Este documento explica cómo preparar un dispositivo Cisco Secure Intrusion Prevention System (IPS) y cualquier sensor virtual configurado para actuar como dispositivos de generación de informes en Cisco Security Monitoring, Analysis and Response System (CS-MARS).
Para los dispositivos Cisco IPS 5.x, 6.x y 7.x, MARS extrae los registros mediante SDEE sobre SSL. Por lo tanto, MARS debe tener acceso HTTPS al sensor. Para preparar el sensor, debe habilitar el servidor HTTP en el sensor, habilitar TLS para permitir el acceso HTTPS y asegurarse de que la dirección IP de MARS esté definida como un host permitido, uno que pueda acceder al sensor y extraer eventos. Si los sensores se han configurado para permitir el acceso desde hosts limitados o subredes en la red, puede utilizar el comando access-list ip_address/netmask para habilitar este acceso.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Dispositivo Cisco Secure MARS que ejecuta la versión de software 4.2.x y posteriores
Dispositivo IPS de la serie Cisco 4200 que ejecuta la versión de software 6.0 y posterior
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Esta configuración también se puede utilizar con estos sensores:
IPS-4240
IPS-4255
IPS-4260
IPS-4270-20
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
En esta sección, se le presenta información sobre cómo agregar y configurar un sensor de Cisco Secure Intrusion Prevention System (IPS) a un dispositivo Cisco Security Monitoring, Analysis and Response System (CS-MARS).
Cuando define un dispositivo Cisco IPS 6.x o 7.x en MARS, puede detectar cualquier sensor virtual configurado en el dispositivo. Cuando descubre estos sensores virtuales, esto permite a MARS separar los eventos notificados por sensor virtual. También le permite ajustar la lista de redes supervisadas a cada sensor virtual, lo que mejora la precisión de los informes deseados.
Complete estos pasos para agregar y configurar un dispositivo Cisco IPS 6.x o 7.x en MARS:
Elija Admin > System Setup > Security and Monitor Devices. A continuación, haga clic en Agregar.
Elija Cisco IPS 6.x o Cisco IPS 7.x en la lista Tipo de dispositivo. Ahora introduzca el nombre de host del sensor en el campo Device Name como se muestra aquí. IPS1 es el nombre de dispositivo utilizado en este ejemplo. El valor Device Name debe ser idéntico al nombre del sensor configurado.
Ahora ingrese la dirección IP administrativa en el campo Reporting IP. La dirección IP de notificación es la misma que la dirección IP administrativa.
En el campo Login, ingrese el nombre de usuario asociado a la cuenta administrativa que se utiliza para acceder al dispositivo de informes. Ahora, en el campo Password, ingrese la contraseña asociada con el nombre de usuario especificado en el campo Login. El nombre de usuario es cisco y la contraseña utilizada es cisco123 en este ejemplo. También introduzca el número de puerto TCP en el que el servidor web que se ejecuta en el sensor escucha en el campo Port. El puerto HTTPS predeterminado es 443.
Nota: Aunque sólo es posible configurar HTTP, MARS requiere HTTPS.
Ahora verifique que NO se haya seleccionado en la lista Monitor Resource Usage. Si bien la opción Monitor Resource Usage aparece en esta página, no funciona para Cisco IPS.
Para extraer los registros IP del sensor, elija Yes de la lista Pull IP Logs. Se trata de una función opcional que se puede utilizar si es necesario.
Esta configuración se aplica a todo el sensor, que incluye los registros generados para las alertas de sensores virtuales.
Haga clic en Probar conectividad para verificar la configuración y habilitar el descubrimiento de sensores virtuales.
Haga clic en Discover para descubrir cualquier sensor virtual definido.
Nota: MARS no conoce los cambios realizados en el sensor. Cada vez que realice cambios en la configuración del sensor virtual, debe hacer clic en Discover en esa página de configuración del sensor para actualizar los detalles del sensor virtual en MARS.
Elija la casilla de verificación junto a Virtual Sensor Name y haga clic en Edit para definir las redes monitoreadas para cada sensor virtual. Ahora aparece la página Módulo IPS como se muestra aquí.
Para el cálculo y la mitigación de la trayectoria de ataque, especifique las redes que monitorea el sensor. Elija el botón de radio Definir una red para definir manualmente la red. A continuación, complete estos pasos para definir una red:
Ingrese la dirección de red en el campo Network IP.
Introduzca el valor de máscara de red correspondiente en el campo Mask (Máscara).
Haga clic en Agregar para mover la red especificada al campo Redes monitoreadas.
Repita los pasos anteriores si es necesario definir más redes.
Nota: Se trata de una función opcional disponible y se puede omitir si no es necesario.
Haga clic en el botón de radio Select a Network para seleccionar las redes conectadas al dispositivo. Luego complete estos pasos para elegir las redes:
Elija una red de la lista Seleccionar una red.
Haga clic en Agregar para mover la red especificada al campo Redes monitoreadas.
Repita los pasos anteriores si es necesario elegir más redes.
Nota: Se trata de una función opcional disponible y se puede omitir si no es necesario.
Repita el paso 8 al paso 10 para cada sensor virtual.
Haga clic en Enviar para guardar los cambios. El nombre del dispositivo aparece en la lista Información de seguridad y supervisión. La operación de envío registra los cambios en las tablas de la base de datos. Pero no carga los cambios en la memoria de trabajo del dispositivo MARS. La operación de activación carga los cambios enviados en la memoria de trabajo.
Haga clic en Activar para habilitar MARS para iniciar sesión de eventos desde este dispositivo.
MARS comienza a clasificar los eventos generados por este módulo y a evaluar dichos eventos utilizando las reglas de inspección y descarte definidas. Cualquier evento publicado por el dispositivo en MARS antes de la activación se puede consultar con la dirección IP de notificación del dispositivo como criterio de coincidencia. Refiérase a Activar los Dispositivos de Reporte y Mitigación. para obtener más información sobre la acción de activación.
Es común crear eventos benignos en la red para verificar el flujo de datos. Complete estos pasos para verificar el flujo de datos entre un dispositivo Cisco IPS y MARS:
En el dispositivo Cisco IPS, active y alerta en las firmas 2000 y 2004. Las firmas supervisan los mensajes ICMP (pings).
Haga ping a un dispositivo en la subred en la que escucha el dispositivo Cisco IPS. MARS genera y extrae los eventos.
Verifique que los eventos aparezcan en la interfaz web MARS. Puede realizar una consulta con el dispositivo Cisco IPS.
Una vez verificado el flujo de datos, puede inhabilitar las firmas 2000 y 2004 en el dispositivo Cisco IPS.
Nota: Si la operación de Conectividad de prueba no falla durante la configuración de un dispositivo Cisco IPS en la interfaz web MARS, las comunicaciones se habilitan. Esta tarea le permite verificar que las alertas se generan y se extraen correctamente.
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
01-Dec-2013 |
Versión inicial |