本文档介绍如何准备思科安全入侵防御系统(IPS)设备和任何已配置的虚拟传感器,以充当思科安全监控、分析和响应系统(CS-MARS)的报告设备。
对于Cisco IPS 5.x、6.x和7.x设备,MARS使用SDEE over SSL提取日志。因此,MARS必须具有对传感器的HTTPS访问权限。要准备传感器,必须在传感器上启用HTTP服务器,启用TLS以允许HTTPS访问,并确保MARS的IP地址被定义为允许的主机,该主机可以访问传感器和拉入事件。如果已将传感器配置为允许来自网络上有限主机或子网的访问,则可以使用access-list ip_address/netmask命令启用此访问。
本文档中的信息基于以下软件和硬件版本:
运行软件版本4.2.x及更高版本的思科安全MARS设备
运行软件版本6.0及更高版本的Cisco 4200系列IPS设备
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
此配置也可用于以下传感器:
IPS-4240
IPS-4255
IPS-4260
IPS-4270-20
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
本节将介绍如何向思科安全监控、分析和响应系统(CS-MARS)设备添加和配置思科安全入侵防御系统(IPS)传感器的信息。
在MARS中定义Cisco IPS 6.x或7.x设备时,可以发现设备上配置的任何虚拟传感器。当您发现这些虚拟传感器时,MARS可以通过虚拟传感器分隔报告的事件。它还允许您调整每个虚拟传感器的受监控网络列表,从而提高所需报告的准确性。
要在MARS中添加和配置Cisco IPS 6.x或7.x设备,请完成以下步骤:
选择Admin > System Setup > Security and Monitor Devices。然后,单击“Add(添加)”。
从Device Type(设备类型)列表中选择Cisco IPS 6.x或Cisco IPS 7.x。现在,在Device Name(设备名称)字段中输入传感器的主机名,如下所示。IPS1是本示例中使用的设备名称。“设备名称”(Device Name)值必须与已配置的传感器名称相同。
现在,在“报告IP”字段中输入管理IP地址。报告IP地址与管理IP地址相同。
在登录字段中,输入与用于访问报告设备的管理帐户关联的用户名。现在,在“密码”字段中,输入与“登录”字段中指定的用户名相关的密码。用户名为cisco,在本例中使用的口令为cisco123。另外,在Port字段中输入在传感器上运行的Web服务器侦听的TCP端口号。默认HTTPS端口为443。
注意:虽然只能配置HTTP,但MARS需要HTTPS。
现在,验证“监控资源使用情况”列表中是否。当监控资源使用选项显示在此页面上时,它对Cisco IPS不起作用。
要从传感器提取IP日志,请从“提取IP日志”列表中选择“是”。这是可选功能,可根据需要使用。
此设置适用于整个传感器,包括为虚拟传感器警报生成的日志。
单击Test Connectivity以验证配置并启用虚拟传感器的发现。
单击Discover以发现任何已定义的虚拟传感器。
注意:MARS不知道对传感器所做的更改。每次更改虚拟传感器设置时,必须单击该传感器配置页面上的Discover,以刷新MARS中的虚拟传感器详细信息。
选中Virtual Sensor Name(虚拟传感器名称)旁边的复选框,然后单击Edit(编辑),以定义每个虚拟传感器的受监控网络。此时将显示“IPS模块”页面,如下所示。
对于攻击路径计算和缓解,请指定传感器监控的网络。选择“定义网络”单选按钮以手动定义网络。然后完成以下步骤以定义网络:
在Network IP(网络IP)字段中输入网络地址。
在“掩码”字段中输入相应的网络掩码值。
单击Add以将指定的网络移到Monitored Networks字段中。
如果需要定义更多网络,请重复上述步骤。
注意:这是可选功能,如果不需要,可跳过此功能。
单击Select a Network(选择网络)单选按钮以选择连接到设备的网络。然后完成以下步骤以选择网络:
从Select a Network(选择网络)列表中选择一个网络。
单击Add以将指定的网络移到Monitored Networks字段中。
如果需要选择更多网络,请重复上述步骤。
注意:这是可选功能,如果不需要,可跳过此功能。
对每个虚拟传感器重复步骤8到步骤10。
单击Submit以保存更改。设备名称显示在“安全和监控信息”(Security and Monitoring Information)列表下。提交操作将记录数据库表中的更改。但是,它不会将更改加载到MARS设备的工作内存中。激活操作将提交的更改加载到工作内存中。
单击Activate以启用MARS开始从此设备对事件进行会话。
MARS开始对此模块生成的事件进行会话,并使用定义的检查和丢弃规则评估这些事件。设备在激活前发布到MARS的任何事件都可以以设备的报告IP地址作为匹配条件进行查询。请参阅激活报告和缓解设备。的子菜单。
通常在网络上创建良性事件以验证数据流。要验证Cisco IPS设备和MARS之间的数据流,请完成以下步骤:
在Cisco IPS设备上,启用签名2000和2004并发出警报。签名监控ICMP消息(ping)。
对Cisco IPS设备侦听的子网上的设备执行ping操作。事件由MARS生成和提取。
验证事件是否出现在MARS Web界面中。您可以对Cisco IPS设备执行查询。
验证数据流后,您可以禁用Cisco IPS设备上的2000和2004签名。
注意:如果在MARS Web界面中配置Cisco IPS设备期间测试连接操作未失败,则通信已启用。此任务允许您进一步验证警报的生成和提取是否正确。
目前没有针对此配置的故障排除信息。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
01-Dec-2013 |
初始版本 |