Cisco Secure Firewall Management Center 警报响应
通过 SNMP、系统日志或邮件发送外部事件通知有助于重要系统监控。Cisco Secure Firewall Management Center使用可配置的警报响应与外部服务器交互。警报响应是一种配置,用于表示与电子邮件、SNMP 或系统日志服务器的连接。它们称为响应的原因在于,可将它们用于发送警报,以响应由 Firepower 检测到的事件。可以配置多个警报响应,以便向不同的监控服务器和/或人员发送不同类型的警报。
注 |
根据您的设备和 Firepower 版本,警报响应可能不是发送系统日志消息的最佳方式。请参阅 《Cisco Secure Firewall Management Center 设备配置指南》中的 关于系统日志和 配置安全事件系统日志消息的最佳实践。。 |
注 |
使用警报响应的警报是由 Cisco Secure Firewall Management Center发送的。不使用警报响应的入侵电子邮件警报也是由 Cisco Secure Firewall Management Center发送的。相比之下,基于单个入侵规则触发的 SNMP 和 系统日志警报是由受管设备直接发送的。有关详细信息,请参阅入侵事件的外部警报。 |
在大多数情况下,外部警报中的信息与您记录到数据库中的任何相关联事件中的信息相同。但是,无论是何种基础事件类型,对于关联规则中包含连接跟踪器的关联事件警报,您收到的信息都与流量量变曲线更改警报相同。
可在“警报”页面()上创建和管理警报响应。新的警报响应自动启用。要暂停警报生成,可以禁用警报响应,而非将它们删除。
对警报响应所做的更改会立即生效,但将连接日志发送到 SNMP 陷阱或系统日志服务器时除外。
在多域部署中,当您创建警报响应时,它属于当前域。后代域也可以使用此警报响应。
支持警报响应的配置
创建警报响应后,可以使用它从 Cisco Secure Firewall Management Center发送以下外部警报。
警报/事件类型 |
有关详细信息,请参阅 |
---|---|
按影响标志划分的入侵事件 |
|
按类型划分的发现事件 |
|
由 恶意软件防护 检测到的恶意软件和追溯性恶意软件事件(“基于网络”) |
|
按关联策略违规划分的关联事件 |
|
按日志记录规则或默认操作(不支持邮件警报)划分的连接事件 |
|
按运行状况模块和严重性级别划分的运行状况事件 |