跳至內容
查找我們如何支持MDR

Cisco Firepower

記錄收集器

要使用此功能,您必須擁有「防火牆」整合授權套件。

您可以將 Firepower 與 Sophos Central 整合,以便將稽核資料傳送到 Sophos 進行分析。

此整合使用虛擬機 (VM) 上託管的記錄收集器。它們一起被稱為設備。設備接收協力廠商資料,並將資料傳送到 Sophos Data Lake。

您可以將記錄收集器新增到執行 Sophos NDR VA 和其他記錄收集器的現有 VM。您也可以為此整合建立新 VM。

注意

您可以將多個 Cisco Firepower 防火牆新增到同一個 Sophos 設備。

為此,請在 Sophos Central 中設定 Cisco Firepower 整合,然後設定一個防火牆以向其傳送記錄。然後設定其他 Cisco Firepower 防火牆,將記錄傳送到同一 Sophos 設備。

您不需要重複設定的 Sophos Central 部分。

主要步驟描述如下:

  • 設定此產品的整合。這將設定要在 VM 上使用的映像。
  • 在 VM 上下載並部署映像。這將成為您的設備。
  • 設定 Firepower 以傳送資料。您遵循的步驟取決於您使用的裝置。
  • 將 Firepower 連線到 VM。

需求

設備具有系統和網路存取要求。要檢查您是否滿足這些要求,請參閱 設備要求

設定整合

若要將 Firepower 整合到 Sophos Central,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場
  2. 按一下 Cisco Firepower

    Cisco Firepower 頁面隨即開啟。您可以在此處設定整合並查看已設定的所有整合清單。

  3. 資料擷取(安全警示)中,按一下新增設定

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP

    螢幕上將顯示整合設定步驟

設定 VM

整合設定步驟中,您可以將 VM 設定為設備以從 Firepower 接收資料。您可以使用現有的 VM,也可以建立新的 VM。

您可能需要登入 Firepower,以取得填寫表單所需的一些資訊。

要設定 VM,請執行以下動作:

  1. 為新整合新增名稱和說明。
  2. 輸入設備的名稱和說明。

    如果您已經設定了 Sophos 設備,可以從清單中選擇它。

  3. 選取虛擬平台。目前我們支援 VMware ESXi 6.7 Update 3 或更新版本以及 Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) 或更新版本。

  4. 指定面向網際網路的網路連接埠的 IP 設定。這將為 VM 設定管理介面。

    • 選取 DHCP 可自動指派 IP 位址。

      注意

      如果選取 DHCP,則必須保留 IP 位址。

    • 選取手動以指定網路設定。

  5. 選取 Syslog IP 版本並輸入 Syslog IP 位址

    稍後設定 Firepower 以向設備傳送資料時,您將需要該 syslog IP 位址。

  6. 選取一項通訊協定

    設定 Firepower 以向設備傳送資料時,必須使用相同的通訊協定。

  7. 按一下儲存

    我們會建立整合,整合會顯示在您的清單中。

    在整合詳細資料中,您可以看到設備的連接埠號。稍後設定 Firepower 以向其傳送資料時,您將需要該編號。

    VM 映像可能需要幾分鐘的時間才能準備就緒。

部署虛擬機

限制

如果您使用的是 ESXi,則 OVA 檔案透過 Sophos Central 驗證,因此只能使用一次。如果必須部署其他 VM,則必須在 Sophos Central 中重新建立 OVA 檔案。

使用 VM 映像部署 VM。若要執行此操作,請依照以下步驟操作。

  1. 在整合清單的動作中,按一下適用於您的平台的下載動作,例如,若是 ESXi,則按一下下載 OVA
  2. 映像下載完成後,請將其部署在 VM 上。請參閱部署 VM 進行整合

設定 Firepower

現在設定 Firepower,以將資料傳送到設備。設備可充當 Syslog 伺服器,因此您可以使用防火牆的 Syslog 伺服器功能向其傳送資料。

您遵循的步驟取決於裝置上的韌體版本以及您使用的 Cisco 管理方法。

對於執行 Firepower Threat Defense (FTD) 6.3 版或更新版本的防火牆,請按一下所用管理方法的索引標籤。您可以使用 Firepower Management Console (FMC) 或 Firepower Defence Manager (FDM)。

對於執行 6.3 之前版本的 Firepower Threat Defense (FTD) 的防火牆,請按一下傳統裝置的索引標籤。

注意

避免在原則和規則名稱等物件名稱中使用逗號等特殊字元。VM 上的設備可能將這些字元視為分隔符號。

要使用 Firepower Management Console 將執行 Firepower Threat Defense (FTD) 6.3 版或更新版本的防火牆連線至 Sophos 設備,請執行以下動作。

進行 Syslog 設定

  1. 在 FMC 中,按一下裝置 > 平台設定
  2. 選取要連線至設備的平台,然後按一下編輯圖示。
  3. 按一下 Syslog
  4. 按一下 Syslog 伺服器 > 新增
  5. 輸入 Sophos 設備的下列連線詳細資料。

    1. IP 位址。這是您在 Sophos Central 中設定的 syslog IP 位址。
    2. 通訊協定類型。如果選取 UDP,則不得開啟 EMBLEM 格式。
    3. 連接埠編號。

    新增整合時,必須輸入在 Sophos Central 中輸入的相同設定。

  6. 不要選取啟用安全 Syslog

  7. 存取方式中,輸入允許您的防火牆存取 Sophos 設備的網路詳細資料。

  8. 按一下確定

    有關 Cisco Firepower 防火牆 Syslog 伺服器設定的詳細資訊,請參閱設定 Syslog 伺服器

  9. 按一下 Syslog 設定,並按以下方式進行設定:

    1. 開啟啟用 Syslog 訊息上的時間戳
    2. 時間戳格式中,選取 RFC 5424。
    3. 開啟啟用 Syslog 裝置 ID,並選取主機名
    4. 不要開啟 Netflow 對等設定
  10. 按一下儲存

  11. 按一下記錄設定
  12. 選取啟用記錄
  13. 您不得選取以下內容:

    1. 啟用容錯移轉待機裝置上的記錄
    2. 以 EMBLEM 格式傳送 Syslog
    3. 將偵錯訊息作為 Syslog 傳送
  14. 如果要將 VPN 事件轉送到 Sophos 設備,請執行以下操作:

    1. VPN 記錄設定部分中,選取啟用向防火牆管理中心記錄
    2. 選取偵錯作為記錄級別
  15. 您不需要輸入指定 FTP 伺服器資訊指定快閃大小的資訊。

  16. 按一下儲存

為存取控制設定記錄設定

您還必須為存取控制原則設定記錄設定,包括檔案和惡意軟體記錄。

若要如此,請依照下列步驟操作:

  1. 按一下原則 > 存取控制
  2. 按一下要設定的存取控制原則的編輯圖示。
  3. 按一下記錄
  4. 選取使用在裝置上部署的 FTD 平台設定原則中設定的 Syslog 設定
  5. Syslog 嚴重性中,選取警示
  6. 開啟傳送 IPS 事件的 Syslog 訊息
  7. 開啟傳送檔案和惡意軟體事件的 Syslog 訊息
  8. 按一下儲存

開啟安全情報事件的記錄

  1. 在相同的存取控制原則中,按一下安全情報
  2. 按一下 DNS 原則選項圖示。
  3. DNS 封鎖清單記錄選項中,開啟以下選項:

    • 記錄連接
    • 防火牆管理中心
    • Syslog 伺服器
  4. 按一下確定

  5. 封鎖清單中,按一下網路選項圖示。

  6. 網路封鎖清單記錄選項中,開啟以下選項:

    • 記錄連接
    • 防火牆管理中心
    • 系統日誌伺服器
  7. 按一下確定

  8. 封鎖清單中向下捲動以尋找 URL 選項圖示。

  9. URL 封鎖清單記錄選項中,開啟以下選項:

    • 記錄連接
    • 防火牆管理中心
    • 系統日誌伺服器
  10. 按一下確定

  11. 按一下儲存

為每個存取控制規則開啟 Syslog 記錄

您必須確保存取控制原則中的每個規則都已開啟 Syslog 記錄。

為此,對於原則中的每個規則,請執行以下操作。

  1. 在相同的存取控制原則中,按一下規則索引標籤。
  2. 按一下規則以對其進行編輯。
  3. 編輯規則中,按一下記錄
  4. 選擇是記錄連線的開始還是結束,還是兩者都記錄。

    連線記錄會產生大量資料。記錄開始和結束兩者的產生量大約是原來的兩倍。並非所有連接都可以在開始和結束時加以記錄。有關更多詳細資料,請登入您的 Cisco 帳戶,並移至 Firepower Management Center 設定指南 6.2 版的「連接記錄」部分。請參閱連接,記錄

  5. 如果要記錄檔案事件,請選取記錄檔案

  6. 開啟 Syslog 伺服器
  7. 按一下儲存

開啟入侵事件的記錄

您還必須在與存取控制原則關聯的入侵原則中開啟事件記錄。

  1. 按一下原則 > 入侵
  2. 尋找與您的存取控制原則關聯的入侵原則,然後按一下 Snort 2 版本
  3. 原則資訊中,按一下進階設定
  4. 進階設定中,移至 Syslog 警示
  5. 按一下已啟用
  6. 按一下後退
  7. 原則資訊中,按一下提交變更
  8. 輸入變更的說明,然後按一下確定

注意

避免在原則和規則名稱等物件名稱中使用逗號等特殊字元。VM 上的設備可能將這些字元視為分隔符號。

要使用 FDM 將 Firepower 裝置連線至 Sophos 設備,請執行以下動作。

開啟檔案和惡意軟體事件的記錄。

要開啟檔案和惡意軟體事件的記錄,並將 Sophos 設備的連線詳細資料新增到防火牆,請執行以下操作。

  1. 在要設定的裝置上登入 FDM,然後移至裝置:<名稱>索引標籤。
  2. 系統設定中,按一下記錄設定
  3. 開啟檔案/惡意軟體記錄
  4. 按一下 Syslog 伺服器以查看可用的伺服器。
  5. 如果已將 Sophos 設備新增到此裝置,請將其選中。如果沒有,請按一下建立新的 Syslog 伺服器
  6. 輸入 Sophos 設備的下列連線詳細資料。

    1. IP 位址。這是您在 Sophos Central 中設定的 Syslog IP 位址。
    2. 通訊協定類型。
    3. 連接埠編號。

    新增整合時,必須輸入在 Sophos Central 中輸入的相同設定。

  7. 如有必要,請選取資料介面管理介面以適合您的網路環境。

  8. 按一下確定
  9. 您的新伺服器將出現在 Syslog 伺服器中。按一下它以將其選中。
  10. 嚴重性級別記錄中,選取偵錯
  11. 點擊SAVE

設定原則

在每個原則中,必須為要傳送到 Sophos 設備的活動開啟記錄。您可以開啟存取控制和入侵事件。

若要如此,請依照下列步驟操作:

  1. 按一下原則 > 存取控制
  2. 尋找您要設定的原則,然後按一下編輯圖示。
  3. 按一下記錄
  4. 選取記錄動作中,選取是要在連接的開始還是結束時進行記錄,還是兩者都不進行。
  5. 檔案事件中,開啟記錄檔
  6. 如果要記錄入侵事件,請在入侵原則中開啟入侵原則
  7. 選取您要套用的入侵原則
  8. 如果要記錄檔案事件,請在檔案原則中選取要套用的檔案原則。選項:

    • 封鎖全部惡意軟體
    • 惡意軟體雲端查詢 - 無封鎖
  9. 傳送連線事件至:中,選取您的 Sophos 設備。

  10. 按一下確定
  11. 按一下入侵
  12. 尋找要設定的原則,然後按一下設定圖示。
  13. 編輯記錄設定中,按一下加號圖示並選取 Sophos 設備。
  14. 按一下確定

對每個應向 Sophos 設備傳送資料的原則重複這些步驟。

是否儲存您的變更

您的變更在部署之前不會在裝置上啟用。若要如此,請依照下列步驟操作:

  1. 按一下部署圖示。

    取消部署變更後,圖示上的點會出現。

  2. 待決變更中,查看變更。

  3. 按一下立即部署

有關此過程的更多詳細資料,請參閱 Cisco 文件。請參閱建立 Syslog 警示回應

注意

避免在原則和規則名稱等物件名稱中使用逗號等特殊字元。VM 上的設備可能將這些字元視為分隔符號。

要將 Firepower 傳統裝置連線至 Sophos 設備,請執行以下動作。

進行 Syslog 設定

  1. 登入您的 Firepower Management Center (FMC)。
  2. 按一下原則 > 動作 > 警示
  3. 建立警示中,選取建立 Syslog 警示
  4. 輸入警示的名稱,例如 SophosIntegration
  5. 主機中輸入 Sophos 設備的 IP 位址。
  6. 連接埠中輸入 Sophos 設備上設定的連接埠。
  7. 選取設施

    Sophos 設備接受所有設施資料。您可以在 Cisco 文件中找到資料選項清單。請參閱表 1.可用 Syslog 設施

  8. 選取嚴重性級別。

    Sophos 設備接受您選擇的任何嚴重性級別。您可以在 Cisco 文件中找到選項清單。請參閱表 2.Syslog 嚴重性級別

  9. 按一下儲存

當您開啟傳送稽核記錄到 Syslog 並提供主機資訊時,syslog 訊息將傳送到主機以及稽核記錄。如果要變更此設定,您可以在 Cisco 文件中找到方式。請參閱從稽核記錄中篩選 Syslog

設定存取控制的 syslog 設定

  1. 登入您的裝置。
  2. 按一下原則 > 存取控制
  3. 編輯適用的存取控制原則。
  4. 按一下記錄
  5. 選取使用特定的 syslog 警示傳送
  6. 選取您在上面建立的 syslog 警示。
  7. 按一下儲存

開啟檔案和惡意軟體事件的記錄

  1. 選取傳送檔案和惡意軟體事件的 Syslog 訊息
  2. 按一下儲存

開啟入侵事件的記錄

  1. 移至與您的存取控制原則關聯的入侵原則。
  2. 在入侵原則中,按一下進階設定 > Syslog 警示 > 啟用
  3. 按一下後退
  4. 原則資訊中,按一下提交變更
  5. 輸入變更的說明,然後按一下確定

驗證後,您的 Cisco Firepower 警示應顯示在 Sophos Data Lake 中。