El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar y resolver problemas de Cisco Threat Intelligence Director (TID).
Cisco recomienda que tenga conocimiento sobre estos temas:
Debe garantizar estas condiciones antes de configurar la función Cisco Threat Intelligence Director:
La información que contiene este documento se basa en estas versiones de software:
Nota: The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Cisco Threat Intelligence Director (TID) es un sistema que pone en funcionamiento la información de inteligencia de amenazas. El sistema consume y normaliza la inteligencia de ciberamenazas heterogénea de terceros, publica la inteligencia para las tecnologías de detección y correlaciona las observaciones de las tecnologías de detección.
Hay tres nuevos términos: observables, indicadores e incidentes. Observable es sólo una variable, puede ser por ejemplo URL, dominio, dirección IP o SHA256. Los indicadores se elaboran a partir de observables. Hay dos tipos de indicadores. Un indicador simple sólo contiene uno observable. En el caso de indicadores complejos, hay dos o más observables que se conectan entre sí usando funciones lógicas como AND y OR. Una vez que el sistema detecta el tráfico que debe bloquearse o monitorearse en el FMC, aparece el incidente.
Como se muestra en la imagen, en el FMC debe configurar los orígenes desde los que desea descargar información de inteligencia de amenazas. Luego, el FMC envía esa información (observables) a los sensores. Cuando el tráfico coincide con los observables, los incidentes aparecen en la interfaz de usuario (GUI) de FMC.
Hay dos nuevos términos:
Para completar la configuración, tenga en cuenta estas secciones:
Paso 1. Para configurar TID, debe navegar a la pestaña Intelligence, como se muestra en la imagen.
Nota: Se espera el estado "Completado con errores" en caso de que una fuente contenga una tabla de observación no admitida.
Paso 2. Debe agregar fuentes de amenazas. Existen tres formas de agregar orígenes:
Nota: La única acción disponible es Monitor. No puede configurar la acción de bloqueo para las amenazas en formato STIX.
Nota: De forma predeterminada, se publican todas las fuentes, lo que significa que se las envía a los sensores. Este proceso puede tardar hasta 20 minutos o más.
Paso 3. En la ficha Indicador, puede confirmar si los indicadores se descargaron desde los orígenes configurados:
Paso 4. Una vez seleccionado el nombre de un indicador, podrá ver más detalles al respecto. Además, puede decidir si desea publicarlo en el sensor o si desea cambiar la acción (en el caso de un indicador simple).
Como se muestra en la imagen, un indicador complejo se enumera con dos observables conectados por el operador OR:
Paso 5. Vaya a la pestaña Observables en la que puede encontrar las URL, direcciones IP, dominios y SHA256 que se incluyen en los indicadores. Puede decidir qué elementos observables desea presionar a los sensores y, opcionalmente, cambiar la acción por ellos. En la última columna, hay un botón de lista blanca equivalente a una opción de publicación/no publicación.
Paso 6. Navegue a la pestaña Elementos para verificar la lista de dispositivos donde TID está habilitado.
Paso 7 (opcional). Navegue hasta la ficha Settings (Parámetros) y seleccione el botón Pause (Pausa) para dejar de enviar indicadores a los sensores. Esta operación puede tardar hasta 20 minutos.
Método 1. Para verificar si TID realizó una acción en el tráfico, debe navegar a la pestaña Incidentes.
Método 2. Los incidentes se pueden encontrar en la ficha Eventos de inteligencia de seguridad bajo una etiqueta TID.
Nota: TID tiene una capacidad de almacenamiento de 1 millón de incidentes.
Método 3. Puede confirmar si hay fuentes configuradas (fuentes) en el FMC y un sensor. Para ello, puede navegar a estas ubicaciones en la CLI:
/var/sf/siurl_download/
/var/sf/sidns_download/
/var/sf/iprep_download/
Hay un nuevo directorio creado para las fuentes SHA256: /var/sf/sifile_download/.
root@ftd622:/var/sf/sifile_download# ls -l total 32 -rw-r--r-- 1 root root 166 Sep 14 07:13 8ba2b2c4-9275-11e7-8368-f6cc0e401935.lf -rw-r--r-- 1 root root 38 Sep 14 07:13 8ba40804-9275-11e7-8368-f6cc0e401935.lf -rw-r--r-- 1 root root 16 Sep 14 07:13 IPRVersion.dat -rw-rw-r-- 1 root root 1970 Sep 14 07:13 dm_file1.acl -rw-rw-r-- 1 www www 167 Sep 14 07:13 file.rules drwxr-xr-x 2 www www 4096 Sep 4 16:13 health drwxr-xr-x 2 www www 4096 Sep 7 22:06 peers drwxr-xr-x 2 www www 4096 Sep 14 07:13 tmp root@ftd622:/var/sf/sifile_download# cat 8ba2b2c4-9275-11e7-8368-f6cc0e401935.lf #Cisco TID feed:TID SHA-256 Block:1 7a00ef4b801b2b2acd09b5fc72d7c79d20094ded6360fb936bf2c65a1ff16907 2922f0bb1acf9c221b6cec45d6d10ee9cf12117fa556c304f94122350c2bcbdc
Nota: TID se habilita solamente en el Doiman global en el FMC
Nota: Si aloja TID en el Firepower Management Center activo en una configuración de alta disponibilidad (dispositivos físicos FMC), el sistema no sincroniza las configuraciones TID y los datos TID con el Firepower Management Center en espera.
Hay un proceso de nivel superior que se llama tid. Este proceso depende de tres procesos: mongo, RabbitMQ, redis. Para verificar los procesos ejecute pmtool status | grep 'RabbitMQ\|mongo\|redis\|tid' | grep " - " comando.
root@fmc622:/Volume/home/admin# pmtool status | grep 'RabbitMQ\|mongo\|redis\|tid' | grep " - " RabbitMQ (normal) - Running 4221 mongo (system) - Running 4364 redis (system) - Running 4365 tid (normal) - Running 5128 root@fmc622:/Volume/home/admin#
Para verificar en tiempo real qué acción se realiza, puede ejecutar el comando system support firewall-engine-debug o el comando system support trace.
> system support firewall-engine-debug Please specify an IP protocol: Please specify a client IP address: 192.168.16.2 Please specify a client port: Please specify a server IP address: Please specify a server port: Monitoring firewall engine debug messages ... 192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 URL SI: ShmDBLookupURL("http://www.example.com/") returned 1 ... 192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 URL SI: Matched rule order 19, Id 19, si list id 1074790455, action 4 192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 deny action
Hay dos posibilidades de acción: