CS-MARS — 添加并配置IPS传感器作为报告设备

下载选项

  • PDF     (416.8 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (557.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (702.1 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2010 年 2 月 18 日
文档 ID:111737

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何准备思科安全入侵防御系统(IPS)设备和任何已配置的虚拟传感器,以充当思科安全监控、分析和响应系统(CS-MARS)的报告设备。

先决条件

要求

对于Cisco IPS 5.x、6.x和7.x设备,MARS使用SDEE over SSL提取日志。因此,MARS必须具有对传感器的HTTPS访问权限。要准备传感器,必须在传感器上启用HTTP服务器,启用TLS以允许HTTPS访问,并确保MARS的IP地址被定义为允许的主机,该主机可以访问传感器和拉入事件。如果已将传感器配置为允许来自网络上有限主机或子网的访问,则可以使用access-list ip_address/netmask命令启用此访问。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行软件版本4.2.x及更高版本的思科安全MARS设备

  • 运行软件版本6.0及更高版本的Cisco 4200系列IPS设备

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置也可用于以下传感器:

  • IPS-4240

  • IPS-4255

  • IPS-4260

  • IPS-4270-20

规则

有关文档约定的更多信息,请参考 Cisco 技术提示约定。

配置

本节将介绍如何向思科安全监控、分析和响应系统(CS-MARS)设备添加和配置思科安全入侵防御系统(IPS)传感器的信息。

在MARS中添加和配置Cisco IPS 6.x或7.x设备

在MARS中定义Cisco IPS 6.x或7.x设备时,可以发现设备上配置的任何虚拟传感器。当您发现这些虚拟传感器时,MARS可以通过虚拟传感器分隔报告的事件。它还允许您调整每个虚拟传感器的受监控网络列表,从而提高所需报告的准确性。

要在MARS中添加和配置Cisco IPS 6.x或7.x设备,请完成以下步骤:

  1. 选择Admin > System Setup > Security and Monitor Devices。然后,单击“Add(添加)”。

  2. Device Type(设备类型)列表中选择Cisco IPS 6.x或Cisco IPS 7.x。现在,在Device Name(设备名称)字段中输入传感器的主机名,如下所示。IPS1是本示例中使用的设备名称。“设备名称”(Device Name)值必须与已配置的传感器名称相同。

    Adding-IPS-to-CS-MARS-01.gif

    现在,在“报告IP”字段中输入管理IP地址。报告IP地址与管理IP地址相同。

  3. 登录字段中,输入与用于访问报告设备的管理帐户关联的用户名。现在,在“密码”字段中,输入与“登录”字段中指定的用户名相关的密码用户名cisco,在本例中使用的口令cisco123。另外,在Port字段中输入在传感器上运行的Web服务器侦听的TCP端口号。默认HTTPS端口为443。

    Adding-IPS-to-CS-MARS-02.gif

    注意:虽然只能配置HTTP,但MARS需要HTTPS。

  4. 现在,验证“监控资源使用情况”列表中是否。当监控资源使用选项显示在此页面上时,它对Cisco IPS不起作用。

    Adding-IPS-to-CS-MARS-03.gif

  5. 要从传感器提取IP日志,请从“提取IP日志”列表中选择“是”。这是可选功能,可根据需要使用。

    Adding-IPS-to-CS-MARS-04.gif

    此设置适用于整个传感器,包括为虚拟传感器警报生成的日志。

  6. 单击Test Connectivity以验证配置并启用虚拟传感器的发现。

    Adding-IPS-to-CS-MARS-05.gif

  7. 单击Discover以发现任何已定义的虚拟传感器。

    Adding-IPS-to-CS-MARS-06.gif

    注意:MARS不知道对传感器所做的更改。每次更改虚拟传感器设置时,必须单击该传感器配置页面上的Discover,以刷新MARS中的虚拟传感器详细信息。

  8. 选中Virtual Sensor Name(虚拟传感器名称)旁边的复选框,然后单击Edit(编辑),以定义每个虚拟传感器的受监控网络。此时将显示“IPS模块”页面,如下所示。

    Adding-IPS-to-CS-MARS-07.gif

  9. 对于攻击路径计算和缓解,请指定传感器监控的网络。选择“定义网络”单选按钮以手动定义网络。然后完成以下步骤以定义网络:

    1. 在Network IP(网络IP)字段中输入网络地址。

    2. 在“掩码”字段中输入相应的网络掩码值。

    3. 单击Add以将指定的网络移到Monitored Networks字段中。

    4. 如果需要定义更多网络,请重复上述步骤。

      Adding-IPS-to-CS-MARS-08.gif

      注意:这是可选功能,如果不需要,可跳过此功能。

  10. 单击Select a Network(选择网络)单选按钮以选择连接到设备的网络。然后完成以下步骤以选择网络:

    1. 从Select a Network(选择网络)列表中选择一个网络。

    2. 单击Add以将指定的网络移到Monitored Networks字段中。

    3. 如果需要选择更多网络,请重复上述步骤。

      Adding-IPS-to-CS-MARS-09.gif

      注意:这是可选功能,如果不需要,可跳过此功能。

  11. 对每个虚拟传器重复步骤8到步骤10。

  12. 单击Submit以保存更改。设备名称显示在“安全和监控信息”(Security and Monitoring Information)列表下。提交操作将记录数据库表中的更改。但是,它不会将更改加载到MARS设备的工作内存中。激活操作将提交的更改加载到工作内存中。

  13. 单击Activate以启用MARS开始从此设备对事件进行会话。

    MARS开始对此模块生成的事件进行会话,并使用定义的检查和丢弃规则评估这些事件。设备在激活前发布到MARS的任何事件都可以以设备的报告IP地址作为匹配条件进行查询。请参阅激活报告和缓解设备。的子菜单。

验证MARS从Cisco IPS设备提取事件

通常在网络上创建良性事件以验证数据流。要验证Cisco IPS设备和MARS之间的数据流,请完成以下步骤:

  1. 在Cisco IPS设备上,启用签名2000和2004并发出警报。签名监控ICMP消息(ping)。

  2. 对Cisco IPS设备侦听的子网上的设备执行ping操作。事件由MARS生成和提取。

  3. 验证事件是否出现在MARS Web界面中。您可以对Cisco IPS设备执行查询。

  4. 验证数据流后,您可以禁用Cisco IPS设备上的2000和2004签名。

    注意:如果在MARS Web界面中配置Cisco IPS设备期间测试连接操作未失败,则通信已启用。此任务允许您进一步验证警报的生成和提取是否正确。

故障排除

目前没有针对此配置的故障排除信息。

相关信息

修订历史记录

版本 发布日期 备注
1.0
01-Dec-2013
初始版本

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品