Безопасность : Cisco Firepower Management Center

Решите Проблемы Между Системой FireSIGHT и eStreamer Клиентом (SIEM)

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

 

Введение

Стример События (eStreamer) позволяет вам передавать несколько видов потоком данных события от Системы FireSIGHT до пользовательски разработанного клиентского приложения. После создания клиентского приложения можно подключить его с eStreamer сервером (Например, Центр управления FireSIGHT), запустить eStreamer сервис и начать обмениваться данными. интеграция eStreamer требует пользовательского программирования, но позволяет вам запрашивать определенные данные от устройства. Этот документ описывает, как eStreamer клиент связывается и как решить проблему с клиентом.

Внесенный Nazmul Rajib, специалистом службы технической поддержки Cisco.

 

Метод подключения Между eStreamer Клиентом и сервером


Существует четыре главных этапа связи, которые происходят между клиентом и eStreamer сервисом:

Шаг 1: Клиент Устанавливает Соединение с eStreamer Сервером

Во-первых, клиент устанавливает соединение с eStreamer сервером, и соединение заверено обеими сторонами. Прежде чем клиент может запросить данные от eStreamer, клиент должен инициировать поддерживающий SSL TCP - подключение с eStreamer сервисом. Когда клиент инициирует соединение, eStreamer сервер отвечает, инициируя подтверждение связи SSL с клиентом. Как часть подтверждения связи SSL, eStreamer запросы к серверу опознавательный сертификат клиента, и проверяет, что сертификат допустим.
 
После того, как сеанс SSL установлен, eStreamer сервер выполняет дополнительную проверку постсоединения сертификата. После того, как проверка постсоединения закончена, eStreamer сервер ждет запроса данных от клиента.
 

Шаг 2 ---- -------------------------------- --------- : Данные Запросов клиента от eStreamer Сервиса

В этом шаге, данных запросов клиента от eStreamer сервиса и задает типы данных, которые будут переданы потоком. Одиночное сообщение запроса события может задать любую комбинацию доступных данных события, включая метаданные события. Запрос профиля одного хоста может задать один хост или множественные хосты. Два режима запроса доступны для запроса события data:

  • Запрос Потока событий: клиент отправляет сообщение, содержащее флаги запроса, которые задают запрошенные типы события и версию каждого типа, и eStreamer сервер отвечает путем потоковой передачи запрошенных данных.
  • Расширенный Запрос: клиент отправляет запрос с тем же форматом сообщения что касается запросов Потока событий, но устанавливает флаг для расширенного запроса. Это инициирует взаимодействие сообщения между клиентом и eStreamer сервером, через который дополнительные сведения запросов клиента и комбинации версии, не доступные через Поток событий, запрашивают.

 

Шаг 3: eStreamer Устанавливает Запрошенный Поток данных

На этом этапе eStreamer устанавливает запрошенный поток данных клиенту. Во время периодов бездействия eStreamer передает периодические пустые сообщения клиенту для хранения соединения открытым. Если это получает сообщение об ошибках от клиента или промежуточного хоста, это закрывает соединение.

 

Шаг 4. : Соединение завершается


eStreamer сервер может также закрыть клиентское соединение по придерживающимся причинам:

  • Любое время, передавая сообщение приводит к ошибке. Это включает и сообщения данных события и пустое сообщение поддержки активности eStreamer, передает во время периодов бездействия.
  • Ошибка происходит при обработке запроса клиента.
  • Сбои аутентификации клиента (никакое сообщение об ошибках не передается).
  • сервис eStreamer завершает (никакое сообщение об ошибках не передается).

Клиент не показывает события

Если вы не видите событий на eStreamer клиентском приложении, выполните действия ниже для решения этой проблемы:

Шаг 1: Проверка конфигурации

Можно управлять, какие типы событий eStreamer сервер в состоянии передать к клиентским приложениям, которые запрашивают их. Для настройки типов событий, переданных eStreamer, выполняют действия ниже:
 
1. Перейдите к Системе> Локальный> Регистрация.

2. Нажмите eStreamer вкладку.
 
3. В соответствии с меню eStreamer Event Configuration, установите флажки рядом с типами событий, которые вы хотите, чтобы eStreamer передал к запросу клиентов.

Примечание: Удостоверьтесь, что клиентское приложение запрашивает типы событий, которые вы хотите, чтобы оно получило. Сообщение запроса должно быть передано eStreamer серверу (Центр управления FireSIGHT или управляемое устройство).

4. Нажмите Save.

Связанные обсуждения сообщества поддержки Cisco

Шаг 2 ---- -------------------------------- --------- : Проверьте сертификат

Удостоверьтесь, что добавлены требуемые сертификаты. Прежде чем eStreamer может передать eStreamer события клиенту, клиент должен быть добавлен к одноранговой базе данных eStreamer сервера с помощью eStreamer страницы конфигурации. Опознавательный сертификат, генерируемый eStreamer сервером, должен также быть скопирован клиенту.

Шаг 3: Проверьте сообщения об ошибках

Определите любые очевидные eStreamer связанные ошибки в/var/log/messages при помощи следующей команды:
 

admin@FireSIGHT:~$ grep -i estreamer /var/log/messages | grep -i error

Шаг 4. : Проверьте соединение

Проверьте, что сервер принимает входящие соединения.
 

admin@FireSIGHT:~$ netstat -an | grep 8302

Выходные данные должны быть похожими ниже. В противном случае тогда сервис может не работать.
 

tcp 0 0 <local_ip>:8302 0.0.0.0:* LISTEN

Шаг 5: Проверьте статус процесса

Чтобы проверить, существует ли выполнение процесса sfestreamer, используйте следующую команду:
 

admin@FireSIGHT:~$ pstree -a | grep -i sfestreamer

Клиент показывает двойные события

События копии маркера, отображенные в клиенте


eStreamer сервер не поддерживает историю событий, которые он передает, таким образом, клиентское приложение должно проверить для двойных событий. Двойные события могут иметь место по ряду причин. Например, при начале нового сеанса потоковой передачи, время, заданное клиентом, поскольку, отправная точка для нового сеанса может иметь нескольких сообщений, некоторые из которых, возможно, были переданы на предыдущем сеансе и некоторые из которых не были. eStreamer передает все сообщения, которые соответствуют указанным критериям запроса. Клиентские приложения EStreamer должны быть разработаны, чтобы обнаружить и дедуплицировать любые получающиеся копии.

Управляйте двойными запросами о данных


При запросе нескольк версий тех же данных, или множественными флагами или множественными расширенными запросами, последняя версия используется. Например, если eStreamer получает запросы флага о версии 1 и 6 событий обнаружения и расширенный запрос о версии 3, это передает версию 6.

Клиент показывает неправильный ID правила фырканья (SID)

Это обычно происходит из-за конфликта SID, когда правило импортировано в систему, SID повторно сопоставлен внутренне.

Для использования SID, вы ввели, а не повторно сопоставленный SID, необходимо включить расширенный заголовок. Укусил расширенные заголовки события 23 запросов. Если это поле установлено в 0, события передаются со стандартным заголовком события, который только включает тип записи и рекордную длину.



Рисунок: схема иллюстрирует, что формат сообщения использовал запрашивать данные от eStreamer. Поля, определенные для формата сообщения запроса, выделены в сером.



Рисунок: схема иллюстрирует формат данных сообщения правила для события, которое передано в Записи сообщения Правила. Это показывает RuleID (который вы используете теперь), и Представленный Идентификатор подписи (который является количеством, которое вы ожидаете).

Совет: Для обнаружения подробного описания каждого бита и сообщения, считайте eStreamer Руководство по интеграции.

Соберите и проанализируйте дополнительные данные устранения неполадок

Тест Использование ssl_test.pl Сценария

Используйте ssl_test.pl сценарий, предоставленный в конечном счете Software Development Kit (SDK) Стримера для определения проблемы. SDK доступен в файле архива zip на сайте поддержки. Инструкции для сценария доступны в README.TXT, который включен в тот файл архива zip.

Пакет перехвата (PCAP)

Пакеты перехвата на интерфейсе управления eStreamer сервера и анализируют его. Проверьте, что трафик не заблокирован или запрещен где-нибудь в сети.

Генерируйте файл устранения неполадок

Если вы завершили вышеупомянутые действия по устранению проблем, и вы все еще неспособны определить проблему, генерируйте файл устранения неполадок от Центра управления FireSIGHT. Предоставьте все дополнительные данные устранения неполадок к технической поддержке Cisco для дальнейшего анализа.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.