دمج المظلة مع FireEye

المقدمة

يوضح هذا المستند كيفية دمج Cisco Umbrella مع FireEye.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• جهاز FireEye مزود بإمكانية الوصول إلى الإنترنت العامة.
• الحقوق الإدارية ل Cisco Umbrella Dashboard.
• يجب تمكين تكامل FireEye على لوحة معلومات Cisco Umbrella.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى Cisco Umbrella.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

نظرة عامة

من خلال الدمج بين جهاز الأمان FireEye و Cisco Umbrella، أصبح بإمكان موظفي الأمان والمسؤولين الآن توفير الحماية ضد التهديدات المتطورة لأجهزة الكمبيوتر المحمولة أو أجهزة الكمبيوتر اللوحية أو الهواتف التي تعمل على التجوال، مع توفير طبقة أخرى من الإنفاذ لشبكة شركة موزعة في نفس الوقت.

يوضح هذا الدليل كيفية تكوين FireEye لديك للاتصال ب Cisco Umbrella حتى يتم دمج أحداث الأمان من FireEye في السياسات التي يمكن تطبيقها على العملاء المحميين بواسطة Cisco Umbrella.

ملاحظة: يتم تضمين تكامل FireEye فقط في حزم Cisco Umbrella مثل DNS Essentials أو ميزة DNS أو SIG Essentials أو ميزة SIG. إذا لم تكن لديك إحدى هذه الحزم وترغب في الحصول على دمج FireEye، فيرجى الاتصال بمدير حسابات Cisco Umbrella. إذا كانت لديك حزمة Cisco Umbrella الصحيحة ولكن لا ترى FireEye كدمج للوحة المعلومات، فيرجى الاتصال بدعم Cisco Umbrella.

وظيفة التكامل

يرسل جهاز FireEye أولا التهديدات المستندة إلى الإنترنت التي وجدها، مثل المجالات التي تستضيف البرامج الضارة، أو الأمر والتحكم ل botnet، أو مواقع التصيد الاحتيالي، إلى Cisco Umbrella.

بعد ذلك تقوم Cisco Umbrella بالتحقق من صحة المعلومات التي تم تمريرها إلى Cisco Umbrella للتأكد من صحتها ومن إمكانية إضافتها إلى سياسة. إذا تم تأكيد تنسيق المعلومات الواردة من FireEye بشكل صحيح (على سبيل المثال، فهو ليس ملفا أو عنوان URL معقد أو مجال شائع للغاية) تتم إضافة عنوان المجال إلى قائمة وجهة FireEye كجزء من إعداد أمان يمكن تطبيقه على أي نهج Cisco Umbrella. ويتم تطبيق هذا النهج على الفور على أي طلبات يتم إجراؤها من الأجهزة التي تستخدم سياسات قائمة الوجهة FireEye.

للمضي قدما، تقوم Cisco Umbrella تلقائيا بتحليل تنبيهات FireEye وإضافة مواقع ضارة إلى قائمة وجهة FireEye. وهذا يعمل على مد نطاق الحماية باستخدام تقنية FireEye إلى جميع المستخدمين والأجهزة البعيدة وتوفير طبقة أخرى من الحماية إلى شبكة شركتك.

تلميح: بينما تحاول Cisco Umbrella جاهدة التحقق من صحة المجالات المعروفة بأنها آمنة بشكل عام والسماح بها (على سبيل المثال، Google و Salesforce)، لتجنب المقاطعات غير المرغوب فيها، نقترح إضافة مجالات لم ترغب أبدا في حظرها إلى قائمة السماح العالمية أو قوائم الوجهة الأخرى طبقا لسياستك. الأمثلة تتضمن:

• الصفحة الرئيسية لمؤسستك
• المجالات التي تمثل الخدمات التي توفرها والتي يمكن أن تحتوي على كل من السجلات الداخلية والخارجية. على سبيل المثال، "mail.myservicedomain.com" و"portal.myotherServiceDomain.com".
• التطبيقات المستندة إلى السحابة الأقل شهرة التي تعتمد على أن Cisco Umbrella لا تتضمن التحقق التلقائي من صحة المجال. على سبيل المثال، "localcloudservice.com".

يمكن إضافة هذه المجالات إلى قائمة السماح العالمية، والتي تم العثور عليها ضمن السياسات > قوائم الوجهة في Cisco Umbrella.

تكوين لوحة معلومات Cisco Umbrella الخاصة بك لتلقي المعلومات من FireEye

تتمثل الخطوة الأولى في العثور على عنوان URL الفريد الخاص بك في Cisco Umbrella لجهاز FireEye للاتصال به.

1. سجل الدخول إلى لوحة معلومات Cisco Umbrella كمسؤول.

2. انتقل إلى السياسات > مكونات السياسة > عمليات التكامل وحدد FireEye في الجدول لتوسيعه.

3. حدد مربع التمكين ثم حدد حفظ. يقوم هذا بإنشاء عنوان URL فريد ومحدد لمؤسستك داخل Cisco Umbrella.

يمكنك إستخدام عنوان URL هذا لاحقا لتكوين جهاز FireEye لإرسال البيانات إلى Cisco Umbrella، لذلك تأكد من نسخ عنوان URL.

تكوين FireEye للاتصال ب Cisco Umbrella

لبدء إرسال حركة مرور البيانات من جهاز FireEye إلى Cisco Umbrella، يجب تكوين FireEye باستخدام معلومات URL التي تم إنشاؤها في القسم السابق.

1. قم بتسجيل الدخول إلى FireEye وحدد الإعدادات.

2. حدد إعلامات من قائمة الإعدادات:

3. تأكد من تحديد جميع أنواع الأحداث التي سيتم إرسالها إلى Cisco Umbrella (توصي Umbrella ببدء تشغيل الكل)، ثم حدد إرتباط HTTP في أعلى العمود.

4. عند توسيع القائمة، حدد هذه الخيارات لتمكين "إعلام الحدث". يتم توضيح الخطوات المرقمة في لقطة الشاشة:

1. التسليم الافتراضي: لكل حدث
2. الموفر الافتراضي: عام
3. التنسيق الافتراضي: جسون ممتد
4. قم بتسمية خادم HTTP "OpenDNS".
5. عنوان URL الخاص بالخادم: الصق عنوان URL الخاص بالمظلة من Cisco الذي أنشأته من لوحة معلومات Cisco Umbrella الخاصة بك في وقت سابق هنا.
6. القائمة المنسدلة للإشعار: حدد كافة الأحداث لضمان الحد الأقصى للتغطية.
   
   

5. تأكد من أن التسليم والموفر الافتراضي ومعلمات الموفر المنسدلة كلها تطابق الإعدادات الافتراضية، أو إذا كان يتم إستخدام خوادم إعلام متعددة:

• التسليم: على أساس كل حدث
• الموفر الافتراضي: عام
• معلمات الموفر: تنسيق الرسالة JSON Extended
• (إختياري) إذا كنت تفضل إرسال حركة مرور البيانات عبر SSL، فحدد تمكين SSL.

عند هذه النقطة، يتم تعيين جهاز FireEye لإرسال أنواع الأحداث المحددة إلى Cisco Umbrella. بعد ذلك، تعرف على كيفية رؤية هذه المعلومات في لوحة معلومات Cisco Umbrella وتعيين سياسة لحظر حركة المرور هذه.

ضمان إمكانية الاتصال: "إختبار النار" بين FireEye و Cisco Umbrella

في هذه المرحلة، من الأفضل إختبار الاتصال لديك وضمان إعداد كل شيء بشكل صحيح:

1. في FireEye، حدد تطابق المجال من القائمة المنسدلة لاختبار Fire وحدد إختبار Fire:

في Cisco Umbrella، يتضمن تكامل FireEye قائمة بالمجالات التي يوفرها جهاز FireEye لمعرفة المجال (المجالات) التي تتم إضافتها بشكل نشط.

2. بعد تحديد Test Fire، في Cisco Umbrella، انتقل إلى الإعدادات > عمليات التكامل وحدد FireEye في الجدول لتمديده.

3. حدد راجع المجالات.

يؤدي تحديد Test Fire إلى إنشاء مجال في قائمة وجهات FireEye المسماة "fireeye-testevent.example.com-[date]". في كل مرة تقوم فيها باختيار Test FireEye ، فإنه يقوم بإنشاء مجال فريد مع التاريخ في وقت UNIX Epoch المرتبط بالاختبار، بحيث يمكن للاختبارات المستقبلية أن يكون لها اسم مجال إختبار فريد.

إذا نجح إختبار Fire، يتم إرسال المزيد من الأحداث من FireEye إلى Cisco Umbrella، وتبدأ قائمة قابلة للبحث في التعميم والنمو.

مراقبة الأحداث المضافة إلى إعداد الأمان FireEye في "وضع التدقيق"

تبدأ الأحداث من جهاز FireEye الخاص بك في ملء قائمة وجهة محددة يمكن تطبيقها على السياسات كفئة أمان FireEye. بشكل افتراضي، تكون قائمة الوجهة وفئة الأمان في "وضع التدقيق" ولا يتم تطبيقها على أي سياسات ولا يمكن أن ينتج عنها أي تغيير على سياسات Cisco Umbrella الموجودة لديك.

ملاحظة: "وضع التدقيق" يمكن تمكينه لأي مدة زمنية قد تكون ضرورية استنادا إلى ملف تعريف النشر وتكوين الشبكة.

مراجعة قائمة الوجهة

يمكنك مراجعة قائمة وجهة FireEye في أي وقت:

1. انتقل إلى السياسات > مكونات السياسة > عمليات التكامل.

2. قم بتوسيع FireEye في الجدول وحدد المجالات التالية.

مراجعة إعدادات التأمين لنهج ما

يمكنك مراجعة إعدادات التأمين التي يمكن إضافتها إلى نهج في أي وقت:

1. انتقل إلى السياسات > مكونات السياسة > إعدادات الأمان.

2. حدد إعداد أمان في الجدول لتمديده والتمرير إلى عمليات التكامل لتحديد موقع إعداد FireEye.

115014080803

يمكنك أيضا مراجعة معلومات التكامل من خلال صفحة ملخص إعدادات التأمين.

115013920526

عند بدء التشغيل، من الأفضل ترك إعداد الأمان هذا ممسوحا لضمان تعميم المجالات بشكل صحيح في "وضع التدقيق".

تطبيق إعدادات أمان FireEye في "وضع الحظر" على سياسة للعملاء الذين تتم إدارتهم

بمجرد أن تكون مستعدا لفرض تهديدات الأمان الإضافية هذه بواسطة عملاء مدارين بواسطة Cisco Umbrella، قم بتغيير إعداد الأمان في نهج موجود، أو قم بإنشاء نهج جديد يعلو النهج الافتراضي الخاص بك لضمان فرضه أولا.

أولا، قم بإنشاء أو تحديث إعدادات التأمين:

1. انتقل إلى السياسات > مكونات السياسة > إعدادات التأمين.

2. تحت عمليات التكامل، حدد FireEye وحدد حفظ.

115013921406

بعد ذلك، في معالج النهج، أضف إعداد الأمان هذا إلى النهج الذي تقوم بتحريره:

1. انتقل إلى السياسات > قائمة السياسات.

2. قم بتوسيع النهج وتحت إعداد الأمان المطبق وحدد تحرير.

3. في القائمة المنسدلة إعدادات الأمان، حدد إعداد أمان يتضمن إعداد FireEye.

115014083083

رمز الدرع تحت تحديثات التكامل إلى الأزرق.

115013922146

4. حدد set & return.

تلميح: من الممكن أيضا تحرير إعدادات الأمان من معالج النهج.

يتم حظر مجالات FireEye الموجودة ضمن إعداد الأمان ل FireEye للهويات باستخدام النهج.

الإبلاغ داخل Cisco Umbrella لأحداث FireEye

الإبلاغ عن أحداث أمان FireEye

قائمة وجهة FireEye هي إحدى فئات الأمان المتوفرة للتقارير. تستخدم معظم التقارير أو جميعها فئات الأمان كعامل تصفية. على سبيل المثال، يمكنك تصفية فئات الأمان لإظهار النشاط المرتبط ب FireEye فقط:

1. انتقل إلى إعداد التقارير > البحث عن النشاط.

2. ضمن فئات الأمان، حدد FireEye لتصفية التقرير لإظهار فئة الأمان ل FireEye فقط.

115013924986

3. حدد تطبيق لعرض النشاط المرتبط ب FireEye للفترة المحددة في التقرير. 

الإبلاغ عن الوقت الذي تمت فيه إضافة المجالات إلى قائمة وجهة FireEye

يتضمن سجل تدقيق المسؤول أحداث من جهاز FireEye وهو يضيف مجالات إلى قائمة الوجهة. ويستحدث الحدث مستخدم يدعى "FireEye Account"، يحمل أيضا شعار FireEye. تتضمن هذه الأحداث المجال الذي تمت إضافته والوقت الذي تمت إضافته فيه.

يمكنك التصفية لتضمين تغييرات FireEye فقط عن طريق تطبيق عامل تصفية لمستخدم "حساب FireEye".

إذا تم إجراء خطوة "إختبار رمي" قبل ذلك، يمكن أن تظهر إضافة مجال إختبار FireEye في سجل التدقيق.

التعامل مع عمليات الكشف غير المرغوب فيها أو الإيجابيات الخاطئة

قوائم السماح

على الرغم من أنه من غير المحتمل أن تؤدي المجالات التي تمت إضافتها تلقائيا بواسطة جهاز FireEye إلى تشغيل كشف غير مرغوب فيه يمنع المستخدمين لديك من الوصول إلى مواقع ويب معينة. في حالة مثل هذه، توصي Umbrella بإضافة المجال (المجالات) إلى قائمة السماح (السياسات > قوائم الوجهة)، والتي تكون لها الأولوية على جميع الأنواع الأخرى لقوائم الحظر، بما في ذلك إعدادات الأمان.

هناك سببان يجعلان هذا النهج مفضلا.

• أولا، في حالة ما إذا كان جهاز FireEye سيقوم بإعادة إضافة المجال بعد إزالته، فإن قائمة السماح توفر ضمانات ضد هذا الأمر الذي يتسبب في مزيد من المشكلات.
• ثانيا، تعرض قائمة السماح سجلا تاريخيا للمجالات الإشكالية التي يمكن إستخدامها للطب الشرعي أو تقارير التدقيق.

بشكل افتراضي، هناك قائمة سماح عامة يتم تطبيقها على كل السياسات. يؤدي إضافة مجال إلى قائمة السماح العمومية إلى السماح بالمجال في كافة السياسات.

إذا كان إعداد أمان FireEye في وضع الحظر يطبق فقط على مجموعة فرعية من هويات Cisco Umbrella المدارة (على سبيل المثال، يتم تطبيقه فقط على أجهزة الكمبيوتر المتجولة والأجهزة المحمولة)، يمكنك إنشاء قائمة سماح خاصة لهذه الهويات أو النهج.

لإنشاء قائمة السماح:

1. انتقل إلى السياسات > قوائم الوجهة وحدد أيقونة الإضافة.

2. حدد السماح، وأضف مجالك إلى القائمة.

3. حدد حفظ.

بمجرد حفظ قائمة الوجهة، يمكنك إضافتها إلى سياسة موجودة تغطي العملاء الذين تضرروا من الكتلة غير المرغوب فيها.

حذف مجالات من قائمة وجهة FireEye

بجوار كل اسم مجال في قائمة وجهة FireEye يوجد رمز حذف. يسمح لك حذف المجالات بتنظيف قائمة وجهة FireEye في حالة الكشف غير المرغوب فيه.

ومع ذلك، فإن الحذف ليس دائما إذا قام جهاز FireEye بإعادة إرسال المجال إلى Cisco Umbrella.

لحذف مجال:

1. انتقل إلى الإعدادات > عمليات التكامل، ثم حدد "FireEye" لتمديده.

2. حدد راجع المجالات.

3. ابحث عن اسم المجال الذي تريد حذفه.

4. حدد أيقونة الحذف.

5. حدد إغلاق.

6. حدد حفظ.

في حالة اكتشاف غير مرغوب فيه أو إيجابية خاطئة، توصي Umbrella بإنشاء قائمة سماح في Cisco Umbrella على الفور ثم تصحيح الإيجاب الخاطئ داخل جهاز FireEye. لاحقا، يمكنك إزالة المجال من قائمة وجهة FireEye.