Después de recrear la imagen de un FireSIGHT Management Center o de un dispositivo FirePOWER, debe completar varios pasos para que el sistema funcione correctamente y generar alertas para eventos de intrusión; por ejemplo, instalación de licencias, registro de dispositivos, aplicación de políticas de estado, políticas del sistema, política de control de acceso, política de intrusiones, etc. Este documento es un suplemento de la Guía de instalación del sistema FireSIGHT.
En esta guía se asume que ha leído cuidadosamente la Guía de instalación del sistema FireSIGHT.
En FireSIGHT Management Center, debe completar el proceso de configuración iniciando sesión en la interfaz web y especificando las opciones de configuración iniciales en la página de configuración, que se muestra a continuación. En esta página, debe cambiar la contraseña de administrador y también puede especificar la configuración de red, como servidores DNS y de dominio, y la configuración de hora.
Opcionalmente, puede configurar actualizaciones de geolocalización y reglas recurrentes, así como copias de seguridad automáticas. En este momento también se pueden instalar licencias de funciones.
En esta página, también puede registrar un dispositivo en FireSIGHT Management Center y especificar un modo de detección. El modo de detección y otras opciones que elija durante el registro determinan las interfaces predeterminadas, los conjuntos en línea y las zonas que crea el sistema, así como las políticas que aplica inicialmente a los dispositivos administrados.
Si no instaló licencias durante la página de configuración inicial, puede completar la tarea siguiendo estos pasos:
Si no ha recibido una licencia, póngase en contacto con el representante de ventas de su cuenta.
La política del sistema especifica la configuración para los perfiles de autenticación y la sincronización horaria entre el FireSIGHT Management Center y los dispositivos administrados. Para configurar o aplicar la política del sistema, navegue hasta System > Local > System Policy. Se proporciona una política del sistema predeterminada, pero debe aplicarse a cualquier dispositivo administrado.
La política de estado se utiliza para configurar cómo los dispositivos administrados informan de su estado de salud al FireSIGHT Management Center. Para configurar o aplicar la política de estado, vaya a Health > Health Policy. Se proporciona una política de estado predeterminada, pero debe aplicarse a cualquier dispositivo administrado.
Si no registró los dispositivos durante la página de configuración inicial, lea este documento para obtener instrucciones sobre cómo registrar un dispositivo en FireSIGHT Management Center.
Antes de poder utilizar cualquier licencia de función del dispositivo, debe habilitarla para cada dispositivo administrado.
Habilite las licencias necesarias para este dispositivo y haga clic en Guardar.
Observe el mensaje "Tiene cambios no aplicados" en la esquina superior derecha. Esta advertencia permanece activa incluso si se desplaza de la página de administración de dispositivos hasta que haga clic en el botón Aplicar cambios.
Seleccione una configuración de interfaz pasiva o en línea. Las interfaces conmutadas y enrutadas están fuera del alcance de este artículo.
Debe asignar un nombre y definir la política base que se utilizará. Dependiendo de su implementación, puede optar por la opción Drop when Inline enabled. Defina las redes que desea proteger para reducir los falsos positivos y mejorar el rendimiento del sistema.
Al hacer clic en Crear política se guardarán los parámetros y se creará la política IPS. Si desea realizar alguna modificación en la política de intrusiones, puede elegir Crear y editar política en su lugar.
1. Vaya a Políticas > Control de acceso.
2. Haga clic en Nueva política.
3. Proporcione un Nombre para la política y una Descripción.
4. Seleccione Prevención de intrusiones como Acción predeterminada de la política de control de acceso.
5. Por último, seleccione los Dispositivos objetivo a los que desea aplicar la política de control de acceso y haga clic en Guardar.
6. Seleccione la política de intrusiones para la acción predeterminada.
7. El registro de la conexión debe estar habilitado para generar eventos de conexión. Haga clic en el menú desplegable que se encuentra a la derecha de la Acción predeterminada.
8. Seleccione esta opción para registrar las conexiones al principio o al final de la conexión. Los eventos se pueden registrar en el FireSIGHT Management Center, una ubicación de syslog o a través de SNMP.
9. Click OK. Tenga en cuenta que el color del icono de registro ha cambiado.
10. Puede agregar una regla de control de acceso en este momento. Las opciones que puede utilizar dependen del tipo de licencias que haya instalado.
11. Cuando haya terminado de realizar cambios. haga clic en el botón Guardar y aplicar. Aparecerá un mensaje que indica que ha realizado cambios sin guardar en la directiva en la esquina superior derecha hasta que se haya hecho clic en el botón.
Sólo puede elegir Guardar los cambios o hacer clic en Guardar y aplicar. Aparecerá la siguiente ventana si elige la segunda.
12. Aplicar todo aplicará la política de control de acceso y cualquier política de intrusión asociada a los dispositivos de destino.
13. Puede supervisar el estado de la tarea haciendo clic en el enlace Estado de la tarea en la notificación que se muestra en la parte superior de la página, o bien navegar hasta: System > Monitoring > Task Status
14. Haga clic en el enlace Estado de la tarea para supervisar el progreso de la política de control de acceso aplicada.
Una vez que se haya completado la aplicación de la política de control de acceso, debería empezar a ver los eventos de conexión y dependiendo de los eventos de intrusión de tráfico.
También puede configurar las siguientes funciones adicionales en su sistema. Consulte la guía del usuario para obtener más información sobre la implementación.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
09-Oct-2014 |
Versión inicial |