تكوين تسجيل الدخول إلى الوحدة النمطية FirePOWER لأحداث النظام/ حركة المرور باستخدام ASDM (إدارة المربع)
المحتويات
المقدمة
يصف هذا المستند نظام/أحداث حركة مرور وحدة FirePOWER النمطية والطريقة المختلفة لإرسال هذه الأحداث إلى خادم تسجيل خارجي.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة جدار حماية جهاز الأمان القابل للتكيف (ASA) و ASDM (مدير أجهزة الأمان القابل للتكيف).
- معرفة جهاز أمان FirePOWER.
- Syslog، معرفة بروتوكول SNMP.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- الوحدات النمطية ASA FirePOWER (ASA 5506X/5506H-X/5506W-X، ASA 5508-X، ASA 5516-X ) التي تشغل الإصدار 5.4.1 وأعلى.
- الوحدة النمطية ASA FirePOWER (ASA 5515-X، ASA 5525-X، ASA 5545-X، ASA 5555-X) التي تشغل الإصدار 6.0.0 وأعلى من البرنامج.
- ASDM 7.5(1) وما فوق.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
نوع الأحداث
يمكن تصنيف أحداث الوحدة النمطية Firepower في نوعين:-
- أحداث حركة المرور (أحداث الاتصال/أحداث التطفل/أحداث إستخبارات الأمان/أحداث SSL/أحداث البرامج الضارة/أحداث الملف).
- أحداث النظام (أحداث نظام تشغيل Firepower (OS)).
التكوين
تكوين وجهة مخرجات
الخطوة 1. تكوين خادم Syslog
لتكوين خادم syslog لأحداث حركة المرور، انتقل إلى التكوين > ASA Firepower Configuration > السياسات > تنبيهات الإجراءات وانقر فوق القائمة المنسدلة إنشاء تنبيه واختر خيار إنشاء تنبيه syslog. أدخل قيم خادم syslog.
الاسم: حدد الاسم الذي يعرف خادم syslog بشكل فريد.
المضيف: حدد عنوان IP/اسم المضيف لخادم syslog.
المنفذ: حدد رقم منفذ خادم syslog.
المرفق: حدد أي مرفق تم تكوينه على خادم Syslog.
الخطورة: حدد أي خطورة تم تكوينها على خادم Syslog لديك.
العلامة: حدد اسم علامة التمييز التي تريد أن تظهر مع رسالة syslog.
الخطوة 2.تكوين خادم SNMP
لتكوين خادم SNMP Trap لأحداث حركة المرور، انتقل إلى تكوين ASDM > تكوين ASA FirePOWER > السياسات > تنبيهات الإجراءات وانقر فوق القائمة المنسدلة إنشاء تنبيه واختر خيار إنشاء تنبيه SNMP.
الاسم: حدد الاسم الذي يعرف خادم SNMP Trap بشكل فريد.
خادم الملائمة: حدد عنوان IP/اسم المضيف لخادم ملائمة SNMP.
الإصدار: تدعم وحدة FirePOWER SNMP v1/v2/v3. حدد إصدار SNMP من القائمة المنسدلة.
سلسلة المجتمع: إذا قمت بتحديد v1 أو v2 في خيار الإصدار، فحدد اسم مجتمع SNMP.
اسم المستخدم: إذا قمت بتحديد V3 في خيار الإصدار، سيقوم النظام بمطالبة حقل اسم المستخدم. حدد اسم المستخدم.
المصادقة: يعد هذا الخيار جزءا من تكوين SNMP v3. يوفر مصادقة استنادا إلى التجزئة
خوارزمية باستخدام خوارزميات MD5 أو SHA. في قائمة إسقاط البروتوكول حدد خوارزمية التجزئة وقم بإدخال
كلمة السر في كلمة خيار. إذا لم تكن ترغب في إستخدام هذه الميزة، فحدد خيار لاشيء.
الخصوصية: يعد هذا الخيار جزءا من تكوين SNMP v3. يوفر تشفيرا باستخدام خوارزمية DES. في قائمة إسقاط البروتوكول حدد الخيار ك DES وأدخل كلمة مرور في حقل كلمة المرور. إذا كنت لا تريد إستخدام ميزة تشفير البيانات، فأختر خيار لاشيء.
تكوين إرسال أحداث حركة المرور
تمكين التسجيل الخارجي لأحداث الاتصال
يتم إنشاء أحداث الاتصال عند وصول حركة المرور إلى قاعدة وصول مع تمكين التسجيل. لتمكين التسجيل الخارجي لأحداث الاتصال، انتقل إلى (تكوين ASDM > تكوين ASA FirePOWER > السياسات > سياسة التحكم في الوصول) تحرير قاعدة الوصول وانتقل إلى خيار التسجيل.
حدد خيار التسجيل إما في بداية ونهاية التوصيل أو في نهاية التوصيل. انتقل إلى إرسال أحداث الاتصال إلى الخيار وحدد مكان إرسال الأحداث.
لإرسال أحداث إلى خادم syslog خارجي، حدد syslog، ثم حدد إستجابة تنبيه Syslog من القائمة المنسدلة. إختياريا، يمكنك إضافة إستجابة تنبيه Syslog بنقر أيقونة الإضافة.
لإرسال أحداث اتصال إلى خادم ملائمة SNMP، حدد ملائمة SNMP، ثم حدد إستجابة تنبيه SNMP من القائمة المنسدلة. إختياريا، يمكنك إضافة إستجابة تنبيه SNMP بنقر أيقونة الإضافة.
تمكين التسجيل الخارجي لأحداث التطفل
يتم إنشاء أحداث التطفل عندما يطابق توقيع (قواعد snort) بعض حركة المرور الضارة. لتمكين التسجيل الخارجي لأحداث الاختراق، انتقل إلى تكوين ASDM > تكوين ASA FirePOWER > السياسات> سياسة الاقتحام > سياسة الاقتحام. قم بإنشاء نهج جديد للتداخل أو تحرير نهج التطفل الموجود.انتقل إلى الإعداد المتقدم >الاستجابات الخارجية.
لإرسال أحداث التطفل إلى خادم SNMP خارجي، حدد خيار تمكين في تنبيه SNMP ثم انقر فوق خيار تحرير.
نوع الملائمة: يتم إستخدام نوع الملائمة لعناوين IP التي تظهر في التنبيهات. إذا كان نظام إدارة الشبكة الخاص بك يقوم بتحويل نوع عنوان INET_IPv4 بشكل صحيح، فيمكنك تحديده ليكون ثنائي. وإلا، فحدد كسلسلة.
إصدار SNMP: تحديد إما الإصدار 2 أو الإصدار 3 زر الاختيار.
خيار SNMP v2
خادم الملائمة: حدد عنوان IP/اسم المضيف لخادم SNMP Trap، كما هو موضح في هذه الصورة.
سلسلة المجتمع: حدد اسم المجتمع.
خيار SNMP v3
خادم الملائمة: حدد عنوان IP/اسم المضيف لخادم SNMP Trap، كما هو موضح في هذه الصورة.
كلمة مرور المصادقة: حددكلمة المرور مطلوبة للمصادقة. يستخدم SNMP v3 وظيفة التجزئة لمصادقة كلمة المرور.
كلمة المرور الخاصة: حدد كلمة مرور للتشفير. يستخدم SNMP v3 تشفير كتلة معيار تشفير البيانات (DES) لتشفير كلمة المرور هذه.
اسم المستخدم: حدد اسم المستخدم.
لإرسال أحداث التطفل إلى خادم syslog خارجي، حدد خيارا ممكن في Syslog إستنفار ثم انقر فوق تحرير الخيار، كما هو موضح في هذه الصورة.
مضيف التسجيل:حدد عنوان/اسم المضيف IP لخادم syslog.
المرفق: تحديد أي مرفق الذي تم تكوينه على خادم Syslog.
الخطورة: حدد أي خطورة تم تكوينها على خادم Syslog لديك.
تمكين التسجيل الخارجي لذكاء أمان IP/ذكاء أمان DNS/ذكاء أمان URL
يتم إنشاء أحداث ذكاء أمان IP/DNS Security Intelligence/URL Security Intelligence عندما تطابق حركة المرور أي قاعدة بيانات ذكاء أمان لعنوان IP/اسم المجال/URL. لتمكين التسجيل الخارجي لأحداث ذكاء أمان IP/URL/DNS، انتقل إلى (تكوين ASDM > تكوين ASA FirePOWER > السياسات > سياسة التحكم في الوصول > ذكاء الأمان)،
انقر الأيقونة كما هو موضح في الصورة لتمكين تسجيل ذكاء أمان IP/DNS/URL. يؤدي النقر فوق الرمز إلى مطالبة مربع حوار لتمكين التسجيل وخيار إرسال الأحداث إلى الخادم الخارجي.
لإرسال أحداث إلى خادم syslog خارجي، حدد syslog، ثم حدد إستجابة تنبيه Syslog من القائمة المنسدلة. إختياريا، يمكنك إضافة إستجابة تنبيه Syslog بنقر أيقونة الإضافة.
لإرسال أحداث اتصال إلى خادم ملائمة SNMP، حدد ملائمة SNMP، ثم حدد إستجابة تنبيه SNMP من القائمة المنسدلة. إختياريا، يمكنك إضافة إستجابة تنبيه SNMP بنقر أيقونة الإضافة.
تمكين التسجيل الخارجي لأحداث SSL
يتم إنشاء أحداث SSL عندما تتطابق حركة المرور مع أي قاعدة في نهج SSL، حيث يتم تمكين التسجيل. لتمكين التسجيل الخارجي لحركة مرور SSL، انتقل إلى تكوين ASDM > تكوين ASA Firepower > السياسات > SSL. قم بتحرير القاعدة الموجودة أو قم بإنشاء قاعدة جديدة وانتقل إلى خيار التسجيل.حدد السجل في خيار نهاية الاتصال.
ثم انتقل إلى إرسال أحداث الاتصال إلى وتعيين مكان إرسال الأحداث.
لإرسال أحداث إلى خادم syslog خارجي، حدد syslog، ثم حدد إستجابة تنبيه Syslog من القائمة المنسدلة. إختياريا، يمكنك إضافة إستجابة تنبيه Syslog بنقر أيقونة الإضافة.
لإرسال أحداث اتصال إلى خادم ملائمة SNMP، حدد ملائمة SNMP، ثم حدد إستجابة تنبيه SNMP من القائمة المنسدلة. إختياريا، يمكنك إضافة إستجابة تنبيه SNMP بنقر أيقونة الإضافة.
تكوين إرسال أحداث النظام
تمكين التسجيل الخارجي لأحداث النظام
تظهر أحداث النظام حالة نظام تشغيل FirePOWER. يمكن إستخدام مدير SNMP لاستطلاع أحداث الأنظمة هذه.
لتكوين خادم SNMP لاستطلاع أحداث النظام من FirePOWER Module، يلزمك تكوين نهج النظام الذي يجعل المعلومات متوفرة في قاعدة معلومات الإدارة (Firepower MIB) (قاعدة معلومات الإدارة) التي يمكن إستطلاعها بواسطة خادم SNMP.
انتقل إلى تكوين ASDM > ASA FirePOWER Configuration > محلي > سياسة النظام وانقر على SNMP.
إصدار SNMP: تدعم وحدة FirePOWER الإصدار 1/2/3 من SNMP. حدد إصدار SNMP.
سلسلة المجتمع: إذا قمت بتحديد v1/ v2 في خيار إصدار SNMP، فاكتب اسم مجتمع SNMP في حقل سلسلة المجتمع.
اسم المستخدم: إذا قمت بتحديد خيار v3 في الإصدار. انقر فوق الزر إضافة مستخدم وحدد اسم المستخدم في حقل اسم المستخدم.
المصادقة: يعد هذا الخيار جزءا من تكوين SNMP v3. وهو يوفر المصادقة استنادا إلى رمز مصادقة الرسائل المجمعة باستخدام خوارزميات MD5 أو SHA. أختر بروتوكول لخوارزمية التجزئة وأدخل كلمة المرور
في حقل كلمة المرور. إذا لم تكن ترغب في إستخدام ميزة المصادقة فحدد خيار لاشيء.
الخصوصية: يعد هذا الخيار جزءا من تكوين SNMP v3. يوفر تشفيرا باستخدام خوارزمية DES/AES. حدد بروتوكولا للتشفير وأدخل كلمة المرور في حقل كلمة المرور. إذا كنت لا تريد ميزة تشفير البيانات، فعليك إختيار خيار لاشيء.
التحقق من الصحة
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
التعليقات