IPS 5.x e posterior: Vários métodos de monitoramento de eventos

Opções de download

  • PDF     (121.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (84.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (70.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:18 de dezembro de 2009
ID do documento:111432

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento fornece vários métodos para monitorar os eventos de IPS.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no IPS 5.x e posterior.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Métodos para monitorar os eventos de IPS

Atualmente, há quatro opções para monitorar os sensores:

  1. O IPS Manager Express (IME) está disponível no download de software em Cisco.com. Esse aplicativo pode assinar com segurança o sensor IPS com SDEE e recuperar os eventos/registros gerados como resultado de quaisquer problemas ou assinaturas disparados devido a uma correspondência.

    O IPS Device Manager (IDM) é chamado quando você acessa o sensor diretamente por HTTPS.

    Visualize o repositório de eventos diretamente no sensor com as ferramentas Monitoramento IDM ou Monitoramento de eventos IME. O IDM e o IME não são soluções válidas se você precisar armazenar os eventos a longo prazo, pois o armazenamento local de eventos do sensor é um buffer circular de 30 MB e começa a se sobrescrever quando o limite de 30 MB for atingido. Este limite não é configurável.

  2. Use um dispositivo CS-MARS para puxar e correlacionar rotineiramente os eventos do sensor. O CS-MARS usa o protocolo SDEE para estabelecer uma conexão segura com o sensor para recuperar os eventos e recuperar novos eventos a cada poucos segundos.

    Entre em contato com sua equipe de conta/revendedor/SE para obter mais informações se estiver interessado em demonstrar o dispositivo CS-MARS.

    Para dispositivos Cisco IPS 5.x e 6.x, o MARS puxa os registros com SDEE sobre SSL. Portanto, MARS deve ter acesso HTTPS ao sensor. Para preparar o sensor, você deve permitir o tráfego HTTPS da estação de gerenciamento IDM/IME e certificar-se de que o endereço IP do MARS seja definido como um host permitido no sensor.

    sensor#conf t
	 	sensor(config)#service host
	 	sensor(config-hos)#network-settings
	 	sensor(config-hos-net)#access-list x.x.x.x/subnet_mask
	 	sensor(config-hos-net)#exit
	 	sensor(config-hos)#exit
	 	Apply Changes?[yes]:
	 	sensor(config)#

  3. Monitore os eventos com o IEV. O IDS Event Viewer é um aplicativo baseado em Java que permite exibir e gerenciar alarmes para até cinco sensores. Com o IDS Event Viewer, você pode se conectar e visualizar alarmes em tempo real ou em arquivos de log importados. Você pode configurar filtros e exibições para ajudá-lo a gerenciar os alarmes. Você também pode importar e exportar dados de eventos para análise posterior. Como o MARS, o IEV estabelece uma conexão segura com o sensor e recupera eventos a cada poucos segundos. O IEV armazena esses eventos em um banco de dados no servidor no qual o IEV está instalado. O DB é incluído com o IEV e instalado junto com o aplicativo. Clique em IEV para fazer o download.

    Observação: a documentação do IEV é encontrada no menu de ajuda depois de instalá-lo. O readme contém informações sobre a instalação.

  4. Configure as assinaturas em seu sensor para ter uma ação de request-snmp-trap e configure o sensor para enviar as interceptações para um servidor SNMP. Você pode usar esse servidor para retransmitir as mensagens como syslogs para outra máquina.

    O SNMP é um protocolo da camada de aplicação que facilita a troca de informações de gerenciamento entre dispositivos de rede. O SNMP permite que os administradores de rede gerenciem o desempenho da rede, encontrem e resolvam problemas e planejem o crescimento da rede.

    O SNMP é um protocolo de solicitação/resposta simples. O sistema de gerenciamento de rede emite uma solicitação e os dispositivos gerenciados retornam respostas. Esse comportamento é implementado com o uso de uma das quatro operações de protocolo:

    1. GET

    2. ObterPróximo

    3. Configurado

    4. Armadilha

    Você pode configurar o sensor para monitoração por SNMP. O SNMP define uma maneira padrão para que as estações de gerenciamento de rede monitorem a integridade e o status de muitos tipos de dispositivos, o que inclui switches, roteadores e sensores.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
18-Dec-2009
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos