Configuración y resolución de problemas de Cisco Threat Intelligence Director

Opciones de descarga

  • PDF     (1.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (947.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de septiembre de 2019
ID del documento:214859

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar y resolver problemas de Cisco Threat Intelligence Director (TID).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Administración de Firepower Management Center (FMC)

    Debe garantizar estas condiciones antes de configurar la función Cisco Threat Intelligence Director:

    • Firepower Management Center (FMC):
      • Debe ejecutarse en la versión 6.2.2 (o posterior) (puede alojarse en FMC físico o virtual).
      • Debe configurarse con un mínimo de 15 GB de memoria RAM.
      • Debe configurarse con acceso API REST habilitado.
    • El sensor debe ejecutar la versión 6.2.2 (o posterior).
    • En la ficha Advanced Settings (Parámetros avanzados) de la opción access control policy (Política de control de acceso), debe habilitarse Enable Threat Intelligence Director.
    • Agregue reglas a la política de control de acceso si aún no están presentes.
    • Si desea que los observables SHA-256 generen observaciones y eventos de Firepower Management Center, cree una o más reglas de archivo Malware Cloud Lookup o Block Malware y asocie la política de archivos con una o más reglas de la política de control de acceso.
    • Si desea que las observaciones de IPv4, IPv6, URL o Nombre de dominio generen eventos de inteligencia de seguridad y conexión, habilite el registro de la inteligencia de seguridad y conexión en la política de control de acceso.

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • Cisco Firepower Threat Defense (FTD) Virtual que ejecuta 6.2.2.81
    • Firepower Management Center Virtual (vFMC), que ejecuta 6.2.2.81

    Nota: The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes 

    Cisco Threat Intelligence Director (TID) es un sistema que pone en funcionamiento la información de inteligencia de amenazas. El sistema consume y normaliza la inteligencia de ciberamenazas heterogénea de terceros, publica la inteligencia para las tecnologías de detección y correlaciona las observaciones de las tecnologías de detección.

    Hay tres nuevos términos: observables, indicadores e incidentes. Observable es sólo una variable, puede ser por ejemplo URL, dominio, dirección IP o SHA256. Los indicadores se elaboran a partir de observables. Hay dos tipos de indicadores. Un indicador simple sólo contiene uno observable. En el caso de indicadores complejos, hay dos o más observables que se conectan entre sí usando funciones lógicas como AND y OR. Una vez que el sistema detecta el tráfico que debe bloquearse o monitorearse en el FMC, aparece el incidente.

    ¿Cómo funciona?

    Como se muestra en la imagen, en el FMC debe configurar los orígenes desde los que desea descargar información de inteligencia de amenazas. Luego, el FMC envía esa información (observables) a los sensores. Cuando el tráfico coincide con los observables, los incidentes aparecen en la interfaz de usuario (GUI) de FMC.

     Hay dos nuevos términos:

    • STIX (Intelligent Threat Intelligence eXpression estructurado) es un estándar para compartir y utilizar información de inteligencia de amenazas. Hay tres elementos funcionales clave: Indicadores, observables e incidentes
    • TAXII (Trusted Automated eXchange of Indicator Information) es un mecanismo de transporte para la información sobre amenazas

    Configurar 

    Para completar la configuración, tenga en cuenta estas secciones:

    Diagrama de la red

    Configuración 

    Paso 1. Para configurar TID, debe navegar a la pestaña Intelligence, como se muestra en la imagen.

    Nota: Se espera el estado "Completado con errores" en caso de que una fuente contenga una tabla de observación no admitida.

    Paso 2. Debe agregar fuentes de amenazas. Existen tres formas de agregar orígenes:

    • TAXII - Cuando utiliza esta opción, puede configurar un servidor donde la información sobre amenazas se almacena en formato STIX

    Nota: La única acción disponible es Monitor. No puede configurar la acción de bloqueo para las amenazas en formato STIX.

    • URL: puede configurar un enlace a un servidor local HTTP/HTTPS donde se encuentra la amenaza STIX o el archivo plano.

    • Archivo plano: puede cargar un archivo en formato *.txt y debe especificar el contenido del archivo. El archivo debe contener una entrada de contenido por línea.

    Nota: De forma predeterminada, se publican todas las fuentes, lo que significa que se las envía a los sensores. Este proceso puede tardar hasta 20 minutos o más.

    Paso 3. En la ficha Indicador, puede confirmar si los indicadores se descargaron desde los orígenes configurados:

    Paso 4. Una vez seleccionado el nombre de un indicador, podrá ver más detalles al respecto. Además, puede decidir si desea publicarlo en el sensor o si desea cambiar la acción (en el caso de un indicador simple).

    Como se muestra en la imagen, un indicador complejo se enumera con dos observables conectados por el operador OR:

    Paso 5. Vaya a la pestaña Observables en la que puede encontrar las URL, direcciones IP, dominios y SHA256 que se incluyen en los indicadores. Puede decidir qué elementos observables desea presionar a los sensores y, opcionalmente, cambiar la acción por ellos. En la última columna, hay un botón de lista blanca equivalente a una opción de publicación/no publicación.

     Paso 6. Navegue a la pestaña Elementos para verificar la lista de dispositivos donde TID está habilitado.

    Paso 7 (opcional). Navegue hasta la ficha Settings (Parámetros) y seleccione el botón Pause (Pausa) para dejar de enviar indicadores a los sensores. Esta operación puede tardar hasta 20 minutos.

    Verificación 

    Método 1. Para verificar si TID realizó una acción en el tráfico, debe navegar a la pestaña Incidentes.

    Método 2. Los incidentes se pueden encontrar en la ficha Eventos de inteligencia de seguridad bajo una etiqueta TID.

    Nota: TID tiene una capacidad de almacenamiento de 1 millón de incidentes.

    Método 3. Puede confirmar si hay fuentes configuradas (fuentes) en el FMC y un sensor. Para ello, puede navegar a estas ubicaciones en la CLI:

    /var/sf/siurl_download/

    /var/sf/sidns_download/

    /var/sf/iprep_download/

    Hay un nuevo directorio creado para las fuentes SHA256: /var/sf/sifile_download/.

    root@ftd622:/var/sf/sifile_download# ls -l
total 32
-rw-r--r-- 1 root root  166 Sep 14 07:13 8ba2b2c4-9275-11e7-8368-f6cc0e401935.lf
-rw-r--r-- 1 root root   38 Sep 14 07:13 8ba40804-9275-11e7-8368-f6cc0e401935.lf
-rw-r--r-- 1 root root   16 Sep 14 07:13 IPRVersion.dat
-rw-rw-r-- 1 root root 1970 Sep 14 07:13 dm_file1.acl
-rw-rw-r-- 1 www  www   167 Sep 14 07:13 file.rules
drwxr-xr-x 2 www  www  4096 Sep  4 16:13 health
drwxr-xr-x 2 www  www  4096 Sep  7 22:06 peers
drwxr-xr-x 2 www  www  4096 Sep 14 07:13 tmp
root@ftd622:/var/sf/sifile_download# cat 8ba2b2c4-9275-11e7-8368-f6cc0e401935.lf
#Cisco TID feed:TID SHA-256 Block:1
7a00ef4b801b2b2acd09b5fc72d7c79d20094ded6360fb936bf2c65a1ff16907
2922f0bb1acf9c221b6cec45d6d10ee9cf12117fa556c304f94122350c2bcbdc

    Nota: TID se habilita solamente en el Doiman global en el FMC

    Nota: Si aloja TID en el Firepower Management Center activo en una configuración de alta disponibilidad (dispositivos físicos FMC), el sistema no sincroniza las configuraciones TID y los datos TID con el Firepower Management Center en espera.

    Troubleshoot

    Hay un proceso de nivel superior que se llama tid. Este proceso depende de tres procesos: mongo, RabbitMQ, redis. Para verificar los procesos ejecute pmtool status | grep 'RabbitMQ\|mongo\|redis\|tid' | grep " - " comando.

    root@fmc622:/Volume/home/admin# pmtool status | grep 'RabbitMQ\|mongo\|redis\|tid' | grep " - "
RabbitMQ (normal) - Running 4221
mongo (system) - Running 4364
redis (system) - Running 4365
tid (normal) - Running 5128
root@fmc622:/Volume/home/admin#

    Para verificar en tiempo real qué acción se realiza, puede ejecutar el comando system support firewall-engine-debug o el comando system support trace.

    > system support firewall-engine-debug

Please specify an IP protocol:
Please specify a client IP address: 192.168.16.2
Please specify a client port:
Please specify a server IP address:
Please specify a server port:
Monitoring firewall engine debug messages
...
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 URL SI: ShmDBLookupURL("http://www.example.com/") returned 1
...
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 URL SI: Matched rule order 19, Id 19, si list id 1074790455, action 4
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 deny action

    Hay dos posibilidades de acción:

    • URL SI: Orden de regla coincidente 19, Id 19, id de lista si 1074790455, acción 4: tráfico bloqueado
    • URL SI: Orden de regla coincidente 20, Id 20, ID de lista de si 1074790456, acción 6 - tráfico monitoreado.
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Maciej Zadlo
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos