Ce document explique comment préparer un périphérique Cisco Secure Intrusion Prevention System (IPS) et tous les capteurs virtuels configurés pour qu'ils agissent comme des périphériques de reporting pour Cisco Security Monitoring, Analysis, and Response System (CS-MARS).
Pour les périphériques Cisco IPS 5.x, 6.x et 7.x, MARS extrait les journaux à l'aide de SDEE sur SSL. Par conséquent, MARS doit disposer d'un accès HTTPS au capteur. Afin de préparer le capteur, vous devez activer le serveur HTTP sur le capteur, activer TLS pour autoriser l'accès HTTPS et vous assurer que l'adresse IP de MARS est définie comme un hôte autorisé, qui peut accéder au capteur et extraire des événements. Si les capteurs ont été configurés pour autoriser l'accès à partir d'hôtes ou de sous-réseaux limités sur le réseau, vous pouvez utiliser la commande access-list ip_address/netmask afin d'activer cet accès.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Périphérique Cisco Secure MARS qui exécute les versions 4.2.x et ultérieures du logiciel
Périphérique IPS de la gamme Cisco 4200 qui exécute les versions 6.0 et ultérieures du logiciel
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Cette configuration peut également être utilisée avec les capteurs suivants :
IPS-4240
IPS-4255
IPS-4260
IPS-4270-20
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Dans cette section, vous trouverez des informations sur l'ajout et la configuration d'un capteur Cisco Secure Intrusion Prevention System (IPS) à un périphérique Cisco Security Monitoring, Analysis, and Response System (CS-MARS).
Lorsque vous définissez un périphérique Cisco IPS 6.x ou 7.x dans MARS, vous pouvez détecter tous les capteurs virtuels configurés sur le périphérique. Lorsque vous découvrez ces capteurs virtuels, cela permet à MARS de séparer les événements signalés par un capteur virtuel. Il vous permet également d'ajuster la liste des réseaux surveillés à chaque capteur virtuel, ce qui améliore la précision des rapports souhaités.
Complétez ces étapes afin d'ajouter et de configurer un périphérique Cisco IPS 6.x ou 7.x dans MARS :
Choisissez Admin > System Setup > Security and Monitor Devices. Ensuite, cliquez sur Ajouter.
Choisissez Cisco IPS 6.x ou Cisco IPS 7.x dans la liste Type de périphérique. Entrez maintenant le nom d'hôte du capteur dans le champ Nom du périphérique comme indiqué ici. IPS1 est le nom de périphérique utilisé dans cet exemple. La valeur Device Name doit être identique au nom du capteur configuré.
Entrez maintenant l'adresse IP administrative dans le champ IP de création de rapports. L'adresse IP de reporting est la même que l'adresse IP d'administration.
Dans le champ Login, saisissez le nom d'utilisateur associé au compte administratif utilisé pour accéder au périphérique de rapport. Maintenant, dans le champ Password, saisissez le mot de passe associé au nom d'utilisateur spécifié dans le champ Login. Le nom d'utilisateur est cisco et le mot de passe utilisé est cisco123 dans cet exemple. Saisissez également le numéro de port TCP sur lequel le serveur Web exécuté sur le capteur écoute dans le champ Port. Le port HTTPS par défaut est 443.
Remarque : Bien qu'il soit possible de configurer HTTP uniquement, MARS nécessite HTTPS.
Maintenant, vérifiez que NO est sélectionné dans la liste Contrôle de l'utilisation des ressources. Bien que l'option Surveiller l'utilisation des ressources apparaisse sur cette page, elle ne fonctionne pas pour Cisco IPS.
Pour extraire les journaux IP du capteur, sélectionnez Oui dans la liste Récupérer les journaux IP. Il s'agit d'une fonctionnalité facultative, qui peut être utilisée si nécessaire.
Ce paramètre s'applique à l'ensemble du capteur, qui inclut les journaux générés pour les alertes de capteurs virtuels.
Cliquez sur Tester la connectivité afin de vérifier la configuration et d'activer la découverte de capteurs virtuels.
Cliquez sur Discover afin de découvrir tous les capteurs virtuels définis.
Remarque : MARS ne connaît pas les modifications apportées au capteur. Chaque fois que vous modifiez les paramètres du capteur virtuel, vous devez cliquer sur Découvrir sur cette page de configuration du capteur afin d'actualiser les détails du capteur virtuel dans MARS.
Activez la case à cocher en regard du nom du capteur virtuel et cliquez sur Modifier afin de définir les réseaux surveillés pour chaque capteur virtuel. La page IPS Module s'affiche comme indiqué ici.
Pour le calcul et l'atténuation du chemin d'attaque, spécifiez les réseaux surveillés par le capteur. Sélectionnez la case d'option Définir un réseau afin de définir manuellement le réseau. Complétez ensuite ces étapes afin de définir un réseau :
Entrez l'adresse réseau dans le champ IP réseau.
Entrez la valeur de masque de réseau correspondante dans le champ Masque.
Cliquez sur Ajouter afin de déplacer le réseau spécifié dans le champ Réseaux surveillés.
Répétez les étapes précédentes si vous devez définir davantage de réseaux.
Remarque : Cette fonction est facultative et peut être ignorée si elle n'est pas nécessaire.
Cliquez sur la case d'option Sélectionner un réseau afin de sélectionner les réseaux connectés au périphérique. Complétez ensuite ces étapes afin de choisir les réseaux :
Choisissez un réseau dans la liste Sélectionner un réseau.
Cliquez sur Ajouter afin de déplacer le réseau spécifié dans le champ Réseaux surveillés.
Répétez les étapes précédentes si vous devez choisir d’autres réseaux.
Remarque : Cette fonction est facultative et peut être ignorée si elle n'est pas nécessaire.
Répétez les étapes 8 à 10 pour chaque capteur virtuel.
Cliquez sur Submit afin d'enregistrer vos modifications. Le nom du périphérique apparaît dans la liste Informations de sécurité et de surveillance. L'opération d'envoi enregistre les modifications dans les tables de base de données. Mais il ne charge pas les modifications dans la mémoire de travail de l'appareil MARS. L'opération d'activation charge les modifications envoyées dans la mémoire de travail.
Cliquez sur Activate afin d'activer MARS pour commencer à sessionner les événements de ce périphérique.
MARS commence à sessionner les événements générés par ce module et à évaluer ces événements à l'aide des règles d'inspection et d'abandon définies. Tout événement publié par le périphérique sur MARS avant l'activation peut être interrogé avec l'adresse IP de rapport du périphérique comme critère de correspondance. Reportez-vous à Activate the Reporting and Mitigation Devices. pour plus d'informations sur l'action d'activation.
Il est courant de créer des événements bénins sur le réseau afin de vérifier le flux de données. Complétez ces étapes afin de vérifier le flux de données entre un périphérique Cisco IPS et MARS :
Sur le périphérique Cisco IPS, activez et alerte sur les signatures 2000 et 2004. Les signatures surveillent les messages ICMP (ping).
Envoyez une requête ping à un périphérique sur le sous-réseau sur lequel le périphérique IPS Cisco est en train d'écouter. Les événements sont générés et tirés par MARS.
Vérifiez que les événements apparaissent dans l'interface Web MARS. Vous pouvez effectuer une requête avec le périphérique IPS Cisco.
Une fois le flux de données vérifié, vous pouvez désactiver les signatures 2000 et 2004 sur le périphérique Cisco IPS.
Remarque : si l'opération de test de connectivité ne échoue pas lors de la configuration d'un périphérique Cisco IPS dans l'interface Web MARS, les communications sont activées. Cette tâche vous permet de vérifier plus en détail que les alertes sont générées et extraites correctement.
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
01-Dec-2013 |
Première publication |