FireSIGHT系統的初始配置步驟

簡介

重新映像FireSIGHT管理中心或FirePOWER裝置後，需要完成幾個步驟以使系統完全正常運行並為入侵事件生成警報；例如安裝許可證、註冊裝置、應用健康策略、系統策略、訪問控制策略、入侵策略等。本檔案是《FireSIGHT系統安裝指南》的補充。

必備條件

本指南假定您仔細閱讀了《FireSIGHT系統安裝指南》。

組態

第1步：初始設定

在FireSIGHT管理中心上，您必須通過登入到Web介面並在設定頁面上指定初始配置選項來完成設定過程，如下所述。在此頁面上，必須更改管理員密碼，還可以指定網路設定（如域和DNS伺服器）以及時間配置。

您可以選擇配置循環規則和地理位置更新以及自動備份。此時還可以安裝任何功能許可證。

在此頁面上，您還可以向FireSIGHT管理中心註冊裝置並指定檢測模式。在註冊過程中選擇的檢測模式和其他選項決定了系統建立的預設介面、內聯集和區域以及最初應用於受管裝置的策略。

第2步：安裝許可證

如果在初始設定頁面期間未安裝許可證，可以通過以下步驟完成任務：

• 導航到以下頁面：System > Licenses。
• 按一下Add New License。

 

如果您沒有獲得許可證，請聯絡您帳戶的銷售代表。

步驟3:應用系統策略

系統策略指定FireSIGHT管理中心和受管裝置之間的身份驗證配置檔案和時間同步的配置。  要配置或應用系統策略，請導航到System > Local > System Policy。  提供了預設系統策略，但需要應用於任何受管裝置。

第4步：應用運行狀況策略

運行狀況策略用於配置受管裝置如何向FireSIGHT管理中心報告其運行狀況狀態。  要配置或應用運行狀況策略，請導航到Health > Health Policy。  提供了預設運行狀況策略，但需要應用到任何受管裝置。

第5步：註冊受管裝置

如果在初始設定頁面期間未註冊裝置，請閱讀本文檔，瞭解有關如何向FireSIGHT管理中心註冊裝置的說明。

第6步：啟用已安裝的許可證

在裝置上使用任何功能許可證之前，您需要為每個受管裝置啟用該許可證。

1. 導航到以下頁面：Devices > Device Management。
2. 點選要為其啟用許可證的裝置，並輸入Device頁籤。
3. 點選License旁邊的Edit(鉛筆圖示)。

為此裝置啟用所需的許可證，然後按一下儲存。

請注意右上角出現「You have unapplied changes（您有未應用的更改）」資訊。即使您導航離開裝置管理頁面，直到按一下Apply Changes按鈕，此警告仍保持活動狀態。

第7步：配置感應介面

1. 導航到以下頁面Devices > Device Management。
2. 按一下所選感測器的編輯（鉛筆）圖示。
3. 在Interfaces頁籤下，按一下所選介面的Edit圖示。

選擇被動介面配置或內聯介面配置。交換介面和路由介面不在本文的討論範圍之內。

第8步：配置入侵策略

• 導航到以下頁面：Policies > Intrusion > Intrusion Policy。
• 按一下Create Policy，將顯示以下對話方塊：

 

必須分配名稱並定義要使用的基本策略。根據您的部署，您可以選擇啟用內聯時丟棄選項。定義要保護的網路，以減少誤報並提高系統效能。

按一下Create Policy將儲存設定並建立IPS策略。如果要對入侵策略進行任何修改，可以選擇Create and Edit Policy。

附註：入侵策略作為訪問控制策略的一部分應用。 應用入侵策略後，通過按一下Reapply按鈕，可以應用所有修改而無需重新應用整個訪問控制策略。

第9步：配置並應用訪問控制策略

1.定位至策略>訪問控制。

2.按一下New Policy。

3.提供策略的名稱和說明。

4.選擇Intrusion Prevention作為訪問控制策略的Default Action。

5.最後選擇要應用訪問控制策略的目標裝置，然後按一下儲存。

6.為預設操作選擇入侵策略。

7.必須啟用連線日誌記錄才能生成連線事件。按一下Default Action右側的下拉選單。

8.選擇在連線的開始或結束處記錄連線。可在FireSIGHT管理中心、系統日誌位置或通過SNMP記錄事件。

附註：建議不要在連線的兩端進行登入，因為每個連線（被阻止的連線除外）將記錄兩次。在開頭記錄對將被阻止的連線很有用，在結尾記錄對所有其它連線都很有用。 

9.按一下確定。請注意，日誌圖示的顏色已更改。

10.此時可以新增訪問控制規則。您可以使用的選項取決於已安裝的許可證型別。

11.完成更改後。按一下Save and Apply按鈕。 在按一下按鈕之前，您會看到一條消息，指出您的策略在右上角有未儲存的更改。

您可以選擇僅使用儲存更改，或按一下儲存並應用。如果您選擇後者，則會出現以下視窗。

12. Apply All會將訪問控制策略和任何關聯的入侵策略應用到目標裝置。

附註：如果首次應用入侵策略，則無法取消選擇它。

13.您可以按一下頁面頂部顯示的通知上的任務狀態連結，或通過導航至以下各項來監控任務的狀態：System > Monitoring > Task Status

14.按一下「任務狀態」連結以監視應用訪問控制策略的進度。

步驟10:驗證FireSIGHT管理中心是否收到事件

訪問控制策略應用完成後，您應該開始檢視連線事件，具體取決於流量入侵事件。

其他建議

您還可以在系統上配置以下其他功能。有關實施的詳細資訊，請參閱《使用手冊》。

• 定時備份
• 自動軟體更新、SRU、VDB和GeoLocation下載/安裝。
• 通過LDAP或RADIUS的外部身份驗證