المقدمة
يصف هذا المستند كيفية تكوين Cisco Secure FTD لإرسال أحداث الأمان إلى "التحكم في سحابة الأمان" (SCC) باستخدام "موصل حدث الأمان" (SEC).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
- واجهة سطر أوامر Linux (CLI)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Secure FTD، الإصدار 7.6
- Ubuntu نادل صيغة 24.04
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الخطوة 1. تسجيل الدخول إلى بوابة مجموعة SCC:

الخطوة 2. من قائمة الجانب الأيسر، أختر الإدارة والموصلات الآمنة:

الخطوة 3. على الجانب الأيمن العلوي، انقر فوق رمز زائد لضم موصل جديد واختر موصل حدث آمن:

الخطوة 4. أستخدم الخطوات لتثبيت الموصل وتمهيد تشغيله استنادا إلى الخيار المطلوب بين "إستخدام الجهاز الظاهري (VM) الخاص بك" أو "إلى SDC أو SEC VM موجود":

الخطوة 5. تظهر رسالة مماثلة عندما يتم تنفيذ بروتوكول نظام تمهيد تشغيل الكمبيوتر بنجاح:

الخطوة 6. بمجرد نشر الموصل وتجهيزه، تظهر معلومات المنفذ في مدخل SCC:

الخطوة 7. في مركز إدارة جدار الحماية الآمن (FMC) من Cisco، انتقل إلى السياسات ثم إلى التحكم في الوصول. أختر النهج المتوافق مع الجهاز (الأجهزة) الذي يتم تحميله.
الخطوة 8. أختر المزيد ثم التسجيل:

الخطوة 9. قم بتمكين الإرسال باستخدام خيار تنبيه syslog محدد وأضفت تنبيه syslog جديد. أستخدم عنوان بروتوكول الإنترنت (IP) ومعلومات المنفذ التي تم الحصول عليها من موصل SEC في مدخل SCC:

الخطوة 10. العودة إلى نهج التحكم في الوصول، قم بتعديل القواعد الفردية لإرسال الأحداث إلى خادم syslog:

الخطوة 11. قم بنشر التغييرات التي تم إجراؤها على FTD للسماح لجدار الحماية ببدء تسجيل الأحداث.
التحقق من الصحة
للتحقق من تنفيذ التغييرات بنجاح وإجراء تسجيل الأحداث، انتقل إلى الأحداث والسجلات وتسجيل الأحداث في بوابة SCC وتأكد من رؤية الأحداث:

استكشاف الأخطاء وإصلاحها
في FTD، قم بتشغيل التقاط حزمة على الجهاز باستخدام واجهة الإدارة التي تطابق حركة مرور البيانات التي تنتقل إلى SEC من أجل التقاط حركة مرور syslog:
> capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Global
Selection? 0
Warning: Blanket capture may cause high CPU usage and reduced throughput, use selective filtering to reduce the impact.
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: host 19.0.0.10 port 10025
Starting traffic capture, press ctrl + c to exit (Maximum 1,000,000 packets will be captured)
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: can't parse filter expression: syntax error
Exiting.
> capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Global
Selection? 0
Warning: Blanket capture may cause high CPU usage and reduced throughput, use selective filtering to reduce the impact.
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: host 19.0.0.10 and port 10025
Starting traffic capture, press ctrl + c to exit (Maximum 1,000,000 packets will be captured)
HS_PACKET_BUFFER_SIZE is set to 4.
10:43:00.191655 IP firepower.56533 > 19.0.0.10.10025: UDP, length 876
10:43:01.195318 IP firepower.56533 > 19.0.0.10.10025: UDP, length 1192
10:43:03.206738 IP firepower.56533 > 19.0.0.10.10025: UDP, length 809
10:43:08.242948 IP firepower.56533 > 19.0.0.10.10025: UDP, length 1170
من الجهاز الظاهري ل SEC، تأكد من توفر اتصال بالإنترنت على الجهاز الظاهري. قم بتشغيل الأمر sdc troubleshooting، لإنشاء حزمة أستكشاف الأخطاء وإصلاحها يمكن إستخدامها للتحقق من ملف lar.log للحصول على مزيد من التشخيص.