Este documento descreve como determinar a causa raiz e solucionar o problema quando os eventos de conexão desaparecem do FireSIGHT Management Center após a execução do sistema por vários dias. Isso pode acontecer devido às definições de configuração do centro de gerenciamento.
A Cisco recomenda que você tenha conhecimento do FireSIGHT Management Center.
As informações neste documento são baseadas nas seguintes versões de hardware e software:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Para determinar o número de eventos do Connection armazenados em um FireSIGHT Management Center,
Essas informações dão uma ideia de quantos e por quanto tempo você pode reter Eventos do Connection com sua configuração atual.
Revise quais conexões estão sendo registradas e onde no fluxo essas conexões estão registradas. Você deve registrar conexões de acordo com as necessidades de segurança e conformidade da sua organização. Se o objetivo for limitar o número de eventos gerados, ative o registro somente para as regras críticas para a análise. No entanto, se desejar uma visão ampla do tráfego de rede, você poderá ativar o registro para regras de controle de acesso adicionais ou para a ação padrão. Você pode desabilitar o Registro de Conexão para tráfego não essencial para ajudar a reter Eventos de Conexão por um período de tempo maior.
Este gráfico explica as diferentes opções de log disponíveis para cada Ação de Regra:
Ação de regra ou opção de registro | Registrar no início | Registrar no fim |
Confiança Ação padrão: Confiança |
X | X |
Permissão Ação padrão: Intrusão Ação padrão: Descoberta |
X | X |
Monitor | X (Obrigatório) | |
Bloqueio Bloqueio com reinicialização Ação padrão: Bloqueio |
X | |
Bloqueio interativo Bloqueio interativo com reinicialização |
X | X (Se Ignorado) |
Inteligência de segurança | X |
Os eventos de conexão são removidos dependendo da configuração de Máximo de Eventos de Conexão na política do sistema. Para alterar a configuração:
A quantidade máxima de Eventos de Conexão que pode ser armazenada depende do modelo do Centro de Gerenciamento:
Modelo do Management Center | Número máximo de eventos |
FS750, DC750 | 50 milhões |
FS1500, DC1500 | 100 milhões |
FS2000 | 300 milhões |
FS3500, DC3500 | 500 milhões |
FS4000 | 1 bilhão |
Dispositivo virtual | 10 milhões |
Para widgets que exibem contagens de eventos ao longo de um intervalo de tempo, o número total de eventos pode não refletir o número de eventos para os quais dados detalhados estão disponíveis no visualizador de eventos. Isso ocorre porque o sistema às vezes remove detalhes de eventos mais antigos para gerenciar o uso do espaço em disco. Para minimizar a ocorrência de remoção de detalhes de eventos, você pode ajustar o registro de eventos para registrar somente os eventos mais importantes para sua implantação.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
18-Jul-2014 |
Versão inicial |