Este documento explica como preparar um dispositivo Cisco Secure Intrusion Prevention System (IPS) e qualquer sensor virtual configurado para atuar como um dispositivo de relatório para o Cisco Security Monitoring, Analysis, and Response System (CS-MARS).
Para dispositivos Cisco IPS 5.x, 6.x e 7.x, o MARS puxa os registros usando SDEE sobre SSL. Portanto, MARS deve ter acesso HTTPS ao sensor. Para preparar o sensor, você deve habilitar o servidor HTTP no sensor, habilitar o TLS para permitir o acesso HTTPS e certificar-se de que o endereço IP do MARS seja definido como um host permitido, um que possa acessar o sensor e receber eventos. Se os sensores tiverem sido configurados para permitir acesso de hosts ou sub-redes limitados na rede, você poderá usar o comando access-list ip_address/netmask para habilitar esse acesso.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco Secure MARS Device que executa o software versão 4.2.x e posterior
Dispositivo IPS Cisco 4200 Series que executa o software versão 6.0 e posterior
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Essa configuração também pode ser usada com estes sensores:
IPS-4240
IPS-4255
IPS-4260
IPS-4270-20
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Nesta seção, você recebe informações sobre como adicionar e configurar um sensor Cisco Secure Intrusion Prevention System (IPS) para um dispositivo Cisco Security Monitoring, Analysis, and Response System (CS-MARS).
Ao definir um dispositivo Cisco IPS 6.x ou 7.x em MARS, você pode descobrir quaisquer sensores virtuais configurados no dispositivo. Quando você descobre esses sensores virtuais, isso permite que o MARS separe os eventos relatados pelo sensor virtual. Também permite ajustar a lista de redes monitoradas para cada sensor virtual, o que melhora a precisão dos relatórios desejados.
Conclua estes passos para adicionar e configurar um dispositivo Cisco IPS 6.x ou 7.x em MARS:
Escolha Admin > Configuração do sistema > Segurança e dispositivos de monitoramento. Em seguida, clique em Adicionar.
Escolha Cisco IPS 6.x ou Cisco IPS 7.x na lista Tipo de dispositivo. Agora, insira o nome do host do sensor no campo Device Name (Nome do dispositivo), como mostrado aqui. IPS1 é o nome do dispositivo usado neste exemplo. O valor do Nome do dispositivo deve ser idêntico ao nome do sensor configurado.
Agora insira o endereço IP administrativo no campo IP de relatório. O endereço IP do relatório é o mesmo endereço do endereço IP administrativo.
No campo Login, insira o nome de usuário associado à conta administrativa que é usada para acessar o dispositivo de relatório. Agora, no campo Senha, insira a senha associada ao nome de usuário especificado no campo Login. O nome de usuário é cisco e a senha usada é cisco123 neste exemplo. Além disso, insira o número da porta TCP na qual o servidor web em execução no sensor escuta no campo Porta. A porta HTTPS padrão é 443.
Observação: embora seja possível configurar somente HTTP, MARS exige HTTPS.
Agora, verifique se NO está selecionado na lista Monitorar uso de recursos. Embora a opção Monitorar uso de recursos seja exibida nesta página, ela não funciona para o Cisco IPS.
Para puxar os registros IP do sensor, escolha Sim na lista Receber registros IP. Este é um recurso opcional, que pode ser usado se necessário.
Essa configuração se aplica a todo o sensor, que inclui os registros gerados para alertas de sensores virtuais.
Clique em Test Connectivity para verificar a configuração e habilitar a descoberta de sensores virtuais.
Clique em Discover para descobrir quaisquer sensores virtuais definidos.
Observação: MARS não conhece as alterações feitas no sensor. Sempre que efetuar alterações nas definições do sensor virtual, tem de clicar em Detectar nessa página de configuração do sensor para atualizar os detalhes do sensor virtual em MARS.
Escolha a caixa de seleção ao lado de Nome do sensor virtual e clique em Editar para definir as redes monitoradas para cada sensor virtual. Agora, a página Módulo IPS é exibida conforme mostrado aqui.
Para cálculo e mitigação do caminho de ataque, especifique as redes que estão sendo monitoradas pelo sensor. Escolha o botão de opção Definir uma rede para definir manualmente a rede. Em seguida, conclua estes passos para definir uma rede:
Digite o endereço de rede no campo IP da rede.
Insira o valor da máscara de rede correspondente no campo Mask (Máscara).
Clique em Adicionar para mover a rede especificada para o campo Redes monitoradas.
Repita as etapas anteriores se houver necessidade de definir mais redes.
Observação: este é um recurso opcional disponível e pode ser ignorado se não for necessário.
Clique no botão de opção Select a Network (Selecionar uma rede) para selecionar as redes conectadas ao dispositivo. Em seguida, conclua estes passos para escolher as redes:
Escolha uma rede na lista Selecionar uma rede.
Clique em Adicionar para mover a rede especificada para o campo Redes monitoradas.
Repita as etapas anteriores se houver necessidade de escolher mais redes.
Observação: este é um recurso opcional disponível e pode ser ignorado se não for necessário.
Repita as etapas 8 a etapa 10 para cada sensor virtual.
Clique em Enviar para salvar suas alterações. O nome do dispositivo é exibido na lista Informações de segurança e monitoramento. A operação de envio registra as alterações nas tabelas do banco de dados. No entanto, ele não carrega as alterações na memória de trabalho do dispositivo MARS. A operação de ativação carrega as alterações enviadas na memória de trabalho.
Clique em Ativar para permitir que MARS comece a dimensionar eventos deste dispositivo.
O MARS começa a dimensionar eventos gerados por este módulo e a avaliar esses eventos usando as regras de inspeção e descarte definidas. Qualquer evento publicado pelo dispositivo para MARS antes da ativação pode ser consultado com o endereço IP de relatório do dispositivo como um critério de correspondência. Consulte Ativar os dispositivos de relatório e mitigação. para obter mais informações sobre a ação de ativação.
É comum criar eventos benignos na rede para verificar o fluxo de dados. Conclua estes passos para verificar o fluxo de dados entre um dispositivo Cisco IPS e MARS:
No dispositivo Cisco IPS, ative e alerte sobre as assinaturas 2000 e 2004. As assinaturas monitoram mensagens ICMP (pings).
Faça ping em um dispositivo na sub-rede na qual o dispositivo Cisco IPS está escutando. Os eventos são gerados e extraídos por MARS.
Verifique se os eventos aparecem na interface da Web do MARS. Você pode realizar uma consulta com o dispositivo Cisco IPS.
Depois que o fluxo de dados for verificado, você poderá desativar as assinaturas 2000 e 2004 no dispositivo Cisco IPS.
Observação: se a operação Testar conectividade não falhar durante a configuração de um dispositivo Cisco IPS na interface da Web MARS, as comunicações serão ativadas. Esta tarefa permite verificar ainda mais se os alertas foram gerados e recebidos corretamente.
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
01-Dec-2013 |
Versão inicial |