CS-MARS - Adicionar e configurar um sensor IPS como um dispositivo de relatório

Opções de download

  • PDF     (320.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (564.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (710.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:18 de fevereiro de 2010
ID do documento:111737

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento explica como preparar um dispositivo Cisco Secure Intrusion Prevention System (IPS) e qualquer sensor virtual configurado para atuar como um dispositivo de relatório para o Cisco Security Monitoring, Analysis, and Response System (CS-MARS).

Prerequisites

Requirements

Para dispositivos Cisco IPS 5.x, 6.x e 7.x, o MARS puxa os registros usando SDEE sobre SSL. Portanto, MARS deve ter acesso HTTPS ao sensor. Para preparar o sensor, você deve habilitar o servidor HTTP no sensor, habilitar o TLS para permitir o acesso HTTPS e certificar-se de que o endereço IP do MARS seja definido como um host permitido, um que possa acessar o sensor e receber eventos. Se os sensores tiverem sido configurados para permitir acesso de hosts ou sub-redes limitados na rede, você poderá usar o comando access-list ip_address/netmask para habilitar esse acesso.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Secure MARS Device que executa o software versão 4.2.x e posterior

  • Dispositivo IPS Cisco 4200 Series que executa o software versão 6.0 e posterior

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produtos Relacionados

Essa configuração também pode ser usada com estes sensores:

  • IPS-4240

  • IPS-4255

  • IPS-4260

  • IPS-4270-20

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você recebe informações sobre como adicionar e configurar um sensor Cisco Secure Intrusion Prevention System (IPS) para um dispositivo Cisco Security Monitoring, Analysis, and Response System (CS-MARS).

Adicionar e configurar um dispositivo Cisco IPS 6.x ou 7.x em MARS

Ao definir um dispositivo Cisco IPS 6.x ou 7.x em MARS, você pode descobrir quaisquer sensores virtuais configurados no dispositivo. Quando você descobre esses sensores virtuais, isso permite que o MARS separe os eventos relatados pelo sensor virtual. Também permite ajustar a lista de redes monitoradas para cada sensor virtual, o que melhora a precisão dos relatórios desejados.

Conclua estes passos para adicionar e configurar um dispositivo Cisco IPS 6.x ou 7.x em MARS:

  1. Escolha Admin > Configuração do sistema > Segurança e dispositivos de monitoramento. Em seguida, clique em Adicionar.

  2. Escolha Cisco IPS 6.x ou Cisco IPS 7.x na lista Tipo de dispositivo. Agora, insira o nome do host do sensor no campo Device Name (Nome do dispositivo), como mostrado aqui. IPS1 é o nome do dispositivo usado neste exemplo. O valor do Nome do dispositivo deve ser idêntico ao nome do sensor configurado.

    Adding-IPS-to-CS-MARS-01.gif

    Agora insira o endereço IP administrativo no campo IP de relatório. O endereço IP do relatório é o mesmo endereço do endereço IP administrativo.

  3. No campo Login, insira o nome de usuário associado à conta administrativa que é usada para acessar o dispositivo de relatório. Agora, no campo Senha, insira a senha associada ao nome de usuário especificado no campo Login. O nome de usuário é cisco e a senha usada é cisco123 neste exemplo. Além disso, insira o número da porta TCP na qual o servidor web em execução no sensor escuta no campo Porta. A porta HTTPS padrão é 443.

    Adding-IPS-to-CS-MARS-02.gif

    Observação: embora seja possível configurar somente HTTP, MARS exige HTTPS.

  4. Agora, verifique se NO está selecionado na lista Monitorar uso de recursos. Embora a opção Monitorar uso de recursos seja exibida nesta página, ela não funciona para o Cisco IPS.

    Adding-IPS-to-CS-MARS-03.gif

  5. Para puxar os registros IP do sensor, escolha Sim na lista Receber registros IP. Este é um recurso opcional, que pode ser usado se necessário.

    Adding-IPS-to-CS-MARS-04.gif

    Essa configuração se aplica a todo o sensor, que inclui os registros gerados para alertas de sensores virtuais.

  6. Clique em Test Connectivity para verificar a configuração e habilitar a descoberta de sensores virtuais.

    Adding-IPS-to-CS-MARS-05.gif

  7. Clique em Discover para descobrir quaisquer sensores virtuais definidos.

    Adding-IPS-to-CS-MARS-06.gif

    Observação: MARS não conhece as alterações feitas no sensor. Sempre que efetuar alterações nas definições do sensor virtual, tem de clicar em Detectar nessa página de configuração do sensor para atualizar os detalhes do sensor virtual em MARS.

  8. Escolha a caixa de seleção ao lado de Nome do sensor virtual e clique em Editar para definir as redes monitoradas para cada sensor virtual. Agora, a página Módulo IPS é exibida conforme mostrado aqui.

    Adding-IPS-to-CS-MARS-07.gif

  9. Para cálculo e mitigação do caminho de ataque, especifique as redes que estão sendo monitoradas pelo sensor. Escolha o botão de opção Definir uma rede para definir manualmente a rede. Em seguida, conclua estes passos para definir uma rede:

    1. Digite o endereço de rede no campo IP da rede.

    2. Insira o valor da máscara de rede correspondente no campo Mask (Máscara).

    3. Clique em Adicionar para mover a rede especificada para o campo Redes monitoradas.

    4. Repita as etapas anteriores se houver necessidade de definir mais redes.

      Adding-IPS-to-CS-MARS-08.gif

      Observação: este é um recurso opcional disponível e pode ser ignorado se não for necessário.

  10. Clique no botão de opção Select a Network (Selecionar uma rede) para selecionar as redes conectadas ao dispositivo. Em seguida, conclua estes passos para escolher as redes:

    1. Escolha uma rede na lista Selecionar uma rede.

    2. Clique em Adicionar para mover a rede especificada para o campo Redes monitoradas.

    3. Repita as etapas anteriores se houver necessidade de escolher mais redes.

      Adding-IPS-to-CS-MARS-09.gif

      Observação: este é um recurso opcional disponível e pode ser ignorado se não for necessário.

  11. Repita as etapas 8 a etapa 10 para cada sensor virtual.

  12. Clique em Enviar para salvar suas alterações. O nome do dispositivo é exibido na lista Informações de segurança e monitoramento. A operação de envio registra as alterações nas tabelas do banco de dados. No entanto, ele não carrega as alterações na memória de trabalho do dispositivo MARS. A operação de ativação carrega as alterações enviadas na memória de trabalho.

  13. Clique em Ativar para permitir que MARS comece a dimensionar eventos deste dispositivo.

    O MARS começa a dimensionar eventos gerados por este módulo e a avaliar esses eventos usando as regras de inspeção e descarte definidas. Qualquer evento publicado pelo dispositivo para MARS antes da ativação pode ser consultado com o endereço IP de relatório do dispositivo como um critério de correspondência. Consulte Ativar os dispositivos de relatório e mitigação. para obter mais informações sobre a ação de ativação.

Verifique se MARS coleta eventos de um dispositivo Cisco IPS

É comum criar eventos benignos na rede para verificar o fluxo de dados. Conclua estes passos para verificar o fluxo de dados entre um dispositivo Cisco IPS e MARS:

  1. No dispositivo Cisco IPS, ative e alerte sobre as assinaturas 2000 e 2004. As assinaturas monitoram mensagens ICMP (pings).

  2. Faça ping em um dispositivo na sub-rede na qual o dispositivo Cisco IPS está escutando. Os eventos são gerados e extraídos por MARS.

  3. Verifique se os eventos aparecem na interface da Web do MARS. Você pode realizar uma consulta com o dispositivo Cisco IPS.

  4. Depois que o fluxo de dados for verificado, você poderá desativar as assinaturas 2000 e 2004 no dispositivo Cisco IPS.

    Observação: se a operação Testar conectividade não falhar durante a configuração de um dispositivo Cisco IPS na interface da Web MARS, as comunicações serão ativadas. Esta tarefa permite verificar ainda mais se os alertas foram gerados e recebidos corretamente.

Troubleshoot

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
01-Dec-2013
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos