Konfigurieren eines FireSIGHT-Systems zum Senden von Warnmeldungen an einen externen Syslog-Server

Download-Optionen

  • PDF     (576.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (444.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (322.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:17. September 2014
Dokument-ID:118464

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Ein FireSIGHT-System bietet zwar verschiedene Ansichten von Ereignissen innerhalb der Webschnittstelle, Sie können jedoch externe Ereignisbenachrichtigungen konfigurieren, um die konstante Überwachung kritischer Systeme zu vereinfachen. Sie können ein FireSIGHT-System so konfigurieren, dass Sie Warnmeldungen per E-Mail, SNMP-Trap oder Syslog erhalten, wenn eine der folgenden Funktionen generiert wird. In diesem Artikel wird beschrieben, wie Sie ein FireSIGHT Management Center konfigurieren, um Warnungen an einen externen Syslog-Server zu senden.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse zu Syslog und FireSIGHT Management Center verfügen. Außerdem muss der Syslog-Port (der Standardwert ist 514) in der Firewall zugelassen sein.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Softwareversion 5.2 oder höher.

Vorsicht: Die Informationen in diesem Dokument werden von einer Appliance in einer bestimmten Laborumgebung erstellt und mit einer gelöschten (Standard-) Konfiguration gestartet. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Senden von Intrusion Alerts

1. Melden Sie sich bei der Web-Benutzeroberfläche Ihres FireSIGHT Management Center an.

2. Navigieren Sie zu Policies > Intrusion > Intrusion Policy.

3. Klicken Sie neben der Richtlinie, die Sie anwenden möchten, auf Bearbeiten.

4. Klicken Sie auf Erweiterte Einstellungen.

5. Suchen Sie in der Liste nach Syslog Alerting, und setzen Sie diese auf Enabled.

6. Klicken Sie rechts neben Syslog Alerting auf Edit.

7. Geben Sie die IP-Adresse Ihres Syslog-Servers in das Feld Protokollierungshosts ein.

8. Wählen Sie im Dropdown-Menü eine entsprechende Fazilität und einen Schweregrad.  Diese können auf den Standardwerten belassen werden, es sei denn, ein Syslog-Server ist so konfiguriert, dass er Warnungen für eine bestimmte Einrichtung oder einen bestimmten Schweregrad akzeptiert.

9. Klicken Sie auf Policy Information oben links in diesem Bildschirm.

10. Klicken Sie auf die Schaltfläche Änderungen bestätigen.

11. Wenden Sie Ihre Zugriffsrichtlinien erneut an.

Anmerkung: Verwenden Sie diese Richtlinie für Sicherheitsrisiken in der Zugriffskontrollregel, damit die Warnungen generiert werden.  Wenn keine Zugriffskontrollregel konfiguriert ist, legen Sie diese Zugriffskontrollrichtlinie so fest, dass sie als Standardaktion der Zugriffskontrollrichtlinie verwendet wird, und wenden Sie die Zugriffskontrollrichtlinie erneut an.

Wenn nun ein Angriffsereignis für diese Richtlinie ausgelöst wird, wird auch eine Warnung an den Syslog-Server gesendet, der für die Angriffsrichtlinie konfiguriert ist.

Statusbenachrichtigungen senden

Teil 1:  Syslog-Warnung erstellen

1. Melden Sie sich bei der Web-Benutzeroberfläche Ihres FireSIGHT Management Center an.

2. Navigieren Sie zu Richtlinien > Aktionen > Warnmeldungen.

3. Wählen Sie Create Alert (Warnung erstellen) auf der rechten Seite der Webschnittstelle aus. 

4. Klicken Sie auf Syslog-Warnung erstellen. Ein Popup-Fenster für die Konfiguration wird angezeigt.

5. Geben Sie einen Namen für die Warnung ein.

6. Geben Sie die IP-Adresse Ihres Syslog-Servers in das Feld Host ein.

7. Ändern Sie den Port bei Bedarf für Ihren Syslog-Server (der Standardport ist 514).

8. Wählen Sie eine geeignete Anlage und einen geeigneten Schweregrad.

9. Klicken Sie auf die Schaltfläche Speichern. Sie kehren zur Seite Richtlinien > Aktionen > Warnmeldungen zurück.

10. Aktivieren Sie die Syslog-Konfiguration.

Teil 2:  Warnungen für die Integritätsüberwachung erstellen

Die folgende Anweisung beschreibt die Schritte zum Konfigurieren von Systemüberwachungswarnungen, die die soeben erstellte Syslog-Warnung verwenden (im vorherigen Abschnitt):

1. Gehen Sie zu Richtlinien > Aktionen > Warnungen, und wählen Sie Warnmeldungen der Integritätsüberwachung, die sich am oberen Seitenrand befindet.

 

2. Geben Sie der Warnmeldung einen Namen.

3. Wählen Sie einen Schweregrad (halten Sie die STRG-TASTE gedrückt und klicken Sie darauf, um mehr als einen Schweregrad auszuwählen).

4. Wählen Sie in der Spalte Module die Integritätsmodule aus, für die Sie Warnungen an den Syslog-Server senden möchten (z. B. Festplattennutzung).

5. Wählen Sie eine zuvor erstellte Syslog-Warnung in der Spalte Alerts (Warnungen).

6. Klicken Sie auf die Schaltfläche Speichern.

Versenden von Auswirkungsmarkierungen, Erkennung von Ereignissen und Malware-Warnungen

Sie können auch ein FireSIGHT Management Center konfigurieren, um Syslog-Warnungen für Ereignisse mit einer bestimmten Auswirkungsmarkierung, bestimmten Arten von Erkennungsereignissen und Malware-Ereignissen zu senden. Dazu müssen Sie Teil 1: Erstellen Sie eine Syslog-Warnung, und konfigurieren Sie dann die Art von Ereignissen, die Sie an den Syslog-Server senden möchten. Sie können dies tun, indem Sie auf die Seite Richtlinien > Aktionen > Warnmeldungen navigieren und dann eine Registerkarte für den gewünschten Warnungstyp auswählen.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
17-Sep-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Nazmul Rajib and Keith Forbus
    Cisco TAC Engineers.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.