Кориснички приручник за Цисцо анализу догађаја помоћу спољних алата

Цисцо анализа догађаја помоћу спољних алата

Информације о производу

Производ омогућава корисницима да се интегришу са Цисцо СецуреКс и приступе му помоћу траке у ФМЦ-у web интерфејс.

Спецификације

• Интеграција: Цисцо СецуреКс
• Интерфејс: ФМЦ web интерфејс
• Карактеристика траке: Дно сваке странице

Упутства за употребу производа

Приступ СецуреКс-у помоћу траке
Да бисте приступили СецуреКс-у помоћу функције траке, следите ове кораке:

1. У ФМЦ-у кликните на траку на дну било које ФМЦ странице.
2. Кликните на „Преузми СецуреКс“.
3. Пријавите се на СецуреКс.
4. Кликните на везу да бисте одобрили приступ.
5. Кликните на траку да бисте је проширили и искористили.

Анализа догађаја коришћењем спољних алата
Да бисте извршили анализу догађаја помоћу спољних алата, следите ове кораке:

1. У ФМЦ-у кликните на траку на дну било које ФМЦ странице.
2. Кликните на „Преузми СецуреКс“.
3. Пријавите се на СецуреКс.
4. Кликните на везу да бисте одобрили приступ.
5. Кликните на траку да бисте је проширили и искористили.

Анализа догађаја са Цисцо СецуреКс одговором на претње
Цисцо СецуреКс Тхреат Респонсе (раније познат као Цисцо Тхреат Респонсе) омогућава корисницима да брзо открију, истраже и реагују на претње. Да бисте извршили анализу догађаја са Цисцо СецуреКс Тхреат Респонсе, следите ове кораке:

1. У ФМЦ-у кликните на траку на дну било које ФМЦ странице.
2. Кликните на „Преузми СецуреКс“.
3. Пријавите се на СецуреКс.
4. Кликните на везу да бисте одобрили приступ.
5. Кликните на траку да бисте је проширили и искористили.

View Подаци о догађајима у Цисцо СецуреКс Тхреат Респонсе

То view подаци о догађајима у Цисцо СецуреКс Тхреат Респонсе, пратите
ови кораци:

1. Пријавите се на Цисцо СецуреКс Тхреат Респонсе како то буде затражено.

Коришћење истраге догађаја Web-Базирани ресурси
Да бисте истражили догађаје користећи web-заснованих ресурса, пратите ове кораке:

1. Пријавите се на Цисцо СецуреКс Тхреат Респонсе како то буде затражено.
2. Користите функцију контекстуалног унакрсног покретања да бисте пронашли више информација о потенцијалним претњама web-ресурси засновани ван центра за управљање ватреном моћи.
3. Кликните директно са догађаја у догађају viewер или контролној табли у Центру за управљање ватреном моћи до релевантних информација у екстерном ресурсу.

О управљању контекстуалним ресурсима за више покретања
За управљање екстерним web-заснованих ресурса, пратите ове кораке:

1. Идите на Анализа > Напредно > Контекстуално унакрсно покретање.
2. Управљајте унапред дефинисаним ресурсима и ресурсима трећих страна које нуди Цисцо.
3. По потреби можете онемогућити, избрисати или преименовати ресурсе.

ФАКс

• П: Шта је СецуреКс?
  О: СецуреКс је платформа за интеграцију у Цисцо Цлоуд која омогућава корисницима да анализирају инциденте користећи податке агрегиране из више производа, укључујући Фиреповер.
• П: Како могу да приступим СецуреКс-у помоћу функције траке?
  О: Да бисте приступили СецуреКс-у помоћу функције траке, кликните на траку на дну било које ФМЦ странице и пратите наведене кораке.
• П: Могу ли view подаци о догађајима у Цисцо СецуреКс Тхреат Респонсе?
  О: Да, можете view податке о догађајима у Цисцо СецуреКс Тхреат Респонсе тако што ћете се пријавити како се то од вас затражи.
• П: Како могу да истражим догађаје користећи web-базирани ресурси?
  О: Да истражите догађаје користећи webресурсе засноване на ресурсима, пријавите се на Цисцо СецуреКс Тхреат Респонсе и користите функцију контекстуалног унакрсног покретања да бисте пронашли релевантне информације.

Интегришите са Цисцо СецуреКс

View и радите са подацима из свих ваших Цисцо безбедносних производа и више кроз једно стакло, СецуреКс цлоуд портал. Користите алатке доступне преко СецуреКс-а да бисте обогатили свој лов на претње и истраге. СецуреКс такође може да пружи корисне информације о уређају и уређају као што је да ли сваки од њих користи оптималну верзију софтвера.

• За више информација о СецуреКс-у, погледајте http://www.cisco.com/c/en/us/products/security/securex.html.
• Да бисте интегрисали Фиреповер са СецуреКс-ом, погледајте Водич за интеграцију Фиреповер-а и СецуреКс-а на https://cisco.com/go/firepower-securex-documentation.

Приступите СецуреКс-у помоћу траке
Трака се појављује на дну сваке странице у ФМЦ-у web интерфејс. Можете да користите траку за брзо окретање на друге Цисцо безбедносне производе и рад са подацима о претњама из више извора.

Пре него што почнете

• Ако не видите СецуреКс траку на дну ФМЦ-а web странице интерфејса, немојте користити ову процедуру. Уместо тога, погледајте Водич за интеграцију Фиреповер и СецуреКс на https://cisco.com/go/firepower-securex-documentation.
• Ако већ немате СецуреКс налог, набавите га од свог ИТ одељења.

Процедура

• Корак 1 У ФМЦ-у кликните на траку на дну било које ФМЦ странице.
• Корак 2 Кликните на Гет СецуреКс.
• Корак 3 Пријавите се на СецуреКс.
• Корак 4 Кликните на везу да бисте одобрили приступ.
• Корак 5 Кликните на траку да бисте је проширили и користили.

Шта даље
За информације о функцијама траке и како их користити, погледајте помоћ на мрежи у СецуреКс-у.

Анализа догађаја са Цисцо СецуреКс одговором на претње

Цисцо СецуреКс одговор на претње је раније био познат као Цисцо Тхреат Респонсе (ЦТР). Брзо откријте, истражите и одговорите на претње користећи Цисцо СецуреКс одговор на претње, платформу за интеграцију у Цисцо Цлоуд која вам омогућава да анализирате инциденте користећи податке агрегиране из више производа, укључујући Ватрена моћ.

• За опште информације о одговору на претње Цисцо СецуреКс погледајте: https://www.cisco.com/c/en/us/products/security/threat-response.html.
• За детаљна упутства за интеграцију Фиреповер-а са одговором на претњу Цисцо СецуреКс погледајте:
• Водич за интеграцију одговора на претње Фиреповер и Цисцо СецуреКс на https://cisco.com/go/firepower-ctr-integration-docs.

View Подаци о догађајима у одговору на Цисцо СецуреКс претње

Пре него што почнете

• Подесите интеграцију као што је описано у Водичу за интеграцију одговора на претње Фиреповер и Цисцо СецуреКс на https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.
• Review онлајн помоћ у одговору на претње Цисцо СецуреКс да научите како да пронађете, истражите и предузмете мере у вези са претњама.
• Биће вам потребни ваши акредитиви да бисте приступили одговору на претњу Цисцо СецуреКс.

Процедура

Корак 1
У центру за управљање ватреном моћи урадите једно од следећег:

• Да бисте прешли на одговор на претњу Цисцо СецуреКс од одређеног догађаја:
  • Идите на страницу у менију Анализа > Упади која наводи подржани догађај.
  • Кликните десним тастером миша на изворну или одредишну ИП адресу и изаберите View у СецуреКс.
• То view информације о догађају уопштено:
  • Идите на Систем > Интеграције > Услуге у облаку.
  • Кликните на везу до view догађаји у одговору на претње Цисцо СецуреКс.

Корак 2
Пријавите се на одговор на претњу Цисцо СецуреКс како се то од вас затражи.

Коришћење истраге догађаја Web-Базирани ресурси
Користите функцију контекстуалног унакрсног покретања да бисте брзо пронашли више информација о потенцијалним претњама web-ресурси засновани ван центра за управљање ватреном моћи. Фор екampле, можете:

• Потражите сумњиву изворну ИП адресу у услузи Цисцо или треће стране у облаку која објављује информације о познатим и сумњивим претњама, или
• Потражите претходне инстанце одређене претње у историјским евиденцијама ваше организације, ако ваша организација те податке чува у апликацији за управљање безбедносним информацијама и догађајима (СИЕМ).
• Потражите информације о одређеном file, укључујући file информације о путањи, ако је ваша организација применила Цисцо AMP за крајње тачке.

Када истражујете догађај, можете кликнути директно са догађаја у догађају viewер или контролној табли у Центру за управљање ватреном моћи до релевантних информација у екстерном ресурсу. Ово вам омогућава да брзо прикупите контекст око одређеног догађаја на основу његових ИП адреса, портова, протокола, домена и/или СХА 256 хеша. Фор екampПретпоставимо да гледате виџет контролне табле Топ Аттацкерс и желите да сазнате више информација о једној од наведених изворних ИП адреса. Желите да видите које информације Талос објављује о овој ИП адреси, па бирате ресурс „Талос ИП“. Тхе Талос web сајт се отвара на страницу са информацијама о овој специфичној ИП адреси. Можете да бирате између скупа унапред дефинисаних веза ка најчешће коришћеним Цисцо и услугама обавештајних података трећих страна, као и да додате прилагођене везе другим webуслуге засноване на СИЕМ-у или другим производима који имају а web интерфејс. Имајте на уму да неки ресурси могу захтевати налог или куповину производа.

О управљању контекстуалним ресурсима за више покретања

• Управљајте екстерним webресурси засновани на страници Анализа > Напредно > Контекстуално унакрсно покретање.

Изузетак:
Управљајте везама за унакрсно покретање ка уређају за аналитику безбедне мреже пратећи процедуру у Конфигуришите везе за унакрсно покретање за аналитику безбедне мреже.

• Унапред дефинисани ресурси које нуди Цисцо означени су Цисцо логотипом. Преостале везе су ресурси трећих страна.
• Можете онемогућити или избрисати све ресурсе који вам нису потребни, или их можете преименовати, нпрampле додавањем префикса имену малим словима „з“ тако да се ресурс сортира на дно листе. Онемогућавање ресурса за унакрсно покретање онемогућава га за све кориснике. Не можете вратити избрисане ресурсе, али их можете поново креирати.
• Да бисте додали ресурс, погледајте Додавање контекстуалних ресурса за унакрсно покретање.

Захтеви за прилагођене контекстуалне ресурсе за унакрсно покретање

Када додајете прилагођене контекстуалне ресурсе за унакрсно покретање:

• Ресурси морају бити доступни путем web претраживач.
• Подржани су само хттп и хттпс протоколи.
• Подржани су само ГЕТ захтеви; ПОСТ захтеви нису.
• Кодирање променљивих у URLс није подржано. Иако ИПв6 адресе могу захтевати кодирање сепаратора двотачка, већина услуга не захтева ово кодирање.
• Може се конфигурисати до 100 ресурса, укључујући унапред дефинисане ресурсе.
• Морате бити корисник администратора или безбедносног аналитичара да бисте креирали унакрсно покретање, али можете бити и безбедносни аналитичар само за читање да бисте их користили.

Додајте контекстуалне ресурсе за унакрсно покретање

• Можете да додате контекстуалне ресурсе за унакрсно покретање као што су услуге обавештајних података о претњама и алати за управљање безбедносним информацијама и догађајима (СИЕМ).
• У примени на више домена, можете да видите и користите ресурсе у надређеним доменима, али можете да креирате и мењате ресурсе само у тренутном домену. Укупан број ресурса у свим доменима је ограничен на 100.

Пре него што почнете

• Ако додајете везе на уређај Сецуре Нетворк Аналитицс, проверите да ли везе које желите већ постоје; већина веза се аутоматски креира за вас када конфигуришете Цисцо безбедносну аналитику и евидентирање (он Премисес).
• Погледајте Захтеве за прилагођене контекстуалне ресурсе за унакрсно покретање.
• Ако је потребно за ресурс са којим ћете се повезати, креирати или добити налог и акредитиве потребне за приступ. Опционо, доделите и дистрибуирајте акредитиве за сваког корисника коме је потребан приступ.
• Одредите синтаксу везе за упит за ресурс на који ћете се повезати:
  • Приступите ресурсу преко претраживача и, користећи документацију за тај ресурс по потреби, формулишите везу за упит потребну за тражење одређеног сampле типа информација које желите да ваша веза за упит пронађе, као што је ИП адреса.
  • Покрените упит, а затим копирајте резултат URL са траке локације претраживача.
  • Фор екampле, можда имате упит URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

Процедура

• Корак 1
  Изаберите Анализа > Напредно > Контекстуално унакрсно покретање.
• Корак 2 Кликните на Ново унакрсно покретање.
  У обрасцу који се појави, сва поља означена звездицом захтевају вредност.
• Корак 3 Унесите јединствено име ресурса.
• Корак 4 Залепите радни URL стринг из вашег ресурса у URL Поље шаблона.
• Корак 5 Замените одређене податке (као што је ИП адреса) у стрингу упита одговарајућом променљивом: Поставите курсор, а затим кликните на променљиву (нпр.ampле, ип) једном да бисте уметнули променљиву.
  • У бивampле из горњег одељка „Пре него што почнете“, резултујући URL може бити https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
  • Када се користи контекстуална веза за унакрсно покретање, променљива {ип} у URL биће замењен ИП адресом на коју корисник кликне десним тастером миша у том догађају viewер или контролна табла.
  • За опис сваке променљиве, пређите курсором преко променљиве.
  • Можете креирати више контекстуалних веза за унакрсно покретање за једну алатку или услугу, користећи различите варијабле за сваку.
• Корак 6 Кликните на Тест витх екampле дата ( ) да бисте тестирали своју везу са екampле дата.
• Корак 7 Решите све проблеме.
• Корак 8 Кликните на дугме Сачувај.

Истражите догађаје користећи контекстуално унакрсно покретање

Пре него што почнете
Ако ресурс којем ћете приступити захтева акредитиве, проверите да ли имате те акредитиве.

Процедура

• Корак 1 Идите на једну од следећих страница у Центру за управљање ватреном моћи која приказује догађаје:
  • Контролна табла (прекоview > Контролне табле), или
  • Догађај viewер паге (било која опција менија у менију Анализа која укључује табелу догађаја.)
• Корак 2 Кликните десним тастером миша на догађај од интереса и изаберите контекстуални ресурс за унакрсно покретање који ћете користити.
  • Ако је потребно, померите се надоле у ​​контекстуалном менију да бисте видели све доступне опције.
  • Тип података на који кликнете десним тастером миша одређује опције које видите; за прampда, ако десним тастером миша кликнете на ИП адресу, видећете само контекстуалне опције унакрсног покретања које су релевантне за ИП адресе.
  • Дакле, нпрampда бисте добили обавештајне податке о претњама од Цисцо Талос-а о изворној ИП адреси у виџету контролне табле Топ Аттацкерс, изаберите Талос СрцИП или Талос ИП.
  • Ако ресурс укључује више променљивих, опција избора тог ресурса је доступна само за догађаје који имају једну могућу вредност за сваку укључену променљиву.
  • Контекстуални ресурс за унакрсно покретање отвара се у посебном прозору прегледача.
  • Може потрајати неко време да се упит обради, у зависности од количине података за упит, брзине и потражње за ресурсом итд.
• Корак 3 Пријавите се на ресурс ако је потребно.

Конфигуришите везе за унакрсно покретање за аналитику безбедне мреже

• Можете да извршите унакрсно покретање од података о догађајима у Фиреповер-у до повезаних података у свом уређају за аналитику безбедне мреже.
• За више информација о производу Сецуре Нетворк Аналитицс, погледајте https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
• За опште информације о контекстуалном унакрсном покретању, погледајте Истражите догађаје помоћу контекстуалног унакрсног покретања.
• Користите ову процедуру да бисте брзо конфигурисали скуп веза за унакрсно покретање до вашег уређаја Сецуре Нетворк Аналитицс.

Напомена

• Ако касније треба да промените ове везе, вратите се на ову процедуру; не можете да правите промене директно на контекстуалној страници са листингом за унакрсно покретање.
• Можете ручно да креирате додатне везе за унакрсно покретање у свом уређају за аналитику безбедне мреже користећи процедуру у Додавање ресурса за контекстуално унакрсно покретање, али те везе би биле независне од аутоматски креираних ресурса и стога би њима требало ручно управљати (брисати, ажурирано, итд.)

Пре него што почнете

• Морате имати распоређен и покренут уређај Сецуре Нетворк Аналитицс.
• Ако желите да пошаљете Фиреповер податке свом уређају за безбедну мрежну аналитику користећи Цисцо безбедносну аналитику и евидентирање (он Премисес), погледајте Удаљено складиштење података на уређају за безбедну мрежну аналитику.

Процедура

• Корак 1 Изаберите Систем > Евидентирање > Безбедносна аналитика и евидентирање.
• Корак 2 Омогућите функцију.
• Корак 3 Унесите име хоста или ИП адресу и порт вашег уређаја Сецуре Нетворк Аналитицс. Подразумевани порт је 443.
• Корак 4 Кликните на дугме Сачувај.
• Корак 5 Потврдите своје нове везе за унакрсно покретање: Изаберите Анализа > Напредно > Контекстуално унакрсно покретање. Ако треба да унесете измене, вратите се на ову процедуру; не можете да правите промене директно на контекстуалној страници са листингом за унакрсно покретање.

Шта даље

• За унакрсно покретање са догађаја на догађај Аналитике безбедне мреже viewер, биће вам потребни ваши акредитиви Сецуре Нетворк Аналитицс.
• За унакрсно покретање са догађаја у ФМЦ догађају viewили на контролној табли, кликните десним тастером миша на ћелију табеле релевантног догађаја и изаберите одговарајућу опцију.
• Може потрајати неко време да се упит обради, у зависности од количине података за упит, брзине и потражње на Стеалтхватцх конзоли за управљање итд.

О слању Сислог порука за безбедносне догађаје

• Можете да шаљете податке у вези са везом, безбедносним обавештајним подацима, упадима и file и догађаје злонамерног софтвера преко системског дневника у алатку за управљање безбедносним информацијама и догађајима (СИЕМ) или друго решење за складиштење и управљање спољним догађајима.
• Ови догађаји се понекад називају и Снорт® догађаји.

О конфигурисању система за слање података о безбедносним догађајима у Сислог

Да бисте конфигурисали систем да шаље системске дневнике безбедносних догађаја, мораћете да знате следеће:

• Најбоље праксе за конфигурисање Сислог порука о безбедносним догађајима
• Конфигурационе локације за системске дневнике безбедносних догађаја
• Подешавања ФТД платформе која се примењују на поруке Сислог безбедносних догађаја
• Ако промените подешавања системског дневника у било којој политици, морате поново да примените да би промене ступиле на снагу.

Најбоље праксе за конфигурисање Сислог порука о безбедносним догађајима

Уређај и верзија	Конфигурација Локација
Све	Ако ћете користити системски дневник или чувати догађаје екстерно, избегавајте посебне знакове у називима објеката као што су називи смерница и правила. Имена објеката не би требало да садрже специјалне знакове, као што су зарези, које апликација која прима може да користи као сепараторе.

Одбрана од опасности од ватрене моћи

1.      Конфигуришите подешавања ФТД платформе (Уређаји > Подешавања платформе > Подешавања одбране од претњи > Системски дневник.) Такође погледајте подешавања ФТД платформе која се примењују на поруке Сислог безбедносних догађаја. 2.      На картици Евидентирање смерница контроле приступа, изаберите да користите подешавања ФТД платформе. 3.      (За догађаје упада) Конфигуришите политике упада да бисте користили подешавања на картици Евидентирање смерница контроле приступа. (Ово је подразумевано.)   Не препоручује се замењивање било које од ових подешавања. За битне детаље погледајте Слање порука Сислог сигурносних догађаја са ФТД уређаја.

Сви остали уређаји

1.      Направите одговор на упозорење. 2.      Конфигуришите евиденцију политике контроле приступа да бисте користили одговор на упозорење. 3.      (За догађаје упада) Конфигуришите подешавања системског дневника у смерницама против упада.  За потпуне детаље погледајте Слање порука Сислог сигурносних догађаја са класичних уређаја.

Пошаљите поруке Сислог сигурносних догађаја са ФТД уређаја
Ова процедура документује конфигурацију најбоље праксе за слање сислог порука за безбедносне догађаје (веза, веза везана за безбедност, упад, fileи догађаји малвера) са уређаја Фиреповер Тхреат Дефенсе.

Напомена
Многа подешавања системског дневника Фиреповер Тхреат Дефенсе нису применљива на безбедносне догађаје. Конфигуришите само опције описане у овој процедури.

Пре него што почнете

• У ФМЦ-у, конфигуришите смернице за генерисање безбедносних догађаја и проверите да ли се догађаји које очекујете да видите појављују у применљивим табелама у менију Анализа.
• Прикупите ИП адресу, порт и протокол (УДП или ТЦП) сервера сислог сервера:
• Уверите се да ваши уређаји могу да дођу до сервера сислог-а.
• Потврдите да сервер(и) системског дневника може да прихвати удаљене поруке.
• За важне информације о евидентирању везе, погледајте поглавље Евиденција веза.

Процедура

• Корак 1 Конфигуришите подешавања системског дневника за ваш уређај Фиреповер Тхреат Дефенсе:
  • Кликните на Уређаји > Подешавања платформе.
  • Уредите политику подешавања платформе која је повезана са вашим уређајем Фиреповер Тхреат Дефенсе.
  • У левом окну за навигацију кликните на Сислог.
  • Кликните Сислог Серверс и кликните на Додај да бисте унели сервер, протокол, интерфејс и повезане информације. Ако имате питања о опцијама на овој страници, погледајте Конфигурисање Сислог сервера.
  • Кликните на Сислог Сеттингс и конфигуришите следећа подешавања:
    • Омогући Тиместamp на Сислог порукама
    • Тиместamp Формат
    • Омогућите Сислог ИД уређаја
  • Кликните на Подешавање евиденције.
  • Изаберите да ли желите да шаљете системске дневнике у ЕМБЛЕМ формату или не.
  • Сачувајте своја подешавања.
• Корак 2 Конфигуришите општа подешавања евиденције за политику контроле приступа (укључујући file и евидентирање злонамерног софтвера):
  • Кликните на Смернице > Контрола приступа.
  • Уредите применљиву политику контроле приступа.
  • Кликните на Евидентирање.
  • Изаберите ФТД 6.3 и новије верзије: Користите подешавања системског дневника конфигурисана у смерницама за поставке ФТД платформе примењене на уређају.
  • (Опционално) Изаберите озбиљност Сислог.
  • Ако ћете послати file и догађаје малвера, изаберите Пошаљи Сислог поруке за File и догађаји малвера.
  • Кликните на Сачувај.
• Корак 3 Омогућите евидентирање догађаја везаних за безбедност за смернице контроле приступа:
  • У истој политици контроле приступа, кликните на картицу Сецурити Интеллигенце.
  • На свакој од следећих локација кликните на Евидентирање ( ) и омогући почетак и крај везе и Сислог сервера:
    • Поред ДНС политике.
    • У оквиру листе блокова, за Мреже и за URLs.
  • Кликните на Сачувај.
• Корак 4 Омогућите евидентирање системског дневника за свако правило у политици контроле приступа:
  • У истој политици контроле приступа кликните на картицу Правила.
  • Кликните на правило да бисте изменили.
  • Кликните на картицу Евидентирање у правилу.
  • Одаберите да ли желите да евидентирате почетак или крај везе или обоје.
    (Евидентирање везе генерише много података; евидентирање почетка и краја генерише отприлике дупло више података. Не може се свака веза евидентирати и на почетку и на крају.)
  • Ако ћете се пријавити file догађаја, изаберите Дневник Files.
  • Омогућите Сислог Сервер.
  • Проверите да ли је правило „Коришћење подразумеване конфигурације системског дневника у евиденцији контроле приступа“.
  • Кликните на Додај.
  • Поновите за свако правило у политици.
• Корак 5 Ако ћете послати догађаје упада:
  • Дођите до политике упада која је повезана са вашом политиком контроле приступа.
  • У вашој политици упада кликните на Напредне поставке > Упозорење о системском дневнику > Омогућено.
  • Ако је потребно, кликните на Уреди
  • Унесите опције:
    

    Опција	Валуе
    Логгинг Хост	Осим ако нећете слати сислог поруке о догађајима упада на други систем системског дневника него што ћете слати друге сислог поруке, оставите ово празно да бисте користили подешавања која сте претходно конфигурисали.
    Фацилити	Ово подешавање је применљиво само ако на овој страници наведете хост за евидентирање. За описе, погледајте Сислог Алерт Фацилитиес.
    Озбиљност	Ово подешавање је применљиво само ако на овој страници наведете хост за евидентирање. За описе погледајте Нивои озбиљности система Сислог.

  • Кликните Назад.
  • Кликните на Информације о политици у левом окну за навигацију.
  • Кликните на Урежи промене.

Шта даље

• (Опционално) Конфигуришите различите поставке евидентирања за појединачне смернице и правила. Погледајте применљиве редове табеле у Конфигурационим локацијама за системске дневнике за догађаје везе и безбедносне интелигенције (сви уређаји).
  • Ова подешавања ће захтевати одговоре на упозорење системског дневника, који су конфигурисани како је описано у одељку Креирање одговора на упозорење Сислог. Они не користе поставке платформе које сте конфигурисали у овој процедури.
• Да бисте конфигурисали евидентирање сигурносних догађаја у системском дневнику за класичне уређаје, погледајте одељак Слање порука Сислог безбедносних догађаја са класичних уређаја.
• Ако сте завршили са изменама, примените промене на управљаним уређајима.

Пошаљите поруке Сислог сигурносних догађаја са класичних уређаја

Пре него што почнете

• Конфигуришите смернице за генерисање безбедносних догађаја.
• Уверите се да ваши уређаји могу да дођу до сервера сислог-а.
• Потврдите да сервер(и) системског дневника може да прихвати удаљене поруке.
• За важне информације о евидентирању везе, погледајте поглавље Евиденција веза.

Процедура

• Корак 1 Конфигуришите одговор упозорења за ваше класичне уређаје: Погледајте Креирање одговора упозорења Сислог.
• Корак 2 Конфигуришите подешавања системског дневника у политици контроле приступа:
  • Кликните на Смернице > Контрола приступа.
  • Уредите применљиву политику контроле приступа.
  • Кликните на Евидентирање.
  • Изаберите Пошаљи користећи одређено упозорење системског дневника.
  • Изаберите Сислог Алерт које сте креирали изнад.
  • Кликните на Сачувај.
• Корак 3 Ако ћете послати file и догађаји малвера:
  • Изаберите Пошаљи Сислог поруке за File и догађаји малвера.
  • Кликните на Сачувај.
• Корак 4 Ако ћете послати догађаје упада:
  • Дођите до политике упада која је повезана са вашом политиком контроле приступа.
  • У вашој политици упада кликните на Напредне поставке > Упозорење о системском дневнику > Омогућено.
  • Ако је потребно, кликните на Уреди
  • Унесите опције:
    

    Опција	Валуе
    Логгинг Хост	Осим ако нећете слати сислог поруке о догађајима упада на други систем системског дневника него што ћете слати друге сислог поруке, оставите ово празно да бисте користили подешавања која сте претходно конфигурисали.
    Фацилити	Ово подешавање је применљиво само ако на овој страници наведете хост за евидентирање. Погледајте Сислог Алерт Фацилитиес.
    Озбиљност	Ово подешавање је применљиво само ако на овој страници наведете хост за евидентирање. Погледајте Нивои озбиљности система Сислог.

  • Кликните Назад.
  • Кликните на Информације о политици у левом окну за навигацију.
  • Кликните на Урежи промене.

Шта даље

• (Опционално) Конфигуришите различите поставке евидентирања за појединачна правила контроле приступа. Погледајте применљиве редове табеле у Конфигурационим локацијама за системске дневнике за догађаје везе и безбедносне интелигенције (сви уређаји). Ова подешавања ће захтевати одговоре на упозорење системског дневника, који су конфигурисани како је описано у одељку Креирање одговора на упозорење Сислог. Они не користе подешавања која сте претходно конфигурисали.
• Да бисте конфигурисали евиденцију системског дневника безбедносних догађаја за ФТД уређаје, погледајте одељак Слање порука Сислог безбедносних догађаја са ФТД уређаја.

Конфигурационе локације за системске дневнике безбедносних догађаја

• Локације конфигурације за системске дневнике за догађаје веза и безбедносне интелигенције (сви уређаји)12
• Локације конфигурације за системске дневнике за догађаје упада (ФТД уређаји)
• Локације конфигурације за системске дневнике за догађаје упада (уређаји који нису ФТД)
• Конфигурационе локације за системске дневнике за File и Малвер Евентс

Локације конфигурације за системске дневнике за догађаје веза и безбедносне интелигенције (сви уређаји)
Постоји много места за конфигурисање подешавања евиденције. Користите доњу табелу да бисте били сигурни да сте подесили опције које су вам потребне.

Важно

• Обратите пажњу када конфигуришете подешавања системског дневника, посебно када користите наслеђене подразумеване вредности из других конфигурација. Неке опције можда НЕЋЕ бити доступне за све моделе управљаних уређаја и верзије софтвера, као што је наведено у табели испод.
• За важне информације када конфигуришете евиденцију везе, погледајте поглавље Евиденција веза.

Конфигурација Локација	Опис и Више Информације
Уређаји > Подешавања платформе, смерница подешавања заштите од претњи, Сислог	Ова опција се примењује само на уређаје за одбрану од претњи од ватрене моћи. Подешавања која овде конфигуришете могу се навести у подешавањима евиденције за политику контроле приступа, а затим користити или заменити у преостале политике и правила у овој табели. Погледајте Подешавања ФТД платформе која се примењују на поруке Сислог безбедносних догађаја и О Сислог-у и подтемама.
Смернице > Контрола приступа, , Логгинг	Подешавања која овде конфигуришете су подразумеване поставке за системске дневнике за све догађаје веза и безбедносне интелигенције, осим ако не надјачате подразумеване вредности у смерницама и правилима потомака на локацијама наведеним у преосталим редовима ове табеле. Препоручено подешавање за ФТД уређаје: Користите подешавања ФТД платформе. За информације погледајте Подешавања ФТД платформе која се примењују на поруке Сислог безбедносних догађаја и О системском дневнику и подтемама. Обавезна поставка за све друге уређаје: Користите упозорење системског дневника. Ако наведете упозорење сислог, погледајте Креирање одговора Сислог упозорења. За више информација о подешавањима на картици Евидентирање, погледајте Подешавања евиденције за смернице контроле приступа.

Смернице > Контрола приступа, , Правила, Подразумевана радња ред, Логгинг ( )	Подешавања евиденције за подразумевану акцију повезану са политиком контроле приступа. Погледајте информације о пријављивању у поглављу Правила контроле приступа и Евидентирање веза са подразумеваном радњом политике.
Смернице > Контрола приступа, , Правила, , Логгинг	Евидентирање подешавања за одређено правило у политици контроле приступа. Погледајте информације о пријављивању у поглављу Правила контроле приступа.
Смернице > Контрола приступа, , Сецурити Интеллигенце, Логгинг ( )	Подешавања евиденције за листе блокова безбедносне интелигенције. Кликните на ова дугмад да бисте конфигурисали: • Опције евиденције ДНС листе блокова •  URL Опције евидентирања листе блокова • Опције евидентирања листе блокираних мрежа (за ИП адресе на листи блокираних)   Погледајте одељак Конфигурисање безбедносне интелигенције, укључујући одељак предуслови и подтеме и везе.
Политике > ССЛ, , Подразумевана радња ред, Логгинг ( )	Подешавања евиденције за подразумевану радњу повезану са ССЛ политиком. Погледајте Евидентирање веза са подразумеваном радњом политике.
Политике > ССЛ, , , Логгинг	Подешавања евиденције за ССЛ правила. Погледајте компоненте ТЛС/ССЛ правила.
Смернице > Предфилтер, , Подразумевана радња ред, Логгинг ( )	Подешавања евиденције за подразумевану радњу повезану са политиком унапред филтера. Погледајте Евидентирање веза са подразумеваном радњом политике.
Смернице > Предфилтер, , , Логгинг	Евидентирање подешавања за свако правило претходног филтрирања у смерници унапред филтера. Погледајте Компоненте правила тунела и предфилтра
Смернице > Предфилтер, , , Логгинг	Подешавања евиденције за свако правило тунела у смерници унапред филтера. Погледајте Компоненте правила тунела и предфилтра
Додатна подешавања системског дневника за конфигурације ФТД кластера:	Поглавље Груписање за одбрану од претњи ватреном моћи има више референци на системски дневник; претражите у поглављу „сислог“.

Локације конфигурације за системске дневнике за догађаје упада (ФТД уређаји)
Можете да одредите подешавања системског дневника за политике упада на различитим местима и, опционо, наследите подешавања из политике контроле приступа или подешавања ФТД платформе или обоје.

Конфигурација Локација	Опис и Више Информације
Уређаји > Платформа Подешавања, смерница подешавања заштите од претњи, Сислог	Одредишта Сислог које овде конфигуришете могу се навести на картици Евидентирање политике контроле приступа која може бити подразумевана за политику упада. Погледајте Подешавања ФТД платформе која се примењују на поруке Сислог безбедносних догађаја и О Сислог-у и подтемама.
Смернице > Контрола приступа, , Логгинг	Подразумевана поставка за одредиште системског дневника за упад догађаје, ако политика упада не наводи друге хостове за евидентирање. Погледајте Подешавања евиденције за смернице контроле приступа.
Политике > Упад, , Напредна подешавања, омогућити Сислог Алертинг, кликните Уреди	Да бисте навели сакупљаче системских дневника осим одредишта наведених на картици Евидентирање политике контроле приступа, и да бисте навели могућност и озбиљност, погледајте Конфигурисање упозорења Сислог за догађаје упада. Ако желите да користите Озбиљност or Фацилити или обоје како је конфигурисано у политици упада, такође морате конфигуришите хостове за евидентирање у политици. Ако користите хостове за евидентирање наведене у политици контроле приступа, неће се користити озбиљност и могућност наведене у политици упада.

Локације конфигурације за системске дневнике за догађаје упада (уређаји који нису ФТД)

• (Подразумевано) Политика контроле приступа Подешавања евиденције за смернице контроле приступа, АКО наведете упозорење системског дневника (погледајте Креирање одговора на упозорење Сислог.)
• Или погледајте Конфигурисање упозорења Сислог за догађаје упада.

Подразумевано, политика упада користи подешавања на картици Евидентирање политике контроле приступа. Ако тамо нису конфигурисана подешавања која се примењују на уређаје који нису ФТД, системски дневники се неће слати за уређаје који нису ФТД и не појављује се упозорење.

Конфигурационе локације за системске дневнике за File и Малвер Евентс

Конфигурација Локација	Опис и Више Информације
У политици контроле приступа: Смернице > Контрола приступа, , Логгинг	Ово је главна локација за конфигурисање система за слање системских дневника file и догађаји малвера. Ако не користите подешавања системског дневника у подешавањима ФТД платформе, такође морате да креирате одговор упозорења. Погледајте Креирање одговора упозорења Сислог.

Конфигурација Локација	Опис и Више Информације
У подешавањима платформе за одбрану од претњи од ватрене моћи: Уређаји > Платформа Подешавања, смерница подешавања заштите од претњи, Сислог	Ова подешавања се примењују само на уређаје Фиреповер Тхреат Дефенсе са подржаним верзијама и само ако конфигуришете картицу Евидентирање у смерницама контроле приступа да користи подешавања ФТД платформе. Погледајте Подешавања ФТД платформе која се примењују на поруке Сислог безбедносних догађаја и О Сислог-у и подтемама.
У правилу контроле приступа: Смернице > Контрола приступа, , , Логгинг	Ако не користите подешавања системског дневника у подешавањима ФТД платформе, такође морате да креирате одговор упозорења. Погледајте Креирање одговора упозорења Сислог.

Анатомија сигурносних порука Сислог догађаја

Exampпорука о безбедносном догађају од ФТД (догађај упада)

Табела 1: Компоненте порука Сислог сигурносних догађаја

Ставка Број in Sample Порука	Хеадер Елемент	Опис
0	ПРИ	Вредност приоритета која представља и могућност и озбиљност упозорења. Вредност се појављује у сислог порукама само када омогућите пријављивање у ЕМБЛЕМ формату користећи подешавања ФМЦ платформе. ако ти омогући евидентирање догађаја упада путем политике контроле приступа Картица Евидентирање, ПРИ вредност се аутоматски приказује у порукама сислог. За информације о томе како да омогућите формат ЕМБЛЕМ погледајте Омогућавање евидентирања и конфигурисање основних поставки. За информације о ПРИ, погледајте РФЦ5424.
1	Тиместamp	Датум и време када је порука системског дневника послата са уређаја. • (Сислогс послати са ФТД уређаја) За системске дневнике послате коришћењем подешавања у политици контроле приступа и њених потомака, или ако је наведено да користи овај формат у подешавањима ФТД платформе, формат датума је формат дефинисан у ИСО 8601 временском рокуamp формат као што је наведено у РФЦ 5424 (гггг-ММ-ддТХХ:мм:ссЗ), где слово З означава УТЦ временску зону. • (Сислогс послати са свих других уређаја) За системске евиденције послате коришћењем подешавања у политици контроле приступа и њених потомака, формат датума је формат дефинисан у ИСО 8601 временском рокуamp формат као што је наведено у РФЦ 5424 (гггг-ММ-ддТХХ:мм:ссЗ), где слово З означава УТЦ временску зону. • У супротном, то су месец, дан и време у временској зони УТЦ, иако временска зона није назначена.   Да бисте конфигурисали времеamp подешавање у подешавањима ФТД платформе, погледајте Конфигурисање поставки система дневника.
2	Уређај или интерфејс са којег је порука послата. ово може бити: • ИП адреса интерфејса • Име хоста уређаја • Прилагођени идентификатор уређаја	(За системске дневнике послате са ФТД уређаја) Ако је порука системског дневника послата помоћу подешавања ФТД платформе, ово је вредност која је конфигурисана у Сислог Сеттингс за Омогућите Сислог ИД уређаја опција, ако је наведена. У супротном, овај елемент није присутан у заглављу. Да бисте конфигурисали ову поставку у подешавањима ФТД платформе, погледајте Конфигурисање поставки система дневника.

3	Прилагођена вредност	Ако је порука послата помоћу одговора на упозорење, ово је Tag вредност конфигурисана у одговору упозорења који је послао поруку, ако је конфигурисан. (Погледајте Креирање одговора Сислог Алерт.) У супротном, овај елемент није присутан у заглављу.
4	%ФТД %НГИПС	Тип уређаја који је послао поруку. • %ФТД је одбрана од претњи ватреном моћи • %НГИПС су сви остали уређаји
5	Озбиљност	Озбиљност наведена у подешавањима системског дневника за политику која је покренула поруку. За описе озбиљности погледајте Нивои озбиљности или Нивои озбиљности Сислог.
6	Идентификатор типа догађаја	• 430001: Догађај упада • 430002: Догађај везе је евидентиран на почетку везе • 430003: Догађај везе је евидентиран на крају везе   • 430004: File догађај • 430005: File догађај малвера
—	Фацилити	Погледајте Олакшице у порукама Сислог безбедносних догађаја
—	Остатак поруке	Поља и вредности одвојене двотачкама. Поља са празним или непознатим вредностима се изостављају из порука. За описе поља погледајте: • Поља догађаја веза и безбедносних обавештајних података. • Поља догађаја упада •  File и Поља за догађаје малвера   Напомена              Листе описа поља укључују и поља системског дневника и поља видљива у догађају viewер (опције менија у менију Анализа у Центру за управљање ватреном моћи web интерфејс.) Поља доступна преко сислог-а су означена као таква. Нека поља видљива у догађају viewнису доступни преко сислог-а. Такође, нека поља сислог нису укључена у догађај viewер (али може бити доступно путем претраге), а нека поља су комбинована или раздвојена.

Могућност у Сислог порукама безбедносних догађаја
Вредности могућности генерално нису релевантне у порукама системског дневника за безбедносне догађаје. Међутим, ако вам је потребан објекат, користите следећу табелу:

Уређај	Да бисте укључили могућност у догађаје везе	То Укључи Фацилити in Интрусион Евентс	Локација у Сислог поруци
ФТД	Користите опцију ЕМБЛЕМ у подешавањима ФТД платформе. Објекат је увек АЛЕРТ за догађаје повезивања приликом слања порука системског дневника помоћу подешавања ФТД платформе.	Користите опцију ЕМБЛЕМ у подешавањима ФТД платформе или конфигуришите евидентирање користећи подешавања сислог у политици упада. Ако користите политику упада, морате такође да наведете хост евидентирања у подешавањима политике упада.	Могућност се не појављује у заглављу поруке, али сакупљач системског дневника може да изведе вредност на основу РФЦ 5424, одељак 6.2.1.
		Омогућите сислог упозорења и конфигуришите могућност и озбиљност политике упада. Погледајте Конфигурисање упозорења Сислог за догађаје упада.
Уређаји који нису ФТД	Користите одговор на упозорење.	Користите поставку сислог у напредним подешавањима политике упада или одговор на упозорење идентификован на картици Евидентирање смерница контроле приступа.

За више информација погледајте Олакшице и озбиљности за узбуну Сислог упозорења и Креирање одговора Сислог упозорења.

Фиреповер Сислог типови порука
Фиреповер може да шаље више типова сислог података, као што је описано у следећој табели:

Тип података Сислог	Видите
Дневници ревизије од ФМЦ-а	Стреам Аудит Логс у Сислог и поглавље Ревизија система
Дневници ревизије са класичних уређаја (АСА ФиреПОВЕР, НГИПСв)	Стреам евиденције ревизије са класичних уређаја и поглавље Ревизија система ЦЛИ команда: сислог
Здравље уређаја и евиденције везане за мрежу са ФТД уређаја	О Сислогу и подтемама
Евиденције веза, безбедносне интелигенције и упада са ФТД уређаја	О конфигурисању система за слање података о безбедносним догађајима у Сислог.
Евиденција догађаја веза, безбедносне интелигенције и упада са класичних уређаја	О конфигурисању система за слање података о безбедносним догађајима у Сислог

Дневници за file и догађаји малвера

О конфигурисању система за слање података о безбедносним догађајима у Сислог

Ограничења Сислог за безбедносне догађаје

• Ако ћете користити системски дневник или чувати догађаје екстерно, избегавајте посебне знакове у називима објеката као што су називи смерница и правила. Имена објеката не би требало да садрже специјалне знакове, као што су зарези, које апликација која прима може да користи као сепараторе.
• Може проћи до 15 минута док се догађаји не прикажу на вашем системском колектору.
• Подаци за следеће file и догађаји малвера нису доступни преко сислог-а:
• Ретроспективни догађаји
• Догађаји које генерише AMP за крајње тачке

еСтреамер Сервер Стреаминг

• Стреамер догађаја (еСтреамер) вам омогућава да стримујете неколико врста података о догађајима из Фиреповер Манагемент центра до прилагођене клијентске апликације. За више информација погледајте Водич за интеграцију стреамера догађаја Фиреповер Систем.
• Пре него што уређај који желите да користите као еСтреамер сервер може да почне да стримује еСтреамер догађаје спољном клијенту, морате да конфигуришете еСтреамер сервер да шаље догађаје клијентима, пружа информације о клијенту и генерише скуп акредитива за потврду идентитета који ће се користити приликом успостављања комуникација. Све ове задатке можете обављати из корисничког интерфејса уређаја. Када се ваша подешавања сачувају, догађаји које сте изабрали биће прослеђени еСтреамер клијентима када то буду затражене.
• Можете да контролишете које типове догађаја еСтреамер сервер може да пренесе клијентима који их затраже.

Табела 2: Типови догађаја које може да преноси еСтреамер сервер

Догађај Тип	Опис
Интрусион Евентс	догађаји упада које генеришу управљани уређаји
Пакетни подаци о догађају упада	пакети повезани са догађајима упада
Додатни подаци о догађају упада	додатни подаци повезани са догађајем упада као што су изворне ИП адресе клијента који се повезује на а web сервер преко ХТТП проксија или балансера оптерећења
Дисцовери Евентс	Догађаји откривања мреже
Корелација и Дозволи Листа догађаја	корелација и усклађеност дозвољавају догађаје на листи
Упозорења о заставици утицаја	упозорења о утицају које генерише ФМЦ
Кориснички догађаји	корисничких догађаја

Догађај Тип	Опис
Малвер Евентс	догађаји малвера
File Догађаји	file догађаји
Догађаји везе	информације о саобраћају сесије између ваших надгледаних хостова и свих осталих хостова.

Поређење система Сислог и еСтреамера за безбедносни догађај

Генерално, организације које тренутно немају значајна постојећа улагања у еСтреамер треба да користе системски дневник уместо еСтреамер за екстерно управљање подацима безбедносних догађаја.

Сислог	еСтреамер
Није потребно прилагођавање	Потребно је значајно прилагођавање и текуће одржавање да би се прилагодиле промене у сваком издању
Стандард	Власнички
Сислог стандард не штити од губитка података, посебно када се користи УДП	Заштита од губитка података
Шаље директно са уређаја	Шаље са ФМЦ-а, додајући трошкове обраде
Подршка за file и малвер догађаји, веза догађаје (укључујући безбедносне обавештајне догађаје) и догађаје упада.	Подршка за све типове догађаја који су наведени у еСтреамер Сервер Стреаминг-у.
Неки подаци о догађајима се могу послати само са ФМЦ-а. Погледајте податке који се шаљу само преко еСтреамера, а не преко Сислог-а.	Укључује податке који се не могу послати преко сислог-а директно са уређаја. Погледајте податке који се шаљу само преко еСтреамера, а не преко Сислог-а.

Подаци се шаљу само преко еСтреамера, не преко Сислог-а
Следећи подаци су доступни само из Фиреповер Манагемент Центра и стога се не могу послати преко сислог са уређаја:

• Пацкет Логс
• Догађај упада Догађаји екстра података
  За опис погледајте стримовање еСтреамер сервера.
• Статистика и збирни догађаји
• Нетворк Дисцовери догађаји
• Активности корисника и догађаји пријављивања
• Корелациони догађаји
• За догађаје малвера:
  • ретроспективне пресуде
  • ТхреатНаме и Диспоситион, осим ако информације о релевантним СХА-овима већ нису синхронизоване са уређајем
• следећа поља:
  • Поља Импацт и ИмпацтФлаг
    За опис погледајте стримовање еСтреамер сервера.
  • поље ИОЦ_Цоунт
• Већина необрађених ИД-ова и УУИД-ова.
  Изузеци:
  • Системски дневники за догађаје повезивања укључују следеће: ФиреваллПолициУУИД, ФиреваллРулеИД, ТуннелРулеИД, МониторРулеИД, СИ_ЦатегориИД, ССЛ_ПолициУУИД и ССЛ_РулеИД
  • Системски дневники за догађаје упада укључују ИнтрусионПолициУУИД, ГенераторИД и СигнатуреИД
• Проширени метаподаци, укључујући, али не ограничавајући се на:
  • Кориснички подаци које обезбеђује ЛДАП, као што су пуно име, одељење, број телефона, итд. Сислог даје само корисничка имена у догађајима.
  • Детаљи за информације засноване на држави, као што су детаљи ССЛ сертификата. Сислог пружа основне информације као што је отисак прста сертификата, али не пружа друге детаље сертификата као што је ЦН сертификата.
  • Детаљне информације о апликацији, као што је Апп Tags и Категорије. Сислог пружа само имена апликација. Неке поруке са метаподацима такође садрже додатне информације о објектима.
• Информације о геолокацији

Избор типова еСтреамер догађаја

• Поља за потврду Конфигурација еСтреамер догађаја контролишу које догађаје еСтреамер сервер може да преноси.
• Ваш клијент и даље мора посебно да захтева типове догађаја које желите да прими у поруци захтева коју шаље еСтреамер серверу. За више информација погледајте Водич за интеграцију стреамера догађаја Фиреповер Систем.
• У примени са више домена, можете да конфигуришете конфигурацију еСтреамер догађаја на било ком нивоу домена. Међутим, ако је домен претка омогућио одређени тип догађаја, не можете онемогућити тај тип догађаја у доменима потомака.
• Морате бити администраторски корисник да бисте извршили овај задатак, за ФМЦ.

Процедура

• Корак 1 Изаберите Систем > Интеграција.
• Корак 2 Кликните на еСтреамер.
• Корак 3 У оквиру Конфигурација еСтреамер догађаја потврдите или опозовите избор у пољима за потврду поред типова догађаја које желите да еСтреамер проследи клијентима који захтевају, описаних у стримовању еСтреамер сервера.
• Корак 4 Кликните на дугме Сачувај.

Конфигурисање еСтреамер клијентске комуникације

• Пре него што еСтреамер може да пошаље еСтреамер догађаје клијенту, морате да додате клијента у базу података равноправних еСтреамер сервера са еСтреамер странице. Такође морате да копирате сертификат за аутентификацију који генерише еСтреамер сервер на клијента. Након што завршите ове кораке, не морате поново да покрећете еСтреамер услугу да бисте омогућили клијенту да се повеже са еСтреамер сервером.
• У примени на више домена, можете креирати еСтреамер клијент у било ком домену. Сертификат за аутентификацију омогућава клијенту да захтева догађаје само са домена клијентовог сертификата и свих домена потомака. Страница за конфигурацију еСтреамер-а приказује само клијенте повезане са тренутним доменом, тако да ако желите да преузмете или опозовете сертификат, пређите на домен где је клијент креиран.
• Морате бити администратор или корисник Дисцовери администратора да бисте извршили овај задатак за ФМЦ.

Процедура

• Корак 1 Изаберите Систем > Интеграција.
• Корак 2 Кликните на еСтреамер.
• Корак 3 Кликните на Креирај клијента.
• Корак 4 У поље Хостнаме унесите име хоста или ИП адресу хоста који покреће еСтреамер клијент.
  Напомена Ако нисте конфигурисали ДНС резолуцију, користите ИП адресу.
• Корак 5 Ако желите да шифрујете сертификат file, унесите лозинку у поље Лозинка.
• Корак 6 Кликните на дугме Сачувај.
  еСтреамер сервер сада дозвољава хосту да приступи порту 8302 на еСтреамер серверу и креира сертификат за аутентификацију који ће се користити током аутентификације клијент-сервер.
• Корак 7 Кликните на Преузми ( ) поред имена хоста клијента да бисте преузели сертификат file.
• Корак 8 Сачувајте сертификат file у одговарајући директоријум који ваш клијент користи за ССЛ аутентификацију.
• Корак 9 Да бисте опозвали приступ клијенту, кликните на Избриши ( ) поред хоста који желите да уклоните.
  Имајте на уму да не морате поново да покрећете еСтреамер услугу; приступ се одмах укида.

Анализа догађаја у Сплунк-у

• Можете да користите Цисцо Сецуре Фиревалл (фка Фиреповер) апликацију за Сплунк (раније познату као Цисцо Фиреповер апликација за Сплунк) као спољну алатку за приказ и рад са подацима Фиреповер догађаја, за тражење и истраживање претњи на вашој мрежи.
• еСтреамер је обавезан. Ово је напредна функционалност. Погледајте стримовање еСтреамер сервера.
• За више информација погледајте https://cisco.com/go/firepower-for-splunk.

Анализа догађаја у ИБМ КРадар

• Можете да користите апликацију Цисцо Фиреповер за ИБМ КРадар као алтернативни начин да прикажете податке о догађајима и помогнете вам да анализирате, тражите и истражујете претње вашој мрежи.
• еСтреамер је обавезан. Ово је напредна функционалност. Погледајте стримовање еСтреамер сервера.
• За више информација погледајте https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/QRadar/integration-guide-for-the-cisco-firepower-app-for-ibm-qradar.html.

Историја за анализу података о догађајима помоћу спољних алата

Феатуре	Версион	Детаљи
СецуреКс трака	7.0	СецуреКс трака се окреће у СецуреКс за тренутну видљивост окружења претњи у вашим Цисцо безбедносним производима. Да бисте приказали СецуреКс траку у ФМЦ-у, погледајте Водич за интеграцију Фиреповер и СецуреКс на https://cisco.com/go/firepower-securex-documentation. Нови/измењени екрани: Нова страница: Систем > СецуреКс
Пошаљите све догађаје повезивања у Цисцо облак	7.0	Сада можете да шаљете све догађаје повезивања у Цисцо облак, уместо да шаљете само догађаје везе високог приоритета. Нови/измењени екрани: Нова опција на страници Систем > Интеграција > Услуге у облаку
Унакрсно лансирање до view податке у Аналитици безбедне мреже	6.7	Ова функција представља брз начин за креирање више уноса за ваш уређај за аналитику безбедне мреже на страници Анализа > Контекстуално унакрсно покретање. Ови уноси вам омогућавају да кликнете десним тастером миша на релевантан догађај да бисте унакрсно покренули Аналитику безбедне мреже и приказали информације које се односе на тачку података са које сте унакрсно покренули. Нова ставка менија: Систем > Евидентирање > Аналитика безбедности и евидентирање Нова страница за конфигурисање слања догађаја у Аналитику безбедне мреже.

Контекстуално унакрсно покретање од додатних типова поља	6.7	Сада можете унакрсно да се покренете у спољну апликацију користећи следеће додатне типове података о догађајима: • Политика контроле приступа • Политика упада • Апликациони протокол • Клијентска апликација •  Web апликација • Корисничко име (укључујући област)   Нове опције менија: Опције контекстног унакрсног покретања сада су доступне када десним тастером миша кликнете на горње типове података за догађаје у виџетима контролне табле и табелама догађаја на страницама у менију Анализа. Подржане платформе: Фиреповер Манагемент Центер
Интеграција са ИБМ КРадар	6.0 и касније	Корисници ИБМ КРадар-а могу да користе нову апликацију специфичну за Фиреповер да анализирају своје податке о догађајима. Ваша верзија Фиреповер-а утиче на доступну функционалност. Погледајте Анализа догађаја у ИБМ КРадар.
Побољшања интеграције са Цисцо СецуреКс одговором на претње	6.5	• Подршка за регионалне облаке: • Сједињене Америчке Државе (Северна Америка) • Европа   • Подршка за додатне типове догађаја: •  File и догађаји малвера • Догађаји повезивања високог приоритета Ово су догађаји повезивања који се односе на следеће: • Догађаји упада • Догађаји безбедносне обавештајне службе •  File и догађаји малвера     Измењени екрани: Укључене су нове опције Систем > Интеграција > Услуге у облаку. Подржане платформе: Сви уређаји подржани у овом издању, било путем директне интеграције или системског дневника.
Сислог	6.5	Поље АццессЦонтролРулеНаме је сада доступно у порукама системског дневника о догађајима упада.
Интеграција са Цисцо Сецурити Пацкет Анализер	6.5	Подршка за ову функцију је уклоњена.

Интеграција са Цисцо СецуреКс одговором на претње	6.3 (преко сислог-а, користећи прокси колекционар) 6.4 (директно)	Интегришите Фиреповер податке о догађајима упада са подацима из других извора за уједињење view претњи ваше мреже користећи моћне алате за анализу у одговору на претње Цисцо СецуреКс. Измењени екрани (верзија 6.4): Укључене су нове опције Систем > Интеграција > Услуге у облаку. Подржане платформе: Фиреповер Тхреат Дефенсе уређаји који користе верзију 6.3 (преко системског дневника) или 6.4.
Сислог подршка за File и догађаји малвера	6.4	Потпуно квалификовани file а подаци о догађајима малвера сада могу да се шаљу са управљаних уређаја преко сислог-а. Измењени екрани: Смернице > Контрола приступа > Контрола приступа > Евидентирање. Подржане платформе: Сви управљани уређаји који користе верзију 6.4.
Интеграција са Сплунк-ом	Подржава све 6.к верзије	Корисници Сплунк-а могу да користе нову, засебну апликацију Сплунк, апликацију Цисцо Сецуре Фиревалл (фка Фиреповер) за Сплунк, за анализу догађаја. Ваша верзија Фиреповер-а утиче на доступну функционалност. Погледајте Анализа догађаја у Сплунк-у.
Интеграција са Цисцо Сецурити Пацкет Анализер	6.3	Уведена функција: Одмах затражите Цисцо Сецурити Пацкет Анализер пакете који се односе на догађај, а затим кликните да бисте прегледали резултате у Цисцо Сецурити Пацкет Анализеру или их преузмите за анализу у неком другом спољном алату. Нови екрани: Систем > Интеграција > Анализа анализатора пакета > Напредно > Упити за анализатор пакета Нове опције менија: Куери Пацкет Анализер ставку менија када кликнете десним тастером миша на догађај на Дасхбоар страницама и табеле догађаја на страницама у менију Анализа. Подржане платформе: Фиреповер Манагемент Центер
Контекстуално унакрсно покретање	6.3	Уведена функција: Кликните десним тастером миша на догађај да бисте потражили повезане информације у унапред дефинисаном или прилагођеном облику URL-базирани екстерни ресурси. Нови екрани: Анализа > Напредно > Контекстуално унакрсно покретање Нове опције менија: Више опција када кликнете десним тастером миша на догађај на страницама контролне табле, па чак и табеле на страницама у менију Анализа. Подржане платформе: Фиреповер Манагемент Центер

Сислог поруке за догађаји веза и упада	6.3	Могућност слања потпуно квалификованих догађаја веза и упада на спољну меморију и алате преко сислог-а, користећи нове обједињене и поједностављене конфигурације. Заглавља порука су сада стандардизована и укључују идентификаторе типа догађаја, а поруке су мање јер су поља са непознатим и празним вредностима изостављена. Подржане платформе: • Све нове функционалности: ФТД уређаји који користе верзију 6.3. • Неке нове функционалности: Не-ФТД уређаји који користе верзију 6.3. • Мање нових функционалности: Сви уређаји са верзијама старијим од 6.3. За више информација погледајте теме под О слању Сислог порука за безбедносне догађаје.
еСтреамер	6.3	Премештен је еСтреамер садржај из поглавља Извори идентитета хоста у ово поглавље и додат резиме који пореди еСтреамер са системским дневником.