CS-MARS : ajout et configuration d'un capteur IPS en tant que périphérique de création de rapports

Options de téléchargement

  • PDF     (319.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (566.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (713.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:18 février 2010
ID du document:111737

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document explique comment préparer un périphérique Cisco Secure Intrusion Prevention System (IPS) et tous les capteurs virtuels configurés pour qu'ils agissent comme des périphériques de reporting pour Cisco Security Monitoring, Analysis, and Response System (CS-MARS).

Conditions préalables

Conditions requises

Pour les périphériques Cisco IPS 5.x, 6.x et 7.x, MARS extrait les journaux à l'aide de SDEE sur SSL. Par conséquent, MARS doit disposer d'un accès HTTPS au capteur. Afin de préparer le capteur, vous devez activer le serveur HTTP sur le capteur, activer TLS pour autoriser l'accès HTTPS et vous assurer que l'adresse IP de MARS est définie comme un hôte autorisé, qui peut accéder au capteur et extraire des événements. Si les capteurs ont été configurés pour autoriser l'accès à partir d'hôtes ou de sous-réseaux limités sur le réseau, vous pouvez utiliser la commande access-list ip_address/netmask afin d'activer cet accès.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Périphérique Cisco Secure MARS qui exécute les versions 4.2.x et ultérieures du logiciel

  • Périphérique IPS de la gamme Cisco 4200 qui exécute les versions 6.0 et ultérieures du logiciel

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produits connexes

Cette configuration peut également être utilisée avec les capteurs suivants :

  • IPS-4240

  • IPS-4255

  • IPS-4260

  • IPS-4270-20

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration

Dans cette section, vous trouverez des informations sur l'ajout et la configuration d'un capteur Cisco Secure Intrusion Prevention System (IPS) à un périphérique Cisco Security Monitoring, Analysis, and Response System (CS-MARS).

Ajouter et configurer un périphérique Cisco IPS 6.x ou 7.x dans MARS

Lorsque vous définissez un périphérique Cisco IPS 6.x ou 7.x dans MARS, vous pouvez détecter tous les capteurs virtuels configurés sur le périphérique. Lorsque vous découvrez ces capteurs virtuels, cela permet à MARS de séparer les événements signalés par un capteur virtuel. Il vous permet également d'ajuster la liste des réseaux surveillés à chaque capteur virtuel, ce qui améliore la précision des rapports souhaités.

Complétez ces étapes afin d'ajouter et de configurer un périphérique Cisco IPS 6.x ou 7.x dans MARS :

  1. Choisissez Admin > System Setup > Security and Monitor Devices. Ensuite, cliquez sur Ajouter.

  2. Choisissez Cisco IPS 6.x ou Cisco IPS 7.x dans la liste Type de périphérique. Entrez maintenant le nom d'hôte du capteur dans le champ Nom du périphérique comme indiqué ici. IPS1 est le nom de périphérique utilisé dans cet exemple. La valeur Device Name doit être identique au nom du capteur configuré.

    Adding-IPS-to-CS-MARS-01.gif

    Entrez maintenant l'adresse IP administrative dans le champ IP de création de rapports. L'adresse IP de reporting est la même que l'adresse IP d'administration.

  3. Dans le champ Login, saisissez le nom d'utilisateur associé au compte administratif utilisé pour accéder au périphérique de rapport. Maintenant, dans le champ Password, saisissez le mot de passe associé au nom d'utilisateur spécifié dans le champ Login. Le nom d'utilisateur est cisco et le mot de passe utilisé est cisco123 dans cet exemple. Saisissez également le numéro de port TCP sur lequel le serveur Web exécuté sur le capteur écoute dans le champ Port. Le port HTTPS par défaut est 443.

    Adding-IPS-to-CS-MARS-02.gif

    Remarque : Bien qu'il soit possible de configurer HTTP uniquement, MARS nécessite HTTPS.

  4. Maintenant, vérifiez que NO est sélectionné dans la liste Contrôle de l'utilisation des ressources. Bien que l'option Surveiller l'utilisation des ressources apparaisse sur cette page, elle ne fonctionne pas pour Cisco IPS.

    Adding-IPS-to-CS-MARS-03.gif

  5. Pour extraire les journaux IP du capteur, sélectionnez Oui dans la liste Récupérer les journaux IP. Il s'agit d'une fonctionnalité facultative, qui peut être utilisée si nécessaire.

    Adding-IPS-to-CS-MARS-04.gif

    Ce paramètre s'applique à l'ensemble du capteur, qui inclut les journaux générés pour les alertes de capteurs virtuels.

  6. Cliquez sur Tester la connectivité afin de vérifier la configuration et d'activer la découverte de capteurs virtuels.

    Adding-IPS-to-CS-MARS-05.gif

  7. Cliquez sur Discover afin de découvrir tous les capteurs virtuels définis.

    Adding-IPS-to-CS-MARS-06.gif

    Remarque : MARS ne connaît pas les modifications apportées au capteur. Chaque fois que vous modifiez les paramètres du capteur virtuel, vous devez cliquer sur Découvrir sur cette page de configuration du capteur afin d'actualiser les détails du capteur virtuel dans MARS.

  8. Activez la case à cocher en regard du nom du capteur virtuel et cliquez sur Modifier afin de définir les réseaux surveillés pour chaque capteur virtuel. La page IPS Module s'affiche comme indiqué ici.

    Adding-IPS-to-CS-MARS-07.gif

  9. Pour le calcul et l'atténuation du chemin d'attaque, spécifiez les réseaux surveillés par le capteur. Sélectionnez la case d'option Définir un réseau afin de définir manuellement le réseau. Complétez ensuite ces étapes afin de définir un réseau :

    1. Entrez l'adresse réseau dans le champ IP réseau.

    2. Entrez la valeur de masque de réseau correspondante dans le champ Masque.

    3. Cliquez sur Ajouter afin de déplacer le réseau spécifié dans le champ Réseaux surveillés.

    4. Répétez les étapes précédentes si vous devez définir davantage de réseaux.

      Adding-IPS-to-CS-MARS-08.gif

      Remarque : Cette fonction est facultative et peut être ignorée si elle n'est pas nécessaire.

  10. Cliquez sur la case d'option Sélectionner un réseau afin de sélectionner les réseaux connectés au périphérique. Complétez ensuite ces étapes afin de choisir les réseaux :

    1. Choisissez un réseau dans la liste Sélectionner un réseau.

    2. Cliquez sur Ajouter afin de déplacer le réseau spécifié dans le champ Réseaux surveillés.

    3. Répétez les étapes précédentes si vous devez choisir d’autres réseaux.

      Adding-IPS-to-CS-MARS-09.gif

      Remarque : Cette fonction est facultative et peut être ignorée si elle n'est pas nécessaire.

  11. Répétez les étapes 8 à 10 pour chaque capteur virtuel.

  12. Cliquez sur Submit afin d'enregistrer vos modifications. Le nom du périphérique apparaît dans la liste Informations de sécurité et de surveillance. L'opération d'envoi enregistre les modifications dans les tables de base de données. Mais il ne charge pas les modifications dans la mémoire de travail de l'appareil MARS. L'opération d'activation charge les modifications envoyées dans la mémoire de travail.

  13. Cliquez sur Activate afin d'activer MARS pour commencer à sessionner les événements de ce périphérique.

    MARS commence à sessionner les événements générés par ce module et à évaluer ces événements à l'aide des règles d'inspection et d'abandon définies. Tout événement publié par le périphérique sur MARS avant l'activation peut être interrogé avec l'adresse IP de rapport du périphérique comme critère de correspondance. Reportez-vous à Activate the Reporting and Mitigation Devices. pour plus d'informations sur l'action d'activation.

Vérifier que MARS détecte les événements à partir d'un périphérique Cisco IPS

Il est courant de créer des événements bénins sur le réseau afin de vérifier le flux de données. Complétez ces étapes afin de vérifier le flux de données entre un périphérique Cisco IPS et MARS :

  1. Sur le périphérique Cisco IPS, activez et alerte sur les signatures 2000 et 2004. Les signatures surveillent les messages ICMP (ping).

  2. Envoyez une requête ping à un périphérique sur le sous-réseau sur lequel le périphérique IPS Cisco est en train d'écouter. Les événements sont générés et tirés par MARS.

  3. Vérifiez que les événements apparaissent dans l'interface Web MARS. Vous pouvez effectuer une requête avec le périphérique IPS Cisco.

  4. Une fois le flux de données vérifié, vous pouvez désactiver les signatures 2000 et 2004 sur le périphérique Cisco IPS.

    Remarque : si l'opération de test de connectivité ne échoue pas lors de la configuration d'un périphérique Cisco IPS dans l'interface Web MARS, les communications sont activées. Cette tâche vous permet de vérifier plus en détail que les alertes sont générées et extraites correctement.

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
01-Dec-2013
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits