¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Director de la inteligencia de la configuración y de amenaza de Cisco del Troubleshooting

Opciones de descarga

  • PDF     (1.2 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (950.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de septiembre de 2019
ID del documento:214859
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar y resolver problemas al director de la inteligencia de amenaza de Cisco (TID).

    Prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • La administración del centro de administración de FirePOWER (FMC)

    Usted necesita asegurar estas condiciones antes de que usted configure la característica del director de la inteligencia de amenaza de Cisco:

    • El centro de administración de FirePOWER (FMC):
      • Debe ejecutarse en (o más adelante) la versión 6.2.2 (puede ser recibido en FMC físico o virtual).
      • Debe ser configurado con un mínimo de 15 GB de memoria RAM.
      • Debe ser configurado con el acceso del RESTO API habilitado.
    • El sensor debe funcionar con la versión 6.2.2 (o más adelante).
    • En la lengueta avanzada de las configuraciones de la opción de la directiva del control de acceso, el director de la inteligencia de amenaza del permiso tiene que ser habilitado.
    • Agregue las reglas a la directiva del control de acceso si no están ya presentes.
    • Si usted quiere los observables del SHA-256 para generar las observaciones y los eventos del centro de administración de FirePOWER, para crear uno o más las operaciones de búsqueda de la nube de Malware o para bloquear las reglas del archivo de Malware y para asociar la directiva del archivo a una o más reglas en la directiva del control de acceso.
    • Si usted quiere el IPv4, IPv6, URL, o las observaciones del Domain Name para generar los eventos de la inteligencia de la conexión y de Seguridad, la conexión del permiso y la inteligencia de Seguridad abriendo una sesión la directiva del control de acceso.

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • Defensa de la amenaza de Cisco FirePOWER (FTD) virtual que funcionamientos 6.2.2.81
    • Centro de administración de FirePOWER virtual (vFMC) que funcionamientos 6.2.2.81

    Nota: La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes 

    El director de la inteligencia de amenaza de Cisco (TID) es un sistema que hace operacional la información de la inteligencia de amenaza. El sistema consume y normaliza la inteligencia de amenaza cibernética de tercera persona heterogénea, publica la inteligencia a las Tecnologías de la detección y correlaciona las observaciones de las Tecnologías de la detección.

    Hay tres nuevos términos: observables, indicadores, e incidentes. El Observable es apenas una variable, puede ser por ejemplo URL, dominio, dirección IP o SHA256. Los indicadores se hacen de los observables. Hay dos tipos de indicadores. Un indicador simple contiene solamente un observable. En el caso de los indicadores complejos, hay dos o más observables como los cuales están conectados el uno al otro usando las funciones lógicas Y y O. Una vez que el sistema detecta el tráfico que debe ser bloque o monitor en el FMC el incidente aparece.

    ¿Cómo trabaja?

    Tal y como se muestra en de la imagen, en el FMC usted tiene que configurar las fuentes de donde usted quisiera descargar la información de la inteligencia de amenaza. El FMC entonces avanza esa información (observables) a los sensores. Cuando el tráfico hace juego los observables, los incidentes aparecen en la interfaz de usuario FMC (GUI).

     Hay dos nuevos términos:

    • STIX (expresión estructurada de la inteligencia de amenaza) es un estándar para compartir y usar la información de la inteligencia de amenaza. Hay tres elementos funcionales dominantes: Indicadores, Observables, e incidentes
    • TAXII (intercambio automatizado confiado en de la información del indicador) es un mecanismo de transporte para la información de la amenaza

    Configurar 

    Para completar la configuración tome en la consideración estas secciones:

    Diagrama de la red

    Configuración 

    Paso 1. Para configurar el TID, usted tiene que navegar a la lengueta de la inteligencia, tal y como se muestra en de la imagen.

    Nota: El estatus “completado con los errores” se espera en caso de que una alimentación contenga los observables sin apoyo.

    Paso 2. Usted tiene que agregar las fuentes de amenazas. Allí tres maneras de agregar las fuentes:

    • TAXII - Cuando usted utiliza esta opción, usted puede configurar un servidor donde la información de la amenaza se salva en el formato STIX

    Nota: La única acción disponible es monitor. Usted no puede configurar la acción del bloque para las amenazas en el formato STIX.

    • URL - Usted puede configurar un link a un servidor local HTTP/HTTPS donde se localiza la amenaza o el archivo plano STIX.

    • Archivo plano - Usted puede cargar un archivo en el formato del *.txt y usted tiene que especificar el contenido del archivo. El archivo debe contener una entrada contenta por la línea.

    Nota: Por abandono, se publican todas las fuentes, esto significan que están avanzadas a los sensores. Este proceso puede tomar hasta 20 minutos o más.

    Paso 3. Bajo la lengueta del indicador, usted puede confirmar si los indicadores eran propiedad descargada de las fuentes configuradas:

    Paso 4. Una vez que usted selecciona el nombre de un indicador usted puede ver más detalles sobre él. Además, usted puede decidir si usted quiere publicarlo al sensor o si usted quiere cambiar la acción (en caso de un indicador simple).

    Tal y como se muestra en de la imagen, un indicador complejo se enumera con dos observables que sean conectados por O el operador:

    Paso 5. Navegue a la lengueta de los Observables en donde usted puede encontrar los URL, los IP Addresses, los dominios y SHA256 que se incluyen en los indicadores. Usted puede decidir qué observables usted quisiera que avanzaran a los sensores y cambiaran opcionalmente la acción para ellos. En la columna más reciente, hay un botón de la lista blanca que es equivalente a una publicación/no publicar la opción.

     Paso 6. Navegue a la lengueta de los elementos para verificar la lista de dispositivos donde se habilita el TID.

    Paso 7 (opcional). Navegue a la lengueta de las configuraciones y seleccione el botón de pausa para parar el avanzar de los indicadores a los sensores. Esta operación puede tomar hasta 20 minutos.

    Verificación 

    El método 1. para verificar si el TID realizó una acción en el tráfico, usted necesita navegar a la lengueta de los incidentes.

    Método 2. Los incidentes se pueden encontrar bajo la lengueta de los eventos de la inteligencia de Seguridad bajo etiqueta del TID.

    Nota: El TID tiene una capacidad de almacenamiento de 1 millón de incidentes.

    Método 3. Usted puede confirmar si las fuentes configuradas (alimentaciones) están presentes en el FMC y un sensor. Para hacer eso, usted puede navegar a estas ubicaciones en el CLI:

    /var/sf/siurl_download/

    /var/sf/sidns_download/

    /var/sf/iprep_download/

    Hay un nuevo directorio creado para las alimentaciones SHA256: /var/sf/sifile_download/.

    root@ftd622:/var/sf/sifile_download# ls -l
total 32
-rw-r--r-- 1 root root  166 Sep 14 07:13 8ba2b2c4-9275-11e7-8368-f6cc0e401935.lf
-rw-r--r-- 1 root root   38 Sep 14 07:13 8ba40804-9275-11e7-8368-f6cc0e401935.lf
-rw-r--r-- 1 root root   16 Sep 14 07:13 IPRVersion.dat
-rw-rw-r-- 1 root root 1970 Sep 14 07:13 dm_file1.acl
-rw-rw-r-- 1 www  www   167 Sep 14 07:13 file.rules
drwxr-xr-x 2 www  www  4096 Sep  4 16:13 health
drwxr-xr-x 2 www  www  4096 Sep  7 22:06 peers
drwxr-xr-x 2 www  www  4096 Sep 14 07:13 tmp
root@ftd622:/var/sf/sifile_download# cat 8ba2b2c4-9275-11e7-8368-f6cc0e401935.lf
#Cisco TID feed:TID SHA-256 Block:1
7a00ef4b801b2b2acd09b5fc72d7c79d20094ded6360fb936bf2c65a1ff16907
2922f0bb1acf9c221b6cec45d6d10ee9cf12117fa556c304f94122350c2bcbdc

    Nota: El TID se habilita solamente en el Doiman global en el FMC

    Nota: Si usted recibe el TID en el centro de administración activo de FirePOWER en una configuración de alta disponibilidad (dispositivos físicos FMC), el sistema no sincroniza las configuraciones del TID y los datos del TID al centro de administración espera de FirePOWER.

    Troubleshooting

    Hay un proceso a nivel superior que se llama tid. Este proceso depende de tres procesos: mongo, RabbitMQ, redis. Para verificar el estatus del pmtool del funcionamiento de los procesos | grep “RabbitMQ \|mongo \|redis \|tid” | grep” - “comando.

    root@fmc622:/Volume/home/admin# pmtool status | grep 'RabbitMQ\|mongo\|redis\|tid' | grep " - "
RabbitMQ (normal) - Running 4221
mongo (system) - Running 4364
redis (system) - Running 4365
tid (normal) - Running 5128
root@fmc622:/Volume/home/admin#

    Para verificar en el tiempo real se toman qué medidas, usted puede ejecutar el Firewall-motor-debug del soporte de sistema o el comando trace del soporte de sistema.

    > system support firewall-engine-debug

Please specify an IP protocol:
Please specify a client IP address: 192.168.16.2
Please specify a client port:
Please specify a server IP address:
Please specify a server port:
Monitoring firewall engine debug messages
...
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 URL SI: ShmDBLookupURL("http://www.example.com/") returned 1
...
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 URL SI: Matched rule order 19, Id 19, si list id 1074790455, action 4
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 deny action

    Hay dos posibilidades en términos de acción:

    • URL SI: Orden correspondida con 19 de la regla, identificación 19, identificación 1074790455 de la lista si, acción 4 - el tráfico fue bloqueado
    • URL SI: Orden correspondida con 20 de la regla, identificación 20, identificación 1074790456 de la lista si, acción 6 - el tráfico fue monitoreado.
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Maciej Zadlo
      Ingeniero de Cisco TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros