መልእክቱን የላከ መሳሪያ አይነት።

• %ኤፍቲዲ የእሳት ኃይል ስጋት መከላከያ ነው።

• % NGIPS ሁሉም ሌሎች መሳሪያዎች ናቸው።

5 ከባድነት መልእክቱን ያስነሳው ፖሊሲ በ syslog ቅንብሮች ውስጥ የተገለጸው ክብደት።

የክብደት መግለጫዎችን ለማግኘት፣ የክብደት ደረጃዎችን ወይም Syslog የክብደት ደረጃዎችን ይመልከቱ።

6 የክስተት አይነት መለያ • 430001: የጣልቃ ክስተት

• 430002፡ የግንኙነት ክስተት በግንኙነት መጀመሪያ ላይ ገብቷል።

• 430003፡ የግንኙነት ክስተት በግንኙነቱ መጨረሻ ላይ ገብቷል።

 

• በ430004 ዓ.ም. File ክስተት

• በ430005 ዓ.ም. File የማልዌር ክስተት

- መገልገያ ፋሲሊቲ በደህንነት ክስተት ሲስሎግ መልእክቶች ውስጥ ይመልከቱ
- የቀረው መልእክት መስኮች እና እሴቶች በኮሎን ተለያይተዋል።

ባዶ ወይም ያልታወቁ እሴቶች ያላቸው መስኮች ከመልእክቶች ተትተዋል። ለመስክ መግለጫዎች፣ ይመልከቱ፡-

• የግንኙነት እና የደህንነት ኢንተለጀንስ ክስተት መስኮች።

• የወረራ ክስተት መስኮች

•  File እና የማልዌር ክስተት መስኮች

 

ማስታወሻ              የመስክ መግለጫ ዝርዝሮች ሁለቱንም syslog መስኮች እና ያካትታሉ

በክስተቱ ውስጥ የሚታዩ መስኮች viewer (በእሳት ኃይል አስተዳደር ማእከል ውስጥ ባለው የትንታኔ ምናሌ ስር የምናሌ አማራጮች web በይነገጽ።) በ syslog በኩል የሚገኙ መስኮች እንደዚህ ምልክት ተደርጎባቸዋል።

በክስተቱ ውስጥ አንዳንድ መስኮች ይታያሉ viewer በ syslog በኩል አይገኙም። እንዲሁም አንዳንድ የሳይሎግ መስኮች በክስተቱ ውስጥ አልተካተቱም። viewer (ነገር ግን በፍለጋ ሊገኝ ይችላል), እና አንዳንድ መስኮች ተጣምረው ወይም ተለያይተዋል.

በደህንነት ክስተት ሲስሎግ መልዕክቶች ውስጥ ያለው ተቋም
ለደህንነት ሁነቶች በ syslog መልዕክቶች ውስጥ የመገልገያ ዋጋዎች በአጠቃላይ አግባብነት የላቸውም። ነገር ግን ፋሲሊቲ ከፈለጉ የሚከተለውን ሰንጠረዥ ይጠቀሙ፡-

መሳሪያ በግንኙነት ዝግጅቶች ውስጥ መገልገያን ለማካተት ያካትቱ መገልገያ in የመግባት ክስተቶች ቦታ በ Syslog መልእክት ውስጥ
ኤፍቲዲ በFTD Platform Settings ውስጥ የ EMBLEM አማራጭን ተጠቀም።

መገልገያው ሁል ጊዜ ነው። ማንቂያ ለግንኙነት ክስተቶች የኤፍቲዲ ፕላትፎርም ቅንጅቶችን በመጠቀም የsyslog መልዕክቶችን ሲልኩ።

የ EMBLEM አማራጭን በFTD Platform Settings ወይም ይጠቀሙ

በወረራ ፖሊሲ ውስጥ የ syslog ቅንብሮችን በመጠቀም መግባትን ያዋቅሩ። የወረራ ፖሊሲን ከተጠቀሙ፣ የመግቢያ አስተናጋጁን በወረራ ፖሊሲ መቼቶች ውስጥ መግለጽ አለብዎት።

መገልገያው በመልእክቱ ራስጌ ላይ አይታይም ነገር ግን ሲሳይሎግ ሰብሳቢው እሴቱን ሊያገኝ ይችላል።

በ RFC 5424, ክፍል 6.2.1 መሠረት.

syslog ማንቂያ አንቃ እና

በጣልቃ ፖሊሲው ላይ ፋሲሊቲ እና ክብደትን ያዋቅሩ። ለጠለፋ ክስተቶች የሲስሎግ ማንቂያን ማዋቀርን ይመልከቱ።

ከኤፍቲዲ ሌላ መሣሪያዎች የማንቂያ ምላሽ ተጠቀም። በወረራ ፖሊሲ የላቁ ቅንብሮች ውስጥ የሲሳይሎግ ቅንብሩን ይጠቀሙ ወይም በመዳረሻ መቆጣጠሪያ ፖሊሲ የመግቢያ ትሩ ላይ ተለይቶ የተገለጸውን የማንቂያ ምላሽ ይጠቀሙ።

ለበለጠ መረጃ፣ የጣልቃ ገብነት ሲሳይሎግ ማንቂያዎችን እና የሲሳይሎግ ማንቂያ ምላሽ መፍጠርን ፋሲሊቲዎች እና ከባድነቶችን ይመልከቱ።

Firepower Syslog መልእክት አይነቶች
በሚከተለው ሠንጠረዥ ውስጥ እንደተገለጸው የእሳት ኃይል በርካታ የ syslog የውሂብ አይነቶችን መላክ ይችላል።

Syslog የውሂብ አይነት ተመልከት
የኦዲት ምዝግብ ማስታወሻዎች ከFMC የኦዲት ምዝግብ ማስታወሻዎችን ወደ Syslog እና የስርዓት ክፍልን ኦዲት ማድረግ
የኦዲት ምዝግብ ማስታወሻዎች ከክላሲክ መሳሪያዎች (ASA FirePOWER፣ NGIPSv) የኦዲት ምዝግብ ማስታወሻዎችን ከክላሲክ መሳሪያዎች እና የስርዓት ክፍልን ኦዲቲንግ ይልቀቁ

የ CLI ትዕዛዝ: syslog

የመሣሪያ ጤና እና ከአውታረ መረብ ጋር የተገናኙ ምዝግብ ማስታወሻዎች ከኤፍቲዲ መሳሪያዎች ስለ Syslog እና ንዑስ ርዕሶች
ግንኙነት፣ የደህንነት መረጃ እና የመግባት ክስተት ምዝግብ ማስታወሻዎች ከኤፍቲዲ መሳሪያዎች የደህንነት ክስተት ውሂብ ወደ Syslog ለመላክ ስርዓቱን ስለማዋቀር።
ግንኙነት፣ የደህንነት መረጃ እና የመግባት ክስተት ምዝግብ ማስታወሻዎች ከክላሲክ መሣሪያዎች የደህንነት ክስተት ውሂብ ወደ Syslog ለመላክ ስርዓቱን ስለማዋቀር
ምዝግብ ማስታወሻዎች ለ file እና የማልዌር ክስተቶች የደህንነት ክስተት ውሂብ ወደ Syslog ለመላክ ስርዓቱን ስለማዋቀር

የ Syslog ለደህንነት ዝግጅቶች ገደቦች

  • syslogን የምትጠቀም ከሆነ ወይም ክስተቶችን በውጪ የምታከማች ከሆነ፣ እንደ ፖሊሲ እና ደንብ ስሞች ባሉ የነገር ስሞች ውስጥ ያሉ ልዩ ቁምፊዎችን አስወግድ። የነገር ስሞች እንደ ነጠላ ሰረዝ ያሉ ልዩ ቁምፊዎችን መያዝ የለባቸውም፣ ይህም የመቀበያ ማመልከቻ እንደ መለያየት ሊጠቀምበት ይችላል።
  • ክስተቶች በእርስዎ syslog ሰብሳቢ ላይ ለመታየት እስከ 15 ደቂቃዎች ድረስ ሊወስድ ይችላል።
  • ለሚከተሉት ውሂብ file እና የማልዌር ክስተቶች በ syslog በኩል አይገኙም፡-
  • ወደ ኋላ የሚመለሱ ክስተቶች
  • የተፈጠሩ ክስተቶች AMP ለመጨረሻ ነጥቦች

eStreamer አገልጋይ ዥረት

  • የ Event Streamer (eStreamer) ብዙ አይነት የክስተት ውሂብን ከፋየር ፓወር ማኔጅመንት ማእከል ወደ ብጁ ወደዳበረ የደንበኛ መተግበሪያ እንዲያሰራጩ ይፈቅድልዎታል። ለበለጠ መረጃ፣የፋየር ፓወር ሲስተም ክስተት ዥረት ማቀናበሪያ መመሪያን ይመልከቱ።
  • እንደ eStreamer አገልጋይ ሊጠቀሙበት የሚፈልጉት መሳሪያ የeStreamer ክስተቶችን ለውጭ ደንበኛ ማስተላለፍ ከመጀመሩ በፊት ለደንበኞች ክስተቶችን ለመላክ፣ ስለደንበኛው መረጃ ለመስጠት እና የማረጋገጫ ምስክርነቶችን ስብስብ ለማመንጨት የ eStreamer አገልጋይን ማዋቀር አለብዎት። ግንኙነት. እነዚህን ሁሉ ተግባራት ከመሳሪያው የተጠቃሚ በይነገጽ ውስጥ ማከናወን ይችላሉ. አንዴ ቅንብሮችዎ ከተቀመጡ፣ የመረጧቸው ክስተቶች ሲጠየቁ ወደ eStreamer ደንበኞች ይተላለፋሉ።
  • የ eStreamer አገልጋዩ የትኛዎቹ አይነት ክስተቶችን ለሚጠይቁ ደንበኞች ማስተላለፍ እንደሚችል መቆጣጠር ትችላለህ።

ሠንጠረዥ 2፡ በ eStreamer አገልጋይ የሚተላለፉ የክስተት ዓይነቶች

ክስተት ዓይነት መግለጫ
የመግባት ክስተቶች በሚተዳደሩ መሳሪያዎች የተፈጠሩ የመጥለፍ ክስተቶች
የጣልቃ ክስተት ፓኬት ውሂብ ከጥቃቅን ክስተቶች ጋር የተያያዙ እሽጎች
የጣልቃ ክስተት ተጨማሪ ውሂብ ከወረራ ክስተት ጋር የተጎዳኘ ተጨማሪ መረጃ ለምሳሌ ከሀ ጋር የተገናኘ ደንበኛ መነሻ IP አድራሻዎች web አገልጋይ በኤችቲቲፒ ፕሮክሲ ወይም የጭነት ሚዛን
የግኝት ክስተቶች የአውታረ መረብ ግኝት ክስተቶች
ተዛማጅነት እና ፍቀድ ክስተቶችን ዘርዝር ተዛማጅነት እና ተገዢነት ዝርዝር ክስተቶችን ይፈቅዳል
ተጽዕኖ ባንዲራ ማንቂያዎች በFMC የመነጩ ተጽዕኖ ማንቂያዎች
የተጠቃሚ ክስተቶች የተጠቃሚ ክስተቶች
ክስተት ዓይነት መግለጫ
የማልዌር ክስተቶች የማልዌር ክስተቶች
File ክስተቶች file ክስተቶች
የግንኙነት ክስተቶች በእርስዎ ቁጥጥር ስር ባሉ አስተናጋጆች እና በሌሎች አስተናጋጆች መካከል ስላለው የክፍለ-ጊዜ ትራፊክ መረጃ።
የ Syslog እና eStreamer ለደህንነት ክስተት ማወዳደር

በአጠቃላይ፣ በአሁኑ ጊዜ በ eStreamer ውስጥ ከፍተኛ ነባር ኢንቨስትመንት የሌላቸው ድርጅቶች የደህንነት ክስተት መረጃን በውጪ ለማስተዳደር ከ eStreamer ይልቅ syslog መጠቀም አለባቸው።

ሲሳይሎግ eStreamer
ምንም ማበጀት አያስፈልግም በእያንዳንዱ ልቀት ላይ ለውጦችን ለማስተናገድ ጉልህ የሆነ ማበጀት እና ቀጣይነት ያለው ጥገና ያስፈልጋል
መደበኛ ባለቤትነት ያለው
Syslog standard ከመረጃ መጥፋት አይከላከልም ፣በተለይ ዩዲፒን ሲጠቀሙ ከውሂብ መጥፋት ጥበቃ
በቀጥታ ከመሳሪያዎች ይልካል ከFMC ይልካል፣ የማቀነባበሪያውን ከራስ ላይ በመጨመር
ድጋፍ ለ file እና የማልዌር ክስተቶች፣ ግንኙነት

ክስተቶች (የደህንነት ኢንተለጀንስ ክስተቶችን ጨምሮ) እና የመጥለፍ ክስተቶች።

በ eStreamer Server ዥረት ውስጥ ለተዘረዘሩት የሁሉም የዝግጅት አይነቶች ድጋፍ።
አንዳንድ የክስተት መረጃዎች ከFMC ብቻ መላክ ይችላሉ። በSyslog ሳይሆን በ eStreamer ብቻ የተላከን ውሂብ ይመልከቱ። በቀጥታ ከመሳሪያዎች በ syslog በኩል ሊላክ የማይችል ውሂብ ያካትታል። በSyslog ሳይሆን በ eStreamer ብቻ የተላከን ውሂብ ይመልከቱ።

ውሂብ በ eStreamer ብቻ የተላከ እንጂ በSyslog በኩል አይደለም።
የሚከተለው መረጃ የሚገኘው ከፋየር ኃይል አስተዳደር ማእከል ብቻ ስለሆነ ከመሳሪያዎች በ syslog መላክ አይቻልም፡

  • የፓኬት ምዝግብ ማስታወሻዎች
  • የጣልቃ ክስተት ተጨማሪ ውሂብ ክስተቶች
    ለማብራሪያ eStreamer Server Streaming ይመልከቱ።
  • ስታቲስቲክስ እና አጠቃላይ ክስተቶች
  • የአውታረ መረብ ግኝት ክስተቶች
  • የተጠቃሚ እንቅስቃሴ እና የመግቢያ ክስተቶች
  • ተዛማጅ ክስተቶች
  • ለማልዌር ክስተቶች፡-
    • ወደ ኋላ የሚመለሱ ፍርዶች
    • አስጊ ስም እና ባህሪ፣ ስለ ሚመለከታቸው SHAዎች መረጃ አስቀድሞ ከመሳሪያው ጋር ካልተመሳሰለ በስተቀር
  • የሚከተሉት መስኮች:
    • ተጽዕኖ እና ImpactFlag መስኮች
      ለማብራሪያ eStreamer Server Streaming ይመልከቱ።
    • የIOC_Count መስክ
  • አብዛኛዎቹ ጥሬ መታወቂያዎች እና UUIDs።
    ልዩ ሁኔታዎች፡-
    • የግንኙነቶች መግለጫዎች የሚከተሉትን ያካትታሉ፡ FirewallPolicyUUID፣ FirewallRuleID፣ TunnelRuleID፣ MonitorRuleID፣ SI_CategoryID፣ SSL_PolicyUUID እና SSL_RuleID
    • የጣልቃ ገብ ክስተቶች ሲሳይሎጎች IntrusionPolicyUUID፣ GeneratorID እና SignatureID ያካትታሉ።
  • የተራዘመ ዲበ ውሂብ፣ የሚከተሉትን ጨምሮ ግን አይወሰንም፦
    • በኤልዲኤፒ የቀረቡ የተጠቃሚ ዝርዝሮች፣ እንደ ሙሉ ስም፣ ክፍል፣ ስልክ ቁጥር፣ ወዘተ. Syslog በዝግጅቱ ውስጥ የተጠቃሚ ስሞችን ብቻ ይሰጣል።
    • እንደ SSL ሰርቲፊኬት ዝርዝሮች ያሉ በስቴት ላይ የተመሰረተ መረጃ ዝርዝሮች። Syslog እንደ የምስክር ወረቀት አሻራ ያሉ መሰረታዊ መረጃዎችን ይሰጣል፣ ነገር ግን እንደ ሰርተፍኬት CN ያሉ ሌሎች የእውቅና ማረጋገጫ ዝርዝሮችን አይሰጥም።
    • እንደ መተግበሪያ ያለ ዝርዝር የመተግበሪያ መረጃ Tags እና ምድቦች. Syslog የመተግበሪያ ስሞችን ብቻ ያቀርባል። አንዳንድ ሜታዳታ መልዕክቶች ስለእቃዎቹ ተጨማሪ መረጃንም ያካትታሉ።
  • የመሬት አቀማመጥ መረጃ

የ eStreamer ክስተት ዓይነቶችን መምረጥ

  • የ eStreamer Event Configuration አመልካች ሳጥኖቹ eStreamer አገልጋዩ የትኛውን ክስተት እንደሚያስተላልፍ ይቆጣጠራሉ።
  • ደንበኛዎ አሁንም ወደ eStreamer አገልጋይ በላከው የጥያቄ መልእክት እንዲደርሰው የሚፈልጉትን የክስተቶች አይነት መጠየቅ አለባቸው። ለበለጠ መረጃ፣የFirepower System Event Streamer ውህደት መመሪያን ይመልከቱ።
  • በባለብዙ ጎራ ማሰማራት ውስጥ፣ eStreamer Event Configurationን በማንኛውም የጎራ ደረጃ ማዋቀር ይችላሉ። ነገር ግን፣ ቅድመ አያት ጎራ አንድ የተወሰነ የክስተት አይነትን ካነቃ፣ በትውልድ ጎራዎች ውስጥ ያለውን የክስተት አይነት ማሰናከል አይችሉም።
  • ይህንን ተግባር ለማከናወን የአስተዳዳሪ ተጠቃሚ መሆን አለቦት፣ ለኤፍኤምሲ።

አሰራር

  • ደረጃ 1 ስርዓት > ውህደትን ይምረጡ።
  • ደረጃ 2 eStreamer ን ጠቅ ያድርጉ።
  • ደረጃ 3 በ eStreamer Event Configuration ስር፣ eStreamer ለደንበኞች እንዲያስተላልፍላቸው ከሚፈልጉት የክስተቶች አይነት ቀጥሎ ያሉትን አመልካች ሳጥኖቹን ያፅዱ፣ በ eStreamer Server Streaming ውስጥ የተገለጹት።
  • ደረጃ 4 አስቀምጥን ጠቅ ያድርጉ።

eStreamer Client Communicationsን በማዋቀር ላይ

  • eStreamer የ eStreamer ክስተቶችን ለደንበኛ ከመላኩ በፊት ደንበኛውን ከ eStreamer ገጽ ወደ eStreamer አገልጋይ እኩዮች ዳታቤዝ ማከል አለቦት። እንዲሁም በ eStreamer አገልጋይ የተፈጠረውን የማረጋገጫ ሰርተፍኬት ለደንበኛው መቅዳት አለቦት። እነዚህን እርምጃዎች ከጨረሱ በኋላ ደንበኛው ከ eStreamer አገልጋይ ጋር እንዲገናኝ ለማድረግ የ eStreamer አገልግሎትን እንደገና ማስጀመር አያስፈልግዎትም።
  • በባለብዙ ጎራ ዝርጋታ፣ በማንኛውም ጎራ ውስጥ eStreamer ደንበኛ መፍጠር ይችላሉ። የማረጋገጫ ሰርቲፊኬቱ ደንበኛው ክስተቶችን ከደንበኛው ሰርተፍኬት ጎራ እና ከማንኛውም የዘር ጎራዎች ብቻ እንዲጠይቅ ይፈቅዳል። የ eStreamer ውቅር ገጽ አሁን ካለው ጎራ ጋር የተቆራኙ ደንበኞችን ብቻ ያሳያል፣ ስለዚህ ሰርተፍኬት ማውረድ ወይም መሻር ከፈለጉ ደንበኛው ወደተፈጠረበት ጎራ ይቀይሩ።
  • ይህንን ተግባር ለኤፍኤምሲ ለማከናወን የአስተዳዳሪ ወይም የግኝት አስተዳዳሪ ተጠቃሚ መሆን አለቦት።

አሰራር

  • ደረጃ 1 ስርዓት > ውህደትን ይምረጡ።
  • ደረጃ 2 eStreamer ን ጠቅ ያድርጉ።
  • ደረጃ 3 ደንበኛ ፍጠር የሚለውን ጠቅ ያድርጉ።
  • ደረጃ 4 በአስተናጋጅ ስም መስክ የ eStreamer ደንበኛን የሚያንቀሳቅሰውን የአስተናጋጅ ስም ወይም የአይፒ አድራሻ ያስገቡ።
    ማስታወሻ የዲ ኤን ኤስ ጥራት ካላዋቀሩ፣ የአይፒ አድራሻ ይጠቀሙ።
  • ደረጃ 5 የምስክር ወረቀቱን ማመስጠር ከፈለጉ file, በይለፍ ቃል መስክ ውስጥ የይለፍ ቃል ያስገቡ.
  • ደረጃ 6 አስቀምጥን ጠቅ ያድርጉ።
    የ eStreamer አገልጋይ አሁን አስተናጋጁ ወደብ 8302 በ eStreamer አገልጋይ ላይ እንዲደርስ ያስችለዋል እና ደንበኛ-አገልጋይ በሚረጋገጥበት ጊዜ ጥቅም ላይ የሚውል የማረጋገጫ ሰርተፍኬት ይፈጥራል።
  • ደረጃ 7 አውርድን ጠቅ ያድርጉ (የሲስኮ-ክስተት-ትንታኔ-የውጭ-መሳሪያዎችን መጠቀም-በለስ- (5) ) የምስክር ወረቀቱን ለማውረድ ከደንበኛው አስተናጋጅ ስም ቀጥሎ file.
  • ደረጃ 8 የምስክር ወረቀቱን ያስቀምጡ file ደንበኛዎ ለኤስኤስኤል ማረጋገጫ ወደተጠቀመበት ተገቢውን ማውጫ።
  • ደረጃ 9 የደንበኛ መዳረሻን ለመሻር ሰርዝን ጠቅ ያድርጉ (የሲስኮ-ክስተት-ትንታኔ-የውጭ-መሳሪያዎችን መጠቀም-በለስ- (6) ) ማስወገድ ከሚፈልጉት አስተናጋጅ ቀጥሎ።
    የ eStreamer አገልግሎትን እንደገና ማስጀመር እንደማያስፈልግዎ ልብ ይበሉ; መዳረሻ ወዲያውኑ ተሰርዟል።

በስፕሉክ ውስጥ የክስተት ትንተና

  • በአውታረ መረብዎ ላይ የሚደርሱ አደጋዎችን ለማደን እና ለመመርመር የFirepower ክስተት መረጃን ለማሳየት እና ለመስራት የCisco Secure Firewall (fka Firepower) መተግበሪያን ለ Splunk (የቀድሞው የሲስኮ ፋየር ፓወር መተግበሪያ ፎር ስፕሉክ) እንደ ውጫዊ መሳሪያ መጠቀም ይችላሉ።
  • eStreamer ያስፈልጋል። ይህ የላቀ ተግባር ነው። eStreamer Server ዥረት ይመልከቱ።
  • ለበለጠ መረጃ ይመልከቱ https://cisco.com/go/firepower-for-splunk.

የክስተት ትንተና በ IBM QRadar

የውጪ መሳሪያዎችን በመጠቀም የክስተት ውሂብን ለመተንተን ታሪክ

ባህሪ ሥሪት ዝርዝሮች
SecureX ሪባን 7.0 ሴክዩርኤክስ ሪባን በሲስኮ ደህንነት ምርቶችዎ ላይ ወዳለው የአደጋ ገጽታ ለፈጣን ታይነት ወደ SecureX ያስገባል።

በFMC ውስጥ የሴኪዩርኤክስ ሪባንን ለማሳየት የFirepower እና SecureX ውህደት መመሪያን ይመልከቱ https://cisco.com/go/firepower-securex-documentation.

አዲስ/የተሻሻሉ ስክሪኖች፡ አዲስ ገጽ፡ ስርዓት > ሴኪዩርኤክስ

ሁሉንም የግንኙነት ክስተቶች ወደ Cisco ደመና ይላኩ። 7.0 ከፍተኛ ቅድሚያ የሚሰጣቸውን የግንኙነት ክስተቶችን ከመላክ ይልቅ አሁን ሁሉንም የግንኙነት ክስተቶች ወደ Cisco ደመና መላክ ይችላሉ።

አዲስ/የተሻሻሉ ስክሪኖች፡ በስርዓት> ውህደት> የደመና አገልግሎት ገጽ ላይ አዲስ አማራጭ

ተሻገሩ ወደ view ደህንነቱ በተጠበቀ የአውታረ መረብ ትንታኔ ውስጥ ያለ ውሂብ 6.7 ይህ ባህሪ ለደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ መሳሪያዎ በትንተና > አውድ-አቋራጭ ማስጀመሪያ ገጽ ላይ ብዙ ግቤቶችን ለመፍጠር ፈጣን መንገድን ያስተዋውቃል።

እነዚህ ግቤቶች ከተሻገሩበት የውሂብ ነጥብ ጋር የሚዛመድ የማሳያ መረጃን ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔን ለማስጀመር አስፈላጊ የሆነውን ክስተት በቀኝ ጠቅ ለማድረግ ያስችሉዎታል።

አዲስ የምናሌ ንጥል፡ ስርዓት > ምዝግብ ማስታወሻ > የደህንነት ትንታኔ እና መግባት አዲስ ገጽ ክስተቶችን ወደ ደህንነቱ የተጠበቀ የአውታረ መረብ ትንታኔ መላክን ለማዋቀር።

አውዳዊ መስቀለኛ ጅምር

ከተጨማሪ የመስክ ዓይነቶች

6.7 አሁን የሚከተሉትን ተጨማሪ የክስተት ውሂብ አይነቶችን በመጠቀም ወደ ውጫዊ መተግበሪያ ማስጀመር ትችላለህ፡

• የመዳረሻ ቁጥጥር ፖሊሲ

• የጣልቃ ገብነት ፖሊሲ

• የመተግበሪያ ፕሮቶኮል

• የደንበኛ መተግበሪያ

•  Web ማመልከቻ

• የተጠቃሚ ስም (ግዛትን ጨምሮ)

 

አዲስ የሜኑ አማራጮች፡ አውድ-መስቀል ማስጀመሪያ አማራጮች አሁን ከላይ ያሉትን የውሂብ አይነቶች በዳሽቦርድ መግብሮች እና የክስተት ሰንጠረዦች በትንታኔ ሜኑ ስር ባሉ ገፆች ላይ በቀኝ ጠቅ ሲያደርጉ ይገኛሉ።

የሚደገፉ መድረኮች፡ የእሳት ኃይል አስተዳደር ማዕከል

ከ IBM QRadar ጋር ውህደት 6.0 እና ከዚያ በኋላ የIBM QRadar ተጠቃሚዎች የክስተት ውሂባቸውን ለመተንተን አዲስ Firepower-ተኮር መተግበሪያን መጠቀም ይችላሉ። ያለው ተግባር በእርስዎ የFirepower ሥሪት ይነካል።

የክስተት ትንታኔን በ IBM QRadar ይመልከቱ።

ከ Cisco SecureX ስጋት ምላሽ ጋር የመዋሃድ ማሻሻያዎች 6.5 • ለክልላዊ ደመናዎች ድጋፍ፡

• ዩናይትድ ስቴትስ (ሰሜን አሜሪካ)

• አውሮፓ

 

• ለተጨማሪ የዝግጅት አይነቶች ድጋፍ፡

•  File እና የማልዌር ክስተቶች

• ከፍተኛ ቅድሚያ የሚሰጣቸው የግንኙነት ክስተቶች

እነዚህ ከሚከተሉት ጋር የተያያዙ የግንኙነት ክስተቶች ናቸው፡

• የመጥለፍ ክስተቶች

• የደህንነት ኢንተለጀንስ ክስተቶች

•  File እና የማልዌር ክስተቶች

 

 

የተስተካከሉ ማያ ገጾች፡ አዲስ አማራጮች በርተዋል። ስርዓት > ውህደት > የደመና አገልግሎቶች.

የሚደገፉ መድረኮች፡ በዚህ ልቀት ውስጥ የሚደገፉ ሁሉም መሳሪያዎች በቀጥታ ውህደት ወይም በ syslog በኩል።

ሲሳይሎግ 6.5 የAccessControlRuleName መስክ አሁን በወረራ ክስተት syslog መልዕክቶች ውስጥ ይገኛል።
ከሲስኮ ደህንነት ፓኬት ተንታኝ ጋር ውህደት 6.5 የዚህ ባህሪ ድጋፍ ተወግዷል።
ከ Cisco SecureX ስጋት ምላሽ ጋር ውህደት 6.3 (በ syslog በኩል፣ ፕሮክሲ በመጠቀም

ሰብሳቢ)

6.4

(በቀጥታ)

የፋየር ሃይል ጣልቃገብነት ክስተት ውሂብን ከሌላ ምንጮች ውሂብ ጋር ያዋህዱ view በሲስኮ ሴክዩርኤክስ ስጋት ምላሽ ውስጥ ያሉትን ኃይለኛ የትንታኔ መሳሪያዎችን በመጠቀም የአውታረ መረብዎ ስጋት።

የተሻሻሉ ስክሪኖች (ስሪት 6.4)፡ አዲስ አማራጮች በርተዋል። ስርዓት > ውህደት > የደመና አገልግሎቶች. የሚደገፉ መድረኮች፡ የፋየር ፓወር ዛቻ መከላከያ መሣሪያዎች ሥሪት 6.3 (በ syslog በኩል) ወይም 6.4 እያሄዱ ነው።

Syslog ድጋፍ ለ File እና የማልዌር ክስተቶች 6.4 ሙሉ ብቃት ያለው file እና የማልዌር ክስተት ውሂብ አሁን ከሚተዳደሩ መሳሪያዎች በ syslog በኩል ሊላክ ይችላል። የተሻሻሉ ማያ ገጾች; ፖሊሲዎች > የመዳረሻ መቆጣጠሪያ > የመዳረሻ መቆጣጠሪያ > መግባት.

የሚደገፉ መድረኮች፡ ሥሪት 6.4 የሚያሄዱ ሁሉም የሚተዳደሩ መሣሪያዎች።

ከ Splunk ጋር ውህደት ሁሉንም 6.x ስሪቶች ይደግፋል የስፕሉክ ተጠቃሚዎች ክስተቶችን ለመተንተን አዲስ የተለየ Splunk መተግበሪያን፣ Cisco Secure Firewall (fka Firepower) መተግበሪያን ለ Splunk መጠቀም ይችላሉ።

ያለው ተግባር በእርስዎ የFirepower ሥሪት ይነካል። በስፕሉክ ውስጥ የክስተት ትንታኔን ይመልከቱ።

ከሲስኮ ደህንነት ፓኬት ተንታኝ ጋር ውህደት 6.3 ባህሪ አስተዋውቋል: አንድ ክስተት ጋር የተያያዙ ፓኬቶች ወዲያውኑ ጥያቄ Cisco ደህንነት ፓኬት ተንታኝ, ከዚያም ጠቅ ያድርጉ Cisco ደህንነት ፓኬት Analyzer ውስጥ ያለውን ውጤት ለመመርመር ወይም ትንተና እነሱን ማውረድ i ሌላ ውጫዊ መሣሪያ.

አዲስ ማያ ገጾች፡-

ስርዓት > ውህደት > የፓኬት ተንታኝ ትንተና > የላቀ > የፓኬት ተንታኝ ጥያቄዎች

አዲስ ምናሌ አማራጮች፡- የጥያቄ ፓኬት ተንታኝ የምናሌ ንጥል ነገር በ Dashboar ገጾች ላይ አንድ ክስተት ላይ በቀኝ ጠቅ ሲያደርጉ እና በመተንተን ሜኑ ስር ባሉ ገፆች ላይ የክስተት ሰንጠረዦች።

የሚደገፉ መድረኮች፡ የእሳት ኃይል አስተዳደር ማዕከል

አውዳዊ መስቀለኛ ጅምር 6.3 ባህሪ አስተዋውቋል፡ ተዛማጅ መረጃዎችን አስቀድሞ በተገለጸ ወይም በብጁ ለመፈለግ በክስተቱ ላይ በቀኝ ጠቅ ያድርጉ URL- ውጫዊ ሀብቶች ላይ የተመሠረተ.

አዲስ ማያ ገጾች፡- ትንተና > የላቀ > ዐውደ-ጽሑፋዊ አቋራጭ ማስጀመሪያ

አዲስ የሜኑ አማራጮች፡ በዳሽቦርድ ገፆች ላይ ያለ ክስተት ላይ በቀኝ ጠቅ ሲያደርጉ ብዙ አማራጮች እና ሌላው ቀርቶ በትንታኔ ሜኑ ስር ገፆች ላይ ያሉ ጠረጴዛዎች።

የሚደገፉ መድረኮች፡ የእሳት ኃይል አስተዳደር ማዕከል

Syslog መልዕክቶች ለ

የግንኙነት እና የመግባት ክስተቶች

6.3 አዲስ የተዋሃዱ እና ቀለል ያሉ አወቃቀሮችን በመጠቀም ሙሉ ብቃት ያለው የግንኙነት እና የጠለፋ ክስተቶችን ወደ ውጫዊ ማከማቻ እና መሳሪያዎች በ syslog የመላክ ችሎታ። የመልእክት ራስጌዎች አሁን ደረጃቸውን የጠበቁ ናቸው እና የክስተት አይነት መለያዎችን ያካተቱ ናቸው፣ እና መልእክቶች ያነሱ ናቸው ምክንያቱም ያልታወቁ እና ባዶ እሴቶች ያላቸው መስኮች ስለሚቀሩ።

የሚደገፉ መድረኮች፡

• ሁሉም አዲስ ተግባራት፡ የኤፍቲዲ መሳሪያዎች ስሪት 6.3 እያሄዱ ነው።

• አንዳንድ አዲስ ተግባራት፡ ስሪት 6.3 የሚያሄዱ ኤፍቲዲ ያልሆኑ መሳሪያዎች።

• ያነሰ አዲስ ተግባር፡ ከ6.3 በላይ የሆኑ ስሪቶችን የሚያሄዱ ሁሉም መሳሪያዎች።

ለበለጠ መረጃ፣ ለደህንነት ዝግጅቶች የሲስሎግ መልዕክቶችን ስለመላክ በሚለው ስር ያሉትን ርዕሶች ይመልከቱ።

eStreamer 6.3 የ eStreamer ይዘትን ከአስተናጋጅ ማንነት ምንጮች ምዕራፍ ወደዚህ ምዕራፍ ወስዶ eStreamerን ከ syslog ጋር በማነጻጸር ማጠቃለያ አክሏል።

ሰነዶች / መርጃዎች

PDF thumbnailየውጭ መሳሪያዎችን በመጠቀም የክስተት ትንተና
User Guide · Event Analysis Using External Tools, Event, Analysis Using External Tools, Using External Tools, External Tools

ዋቢዎች

ጥያቄ ጠይቅ

Use this section to ask about setup, compatibility, troubleshooting, or anything missing from this manual.

ጥያቄ ጠይቅ

Ask about setup, compatibility, troubleshooting, or anything missing from this manual. Name and email are optional.