IPS 5.x et version ultérieure : Différentes méthodes de surveillance des événements

Options de téléchargement

  • PDF     (154.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (86.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (74.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:18 décembre 2009
ID du document:111432

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document fournit diverses méthodes pour surveiller les événements IPS.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations de ce document sont basées sur IPS 5.x et versions ultérieures.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Méthodes de surveillance des événements IPS

À l'heure actuelle, il existe quatre options de surveillance des capteurs :

  1. IPS Manager Express (IME) est disponible à partir du téléchargement de logiciels sur Cisco.com. Cette application peut s'abonner en toute sécurité au capteur IPS avec SDEE et récupérer les événements/journaux qui ont été générés en raison de problèmes ou de signatures qui ont été déclenchés en raison d'une correspondance.

    Le gestionnaire de périphériques IPS (IDM) est appelé lorsque vous accédez directement au capteur via HTTPS.

    Affichez le magasin d'événements directement sur le capteur à l'aide des outils IDM Monitoring ou IME Event Monitoring. IDM et IME ne sont pas des solutions valides si vous devez stocker les événements à long terme car le magasin d'événements local du capteur est un tampon circulaire de 30 Mo et commence à se surpasser une fois la limite de 30 Mo atteinte. Cette limite n'est pas configurable.

  2. Utilisez un périphérique CS-MARS afin de tirer et corréler régulièrement les événements à partir du capteur. Le CS-MARS utilise le protocole SDEE afin d'établir une connexion sécurisée au capteur pour récupérer les événements et récupérer de nouveaux événements toutes les quelques secondes.

    Contactez votre équipe de compte/revendeur/SE pour plus d'informations si vous souhaitez faire une démonstration du périphérique CS-MARS.

    Pour les périphériques Cisco IPS 5.x et 6.x, MARS extrait les journaux avec SDEE sur SSL. Par conséquent, MARS doit disposer d'un accès HTTPS au capteur. Pour préparer le capteur, vous devez autoriser le trafic HTTPS à partir de la station de gestion IDM/IME et vous assurer que l'adresse IP de MARS est définie comme hôte autorisé sur le capteur.

    sensor#conf t
	 	sensor(config)#service host
	 	sensor(config-hos)#network-settings
	 	sensor(config-hos-net)#access-list x.x.x.x/subnet_mask
	 	sensor(config-hos-net)#exit
	 	sensor(config-hos)#exit
	 	Apply Changes?[yes]:
	 	sensor(config)#

  3. Surveillez les événements avec l'IEV. IDS Event Viewer est une application Java qui vous permet d'afficher et de gérer des alarmes pour un maximum de cinq capteurs. Avec IDS Event Viewer, vous pouvez vous connecter et afficher des alarmes en temps réel ou dans des fichiers journaux importés. Vous pouvez configurer des filtres et des vues pour vous aider à gérer les alarmes. Vous pouvez également importer et exporter des données d'événements pour une analyse plus approfondie. Comme MARS, IEV établit une connexion sécurisée au capteur et récupère les événements toutes les quelques secondes. L'IEV stocke ces événements dans une base de données sur le serveur sur lequel l'IEV est installé. La base de données est incluse avec IEV et installée avec l'application. Cliquez sur IEV afin de télécharger.

    Remarque : La documentation relative à IEV se trouve dans le menu d'aide après l'installation. Le fichier readme contient des informations d'installation.

  4. Configurez les signatures de votre capteur pour qu'il ait une action request-snmp-trap et configurez le capteur pour qu'il envoie les interruptions à un serveur SNMP. Vous pouvez ensuite utiliser ce serveur pour relayer les messages en tant que syslogs vers une autre machine.

    SNMP est un protocole de couche application qui facilite l'échange d'informations de gestion entre les périphériques réseau. Le protocole SNMP permet aux administrateurs réseau de gérer le rendement du réseau, de trouver et de résoudre les problèmes et de planifier son expansion.

    SNMP est un protocole de requête/réponse simple. Le système de gestion du réseau émet une requête et les périphériques gérés renvoient des réponses. Ce comportement est mis en oeuvre avec l'utilisation de l'une des quatre opérations de protocole suivantes :

    1. GET

    2. ObtenirSuivant

    3. Définir

    4. Alerte

    Vous pouvez configurer le capteur pour la surveillance par SNMP. Le protocole SNMP définit une méthode standard permettant aux stations de gestion de réseau de surveiller l’état et l’état de nombreux types de périphériques, notamment les commutateurs, les routeurs et les capteurs.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
18-Dec-2009
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits