Ce document fournit diverses méthodes pour surveiller les événements IPS.
Aucune spécification déterminée n'est requise pour ce document.
Les informations de ce document sont basées sur IPS 5.x et versions ultérieures.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
À l'heure actuelle, il existe quatre options de surveillance des capteurs :
IPS Manager Express (IME) est disponible à partir du téléchargement de logiciels sur Cisco.com. Cette application peut s'abonner en toute sécurité au capteur IPS avec SDEE et récupérer les événements/journaux qui ont été générés en raison de problèmes ou de signatures qui ont été déclenchés en raison d'une correspondance.
Le gestionnaire de périphériques IPS (IDM) est appelé lorsque vous accédez directement au capteur via HTTPS.
Affichez le magasin d'événements directement sur le capteur à l'aide des outils IDM Monitoring ou IME Event Monitoring. IDM et IME ne sont pas des solutions valides si vous devez stocker les événements à long terme car le magasin d'événements local du capteur est un tampon circulaire de 30 Mo et commence à se surpasser une fois la limite de 30 Mo atteinte. Cette limite n'est pas configurable.
Utilisez un périphérique CS-MARS afin de tirer et corréler régulièrement les événements à partir du capteur. Le CS-MARS utilise le protocole SDEE afin d'établir une connexion sécurisée au capteur pour récupérer les événements et récupérer de nouveaux événements toutes les quelques secondes.
Contactez votre équipe de compte/revendeur/SE pour plus d'informations si vous souhaitez faire une démonstration du périphérique CS-MARS.
Pour les périphériques Cisco IPS 5.x et 6.x, MARS extrait les journaux avec SDEE sur SSL. Par conséquent, MARS doit disposer d'un accès HTTPS au capteur. Pour préparer le capteur, vous devez autoriser le trafic HTTPS à partir de la station de gestion IDM/IME et vous assurer que l'adresse IP de MARS est définie comme hôte autorisé sur le capteur.
sensor#conf t sensor(config)#service host sensor(config-hos)#network-settings sensor(config-hos-net)#access-list x.x.x.x/subnet_mask sensor(config-hos-net)#exit sensor(config-hos)#exit Apply Changes?[yes]: sensor(config)#
Surveillez les événements avec l'IEV. IDS Event Viewer est une application Java qui vous permet d'afficher et de gérer des alarmes pour un maximum de cinq capteurs. Avec IDS Event Viewer, vous pouvez vous connecter et afficher des alarmes en temps réel ou dans des fichiers journaux importés. Vous pouvez configurer des filtres et des vues pour vous aider à gérer les alarmes. Vous pouvez également importer et exporter des données d'événements pour une analyse plus approfondie. Comme MARS, IEV établit une connexion sécurisée au capteur et récupère les événements toutes les quelques secondes. L'IEV stocke ces événements dans une base de données sur le serveur sur lequel l'IEV est installé. La base de données est incluse avec IEV et installée avec l'application. Cliquez sur IEV afin de télécharger.
Remarque : La documentation relative à IEV se trouve dans le menu d'aide après l'installation. Le fichier readme contient des informations d'installation.
Configurez les signatures de votre capteur pour qu'il ait une action request-snmp-trap et configurez le capteur pour qu'il envoie les interruptions à un serveur SNMP. Vous pouvez ensuite utiliser ce serveur pour relayer les messages en tant que syslogs vers une autre machine.
SNMP est un protocole de couche application qui facilite l'échange d'informations de gestion entre les périphériques réseau. Le protocole SNMP permet aux administrateurs réseau de gérer le rendement du réseau, de trouver et de résoudre les problèmes et de planifier son expansion.
SNMP est un protocole de requête/réponse simple. Le système de gestion du réseau émet une requête et les périphériques gérés renvoient des réponses. Ce comportement est mis en oeuvre avec l'utilisation de l'une des quatre opérations de protocole suivantes :
GET
ObtenirSuivant
Définir
Alerte
Vous pouvez configurer le capteur pour la surveillance par SNMP. Le protocole SNMP définit une méthode standard permettant aux stations de gestion de réseau de surveiller l’état et l’état de nombreux types de périphériques, notamment les commutateurs, les routeurs et les capteurs.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
18-Dec-2009 |
Première publication |