CS-MARS: adición y configuración de un sensor IPS como dispositivo de notificación

Opciones de descarga

  • PDF     (318.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (564.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (710.6 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:18 de febrero de 2010
ID del documento:111737

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento explica cómo preparar un dispositivo Cisco Secure Intrusion Prevention System (IPS) y cualquier sensor virtual configurado para actuar como dispositivos de generación de informes en Cisco Security Monitoring, Analysis and Response System (CS-MARS).

Prerequisites

Requirements

Para los dispositivos Cisco IPS 5.x, 6.x y 7.x, MARS extrae los registros mediante SDEE sobre SSL. Por lo tanto, MARS debe tener acceso HTTPS al sensor. Para preparar el sensor, debe habilitar el servidor HTTP en el sensor, habilitar TLS para permitir el acceso HTTPS y asegurarse de que la dirección IP de MARS esté definida como un host permitido, uno que pueda acceder al sensor y extraer eventos. Si los sensores se han configurado para permitir el acceso desde hosts limitados o subredes en la red, puede utilizar el comando access-list ip_address/netmask para habilitar este acceso.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Dispositivo Cisco Secure MARS que ejecuta la versión de software 4.2.x y posteriores

  • Dispositivo IPS de la serie Cisco 4200 que ejecuta la versión de software 6.0 y posterior

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Productos Relacionados

Esta configuración también se puede utilizar con estos sensores:

  • IPS-4240

  • IPS-4255

  • IPS-4260

  • IPS-4270-20

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección, se le presenta información sobre cómo agregar y configurar un sensor de Cisco Secure Intrusion Prevention System (IPS) a un dispositivo Cisco Security Monitoring, Analysis and Response System (CS-MARS).

Agregar y configurar un dispositivo Cisco IPS 6.x o 7.x en MARS

Cuando define un dispositivo Cisco IPS 6.x o 7.x en MARS, puede detectar cualquier sensor virtual configurado en el dispositivo. Cuando descubre estos sensores virtuales, esto permite a MARS separar los eventos notificados por sensor virtual. También le permite ajustar la lista de redes supervisadas a cada sensor virtual, lo que mejora la precisión de los informes deseados.

Complete estos pasos para agregar y configurar un dispositivo Cisco IPS 6.x o 7.x en MARS:

  1. Elija Admin > System Setup > Security and Monitor Devices. A continuación, haga clic en Agregar.

  2. Elija Cisco IPS 6.x o Cisco IPS 7.x en la lista Tipo de dispositivo. Ahora introduzca el nombre de host del sensor en el campo Device Name como se muestra aquí. IPS1 es el nombre de dispositivo utilizado en este ejemplo. El valor Device Name debe ser idéntico al nombre del sensor configurado.

    Adding-IPS-to-CS-MARS-01.gif

    Ahora ingrese la dirección IP administrativa en el campo Reporting IP. La dirección IP de notificación es la misma que la dirección IP administrativa.

  3. En el campo Login, ingrese el nombre de usuario asociado a la cuenta administrativa que se utiliza para acceder al dispositivo de informes. Ahora, en el campo Password, ingrese la contraseña asociada con el nombre de usuario especificado en el campo Login. El nombre de usuario es cisco y la contraseña utilizada es cisco123 en este ejemplo. También introduzca el número de puerto TCP en el que el servidor web que se ejecuta en el sensor escucha en el campo Port. El puerto HTTPS predeterminado es 443.

    Adding-IPS-to-CS-MARS-02.gif

    Nota: Aunque sólo es posible configurar HTTP, MARS requiere HTTPS.

  4. Ahora verifique que NO se haya seleccionado en la lista Monitor Resource Usage. Si bien la opción Monitor Resource Usage aparece en esta página, no funciona para Cisco IPS.

    Adding-IPS-to-CS-MARS-03.gif

  5. Para extraer los registros IP del sensor, elija Yes de la lista Pull IP Logs. Se trata de una función opcional que se puede utilizar si es necesario.

    Adding-IPS-to-CS-MARS-04.gif

    Esta configuración se aplica a todo el sensor, que incluye los registros generados para las alertas de sensores virtuales.

  6. Haga clic en Probar conectividad para verificar la configuración y habilitar el descubrimiento de sensores virtuales.

    Adding-IPS-to-CS-MARS-05.gif

  7. Haga clic en Discover para descubrir cualquier sensor virtual definido.

    Adding-IPS-to-CS-MARS-06.gif

    Nota: MARS no conoce los cambios realizados en el sensor. Cada vez que realice cambios en la configuración del sensor virtual, debe hacer clic en Discover en esa página de configuración del sensor para actualizar los detalles del sensor virtual en MARS.

  8. Elija la casilla de verificación junto a Virtual Sensor Name y haga clic en Edit para definir las redes monitoreadas para cada sensor virtual. Ahora aparece la página Módulo IPS como se muestra aquí.

    Adding-IPS-to-CS-MARS-07.gif

  9. Para el cálculo y la mitigación de la trayectoria de ataque, especifique las redes que monitorea el sensor. Elija el botón de radio Definir una red para definir manualmente la red. A continuación, complete estos pasos para definir una red:

    1. Ingrese la dirección de red en el campo Network IP.

    2. Introduzca el valor de máscara de red correspondiente en el campo Mask (Máscara).

    3. Haga clic en Agregar para mover la red especificada al campo Redes monitoreadas.

    4. Repita los pasos anteriores si es necesario definir más redes.

      Adding-IPS-to-CS-MARS-08.gif

      Nota: Se trata de una función opcional disponible y se puede omitir si no es necesario.

  10. Haga clic en el botón de radio Select a Network para seleccionar las redes conectadas al dispositivo. Luego complete estos pasos para elegir las redes:

    1. Elija una red de la lista Seleccionar una red.

    2. Haga clic en Agregar para mover la red especificada al campo Redes monitoreadas.

    3. Repita los pasos anteriores si es necesario elegir más redes.

      Adding-IPS-to-CS-MARS-09.gif

      Nota: Se trata de una función opcional disponible y se puede omitir si no es necesario.

  11. Repita el paso 8 al paso 10 para cada sensor virtual.

  12. Haga clic en Enviar para guardar los cambios. El nombre del dispositivo aparece en la lista Información de seguridad y supervisión. La operación de envío registra los cambios en las tablas de la base de datos. Pero no carga los cambios en la memoria de trabajo del dispositivo MARS. La operación de activación carga los cambios enviados en la memoria de trabajo.

  13. Haga clic en Activar para habilitar MARS para iniciar sesión de eventos desde este dispositivo.

    MARS comienza a clasificar los eventos generados por este módulo y a evaluar dichos eventos utilizando las reglas de inspección y descarte definidas. Cualquier evento publicado por el dispositivo en MARS antes de la activación se puede consultar con la dirección IP de notificación del dispositivo como criterio de coincidencia. Refiérase a Activar los Dispositivos de Reporte y Mitigación. para obtener más información sobre la acción de activación.

Verifique que MARS extrae eventos de un dispositivo Cisco IPS

Es común crear eventos benignos en la red para verificar el flujo de datos. Complete estos pasos para verificar el flujo de datos entre un dispositivo Cisco IPS y MARS:

  1. En el dispositivo Cisco IPS, active y alerta en las firmas 2000 y 2004. Las firmas supervisan los mensajes ICMP (pings).

  2. Haga ping a un dispositivo en la subred en la que escucha el dispositivo Cisco IPS. MARS genera y extrae los eventos.

  3. Verifique que los eventos aparezcan en la interfaz web MARS. Puede realizar una consulta con el dispositivo Cisco IPS.

  4. Una vez verificado el flujo de datos, puede inhabilitar las firmas 2000 y 2004 en el dispositivo Cisco IPS.

    Nota: Si la operación de Conectividad de prueba no falla durante la configuración de un dispositivo Cisco IPS en la interfaz web MARS, las comunicaciones se habilitan. Esta tarea le permite verificar que las alertas se generan y se extraen correctamente.

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
01-Dec-2013
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos