Este documento fornece vários métodos para monitorar os eventos de IPS.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas no IPS 5.x e posterior.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Atualmente, há quatro opções para monitorar os sensores:
O IPS Manager Express (IME) está disponível no download de software em Cisco.com. Esse aplicativo pode assinar com segurança o sensor IPS com SDEE e recuperar os eventos/registros gerados como resultado de quaisquer problemas ou assinaturas disparados devido a uma correspondência.
O IPS Device Manager (IDM) é chamado quando você acessa o sensor diretamente por HTTPS.
Visualize o repositório de eventos diretamente no sensor com as ferramentas Monitoramento IDM ou Monitoramento de eventos IME. O IDM e o IME não são soluções válidas se você precisar armazenar os eventos a longo prazo, pois o armazenamento local de eventos do sensor é um buffer circular de 30 MB e começa a se sobrescrever quando o limite de 30 MB for atingido. Este limite não é configurável.
Use um dispositivo CS-MARS para puxar e correlacionar rotineiramente os eventos do sensor. O CS-MARS usa o protocolo SDEE para estabelecer uma conexão segura com o sensor para recuperar os eventos e recuperar novos eventos a cada poucos segundos.
Entre em contato com sua equipe de conta/revendedor/SE para obter mais informações se estiver interessado em demonstrar o dispositivo CS-MARS.
Para dispositivos Cisco IPS 5.x e 6.x, o MARS puxa os registros com SDEE sobre SSL. Portanto, MARS deve ter acesso HTTPS ao sensor. Para preparar o sensor, você deve permitir o tráfego HTTPS da estação de gerenciamento IDM/IME e certificar-se de que o endereço IP do MARS seja definido como um host permitido no sensor.
sensor#conf t sensor(config)#service host sensor(config-hos)#network-settings sensor(config-hos-net)#access-list x.x.x.x/subnet_mask sensor(config-hos-net)#exit sensor(config-hos)#exit Apply Changes?[yes]: sensor(config)#
Monitore os eventos com o IEV. O IDS Event Viewer é um aplicativo baseado em Java que permite exibir e gerenciar alarmes para até cinco sensores. Com o IDS Event Viewer, você pode se conectar e visualizar alarmes em tempo real ou em arquivos de log importados. Você pode configurar filtros e exibições para ajudá-lo a gerenciar os alarmes. Você também pode importar e exportar dados de eventos para análise posterior. Como o MARS, o IEV estabelece uma conexão segura com o sensor e recupera eventos a cada poucos segundos. O IEV armazena esses eventos em um banco de dados no servidor no qual o IEV está instalado. O DB é incluído com o IEV e instalado junto com o aplicativo. Clique em IEV para fazer o download.
Observação: a documentação do IEV é encontrada no menu de ajuda depois de instalá-lo. O readme contém informações sobre a instalação.
Configure as assinaturas em seu sensor para ter uma ação de request-snmp-trap e configure o sensor para enviar as interceptações para um servidor SNMP. Você pode usar esse servidor para retransmitir as mensagens como syslogs para outra máquina.
O SNMP é um protocolo da camada de aplicação que facilita a troca de informações de gerenciamento entre dispositivos de rede. O SNMP permite que os administradores de rede gerenciem o desempenho da rede, encontrem e resolvam problemas e planejem o crescimento da rede.
O SNMP é um protocolo de solicitação/resposta simples. O sistema de gerenciamento de rede emite uma solicitação e os dispositivos gerenciados retornam respostas. Esse comportamento é implementado com o uso de uma das quatro operações de protocolo:
GET
ObterPróximo
Configurado
Armadilha
Você pode configurar o sensor para monitoração por SNMP. O SNMP define uma maneira padrão para que as estações de gerenciamento de rede monitorem a integridade e o status de muitos tipos de dispositivos, o que inclui switches, roteadores e sensores.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
18-Dec-2009 |
Versão inicial |