Безопасность : Cisco Firepower Management Center

IP-адрес Заблокирован или Помещен в черный список Безопасностью Intellegence Системы FireSIGHT

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (19 декабря 2015) | Отзыв

Введение

Функция Интеллектуальной информационной безопасности позволяет вам задавать трафик, который может пересечь ваше сетевое на источнике или IP - адресе назначения. Это особенно полезно, если вы хотите поместить в черный список - запрещают трафик к и от - определенные IP-адреса, прежде чем трафик будет подвергнут анализу правилами управления доступом. Эти документы описывают, как обработать сценарии, когда IP-адрес блокируется или помещается в черный список Системой Cisco FireSIGHT.

Внесенный Nazmul Rajib, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует ознакомиться на Центре управления Cisco FireSIGHT.

Используемые компоненты

Сведения в документе приведены на основе данных версий аппаратного и программного обеспечения:

  • Центр управления Cisco FireSIGHT
  • Устройство огневой мощи Cisco
  • Cisco ASA с Огневой мощью (SFR) модуль
  • Версия программного обеспечения 5.2 или позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Различие между интеллектуальным списком канала и интеллекта

Существует два способа использовать функцию Интеллектуальной информационной безопасности в Системе FireSIGHT:

Канал интеллектуальной информационной безопасности


Канал Интеллектуальной информационной безопасности является динамическим набором IP-адресов, которые Центр Защиты загружает от сервера HTTPS или HTTP. Чтобы помочь вам создавать черные списки, Cisco предоставляет Канал Интеллектуальной информационной безопасности, который представляет IP-адреса, полные решимости Исследовательской группой уязвимости (VRT) иметь плохую репутацию.

Список интеллектуальной информационной безопасности

Список Интеллектуальной информационной безопасности, контрастировавший с каналом, является простым статическим списком IP-адресов, которые вы вручную загружаете к Центру управления FireSIGHT.

Допустимый IP - адрес Заблокирован или Помещен в черный список

Проверьте, находится ли IP-адрес в Канале Интеллектуальной информационной безопасности

Если IP-адрес блокируется черным списком Канала Интеллектуальной информационной безопасности, можно выполнить действия ниже для проверки этого:

Шаг 1: Обратитесь к CLI устройства Огневой мощи или сервисного модуля.

Шаг 2: Используйте следующую команду. Замена <IP_Address> с IP-адресом, который вы хотите искать:

admin@Firepower:~$ grep <IP_Address> /var/sf/iprep_download/*.blf

Например, Если вы хотите искать IP-адрес 198.51.100.1, выполните следующую команду:

admin@Firepower:~$ grep 198.51.100.1 /var/sf/iprep_download/*.blf

Если эта команда возвращает соответствие для IP-адреса вы, если, это указывает, что IP-адрес присутствует на черном списке Канала Интеллектуальной информационной безопасности.

Проверьте черный список

Для обнаружения списка IP-адресов, которые могли бы быть помещены в черный список выполните действия ниже:

Шаг 1: Доступ к веб-интерфейсу Центра управления FireSIGHT.

Шаг 2: Перейдите к Объектам>> Security Управления объектами Интеллект.

Шаг 3: Щелкните по значку карандаша, чтобы открыть или отредактировать Глобальный Черный список. Появляется раскрывающееся окно со списком IP-адресов.

Работайте с заблокированным или помещенным в черный список IP-адресом

Если определенный IP - адрес заблокирован или помещен в черный список Каналом Интеллектуальной информационной безопасности, можно полагать, что любая из следующих опций позволяет его.

Вариант 1: Белые списки интеллектуальной информационной безопасности

Можно добавить в белый список IP-адрес, который помещен в черный список Интеллектуальной информационной безопасностью. Белый список отвергает свой черный список. Даже если IP-адрес также помещен в черный список, система FireSIGHT оценивает трафик с источником в белом списке или IP - адресом назначения с помощью правил управления доступом. Поэтому можно использовать белый список, когда черный список все еще полезен, но слишком широк в области и неправильно блокирует трафик, который вы хотите осмотреть.

Например, если уважаемый канал неправильно блокирует ваш доступ к жизненному ресурсу, но в целом полезен для вашей организации, можно добавить неправильно классифицированные IP-адреса в белый список только, вместо того, чтобы удалить целый канал из черного списка.

Внимание: После внесения любого изменения в Политике контроля доступа необходимо повторно применить политику к управляемым устройствам.

Вариант 2: Принудите фильтр интеллектуальной информационной безопасности по зоне безопасности

Для добавленной глубины детализации можно принудить Интеллектуальную информационную безопасность, фильтрующую на основе того, находятся ли источник или IP - адрес назначения в соединении в определенной зоне безопасности.

Для расширения приведенного выше примера белого списка вы могли добавить неправильно классифицированные IP-адреса в белый список, но тогда ограничить объект белого списка использование зоны безопасности, используемой теми в вашей организации, кто должен обратиться к тем IP-адресам. Тот путь, только те с потребностями организации могут обратиться к IP-адресам в белом списке. Как другой пример, вы могли бы хотеть использовать сторонний канал спама для помещения в черный список трафика на зоне безопасности почтового сервера.

Параметр 3: Монитор, вместо того, чтобы поместить в черный список

Если вы не уверены, хотите ли вы поместить в черный список определенный IP - адрес или набор адресов, можно использовать установку "только для монитора", которая позволяет системе передавать соответствующее соединение с правилами управления доступом, но также и регистрирует соответствие к черному списку. Обратите внимание на то, что вы не можете установить глобальный черный список в только для монитора
 
Рассмотрите сценарий, где вы хотите протестировать сторонний канал перед реализацией блокирования с помощью того канала. При установке канала в только для монитора система позволяет соединения, которые были бы заблокированы, чтобы быть далее проанализированными системой, но также и регистрируют запись каждого из тех соединений для оценки.

Шаги для настройки Интеллектуальной информационной безопасности с установкой "только для монитора":

  1. На вкладке Security Intelligence в политике контроля доступа нажмите значок регистрации. Окно параметров Черного списка появляется.
  2. Установите флажок Log Connections для регистрации начала событий подключения, когда трафик удовлетворит условиям Интеллектуальной информационной безопасности.
  3. Задайте, куда передать события подключения.
  4. Нажмите OK для установки параметров регистрации. Вкладка Security Intelligence появляется снова.
  5. Нажмите Save. Необходимо применить политику контроля доступа для изменений для вступления в силу.

Опция 4: свяжитесь с Центром технической поддержки Cisco

Можно всегда связываться с Центром технической поддержки Cisco, если:

  • У вас есть вопросы с вышеупомянутыми опциями 1, 2 или 3.
  • Вы хотите дальнейшее исследование и анализ IP-адреса, который помещен в черный список Интеллектуальной информационной безопасностью.
  • Вы хотите пояснение, почему IP-адрес помещен в черный список Интеллектуальной информационной безопасностью.


Document ID: 117993