Entender o perfil de regras do Snort 3 e o perfil de CPU na GUI do FMC

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:17 de janeiro de 2025
ID do documento:222703

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a regra Snort 3 e o recurso de criação de perfil de CPU adicionados ao FMC 7.6.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:


    · Conhecimento do Snort 3
    · FMC (Secure Firepower Management Center, Centro de gerenciamento seguro do Firepower)
    · Defesa contra ameaças (FTD) Secure Firepower

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Este documento se aplica a todas as plataformas Firepower
    • Secure Firewall Threat Defense Virtual (FTD) executando a versão de software 7.6.0
    • Secure Firewall Management Center Virtual (FMC) executando a versão de software 7.6.0

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Visão geral do recurso

    • A criação de perfis de regra e CPU já existia no Snort, mas era acessível apenas por meio da CLI do FTD. O objetivo desse recurso é estender os recursos de criação de perfil e torná-lo mais simples.
    • Ative o debug intrusion rule performance issues (depurar problemas de desempenho de regras de intrusão) e ajuste as configurações das regras por conta própria antes de entrar em contato com o TAC para obter ajuda na solução de problemas.
    • Entenda quais módulos têm desempenho insatisfatório quando o Snort 3 está consumindo muita CPU.
    • Crie uma maneira fácil de depurar e ajustar as políticas de Intrusão e Análise de rede para obter melhor desempenho.

    Criação de perfil

    • O Rule Profiling e o CPU Profiling são executados no FTD e seus resultados são armazenados no dispositivo e extraídos pelo FMC.
    • Você pode executar várias sessões de criação de perfil simultaneamente em dispositivos diferentes.
    • Você pode executar o Rules Profiling e o CPU Profiling ao mesmo tempo.
    • Em caso de alta disponibilidade, a criação de perfil só pode ser iniciada no dispositivo que está ativo no início da sessão.
      Para configurações em cluster, a criação de perfis pode ser executada em cada nó no cluster.
    • Se uma implantação for acionada enquanto houver uma sessão de criação de perfil em andamento, um aviso será exibido ao usuário.

       Se o usuário optar por ignorar a advertência e a disponibilização, isso cancelará a sessão de criação de perfil atual e o resultado do profiler mostrará uma mensagem relacionada a isso.

       Uma nova sessão de criação de perfil precisa ser iniciada sem ser interrompida por uma implantação para obter os resultados reais da criação de perfil.

    Criador de Perfil da Regra

    • O criador de perfil de regra do Snort 3 coleta dados sobre a quantidade de tempo gasto no processamento de um conjunto de regras de intrusão do Snort 3, destacando assim possíveis problemas, mostrando regras com desempenho insatisfatório.
    • O Rule Profiler exibe as regras de 100 IPS que levaram mais tempo para serem verificadas.
    • Disparar o Rule Profiler não requer recarregamento ou reinicialização do Snort 3.
    • Os resultados da criação de perfil da regra são salvos no formato JSON no diretório /ngfw/var/sf/sync/snort_profiling/ e sincronizados no FMC.
    • O Rule Profiler está dentro do Snort 3 e inspeciona o tráfego com o mecanismo de detecção de intrusão Snort 3; ativar a criação de perfil de regra não tem nenhum impacto notável no desempenho.

    Criação de perfil de regra de operação

    • O tráfego deve estar fluindo pelo dispositivo
    • Iniciar criação de perfil de regra selecionando um dispositivo e clicando no botão Iniciar
      • Iniciar uma sessão de criação de perfil cria uma tarefa que pode ser monitorada em Notificações, em Tarefas
    • A duração padrão de uma sessão de criação de perfil da regra é de 120 minutos
      • A sessão de criação de perfil de regra pode ser interrompida mais cedo, antes da conclusão, pressionando o botão Parar
    • Os resultados podem ser visualizados na GUI e baixados
    • O Histórico de criação de perfil exibe os resultados das sessões de criação de perfil anteriores. O usuário pode inspecionar um resultado de criação de perfil específico clicando em uma placa no painel do lado esquerdo do Histórico de criação de perfil.

    Menu de criação de perfil do Snort 3

    A página Profiling (Criação de perfil) pode ser acessada no menu Devices > Snort 3 Profiling. A página contém a criação de perfil de Regra e CPU, divididas em duas guias.

    DevicesDispositivos

    Iniciar criação de perfil de regra

    Para iniciar uma sessão de criação de perfil de regra, clique em Iniciar. A sessão é automaticamente interrompida após 120 minutos.

    Um usuário não pode configurar a duração da sessão de criação de perfil, mas pode interrompê-la antes que decorram as duas horas.

    Rule ProfilingCriação de perfil de regra

    RunningExecutando

    Depois que a sessão de criação de perfil da regra for iniciada, uma tarefa será criada. Isso pode ser verificado em Notificações > Tarefas.

    TasksTarefas

    Para interromper uma sessão de criação de perfil de regra que esteja em andamento, caso você precise interrompê-la antes da interrupção automática, clique em Parar e confirme.

    Stop ProfilingParar criação de perfil

    Depois de selecionar um dispositivo, o resultado mais recente da criação de perfil é automaticamente exibido na seção Resultados da criação de perfil da regra.

    A tabela contém estatísticas das regras que levaram mais tempo para serem processadas classificadas em ordem decrescente pelo tempo total (em microssegundos (μs) que elas levaram.consumido.

    ResultsResultados

    Resultados do criador de perfil da regra

    A saída do criador de perfil de regra para uma regra de IPS inclui estes campos:

    • % de tempo de Snort - Tempo gasto no processamento da regra, relativo ao tempo da operação do Snort 3
    • Verificações - Número de vezes que a regra de IPS foi executada
    • Correspondências - Número de vezes que a regra de IPS foi totalmente correspondida
    • Alertas - número de vezes que a regra IPS disparou um alerta IPS
    • Tempo (μs) - Tempo em microssegundos Gasto pelo Snort na verificação da regra de IPS
    • Média/Verificação - Tempo médio que o Snort passou em uma verificação da regra
    • Média/Correspondência - Tempo médio que o Snort passou em uma verificação que resultou em uma correspondência
    • Média/Sem Correspondência - Tempo médio que o Snort passou em uma verificação que não resultou em uma correspondência
    • Intervalos - Número de vezes em que a regra excedeu o Limite - Tratamento de Regras configurado nas Configurações de Desempenho Baseadas em Latência da política de CA
    • Suspende - Número de vezes que a regra foi suspensa devido a algumas violações de limite consecutivas

    Faça o download dos resultados

    • O usuário pode baixar o resultado da criação de perfil ("instantâneo") clicando no botão "Download Snapshot". O arquivo baixado está no formato .csv e contém todos os campos da página de resultados da criação de perfil.
    • Extraia do arquivo .csv do instantâneo:

    Device,Start Time,End Time,GID:SID,Rule Description,% of Snort Time,Rev,Checks,Matches,Alerts,Time ( μs ),Avg/Check,Avg/Match,Avg/Non-Match,Timeouts,Suspends 172.16.0.102,2024-03-13 11:05:41,2024-03-13 11:07:21,2000:1000001,TEST 1,0.00014,1,4,4,1,284,71,71,0,0,0

    Exibição instantânea de arquivo .csv:

    SnapshotInstantâneo

    Criação de perfil da CPU

    Visão geral do Snort 3 CPU Profiler

    • O criador de perfil de CPU define o tempo de CPU gasto pelos módulos/inspetores do Snort 3 para processar pacotes em um determinado intervalo de tempo. Ele dá uma ideia de quanto CPU cada módulo está consumindo, em relação ao total de CPU consumido pelo processo Snort 3.
    • O uso do CPU Profiler não requer a recarga da configuração nem a reinicialização do Snort 3, evitando, assim, períodos de inatividade.
    • O resultado do CPU Profiler exibe o tempo de processamento gasto por todos os módulos durante a última sessão de criação de perfil.
    • Os resultados da criação de perfil da CPU são salvos no formato JSON no diretório /ngfw/var/sf/sync/cpu_profiling/ e sincronizados no diretório /var/sf/peers/<device UUID>/sync/cpu_profiling do FMC.

    • Uma nova página de criação de perfil do Snort 3 foi adicionada na interface do usuário do FMC
    • Esta página pode ser acessada a partir da guia Dispositivos > Perfil do Snort 3 > Perfil da CPU
    • Use Download Snapshot na guia Criação de perfil da CPU para fazer o download de um instantâneo dos resultados da criação de perfil no formato CSV.

    Guia CPU Profiling

    A página Perfil da CPU é acessada a partir da guia Dispositivos > Perfil do Snort 3 > Perfil da CPU.

    Ele contém um seletor de dispositivos, os botões Iniciar/Parar, o botão Fazer download do instantâneo, uma seção de resultados de criação de perfil e uma seção Histórico de criação de perfil no lado esquerdo que é expandida ao clicar nele.

    Cpu ProfilingCriação De Perfil Da Cpu

    Para iniciar uma sessão de criação de perfil da CPU, clique em Iniciar. Esta página é mostrada quando a sessão é iniciada.

    StartIniciar

    RunningExecutando

    Depois que a sessão de criação de perfil da CPU for iniciada, uma tarefa será criada. Isso pode ser verificado em Notificações > Tarefas.

    TasksTarefas

    • Para parar uma sessão de criação de perfil de CPU em andamento, clique em Parar.
    • Uma caixa de diálogo de confirmação é exibida. clique em Stop Profiling.

    Stop RunningParar Execução

    O resultado mais recente da criação de perfil é exibido na seção Resultados da criação de perfil da CPU.

    ResultsResultados

    Explicação dos resultados do CPU Profiler

    • A coluna "Módulo" indica o nome do módulo/inspetor.
    • A coluna "% de Tempo Total de CPU" indica o percentual de tempo gasto pelo módulo em relação ao tempo total gasto pelo Snort 3 no tráfego de processamento. Se esse valor for consideravelmente maior do que o de outros módulos, o módulo estará contribuindo mais para o desempenho insatisfatório do Snort 3.
    • "Tempo (μs)" representa o tempo total, em microssegundos, de cada módulo.
    • "Média/Verificação" representa o tempo médio gasto pelo módulo para cada vez que ele é chamado.
    • "% Caller" indica o tempo gasto pelo submódulo (se configurado) em relação ao módulo principal. Ele é usado principalmente para fins de depuração de desenvolvedor.

    Resultado do CPU Profiler - Baixar Instantâneo

    • O usuário pode baixar o instantâneo do resultado da criação de perfil clicando em Download Snapshot. O arquivo baixado está no formato .csv e contém todos os campos da página de resultados da criação de perfil, como mostrado neste exemplo.
    • Extraia do arquivo .csv do instantâneo:

    SnapshotInstantâneo

    Filtragem de resultado da criação de perfil da CPU

    Os resultados da criação de perfil podem ser filtrados usando:

    • "Filtrar por % do tempo de Snort" - permite filtrar módulos cuja execução levou mais de n% do tempo de criação de perfil.
    • Pesquisa - permite que você faça uma pesquisa de texto em qualquer campo presente na tabela de resultados.

    Qualquer coluna, exceto "Módulo", pode ser classificada clicando em seu cabeçalho.

    ResultsResultados

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    17-Jan-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Tirupatia Sakthivel
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos