Déployer Défense contre les menaces virtuelles sur AWS
Aperçu
Procédure de bout en bout
Gestion du périphérique Cisco Secure Firewall Threat Defense Virtual
- Cisco Secure Firewall Management Center
- Cisco Secure Firewall device manager
Aperçu de la solution AWS
Conditions préalables
Lignes directrices et limites relatives à la licence
Configuration de l’environnement AWS
Déployer Défense contre les menaces virtuelles
Défense contre les menaces virtuelles avec utilisation d'un instantané
Intégration du service Amazon GuardDuty et Défense contre les menaces virtuelles
Aperçu
Intégrer Amazon GuardDuty avec Cisco Secure Firewall Threat Defense
Mettre à jour la configuration de déploiement de solution existante

Déployer Défense contre les menaces virtuelles sur AWS

Ce chapitre explique comment déployer ldéfense contre les menaces virtuelles à partir du portail AWS.

Aperçu

AWS est un environnement de nuage public. défense contre les menaces virtuelles s’exécute en tant qu’invité dans l’environnement AWS sur les types d’instances suivants.

Remarque

Défense contre les menaces virtuelles ne prend pas en charge la modification du type d’instance en redimensionnant la taille de l’instance. Vous pouvez déployer un Défense contre les menaces virtuelles avec une taille d’instance différente uniquement avec un nouveau déploiement.

Pour en savoir plus sur le type d’instance EC2 pris en charge par NGFWv et répertorié sur l place de marché AWS, consultez https://aws.amazon.com/marketplace/pp/prodview-p2336sqyya34e#pdp-overview.

Procédure de bout en bout

Le diagramme suivant illustre le flux de travail pour le déploiement de défense contre les menaces virtuelles sur Amazon Web Services (AWS).


	Espace de travail	Étapes
	Console AWS	www.amazon.com : Créez un compte d'utilisateur dans la console AWS.
	Tableau de bord VPC AWS	Configure/Create VPC (configurer/créer un VPC) : Créez et configurez un VPC dédié à votre compte AWS.
	Tableau de bord VPC AWS	Add Internet Gateway (ajouter une passerelle Internet) : Ajoutez une passerelle Internet pour connecter votre VPC à Internet.
	Tableau de bord VPC AWS	Add Subnets (ajouter des sous-réseaux) : Ajoutez des sous-réseaux à votre VPC.
	Tableau de bord VPC AWS	Add a Route Table (ajouter une table de routage) : Associez une table de routage à la passerelle que vous avez configurée pour votre VPC.
	Tableau de bord EC2 AWS	Create a Security Group (créer un groupe de sécurité) : Créez un groupe de sécurité avec des règles précisant les protocoles autorisés, les ports et les plages d’adresses IP sources.
	Tableau de bord EC2 AWS	Create Network Interface (créer une interface de réseau) : Créez des interfaces réseau pour défense contre les menaces virtuelles à l’aide d’adresses IP statiques.
	Tableau de bord EC2 AWS	Create Elastic IPs (créer des adresses IP Elastic) : Les adresses IP élastiques sont des adresses IP publiques réservées qui sont utilisées pour l’accès à distance au défense contre les menaces virtuelles ainsi qu’à d’autres instances.
	Tableau de bord EC2 AWS	Deploy the défense contre les menaces virtuelles Instance (déployer l’instance) : déployez défense contre les menaces virtuelles à partir du portail AWS.
	Centre de gestion ou Gestionnaire d'appareil	Gérer défense contre les menaces virtuelles : Gestion de Firepower Threat Defense Virtual avec le centre de gestion Firepower Management Center Gestion de Firepower Threat Defense Virtual avec le gestionnaire d'appareil Firepower

Gestion du périphérique Cisco Secure Firewall Threat Defense Virtual

Vous avez deux options pour gérer votre Cisco Secure Firewall Threat Defense Virtual.

Cisco Secure Firewall Management Center

Si vous gérez un grand nombre d'appareils, ou si vous voulez utiliser les fonctions et configurations plus complexes que permet défense contre les menaces, utilisez centre de gestion pour configurer vos appareils au lieu du gestionnaire d'appareil intégré.

Important

Vous ne pouvez pas utiliser à la fois gestionnaire d'appareil et centre de gestion pour gérer l'appareil défense contre les menaces. Une fois que la gestion intégrée gestionnaire d'appareil est activée, il ne sera plus possible d’utiliser centre de gestion pour gérer le périphérique défense contre les menaces, à moins de désactiver la gestion locale et de reconfigurer la gestion pour utiliser centre de gestion. D’un autre côté, lorsque vous enregistrez le périphérique défense contre les menaces sur centre de gestion, le service de gestion intégrée gestionnaire d'appareil est désactivé.

Mise en garde

Actuellement, Cisco n’offre pas la possibilité de migrer votre configuration gestionnaire d'appareil vers centre de gestion et vice versa. Tenez-en compte lorsque vous choisissez le type de gestion que vous configurez pour le périphérique défense contre les menaces.

Cisco Secure Firewall device manager

Le gestionnaire d'appareil est un gestionnaire intégré.

Le gestionnaire d'appareil est une interface de configuration Web incluse sur certains des périphériques défense contre les menaces. gestionnaire d'appareil vous permet de configurer les fonctions de base du logiciel qui sont le plus souvent utilisées pour les petits réseaux. Il est spécialement conçu pour les réseaux qui comprennent un seul périphérique ou quelques-uns, pour lesquels vous ne souhaitez pas utiliser un gestionnaire de périphériques multiples de grande puissance qui permet de contrôler un grand réseau contenant un grand nombre des périphériques défense contre les menaces.

Remarque

Consultez Guide Cisco Secure Firewall Device Manager Configuration pour obtenir la liste des périphériques défense contre les menaces qui prennent en charge gestionnaire d'appareil.

Aperçu de la solution AWS

AWS est un ensemble de services informatiques à distance proposés par Amazon.com, également appelés services Web, qui composent une plateforme de traitement en nuage. Ces services fonctionnent à partir de 11 régions géographiques partout au monde. En général, vous devez vous familiariser avec les services AWS suivants lors du déploiement deCisco Secure Firewall Management Center Virtual (anciennement Firepower Management Center Virtual) et de défense contre les menaces virtuelles :

Amazon Elastic Compute Cloud (EC2) : un service Web qui vous permet de louer des ordinateurs virtuels pour lancer et gérer vos propres applications et services, comme un pare-feu, dans les centres de données d’Amazon.
Amazon Virtual Private Cloud (VPC) : un service Web qui vous permet de configurer un réseau privé isolé qui existe dans le nuage public d’Amazon. Vous exécutez vos instances EC2 dans un VPC.
Amazon Web Service (S3) : un service Web qui vous fournit une infrastructure de stockage de données.

Vous créez un compte sur AWS, configurez les composants VPC et EC2 (à l’aide des assistants AWS ou de la configuration manuelle), et choisissez une instance Amazon Machine Image (AMI). L’AMI est un modèle qui contient la configuration logicielle nécessaire pour lancer votre instance.

Remarque

Les images d’AMI ne peuvent pas être téléchargées en dehors de l’environnement AWS.

Conditions préalables

Un compte AWS. Vous pouvez en créer un à l’adresse http://aws.amazon.com/.
Un client SSH (par exemple, PuTTY sur Windows ou Terminal sur macOS) est requis pour accéder à la console défense contre les menaces virtuelles.
Un compte Cisco Smart. Vous pouvez en créer un sur le Centre des logiciels Cisco https://software.cisco.com/
Obtenez une licence pour défense contre les menaces virtuelles.

Cisco Secure Firewall Management Center
- Configurez tous les droits de licence pour les services de sécurité à partir de la centre de gestion.
- Pour en savoir plus sur la gestion des licences, consultez la section sur les licences pour le système du Guide de configuration du centre de gestion Cisco Secure Firewall Management Center.
Cisco Secure Firewall device manager
- Configurez tous les droits de licence par niveau de performance pour les services de sécurité à partir de Cisco Secure Firewall device manager.
- Consultez la section sur les licences Threat Defense Virtual pour en savoir plus sur ces questions.
Exigences d’interface Défense contre les menaces virtuelles :
- Interfaces de gestion (2) : une utilisée pour connecter défense contre les menaces virtuelles avec centre de gestion, la seconde utilisée pour les diagnostics; ne peut pas être utilisée pour le trafic de transit.
  
  Dans la version 6.7 et ultérieure : vous pouvez éventuellement configurer une interface de données pour la gestion de centre de gestion au lieu de l’interface de gestion. L’interface de gestion est une condition préalable à la gestion de l’interface de données, vous devez donc toujours la configurer dans votre configuration initiale. Notez que l’accès centre de gestion à partir d’une interface de données n’est pas pris en charge dans les déploiements à haute accessibilité. Pour en savoir plus sur la configuration d’une interface de données pour l’accès à centre de gestion, consultez la commande configure network management-data-interface dans la référence de commande FTD.
- Interfaces de trafic (2) : utilisées pour connecter défense contre les menaces virtuelles aux hôtes internes et au réseau public.
Chemins de communication :
- Adresses IP publiques et Elastic pour l’accès à défense contre les menaces virtuelles.

Plateformes logicielles prises en charge

La solution d’évolutivité automatique de défense contre les menaces virtuelles s’applique au défense contre les menaces virtuelles géré par le centre de gestion et ne dépend pas des versions logicielles. Le Guide de compatibilité Cisco Secure Firewall Threat Defense décrit la compatibilité matérielle et logicielle, y compris les exigences relatives au système d’exploitation et à l’environnement d’hébergement.

Le tableau du Guide de compatibilité de Firewall Management Center Virtual répertorie les exigences de compatibilité et d’environnement d’hébergement virtuel pour centre de gestion virtuel sur AWS.
Le tableau du Guide de compatibilité de Cisco Secure Firewall Threat Defense Virtual répertorie les exigences de compatibilité et d’environnement d’hébergement virtuel pour défense contre les menaces virtuelles sur AWS.

Remarque

Aux fins de déploiement de la solution d’évolutivité automatique Azure, la version minimale prise en charge pour défense contre les menaces virtuelles sur AWS est la version 6.4. Le centre de gestion doit exécuter la version 6.6+ au minimum pour utiliser l’évolutivité basée sur la mémoire.

Lignes directrices et limites relatives à la licence

Fonctionnalités prises en charge

Déploiement dans le Cloud privé virtuel (VPC)
Mise en réseau améliorée (SR-IOV)
Déploiement à partir du Marché Amazon
Déploiement des réseaux de couche 3.
Mode avec routage (par défaut)
Mode passif par l’intermédiaire d’ERSPAN.
Mise en grappes (version 7.2 et ultérieure). Pour en savoir plus, consultez l’information sur la mise en grappes pour Threat Defense Virtual dans un nuage public.
Mesures de surveillance de l’intégrité enregistrées par Amazon CloudWatch
Cadres jumbo
Instantané (version 7.2 ou ultérieure)

Fonctionnalités non prises en charge

Copie
IPv6
Modes transparent, en ligne et passif
La découverte de l’identité du serveur TLS (Transport Layer Security) n’est pas prise en charge avec la configuration à Bras unique de Geneve sur AWS.

Licence

Le protocole BYOL (Bring Your Own License; apportez votre propre licence) est pris en charge avec un compte de licence Cisco Smart.

La licence PAYG (Pay As You Go) est un modèle de facturation basé sur l’utilisation qui permet au client d’exécuter le défense contre les menaces virtuelles sans avoir à acheter de licences Cisco Smart. Toutes les fonctionnalités sous licence (Malware/Threat/URL Filtering/VPN, etc.) sont activées pour un appareil défense contre les menaces virtuelles selon le modèle PAYG. Ces fonctionnalités sous licence sont automatiquement marquées comme actives sur les Centre de gestion. Les fonctionnalités sous licence ne peuvent pas être modifiées ou changées à partir de centre de gestion (version 6.5 ou ultérieure).

Remarque

Les licences PAYG ne sont pas prises en charge sur les appareils défense contre les menaces virtuelles déployés en mode gestionnaire d'appareil.

Consultez le chapitre sur les licences du Guide d’administration du FMC pour connaître les consignes relatives à l’octroi de licences pour votre périphérique défense contre les menaces virtuelles.

Niveaux de performance pour les licences Smart Défense contre les menaces virtuelles

Depuis la version 7.0.0 de Défense contre les menaces virtuelles, défense contre les menaces virtuelles prend en charge les licences par niveau de performance qui peuvent procurer différents niveaux de débit et limites de connexion de réseau privé virtuel (VPN) en fonction des exigences de déploiement.

Tableau 2. Défense contre les menaces virtuelles Limites des fonctionnalités sous licence en fonction des droits
Niveau de performance	Caractéristiques du périphérique (cœur/RAM)	Limite du débit	Limite de session RA VPN
FTDv5	4 cœurs/8 Go	100 Mbit/sec	50
FTDv10	4 cœurs/8 Go	1 Gbit/sec	250
FTDv20	4 cœurs/8 Go	3 Gbit/s	250
FTDv30	8 cœurs/16 Go	5 Gbit/s	250
FTDv50	12 cœurs/24 Go	10 Gbit/s	750
FTDv100	16 cœurs/34 Go	16 Gbit/s	10 000

Optimisation des performances

Pour obtenir les meilleures performances avec défense contre les menaces virtuelles, vous pouvez apporter des ajustements à la machine virtuelle et à l’hôte. Consultez la section sur le réglage et l’optimisation de la virtualisation sur AWS pour en savoir plus.

Receive Side Scaling (dimensionnement côté réception) : le défense contre les menaces virtuelles prend en charge Receive Côté Scaling (RSS), qui est une technologie utilisée par les adaptateurs réseau pour distribuer le trafic de réception réseau entre plusieurs cœurs de processeur. Pris en charge par les versions 7.0 et ultérieures. Consultez la section sur les files d’attente RX multiples pour le dimensionnement de la réception (RSS) pour en savoir plus.

Limites Défense contre les menaces virtuelles

L'instance c5.xlarge est l’instance recommandée; l'instance c3.xlarge a une disponibilité limitée dans les régions AWS.
Vous devez avoir configuré deux interfaces de gestion lors du lancement.
Vous devez avoir deux interfaces de trafic et deux interfaces de gestion à lancer, pour un total de quatre interfaces.

Remarque

La défense contre les menaces virtuelles ne sera pas lancé sans quatre interfaces.

Lors de la configuration des interfaces de trafic dans AWS, vous devez désactiver l’option Change Source/Dest. Check (modifier la source/dest.).
Toute configuration d’adresse IP (de l’interface de ligne de commande ou de centre de gestion) doit correspondre à ce qui est créé dans la console AWS; vous devez noter vos configurations pendant le déploiement.
Après avoir enregistré défense contre les menaces virtuelles, vous devez modifier les interfaces et les activer sur centre de gestion; à noter que l’adresse IP doit correspondre aux interfaces configurées dans AWS.
Les modes transparent/en ligne/passif ne sont pas pris en charge pour le moment.
Pour modifier les interfaces, vous devez apporter des modifications à partir de la console AWS. Sur la console AWS, annulez l’enregistrement des interfaces de centre de gestion et arrêtez l’instance qui utilise l’interface utilisateur AMI AWS. Ensuite, dissociez les interfaces que vous souhaitez modifier et associez les nouvelles interfaces (notez que vous avez besoin de deux interfaces de trafic et de deux interfaces de gestion pour lancer l’instance). Maintenant, démarrez l’instance et réenregistrez-vous auprès de centre de gestion.

À partir de centre de gestion, modifiez l’interface de périphérique et modifiez l’adresse IP et d’autres paramètres pour qu’ils correspondent aux modifications que vous avez effectuées par l’intermédiaire de la console AWS.
Vous ne pouvez pas ajouter d’interfaces après le démarrage.
Si vous observez un comportement anormal comme un délai d’arrêt du Snort long, un ralentissement de la machine virtuelle en général ou l’exécution d’un processus spécifique, collectez les journaux de défense contre les menaces virtuelles et de l’hôte VM. La collecte de l’utilisation globale du processeur, de la mémoire, de l’utilisation des E/S et de la vitesse de lecture/écriture vous aidera à résoudre les problèmes.
Une utilisation élevée de la CPU et des E/S est observée lors de l’arrêt Snort. Si un certain nombre d’instances défense contre les menaces virtuelles ont été créées sur un seul hôte avec une mémoire insuffisante et aucun processeur dédié, Snort mettra beaucoup de temps à s’arrêter, ce qui entraînera la création de cœurs Snort.

Configuration de l’environnement AWS

Pour déployer défense contre les menaces virtuelles sur AWS, vous devez configurer un VPC Amazon avec vos exigences et vos paramètres de déploiement précis. Dans la plupart des situations, un assistant de configuration peut vous guider dans votre configuration. AWS fournit une documentation en ligne où vous pouvez trouver des informations utiles sur les services, des présentations aux fonctionnalités avancées. Consultez https://aws.amazon.com/documentation/gettingstarted/ pour de plus amples renseignements.

Pour vous aider à mieux contrôler votre configuration AWS, les sections suivantes proposent un guide de vos configurations VPC et EC2 avant de lancer les instances défense contre les menaces virtuelles :

Création du VPC
Ajout de la passerelle Internet
Ajouter des sous-réseaux
Ajout d’un tableau de routage
Création d’un groupe de sécurité
Création d'interfaces réseau
Création d’une adresse IP élastique

Avant de commencer

Créez votre compte AWS.
Confirmez que des AMI sont disponibles pour vos instances défense contre les menaces virtuelles.

Création du VPC

Un Cloud privé virtuel (ou VPC) est un réseau virtuel dédié à votre compte AWS. Il est logiquement isolé des autres réseaux virtuels du Cloud AWS. Vous pouvez lancer vos ressources AWS, telles que centre de gestion virtuel et les instances défense contre les menaces virtuelles, dans votre VPC. Vous pouvez configurer votre VPC; vous pouvez sélectionner sa plage d’adresses IP, créer des sous-réseaux et configurer les tables de routage, les passerelles réseau et les paramètres de sécurité.

Procédure

Étape 1	Connectez-vous à http://aws.amazon.com/ et choisissez votre région. AWS est divisé en plusieurs régions isolées les unes des autres. La région est affichée dans le coin supérieur droit de votre écran. Les ressources d’une région n’apparaissent pas dans une autre région. Vérifiez périodiquement que vous êtes dans la région prévue.
Étape 2	Cliquez sur Services > VPC.
Étape 3	Cliquez sur VPC Dashboard > Your VPCs pour consulter de l’information sur vos VPC dans le tableau de bord des VPC.
Étape 4	Cliquez sur Create VPC (créer un nuage privé virtuel).
Étape 5	Saisissez la commande suivante dans la boîte de dialogue Create VPC (créer un VPC) : Une balise de nom définie par l’utilisateur pour identifier le VPC. Un bloc d’adresses IP IPv4 CIDR. La notation CIDR (Classless Inter-Domain Routing) est une représentation compact d’une adresse IP et de son préfixe de routage associé. Par exemple, 10.0.0.0/24. Un paramètre de localisation (Tenancy setting) par défaut pour s’assurer que les instances lancées dans ce VPC utilisent l’attribut de localisation précisé lors du lancement.
Étape 6	Cliquez sur Yes, Create pour créer votre VPC.

Prochaine étape

Ajoutez une passerelle Internet à votre VPC comme décrit dans la section suivante.

Ajout de la passerelle Internet

Vous pouvez ajouter une passerelle Internet pour connecter votre VPC à Internet. Vous pouvez acheminer le trafic pour les adresses IP en dehors de votre VPC vers la passerelle Internet.

Avant de commencer

Créez un VPC pour vos instances Défense contre les menaces virtuelles.

Procédure

Étape 1	Cliquez sur Services > VPC.
Étape 2	Cliquez sur VPC Dashboard (tableau de bord VPC) Internet Gateways (passerelles Internet), puis sur Create Internet Gateway (créer une passerelle Internet).
Étape 3	Saisissez une balise de nom (Name tag) définie par l’utilisateur pour définir la passerelle et cliquez sur Yes, Create pour créer la passerelle.
Étape 4	Sélectionnez la passerelle créée à l’étape précédente.
Étape 5	Cliquez sur Attach to VPC (associer au VPC)et sélectionnez le VPC que vous avez créé précédemment.
Étape 6	Cliquez sur Yes, Attach (oui, associer) pour associer la passerelle à votre VPC. Par défaut, les instances lancées sur le VPC ne peuvent pas communiquer avec Internet tant qu’une passerelle n’est pas créée et liée au VPC.

Prochaine étape

Ajoutez des sous-réseaux à votre VPC, comme décrit dans la section suivante.

Ajouter des sous-réseaux

Vous pouvez segmenter la plage d’adresses IP de votre VPC auquel les instances Défense contre les menaces virtuelles peuvent être associées. Vous pouvez créer des sous-réseaux pour regrouper les instances en fonction des besoins opérationnels et de sécurité. Pour Défense contre les menaces virtuelles, vous devez créer un sous-réseau pour la gestion, ainsi que des sous-réseaux pour le trafic.

Avant de commencer

Créez un VPC pour vos instances Défense contre les menaces virtuelles.

Procédure

Étape 1	Cliquez sur Services > VPC.
Étape 2	Cliquez sur VPC Dashboard (tableau de bord VPC) > Subnets (sous-réseaux), puis sur Create Subnet (créer un sous-réseau).
Étape 3	Saisissez les informations suivantes dans la boîte de dialogue Create Subnet (créer un sous-réseau) : Une balise de nom (Name tag) définie par l’utilisateur pour identifier le sous-réseau. Le VPC à utiliser pour ce sous-réseau. La zone de disponibilité (Availability Zone) où ce sous-réseau résidera. Sélectionnez No Preference (aucune préférence) pour permettre à Amazon de sélectionner la zone. Un CIDR block (bloc CIDR) d’adresses IP . La plage d’adresses IP dans le sous-réseau doit être un sous-ensemble de la plage d’adresses IP dans le VPC. La taille des blocs doit être comprise entre un masque réseau/16 et un masque réseau/28. La taille du sous-réseau peut correspondre à la taille du VPC.
Étape 4	Cliquez sur Yes, Create pour créer votre sous-réseau.
Étape 5	Répétez l’opération pour tous les sous-réseaux requis. Créez un sous-réseau distinct pour le trafic de gestion et créez autant de sous-réseaux que nécessaire pour le trafic de données.

Prochaine étape

Ajoutez un tableau de routage à votre VPC comme le décrit la section suivante.

Ajout d’un tableau de routage

Vous pouvez associer une table de routage à la passerelle que vous avez configurée pour votre VPC. Vous pouvez également associer plusieurs sous-réseaux à une seule table de routage, mais un sous-réseau ne peut être associé qu’à une seule table de routage à la fois.

Procédure

Étape 1	Cliquez sur Services > VPC.
Étape 2	Cliquez sur VPC Dashboard (tableau de bord VPC) > Route Tables (tables de routage), puis sur Create Route Table (créer une table de routage).
Étape 3	Saisissez une Name tag (balise de nom) pour identifier la table de routage.
Étape 4	Sélectionnez le VPC dans la liste déroulante qui utilisera cette table de routage.
Étape 5	Cliquez sur Yes, Create (oui, créer) pour créer votre table de routage.
Étape 6	Sélectionnez la table de routage que vous avez créée.
Étape 7	Cliquez sur l’onglet Routes pour afficher les renseignements sur le routage dans le volet de détails.
Étape 8	Cliquez sur Edit (modifier), puis sur Add another route (ajouter une autre route). Dans la colonne Destination, saisissez 0.0.0.0/0. Dans la colonne Target (cible), sélectionnez votre passerelle.
Étape 9	Cliquez sur Save (enregistrer).

Prochaine étape

Créez un groupe de sécurité comme décrit dans la section suivante.

Création d’un groupe de sécurité

Vous pouvez créer un groupe de sécurité avec des règles précisant les protocoles autorisés, les ports et les plages d’adresses IP sources. Plusieurs groupes de sécurité peuvent être créés avec des règles différentes que vous pouvez attribuer à chaque instance.

Procédure

Étape 1

Cliquez sur Services > EC2.

Étape 2

Cliquez sur ECS Dashboard (tableau de bord EC2) > Security Groups (groupes de sécurité).

Étape 3

Cliquez sur Create Security Group (créer un groupe de sécurité).

Étape 4

Saisissez les informations suivantes dans la boîte de dialogue Create Security Group (créer un groupe de sécurité) :

Un Security Group Name (nom de groupe de sécurité) défini par l’utilisateur pour identifier le groupe de sécurité.
Une Description de ce groupe de sécurité.
Le VPC associé à ce groupe de sécurité.

Étape 5

Configurez les Security Group Rules (règles du groupe de sécurité) :

Cliquez sur l’onglet Inbound (entrée), puis sur Add Rule (ajouter une règle).

Remarque

Les accès HTTPS et SSH sont requis pour gérer les centre de gestion virtuel à l'extérieur d'AWS. Vous devez préciser les adresses IP sources en conséquence. De plus, si vous configurez à la fois centre de gestion virtuel et défense contre les menaces virtuelles dans le VPC AWS, vous devez autoriser l’accès au sous-réseau de gestion de l’IP privé.

Cliquez sur l’onglet Outbound (trafic sortant), puis sur Add pour ajouter une règle pour le trafic sortant, ou conservez les valeurs par défaut de All traffic (tout le trafic) (pour Type) et Anywhere (n’importe où) (pour Destination).

Étape 6

Cliquez sur Create (créer) pour créer votre groupe de sécurité.

Prochaine étape

Créez des interfaces réseau comme décrit dans la section suivante.

Création d'interfaces réseau

Vous pouvez créer des interfaces réseau pour défense contre les menaces virtuelles en utilisant des adresses IP statiques ou DHCP. Créez des interfaces de réseau (externes et internes) selon les besoins de votre déploiement particulier.

Procédure

Étape 1	Cliquez sur Services > EC2.
Étape 2	Cliquez sur EC2 Dashboard > Network Interfaces (tableau de bord EC2 > interfaces réseau).
Étape 3	Cliquez sur Create Network Interface (créer une interface réseau).
Étape 4	Saisissez la commande suivante dans la boîte de dialogue Create Network Interface (créer une interface réseau) : Une description facultative définie par l’utilisateur pour l’interface réseau. Sélectionnez un Subnet (sous-réseau) dans la liste déroulante. Assurez-vous de sélectionner le sous-réseau du VPC dans lequel vous souhaitez créer l’instance défense contre les menaces virtuelles. Saisissez une adresse IP privée. Vous pouvez utiliser une adresse IP statique ou une adresse IP générée automatiquement (DHCP). Sélectionnez un ou plusieurs Security groups (groupes de sécurité). Assurez-vous que tous les ports requis sont ouverts pour le groupe de sécurité.
Étape 5	Cliquez sur Create network interface (créer une interface de réseau) pour créer votre interface réseau.
Étape 6	Sélectionnez l'interface réseau que vous venez de créer.
Étape 7	Faites un clic droit et sélectionnez Change Source/Dest pour modifier la source ou la destination. Cochez .
Étape 8	Décochez la case Enable (activer) sous Source/destination check (choix de source/destination), puis cliquez sur Save (enregistrer).

Prochaine étape

Créez des adresses IP Elastic comme décrit dans la section suivante.

Création d’une adresse IP élastique

Lors de la création d’une instance, une adresse IP publique est associée à celle-ci. Cette adresse IP publique change automatiquement lorsque vous arrêtez et démarrez l’instance. Pour résoudre ce problème, attribuez une adresse IP publique persistante à l’instance à l’aide de l’adressage IP élastique. Les adresses IP élastiques sont des adresses IP publiques réservées qui sont utilisées pour l’accès à distance au défense contre les menaces virtuelles ainsi qu’à d’autres instances.

Remarque

Vous devez au minimum créer des adresses IP élastiques pour l’interface de gestion défense contre les menaces virtuelles et l’interface de diagnostic.

Procédure

Étape 1	Cliquez sur Services > EC2.
Étape 2	Cliquez sur EC2 Dashboard > Elastic IPs (tableau de bord EC2 > IP élastiques).
Étape 3	Cliquez sur Allocate New Address (allouer une nouvelle adresse).
Étape 4	Répétez cette étape pour toutes les adresses IP élastiques ou publiques dont vous avez besoin.
Étape 5	Cliquez sur Yes, Allocate (oui, attribuer) pour créer votre adresse IP élastique.
Étape 6	Répétez l’opération pour toutes les adresses IP élastiques requises pour votre déploiement.

Prochaine étape

Déployez le défense contre les menaces virtuelles comme décrit dans la section suivante.

Déployer Défense contre les menaces virtuelles

Avant de commencer

Cisco recommande ce qui suit :

Configurez les éléments VPC AWS et EC2 comme décrit dans Configuration de l’environnement AWS.
Confirmez que l’AMI est disponible pour les instances défense contre les menaces virtuelles.

Procédure

Étape 1

Accédez à https://aws.amazon.com/marketplace (Amazon Marketplace) et connectez-vous.

Étape 2

Après vous être connecté à Amazon Place, cliquez sur le lien fourni pour le défense contre les menaces virtuelles (Cisco Firepower NGFW Virtual (NGFWv) - BYOL).

Remarque

Si vous étiez déjà dans AWS, vous devrez peut-être vous déconnecter, puis vous reconnecter pour que le lien fonctionne.

Étape 3

Cliquez sur Continue (continuer), puis cliquez sur l’onglet Manual Launch (lancement manuel) .

Étape 4

Cliquez sur Accept Terms pour accepter les conditions.

Étape 5

Cliquez sur Launch with EC2 Console (lancer avec la console EC2) dans la région souhaitée

Étape 6

Choisissez le type d'instance pris en charge par le défense contre les menaces virtuelles, c4.xlarge recommandé.

Étape 7

Cliquez sur le bouton Next: Configure Instance Details (suivant; configurer les détails de l’instance au bas de l’écran) :

Modifiez le réseau pour qu’il corresponde à votre VPC précédemment créé.
Modifiez le sous-réseau pour qu’il corresponde à votre sous-réseau de gestion précédemment créé. Vous pouvez préciser une adresse IP ou utiliser la génération automatique.
Vous pouvez activer Auto-generate the Public IP pour autoriser l’auto-génération de l’adresse IP publique IPv4 ou IPv6.
Cliquez sur le bouton Add Device (ajouter un périphérique) sous Network Interfaces (interfaces réseau) pour ajouter l’interface réseau eth1.
Modifiez le sous-réseau (Subnet) pour qu’il corresponde à votre sous-réseau de gestion qui est utilisé pour eth0.

Remarque

La défense contre les menaces virtuelles utilise deux interfaces de gestion.

ATTENTION : Utilisez uniquement du texte brut lors de la saisie des données dans le champ Advanced Details (détails avancés). Si vous copiez ces informations à partir d’un éditeur de texte, assurez-vous de ne copier qu’en texte brut. Si vous copiez des données Unicode dans le champ Advanced Details (détails avancés) , y compris une espace, l’instance peut être corrompue et vous devrez la résilier et la recréer.

Exemple de configuration de connexion pour gérer défense contre les menaces virtuelles à l'aide de centre de gestion :


#Sensor
{
            "AdminPassword": "<your_password>",
            "Hostname": "<your_hostname>",

            "ManageLocally": "No",
            "FmcIp":  "<IP address of FMC>",
            "FmcRegKey":"<registration_passkey>",
            "FmcNatId":"<NAT_ID_if_required>"
}

Exemple de configuration de connexion pour gérer défense contre les menaces virtuelles à l'aide de gestionnaire d'appareil :


#Sensor
{
            "AdminPassword": "<your_password>",
            "Hostname": "<your_hostname>",
            "ManageLocally": "Yes"
}

Étape 8

Cliquez sur Next: Add Storage (suivant : ajouter du stockage).

Vous pouvez continuer avec la valeur par défaut.

Étape 9

Cliquez sur Next: Tag Instance (suivant : étiquette d’instance).

Une balise est constituée d’une paire clé-valeur sensible à la casse. Par exemple, vous pouvez définir une balise avec Key = Name et Value = Firewall.

Étape 10

Sélectionnez Next: Configure Security Group (suivant : configurer le groupe de sécurité).

Étape 11

Cliquez sur Select an existant Security Group (sélectionner un groupe de sécurité existant) et choisissez le groupe de sécurité précédemment configuré, ou créez un nouveau groupe de sécurité. Consultez la documentation d’AWS pour de plus amples renseignements sur la création de groupes de sécurité.

Étape 12

Cliquez sur Review and Launch (vérifier et lancer).

Étape 13

Cliquez sur Launch (lancer).

Étape 14

Sélectionnez une paire de clés existante ou créez-en une nouvelle.

Remarque

Sélectionnez une paire de clés existante ou créez-en une nouvelle. La paire de clés se compose d’une clé publique qu’AWS stocke et d’un fichier de clé privée que l’utilisateur stocke. Ensemble, ils vous permettent de vous connecter à votre instance en toute sécurité. Assurez-vous d’enregistrer la paire de clés à un emplacement connu, car elle pourrait devoir se connecter à l’instance.

Étape 15

Cliquez sur Launch Instances (lancer les instances).

Étape 16

Cliquez sur View Launch (afficher le lancement) et suivez les invites.

Étape 17

Cliquez sur EC2 Dashboard > Network Interfaces (tableau de bord EC2 > Interfaces réseau).

Étape 18

Recherchez les interfaces de trafic précédemment créées dans Configuration de l’environnement AWS, puis cliquez sur Attach (ajouter). Cela deviendra l’interface eth2 sur votre instance défense contre les menaces virtuelles.

Étape 19

Recherchez les interfaces de trafic précédemment créées dans Configuration de l’environnement AWS, puis cliquez sur Attach (ajouter). Cela deviendra l’interface eth3 sur votre instance défense contre les menaces virtuelles.

Remarque

Vous devez avoir configuré quatre interfaces, sinon défense contre les menaces virtuelles ne terminera pas le processus de démarrage.

Étape 20

Cliquez sur EC2 Dashboard (tableau de bord EC2) > Instances.

Étape 21

Faites un clic droit sur l’instance, puis sélectionnez Instance Settings > Get System Log (paramètres d’instance > obtenir le journal du système) pour afficher l’état.

Remarque

Il y aura peut-être un avertissement d’un problème de connectivité. C’est ce qui est prévu, car l’interface eth0 ne sera pas active tant que le CLUF ne sera pas terminé.

Étape 22

Après 20 minutes, enregistrez votre défense contre les menaces virtuelles sur le centre de gestion.

Prochaine étape

Vos prochaines étapes dépendent du mode de gestion que vous avez choisi.

Si vous avez sélectionné No (non) pour Enable Local Manager (activer le gestionnaire local), vous utiliserez centre de gestion pour gérer défense contre les menaces virtuelles; à ce sujet, consultez Gestion de Cisco Secure Firewall Threat Defense Virtual avec Cisco Secure Firewall Management Center.
Si vous avez sélectionné Yes (oui) pour Enable Local Manager (activer le gestionnaire local), vous utiliserez gestionnaire d'appareil pour gérer défense contre les menaces virtuelles; à ce sujet, consultez Gestion de Cisco Secure Firewall Threat Defense Virtual avec Cisco Secure Firewall Device Manager.

Consultez Gestion du périphérique Cisco Secure Firewall Threat Defense Virtual pour savoir comment choisir votre option de gestion.

Défense contre les menaces virtuelles avec utilisation d'un instantané

Vous pouvez créer et déployer défense contre les menaces virtuelles à l’aide d’un instantané d’image Amazon Machine (AMI) dans le portail AWS. L’instantané de l’image est une instance d’image défense contre les menaces virtuelles répliquée sans données sur l’état.

Défense contre les menaces virtuelles Survol de l’instantané

Le processus de création d’une image d’instantané de l’instance défense contre les menaces virtuelles permet de réduire au minimum le temps initial de démarrage du système en ignorant les procédures de premier démarrage effectuées pour défense contre les menaces virtuelles et FSIC. L’image d’instantané repose sur la base de données préremplie et le processus de démarrage initial défense contre les menaces virtuelles, qui permettent à l’image de régénérer des ID uniques (UUID, numéro de série) liés à l’identité du système dans centre de gestion ou dans tout autre centre de gestion. Ce processus permet d’accélérer le démarrage de défense contre les menaces virtuelles, ce qui est essentiel pour le déploiement de l’évolutivité automatique.

Créer une AMI d’instantané Défense contre les menaces virtuelles

La création d’un instantané d’image défense contre les menaces virtuelles est un processus de réplication d’une instance défense contre les menaces virtuelles existante pour créer une instance défense contre les menaces virtuelles plate dans le portail AWS.

Avant de commencer

Vous devez avoir déployé la version 7.2 de défense contre les menaces virtuelles ou une version ultérieure. Pour en savoir plus sur le déploiement de défense contre les menaces virtuelles, consultez Déployer défense contre les menaces virtuellessur AWS.
Vous ne devez pas enregistrer l’instance défense contre les menaces virtuelles que vous préparez pour l’instantané d’image sur un gestionnaire tel que centre de gestion virtuel ou gestionnaire d'appareil.

Procédure

Étape 1

Accédez à la console AWS sur laquelle vous avez déployé l’instance défense contre les menaces virtuelles.

Remarque

Assurez-vous que l’instance défense contre les menaces virtuelles que vous prévoyez de répliquer comme instantané de l’image n’est pas enregistrée sur centre de gestion ou configurée sur un autre gestionnaire local ou appliquée à une configuration.

Étape 2

Utilisez les scripts suivants pour exécuter le processus de pré-instantané à partir de l’interface Shell expert :


> expert
admin@FTDvbaseimg:~$ Sudo su
root@firepower:/ngfw/var/common# prepare_snapshot
Do you want to continue [Y/N]:

Lorsque vous utilisez la commande prepare_snapshot dans le script, un message intermédiaire s’affiche pour demander la confirmation de l’exécution du script. Appuyez sur Y (oui) pour exécuter le script.

Vous pouvez également ajouter une commande -f à cette commande, par exemple root@firepower:/ngfw/var/common# prepare_snapshot -f pour ignorer le message de confirmation de l’utilisateur et exécuter directement le script.

Ce script supprime toutes les configurations de ligne, les politiques déployées, le gestionnaire configuré et les UUID associées à l’instance défense contre les menaces virtuelles. Une fois le traitement informatique terminé, l’instance défense contre les menaces virtuelles est fermée. L’instance défense contre les menaces virtuelles est répertoriée dans la page Instances du portail AWS.

Étape 3

Connectez-vous à http://aws.amazon.com/ et choisissez votre région.

AWS est divisé en plusieurs régions isolées les unes des autres. La région est affichée dans le coin supérieur droit de votre fenêtre. Les ressources d’une région n’apparaissent pas dans une autre région. Vous devez vérifier périodiquement la région pour vous assurer qu’il s’agit de la région prévue.

Prochaine étape

Déployez l’instance défense contre les menaces virtuelles à l’aide de l’AMI d’instantané. Consultez, #task_w4j_zjy_nzb_deploy_ftdv_from_snapshot

Remarque

Vous pouvez exécuter les commandes CLI show version et show snapshot detail à partir de la console défense contre les menaces virtuelles pour connaître la version et les détails de l’instance d’instantané d’image défense contre les menaces virtuelles que vous avez créée.

Déployez l’instance Défense contre les menaces virtuelles à l’aide de l’AMI de l’instantané.

Avant de commencer

Cisco recommande ce qui suit :

Configurez les éléments VPC AWS et EC2 comme décrit dans Configuration de l’environnement AWS.
Confirmez que l’AMI est disponible pour vos instances défense contre les menaces virtuelles.

Procédure

Étape 1

Accédez à https://aws.amazon.com/marketplace (Amazon Marketplace) et connectez-vous.

Étape 2

Cliquez sur EC2 Dashboard (tableau de bord EC2) > Instances. L’instance défense contre les menaces virtuelles que vous avez déployée pour créer un instantané d’image est affichée dans la page Instances.

Remarque

Pour créer un instantané d’image, vous devez toujours choisir l’instance défense contre les menaces virtuelles dont l’état opérationnel (Instance Status) est Stopped (arrêté).

Étape 3

Dans la page Instances, identifiez et choisissez l’instance défense contre les menaces virtuelles dont l’état d’instance (Instance Status) correspondant est indiqué comme Stopped (arrêté).

Étape 4

Dans le menu déroulant Actions, pointez sur Image and templates (image et modèles), puis cliquez sur Create Image (créer une image).

Étape 5

Dans la page Create Image (créer une image), indiquez le nom et la description de l’instantané d’image.

Étape 6

Cochez la case Enable (activer) dans la section No reboot (pas de redémarrage).

Étape 7

Cliquez sur Create (créer). L’AMI d’instantané d’image défense contre les menaces virtuelles est créée.

Étape 8

Cliquez sur Images > AMI. Vous pouvez afficher la nouvelle AMI d’instantané d’image créée sur cette page.

Étape 9

Sélectionnez l’AMI de l’instantané d’image.

Étape 10

Cliquez sur Launch (lancer) pour déployer une nouvelle instance défense contre les menaces virtuelles à l’aide de l’AMI d’instantané d’image.

Étape 11

Continuez de déployer l’instance défense contre les menaces virtuelles. Reportez-vous aux sections Déployer Défense contre les menaces virtuelles ou À propos de la solution d’évolutivité automatique Défense contre les menaces virtuelles sur AWS.

Intégration du service Amazon GuardDuty et Défense contre les menaces virtuelles

Amazon GuardDuty est un service de supervision qui traite les données de diverses sources telles que les journaux VPC, les journaux des événements de gestion CloudTrail, les journaux des événements des données CloudTrail S3, les journaux DNS, etc. pour identifier les activités potentiellement non autorisées et malveillantes dans l’environnement AWS.

Aperçu

Cisco propose une solution d’intégration du service Amazon GuardDuty à Cisco Secure Firewall Threat Defense Virtual par l’intermédiaire des centres de gestion et des gestionnaires d’appareils.

Cette solution utilise les données ou les résultats d’analyse des menaces d’Amazon GuardDuty (adresses IP malveillantes générant des menaces, des attaques, etc.) et fournit ces informations (adresse IP malveillante) à Cisco Secure Firewall Threat Defense Virtual via les gestionnaires : Cisco Secure Firewall Management Center Virtual et Cisco Secure Firewall device manager pour protéger le réseau et les applications sous-jacentes contre les menaces futures provenant de ces sources (adresse IP malveillante).

Procédure de bout en bout

Les solutions d’intégration suivantes avec des exemples de flux de travail vous aident à comprendre l’intégration d’Amazon GuardDuty avec Cisco Secure Firewall Threat Defense Virtual.

Intégration avec Cisco Secure Firewall Management Center Virtual à l’aide du flux réseau de renseignements de sécurité

Le diagramme de flux de travail suivant montre la solution d’intégration d’Amazon GuardDuty avec Cisco Secure Firewall Management Center Virtual à l’aide de l’URL du flux réseau de renseignements de sécurité.


	Le service GuardDuty envoie des résultats de menaces à CloudWatch lorsqu’il détecte une activité malveillante.
	L’événement CloudWatch active la fonction Lambda d’AWS.
	La fonction Lambda met à jour l’hôte malveillant dans le fichier de rapport dans le compartiment S3 et envoie une notification par SNS.
	La politique de contrôle d’accès du Cisco Secure Firewall Management Center demande aux appareils cibles de gérer le trafic en fonction des actions configurées, par exemple, bloquer le trafic des hôtes malveillants signalés par GuardDuty. Cette politique d’accès utilise le flux réseau de renseignements sur la sécurité avec l’URL d’objet S3 du fichier de rapport d’adresses IP malveillantes fourni par la fonction Lambda.

Intégration avec Cisco Secure Firewall Management Center Virtual à l’aide du groupe d’objets réseau

Le diagramme de flux de travail suivant montre la solution d’intégration d’Amazon GuardDuty avec le Cisco Secure Firewall Management Center Virtual à l’aide du groupe d’objets réseau.


	Le service GuardDuty envoie des résultats de menaces à CloudWatch lorsqu’il détecte une activité malveillante.
	L’événement CloudWatch active la fonction Lambda d’AWS.
	La fonction Lambda met à jour l’hôte malveillant dans le fichier de rapport dans le compartiment S3 et envoie une notification par SNS.
	La fonction Lambda configure ou met à jour le groupe d’objets réseau avec l’adresse IP de l’hôte malveillant dans le Cisco Secure Firewall Management Center Virtual.
	La politique de contrôle d’accès du Cisco Secure Firewall Management Center demande aux appareils cibles de gérer le trafic en fonction des actions configurées, par exemple, bloquer le trafic des hôtes malveillants signalés par GuardDuty. Cette politique de contrôle d’accès utilise le groupe d’objets réseau avec l’adresse IP malveillante fournie par la fonction Lambda.

Intégration avec Cisco Secure Firewall device manager à l’aide du groupe d’objets réseau

Le diagramme de flux de travail suivant montre la solution d’intégration d’Amazon GuardDuty avec le Cisco Secure Firewall device manager à l’aide du groupe d’objets réseau.


	Le service GuardDuty envoie des résultats de menaces à CloudWatch lorsqu’il détecte une activité malveillante.
	L’événement CloudWatch active la fonction Lambda d’AWS.
	La fonction Lambda met à jour l’hôte malveillant dans le fichier de rapport dans le compartiment S3 et envoie une notification par SNS.
	La fonction Lambda configure ou met à jour le groupe d’objets réseau avec l’adresse IP de l’hôte malveillant dans le Cisco Secure Firewall device manager.
	La politique de contrôle d’accès du Cisco Secure Firewall device manager demande au périphérique géré de gérer le trafic en fonction des actions configurées, par exemple, bloquer le trafic des hôtes malveillants signalés par GuardDuty. Cette politique de contrôle d’accès utilise le groupe d’objets réseau avec l’adresse IP malveillante fournie par la fonction Lambda.

Composants clés de cette intégration


Composant	Description
Amazon GuardDuty	Un service Amazon responsable de la génération de résultats de menaces pour les diverses ressources AWS dans une région spécifique, comme EC2, S3, IAM, etc.
Amazon Simple Storage Service (S3)	Un service Amazon utilisé pour stocker divers artefacts associés à la solution : Fichier zip de la fonction Lambda Fichier zip de couche Lambda Fichier d’entrée de la configuration (.ini) de Cisco Secure Firewall Management Center et du gestionnaire d’appareils Fichier de rapport de sortie (.txt) contenant une liste d’adresses IP malveillantes signalées par la fonction Lambda
Amazon CloudWatch	Un service Amazon utilisé pour : Superviser le service GuardDuty pour détecter les résultats signalés et déclencher la fonction Lambda pour traiter les résultats. Effectuer la journalisation des activités liées à la fonction Lambda dans le groupe de journaux CloudWatch.
Amazon Simple Notification Service (SNS)	Un service Amazon utilisé pour envoyer des notifications par courriel. Ces notifications par courriel contiennent : Les détails de résultat GuardDuty qui a été traité avec succès par la fonction Lambda. Les détails des mises à jour effectuées sur les gestionnaires de Cisco Secure Firewall par la fonction Lambda. Toutes les erreurs importantes rencontrées par la fonction Lambda.
Fonction AWS Lambda	Un service de traitement informatique sans serveur AWS qui exécute votre code en réponse aux événements et gère automatiquement les ressources de traitement sous-jacentes pour vous. La fonction Lambda est déclenchée par la règle d’événement CloudWatch en fonction des résultats de GuardDuty. Dans cette intégration, la fonction Lambda est responsable de : Traitement des résultats de GuardDuty pour vérifier que tous les critères requis sont respectés, comme la gravité, le sens de la connexion, la présence d’adresses IP malveillantes, etc. (Selon la configuration) Mise à jour du groupe d’objets réseau sur les gestionnaires de Cisco Secure Firewall avec l’adresse IP malveillante. Mise à jour de l’adresse IP malveillante dans le fichier de rapport sur le compartiment S3. Informer l’administrateur de Cisco Secure Firewall de différentes mises à jour de gestionnaire et de toute erreur.
Modèle CloudFormation	Utilisé pour déployer diverses ressources requises pour l'intégration dans AWS. Le modèle CloudFormation contient les ressources suivantes : AWS::SNS::Topic : la rubrique SNS pour l’envoi de notifications par courriel. AWS::Lambda::Function, AWS::Lambda::LayerVersion : la fonction Lambda et les fichiers de couche AWS::Events::Rule: la règle d’événement CloudWatch pour déclencher la fonction Lambda en fonction de l’événement de résultats de GuardDuty. AWS::Lambda::Permission: autorisation pour la règle d’événement CloudWatch de déclencher la fonction Lambda. AWS::IAM::Rôle, AWS::IAM::Policy : le rôle et les ressources de politique IAM pour autoriser diverses autorisations d’accès à la fonction Lambda pour diverses ressources AWS. Ce modèle accepte les paramètres d’entrée des utilisateurs pour personnaliser le déploiement.

Plateformes logicielles prises en charge

La solution d’intégration GuardDuty s’applique à Cisco Secure Firewall Threat Defense Virtual virtuel géré à l’aide de Cisco Secure Firewall Management Center Virtual ou de Cisco Secure Firewall device manager.
La fonction Lambda peut mettre à jour les groupes d’objets réseau dans le centre de gestion et le gestionnaire d'appareil déployés sur n’importe quelle plateforme virtuelle. Assurez-vous que la fonction Lambda peut se connecter à ces gestionnaires en utilisant des adresses IP publiques.

Lignes directrices et limites relatives à la licence

La fonction Lambda est uniquement responsable de la mise à jour des groupes d’objets réseau dans les gestionnaires Secure Firewall avec les adresses IP malveillantes. Par conséquent, assurez-vous de déployer ces mises à jour ou modifications sur les périphériques gérés.
Les services AWS utilisés dans cette intégration sont propres à la région. Par conséquent, si vous souhaitez utiliser les résultats de GuardDuty de différentes régions, vous devez déployer des instances propres à la région.
La fonction Lambda met à jour les gestionnaires de Cisco Secure Firewall au moyen d’API REST. Par conséquent, vous ne pouvez pas utiliser d’autres méthodes ou gestionnaires, par exemple, Cisco Defense Orchestrator.
Vous pouvez uniquement utiliser la connexion par mot de passe. Aucune autre méthode d’authentification n’est prise en charge.
Si vous utilisez des mots de passe chiffrés dans le fichier d’entrée, gardez à l’esprit que :
- Seul le chiffrement à l’aide des clés KMS symétriques est pris en charge.
- Tous les mots de passe doivent être chiffrés à l’aide d’une clé KMS unique accessible à la fonction Lambda.

Intégrer Amazon GuardDuty avec Cisco Secure Firewall Threat Defense

Effectuer les tâches suivantes pour intégrer Amazon GuardDuty à Cisco Secure Firewall Threat Defense


	Espace de travail	Étapes
	Console de gestion AWS	Activer le service Amazon GuardDuty sur AWS
	Ordinateur local	Télécharger Cisco Secure Firewall Threat Defense Virtual et le référentiel de solutions d’intégration Amazon GuardDuty
	Cisco Secure Firewall Management Center ou Cisco Secure Firewall Device Manager	Configurer vos périphériques gérés pour qu’ils fonctionnent avec Amazon GuardDuty
	Ordinateur local	Préparer les fichiers de ressources d’Amazon GuardDuty pour le déploiement
	Console de gestion AWS	Charger des fichiers dans le service Amazon Simple Storage
	Ordinateur local	Collecter les paramètres d’entrée pour le modèle CloudFormation
	Console de gestion AWS	Déployer la pile

Activer le service Amazon GuardDuty sur AWS

Cette section décrit comment activer le service Amazon GuardDuty sur AWS.

Avant de commencer

Assurez-vous que toutes les ressources AWS se trouvent dans la même région.

Procédure

Étape 1	Accédez à https://aws.amazon.com/marketplace (Amazon Marketplace) et connectez-vous.
Étape 2	Choisissez Services > GuardDuty.
Étape 3	Cliquez sur Get Started (mise en route) dans la page GuardDuty.
Étape 4	Cliquez sur Enable GuardDuty pour activer le service Amazon GuardDuty. Pour en savoir plus sur l’activation de GuardDuty, consultez la section sur la mise en route de GuardDuty dans la documentation d’AWS.

Prochaine étape

Téléchargez les fichiers de solution Amazon GuardDuty (modèles et scripts) à partir du référentiel Cisco GitHub. Consultez Télécharger Cisco Secure Firewall Threat Defense Virtual et le référentiel de solutions d’intégration Amazon GuardDuty.

Télécharger Cisco Secure Firewall Threat Defense Virtual et le référentiel de solutions d’intégration Amazon GuardDuty

Téléchargez les fichiers requis pour la solution Amazon GuardDuty. Les scripts et les modèles de déploiement pour votre version Cisco Secure Firewall Threat Defense Virtual sont disponibles dans le référentiel Cisco GitHub à l’adresse :

https://github.com/CiscoDevNet/cisco-ftdv

Voici une liste de ressources dans le référentiel Cisco GitHub :


Fichiers	Description
READ.MD	Fichier ReadMe
configuration/	Cisco Secure Firewall Threat Defense Virtual modèle de fichier de configuration du gestionnaire.
images/	Il contient les illustrations de Cisco Secure Firewall Threat Defense Virtual et de la solution d’intégration Amazon GuardDuty.
lambda/	Fichiers Python de fonction Lambda.
modèles/	Modèle CloudFormation pour le déploiement.

Configurer vos périphériques gérés pour qu’ils fonctionnent avec Amazon GuardDuty

La fonction Lambda traite les résultats d’Amazon GuardDuty et identifie l’adresse IP malveillante qui a déclenché l’événement CloudWatch. Cisco Secure Firewall Threat Defense Virtual reçoit ces données de menace par les Cisco Secure Firewall Management Center Virtual et Cisco Secure Firewall device manager selon l’une des méthodes suivantes :

Mise à jour du groupe d’objets réseau : ensuite, la fonction Lambda met à jour le groupe d’objets réseau dans l’ASAv avec l’adresse IP malveillante. Vous pouvez ensuite configurer une stratégie de contrôle d’accès qui utilise ce groupe d’objets réseau pour gérer le trafic. Cette méthode s’applique aux Cisco Secure Firewall Management Center Virtual et Cisco Secure Firewall device manager.
Flux réseau de renseignements de sécurité : la fonction Lambda crée ou met à jour un fichier de rapport dans le compartiment Amazon S3 avec l’adresse IP malveillante. Vous pouvez configurer un flux de renseignements de sécurité à l’aide de l’URL du fichier de rapport, puis configurer une stratégie de contrôle d’accès qui utilise ce flux pour gérer le trafic. Cette méthode s’applique aux Cisco Secure Firewall Management Center Virtual.

Configurer le flux réseau de renseignements de sécurité avec l’URL du fichier de rapport

Cette section décrit comment configurer le flux réseau de renseignements de sécurité dans Cisco Secure Firewall Management Center Virtual.

Avant de commencer

Assurez-vous d’avoir activé la licence Threat sur Cisco Secure Firewall Management Center Virtual. Consultez la licence Threat.
Assurez-vous d’avoir créé et indiqué l’URL du fichier de rapport disponible dans le compartiment Amazon S3.
Assurez-vous que le fichier de rapport dans le compartiment Amazon S3 est accessible à partir de Cisco Secure Firewall Management Center Virtual.

Procédure

Étape 1

Connectez-vous à Cisco Secure Firewall Management Center Virtual.

Étape 2

Créez un flux réseau de renseignements de sécurité à l’aide de l’URL du fichier de rapport du compartiment Amazon S3. Pour en savoir plus sur la création manuelle du flux réseau de renseignements de sécurité, consultez la section portant sur les flux de renseignements de sécurité personnalisés.

Étape 3

Créez ou mettez à jour la politique de contrôle d’accès ou la règle de contrôle d’accès avec l’URL du flux réseau de renseignements de sécurité pour gérer le trafic. Consultez les inormations sur les options de filtrage manuel d’URL et sur la création et la modification des règles de contrôle d’accès.

Remarque

Vous pouvez créer le flux réseau de renseignements de sécurité et mettre à jour l’URL dans la politique de contrôle d’accès avant ou après le déploiement. Si vous créez le fichier de rapport de sortie dans le compartiment Amazon S3, le flux réseau de renseignements de sécurité peut être créé avant le déploiement. Si vous créez le flux réseau de renseignements de sécurité après le déploiement, attendez d’avoir reçu la notification par courriel de la première recherche d’Amazon GuardDuty et configurez le flux réseau de renseignements de sécurité à l’aide de l’URL indiquée dans cette notification.

Étape 4

Déployez les modifications de configuration sur Cisco Secure Firewall Management Center Virtual. Consultez la section sur le déploiement des modifications de configuration.

Prochaine étape

Préparez les fichiers source d’Amazon GuardDuty pour le déploiement. Consultez Préparer les fichiers de ressources d’Amazon GuardDuty pour le déploiement.

Créer un groupe d’objets réseau

Dans Cisco Secure Firewall Management Center Virtual et Cisco Secure Firewall device manager, vous devez configurer ou créer un groupe d’objets réseau pour la fonction Lambda afin de mettre à jour l’adresse IP malveillante détectée par Amazon GuardDuty.

Si vous ne configurez pas de groupe d’objets réseau avec la fonction Lambda, un groupe d’objets réseau avec le nom par défaut aws-gd-suspicious-hosts est créé par la fonction Lambda pour mettre à jour l’adresse IP malveillante.

Créer des groupes d’objets réseau Cisco Secure Firewall Management Center Virtual

Cette section décrit comment créer un groupe d’objets réseau dans Cisco Secure Firewall Management Center Virtual.

Procédure

Étape 1

Connectez-vous à Cisco Secure Firewall Management Center Virtual.

Étape 2

Créez un groupe d’objets réseau avec une adresse IP factice. Voir les Objets de réseau.

Étape 3

Créez ou mettez à jour la politique de contrôle d’accès ou la règle de contrôle d’accès pour gérer le trafic à l’aide du groupe d’objets réseau. Voir Gestion des politiques de contrôle d’accès et Création et modification des règles de contrôle d’accès.

Astuces

Vous pouvez également créer ou mettre à jour la politique de contrôle d’accès ou la règle de contrôle d’accès après avoir vérifié que la fonction Lambda met à jour le groupe d’objets réseau avec l’adresse IP malveillante.

Étape 4

Déployez vos modifications de configuration sur les périphériques gérés. Consultez la section sur le déploiement des modifications de configuration.

Prochaine étape

Préparez les fichiers source d’Amazon GuardDuty pour le déploiement. Consultez Préparer les fichiers de ressources d’Amazon GuardDuty pour le déploiement.

Créer un groupe d’objets réseau dans Cisco Secure Firewall device manager

Cette section décrit comment créer un groupe d’objets réseau dans Cisco Secure Firewall device manager.

Procédure

Étape 1

Connectez-vous à Cisco Secure Firewall device manager.

Étape 2

Créez un groupe d’objets réseau avec une adresse IP factice. Consultez l’information sur la configuration des objets et des groupes de réseau.

Étape 3

Créez ou mettez à jour la politique de contrôle d’accès ou la règle de contrôle d’accès pour gérer le trafic à l’aide du groupe d’objets réseau. Reportez-vous à la section sur la configuration de la politique de contrôle d’accès et la configuration des règles de contrôle d’accès.

Astuces

Étape 4

Déployez vos modifications de configuration sur les périphériques gérés. Consultez le déploiement de vos modifications.

Prochaine étape

Préparez les fichiers source d’Amazon GuardDuty pour le déploiement. Consultez Préparer les fichiers de ressources d’Amazon GuardDuty pour le déploiement.

Créer un compte d’utilisateur dans Cisco Secure Firewall Management Center Virtual pour l’accès à la fonction Lambda

La fonction Lambda nécessite un compte d'utilisateur avec des privilèges d'administrateur pour mettre à jour le groupe d'objets réseau dans le centre de gestion et le gestionnaire d'appareil. Par conséquent, vous devez créer un compte d’utilisateur exclusif avec des privilèges d’administrateur dans le centre de gestion et le gestionnaire d’appareils. La création du compte utilisateur est nécessaire uniquement lorsque vous utilisez la méthode de mise à jour du groupe d’objets réseau.

Pour plus d'informations sur la création d'un nouveau compte d'utilisateur, consultez :

(Facultatif) Chiffrer les mots de passe

Au besoin, vous pouvez fournir des mots de passe chiffrés dans le fichier de configuration d’entrée. Vous pouvez également fournir des mots de passe en texte brut.

Chiffrez tous les mots de passe à l’aide d’une clé KMS unique accessible à la fonction Lambda. Utilisez la commande aws kms encrypt --key-id <KMS-ARN> --plaintext <password> pour générer le mot de passe chiffré. Vous devez installer et configurer l’interface de ligne de commande AWS pour exécuter cette commande.

Remarque

Assurez-vous que les mots de passe sont chiffrés à l’aide de clés KMS symétriques.

Pour en savoir plus, consultez la section sur l’interface de ligne de commande AWS. Pour en savoir plus sur les clés principales et le chiffrement, consultez le document AWS Création de clés et la référence de commande AWS CLI sur le chiffrement des mots de passe et KMS.

Exemple :


$ aws kms encrypt --key-id <KMS-ARN> --plaintext <password>
{
    "KeyId": "KMS-ARN", 
    "CiphertextBlob": 
"AQICAHgcQFAGtz/hvaxMtJvY/x/rfHnKI3clFPpSXUU7HQRnCAFwfXhXHJAHL8tcVmDqurALAAAAajBoBgkqhki
G9w0BBwagWzBZAgEAMFQGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQM45AIkTqjSekX2mniAgEQgCcOav6Hhol
+wxpWKtXY4y1Z1d0z1P4fx0jTdosfCbPnUExmNJ4zdx8="
}
$

La valeur de la clé CiphertextBlob doit être utilisée comme mot de passe.

Préparer les fichiers de ressources d’Amazon GuardDuty pour le déploiement

Les fichiers de ressources de déploiement de la solution Amazon GuardDuty sont disponibles dans le référentiel Cisco GitHub.

Avant de déployer la solution Amazon GuardDuty sur AWS, vous devez préparer les fichiers suivants :

Fichier d’entrée de la configuration du gestionnaire Cisco Secure Firewall Threat Defense Virtual
Fichier zip de la fonction Lambda
Fichier zip de couche Lambda

Préparer le fichier d’entrée de la configuration

Dans le modèle de configuration, vous devez définir les détails du centre de gestion ou du gestionnaire d'appareil que vous intégrez à la solution Amazon GuardDuty. Nous vous recommandons de mettre à jour le fichier de configuration uniquement lorsque vous prévoyez de mettre en œuvre la méthode de mise à jour de groupe d’objets réseau pour l’intégration d’Amazon GuardDuty avec le centre de gestion et le gestionnaire d'appareil.

Avant de commencer

Assurez-vous d’authentifier et de vérifier le compte d’utilisateur du gestionnaire d’appareils avant de fournir les détails du compte d’utilisateur dans le fichier de configuration.
Si vous configurez plusieurs centres de gestion ou gestionnaires d'appareils dans le fichier de configuration, assurez-vous que les paramètres de chaque centre de gestion ou gestionnaire d'appareil ne sont saisis qu'une seule fois dans le fichier de configuration et qu'il n'y a pas d'entrées en double.
Vous devez avoir noté l’adresse IP et le nom du centre de gestion et du gestionnaire d’appareils.
Vous devez avoir créé un compte d’utilisateur disposant de privilèges d’administrateur pour la fonction Lambda afin d’accéder à ce groupe d’objets réseau et de les mettre à jour dans le centre de gestion et le gestionnaire d’appareils.

Procédure

Étape 1

Connectez-vous à la machine locale sur laquelle vous avez téléchargé les fichiers de ressources Amazon GuardDuty.

Étape 2

Accédez au dossier ngfwv-template > configuration.

Étape 3

Ouvrez le fichier ngfwv-manager-config-input.ini dans un éditeur de texte.

Dans ce fichier, vous devez saisir les détails du centre de gestion ou du gestionnaire d'appareil dans lequel vous prévoyez intégrer et déployer la solution Amazon GuardDuty.

Étape 4

Saisissez les détails suivants du centre de gestion ou du gestionnaire d'appareil correspondant à chaque paramètre :

Paramètres	Description
[ngfwv-1]	Nom de la section : identifiant unique du centre de gestion ou du gestionnaire d'appareil.
public-ip	Adresse IP du centre de gestion ou du gestionnaire d'appareil.
device-type	Le type de périphérique géré sur lequel vous déployez la solution Amazon GuardDuty par l’intermédiaire du centre de gestion ou du gestionnaire d’appareils. Les valeurs autorisées sont FMC ou FDM.
user name	Nom d'utilisateur pour se connecter au centre de gestion ou au gestionnaire d'appareil.
mot de passe	Mot de passe pour se connecter au centre de gestion ou au gestionnaire d'appareil. Le mot de passe peut être un format de texte brut ou une chaîne chiffrée créée à l’aide de KMS.
object-group-name	Nom de groupes d’objets réseau mis à jour avec l’adresse IP d’hôte malveillante par la fonction Lambda. Si vous saisissez plusieurs noms de groupes d’objets réseau, puis assurez-vous qu’il s’agit de valeurs séparées par des virgules.

Étape 5

Enregistrez et fermez le fichier ngfwv-manager-config-input.ini.

Prochaine étape

Créez le fichier d’archive de la fonction Lambda. Consultez Préparer le fichier d’archive de la fonction Lambda.

Préparer le fichier d’archive de la fonction Lambda

Cette section décrit comment archiver les fichiers de fonction Lambda dans un environnement Linux.

Remarque

Le processus d’archivage peut différer selon le système d’exploitation de la machine locale sur laquelle vous archivez les fichiers.

Procédure

Étape 1

Ouvrez la console d’interface en ligne de commande de la machine locale sur laquelle vous avez téléchargé les ressources d’Amazon GuardDuty.

Étape 2

Accédez au dossier /lambda et archivez les fichiers.

Voici un exemple de transcription à partir d’un hôte Linux.

$ cd lambda 
$ zip ngfwv-gd-lambda.zip *.py 
adding: aws.py (deflated 71%) adding: fdm.py (deflated 79%) 
adding: fmcv.py (deflated 79%) 
adding: main.py (deflated 73%) 
adding: utils.py (deflated 65%) 
$

Le fichier zip ngfwv-gd-lambda.zip est créé.

Étape 3

Quittez et fermez la console d’interface en ligne de commande.

Prochaine étape

Créez le fichier zip de couche Lambda à l’aide du fichier zip ngfwv-gd-lambda.zip. Voir la section Préparer le fichier de la couche Lambda.

Préparer le fichier de la couche Lambda

Cette section décrit comment archiver le fichier de couche Lambda dans un environnement Linux.

Remarque

Le processus d’archivage peut différer selon le système d’exploitation de la machine locale sur laquelle vous archivez le fichier.

Procédure

Étape 1

Ouvrez la console d’interface en ligne de commande de la machine locale sur laquelle vous avez téléchargé les ressources d’Amazon GuardDuty.

Étape 2

Effectuez les actions suivantes dans votre console d’interface en ligne de commande.

Voici un exemple de transcription à partir d’un hôte Linux tel qu’Ubuntu 22.04 avec Python 3.9 installé.

$ mkdir -p layer
$ virtualenv -p /usr/bin/python3.9 ./layer/
$ source ./layer/bin/activate
$ pip3.9 install cffi==1.15.0
$ pip3.9 install cryptography==37.0.2 
$ pip3.9 install paramiko==2.7.1
$ pip3.9 install requests==2.23.0
$ mkdir -p ./python/.libs_cffi_backend/
$ cp -r ./layer/lib/python3.9/site-packages/* ./python/
$ zip -r ngfwv-gd-lambda-layer.zip ./python

Le fichier zip ngfwv-gd-lambda-layer.zip est créé.

Notez que vous devez installer Python 3.9 et ses dépendances pour créer la couche Lambda.

Voici l’exemple de transcription pour l’installation de Python 3.9 sur un hôte Linux tel qu’Ubuntu 22.04.

$ sudo apt update
$ sudo apt install software-properties-common 
$ sudo add-apt-repository ppa:deadsnakes/ppa 
$ sudo apt install python3.9
$ sudo apt install python3-virtualenv
$ sudo apt install zip
$ sudo apt-get install python3.9-distutils
$ sudo apt-get install python3.9-dev
$ sudo apt-get install libffi-dev

Étape 3

Quittez et fermez la console d’interface en ligne de commande.

Prochaine étape

Dans le compartiment Amazon S3, vous devez charger le fichier de configuration Cisco Secure Firewall Threat Defense Virtual, le fichier zip de la fonction Lambda et le fichier zip de couche Lambda. Voir la section Charger des fichiers dans le service Amazon Simple Storage.

Charger des fichiers dans le service Amazon Simple Storage

Après avoir préparé tous les artefacts de solution Amazon GuardDuty, vous devez charger les fichiers dans un dossier de compartiment Amazon Simple Storage Service (S3) dans le portail AWS.

Procédure

Étape 1

Accédez à https://aws.amazon.com/marketplace (Amazon Marketplace) et connectez-vous.

Étape 2

Ouvrez la console Amazon S3.

Étape 3

Créez un compartiment Amazon S3 pour le chargement des artefacts Amazon GuardDuty. Consultez Création d’Amazon S3.

Étape 4

Chargez les artefacts Amazon GuardDuty suivants dans le compartiment Amazon S3.

Cisco Secure Firewall Threat Defense Virtual : ngfwv-config-input.ini

Remarque

Il n’est pas nécessaire de charger ce fichier lorsque vous utilisez la méthode Security Intelligence Network Feed (flux de réseau de renseignements de sécurité) pour le déploiement de la solution Amazon GuardDuty dans les centres de gestion.

Fichier zip de la couche Lambda : ngfwv-gd-lambda-layer.zip
Fichier zip de la fonction Lambda : ngfwv-gd-lambda.zip

Prochaine étape

Préparez le modèle CloudFormation utilisé pour le déploiement des ressources d’Amazon GuardDuty. Consultez Collecter les paramètres d’entrée pour le modèle CloudFormation.

Collecter les paramètres d’entrée pour le modèle CloudFormation

Cisco fournit le modèle CloudFormation utilisé pour déployer les ressources requises par la solution Amazon GuardDuty dans AWS. Collectez des valeurs pour les paramètres de modèle suivants avant le déploiement.

Procédure

Paramètres du modèle

Paramètre

Description

Exemple

Nom du déploiement*

Le nom que vous saisissez dans ce paramètre est utilisé comme préfixe pour toutes les ressources créées par le modèle CloudFormation.

cisco-ngfwv-gd

Niveau de gravité minimal de la recherche de GD*

Le niveau de gravité minimal des résultats d’Amazon GuardDuty à prendre en compte pour le traitement doit être compris entre 1,0 et 8,9. Tout résultat signalé avec une gravité inférieure à la plage minimale est ignoré.

La classification de la gravité est la suivante :

Faible : de 1,0 à 3,9

Moyenne : de 4,0 à 6,9

Élevée : de 7,0 à 8,9

4.0

ID courriel de l’administrateur*

Adresse courriel de l’administrateur pour recevoir des notifications sur Cisco Secure Firewall Threat Defense Virtual le gestionnaire au sujet des mises à jour effectuées par la fonction Lambda dans le centre de gestion ou le gestionnaire d’appareils.

abc@xyz.com

Nom du compartiment S3*

Nom du compartiment Amazon S3 contenant les fichiers d’artefacts Amazon GuardDuty (fichier zip de la fonction Lambda, fichier zip de la couche Lambda et fichiers de gestionnaire de configuration Cisco Secure Firewall Threat Defense Virtual).

Par exemple : ngfwv-gd-bucket

Préfixe de dossier/chemin d’accès au compartiment S3

Chemin d’accès au compartiment Amazon S3 ou nom du dossier dans lequel les fichiers de configuration sont stockés. S’il n’y a pas de dossier, laissez ce champ vide.

Par exemple : « » ou « cisco/ngfwv-gd/ »

Nom du fichier zip de la couche Lambda*

Nom du fichier zip de la couche Lambda.

Par exemple : ngfwv-gd-lambda-layer.zip

Nom du fichier zip de la fonction Lambda*

Nom du fichier zip de la fonction Lambda.

Par exemple : ngfwv-gd-lambda.zip

Gestionnaire d’appareils et centre de gestion Secure Firewall Nom de fichier de configuration du gestionnaire

Le fichier *.ini contenant les détails de configuration du gestionnaire Cisco Firewall Threat Defense Virtual. (Adresse IP publique, nom d’utilisateur, mot de passe, type d’appareil, noms de groupes d’objets réseau, etc.)

Remarque

Ce fichier est requis uniquement lorsque vous utilisez la méthode de mise à jour du groupe d’objets réseau pour l’intégration d’Amazon GuardDuty.

Si vous utilisez la méthode du flux de renseignements de sécurité, vous pouvez ignorer cette entrée.

Par exemple : ngfwv-config-input.ini

ARN de la clé KMS utilisée pour le chiffrement des mots de passe

ARN d’une clé KMS existante (clé KMS AWS utilisée pour le chiffrement des mots de passe). Vous pouvez laisser ce paramètre vide dans le cas où des mots de passe en texte brut sont fournis dans le fichier d’entrée de configuration de Cisco Secure Firewall Threat Defense Virtual. Si vous le précisez, tous les mots de passe mentionnés dans le fichier d’entrée de la configuration de Cisco Secure Firewall Threat Defense Virtual doivent être chiffrés. Les mots de passe doivent être chiffrés uniquement à l’aide de l’ARN spécifié. Génération de mots de passe chiffrés : aws kms encrypt --key-id <ARN KMS> --plaintext <password>

Par exemple : arn:aws:kms:<region>:<aws-account-id>:key/<key-id>

Activer/désactiver les journaux de débogage*

Activez ou désactivez les journaux de débogage de la fonction Lambda dans CloudWatch.

Par exemple : activer ou désactiver

* : Champ obligatoire

Prochaine étape

Déployez la pile à l’aide du modèle CloudFormation. Voir la section Déployer la pile.

Déployer la pile

Une fois que toutes les conditions préalables pour le déploiement de la solution Amazon GuardDuty sont terminées, créez la pile AWS CloudFormation. Utilisez le fichier de modèle dans le répertoire cible : templates/cisco-ngfwv-gd-integration.yaml, et fournissez les paramètres collectés dans Collect Input Parameters for CloudFormation Template (recueillir les paramètres d’entrée pour le modèle CloudFormation).

Procédure

Étape 1

Connectez-vous à la console AWS.

Étape 2

Accédez à Services > CloudFormation > Stacks (piles) > Create stack (créer une pile) (avec de nouvelles ressources) > Prepare template (préparer le modèle) (le modèle est fourni dans le dossier) > Specify template (spécifier le modèle) > Template source (source du modèle) (chargez le fichier de modèle à partir du répertoire cible : templates/cisco-ngfwv-gd-integration.yaml) > Create Stack (créer une pile).

Pour en savoir plus sur le déploiement d’une pile sur AWS, consultez la documentation d’AWS.

Prochaine étape

Validez votre déploiement. Consultez Valider votre déploiement.

Abonnez-vous également pour recevoir des notifications par courriel sur les mises à jour de détection des menaces signalées par Amazon GuardDuty. Consultez S’abonner aux notifications par courriel.

S’abonner aux notifications par courriel

Dans le modèle CloudFormation, un identifiant de courriel est configuré pour recevoir des notifications sur les mises à jour des résultats de GuardDuty effectuées par la fonction Lambda. Après avoir déployé le modèle CloudFormation sur AWS, une notification par courriel est envoyée à cet identifiant de courriel par le biais du service Amazon Web Notification Service (SNS) vous demandant de vous abonner pour recevoir les mises à jour de notification.

Procédure

Étape 1	Ouvrez la notification par courriel.
Étape 2	Cliquez sur le lien Subscription (abonnement) dans la notification par courriel.

Prochaine étape

Validez votre déploiement. Consultez Valider votre déploiement.

Valider votre déploiement

Dans AWS, vous avez des options pour vérifier la solution Amazon GuardDuty, comme décrit dans cette section. Vous pouvez suivre ces instructions de validation du déploiement une fois le déploiement de CloudFormation terminé.

Avant de commencer

Assurez-vous d’avoir installé et configuré l’interface de ligne de commande (CLI) AWS pour exécuter des commandes de validation du déploiement. Pour en savoir plus sur la documentation relative à l’interface de ligne de commande AWS, consultez Interface de ligne de commande AWS.

Procédure

Étape 1	Connectez-vous à la console de gestion AWS.
Étape 2	Accédez à Services > GuardDuty > Settings (paramètres) > About GuardDuty (à propos de GuardDuty) > Detector ID (ID de détecteur) pour noter l’ID de détecteur. Cet ID de détecteur est requis pour générer des exemples de résultats dans Amazon GuardDuty.
Étape 3	Ouvrez la console d’interface en ligne de commande AWS pour générer l’exemple de résultat dans Amazon GuardDuty en exécutant les commandes suivantes : `aws guardduty create-sample-findings --detector-id <detector-id> --finding-types UnauthorizedAccess:EC2/MaliciousIPCaller.Custom` `aws guardduty create-sample-findings --detector-id <detector-id> --finding-types UnauthorizedAccess:EC2/MaliciousIPCaller.Custom`
Étape 4	Vérifiez l’exemple de résultat dans la liste des résultats sur la console Amazon GuardDuty. Les exemples de résultats contiennent le préfixe [sample] (exemple). Vous pouvez vérifier les détails de l’exemple de résultat en affichant les attributs tels que le sens de connexion, l’adresse IP distante, etc.
Étape 5	Attendez que la fonction Lambda s’exécute. Après le déclenchement de la fonction Lambda, vérifiez les éléments suivants : Une notification par e-mail avec les détails concernant les résultats d’Amazon GuardDuty reçus et les mises à jour de Cisco Secure Firewall Threat Defense Virtual gestionnaire effectuées par la fonction Lambda. Vérifiez si le fichier de rapport est généré dans le compartiment Amazon S3. Il contient l’adresse IP malveillante signalée par l’exemple de résultat dans Amazon GuardDuty. Vous pouvez identifier le nom du fichier de rapport au format : <deployment-name>-report.txt. Pour la méthode de mise à jour du groupe d’objets réseau, vérifiez que les groupes d’objets réseau sont mis à jour sur les gestionnaires configurés (Cisco Secure Firewall Management Center Virtual ou Cisco Secure Firewall device manager) avec l’adresse IP malveillante mise à jour à partir de l’exemple de résultat. Pour la méthode du flux de renseignements de sécurité, vérifiez si l’URL du fichier de rapport est déjà mise à jour dans la configuration du centre de gestion. Vous pouvez afficher la dernière mise à jour de l’horodatage de l’URL du fichier de rapport dans le chemin suivant du centre de gestion. Objects (objets) > Object Management (gestion des objets) > Security Intelligence (renseignements de sécurité) > Network Lists and Feeds (listes et flux de réseau) > select the configured feed (sélectionner le flux configuré) Vous pouvez également mettre à jour manuellement les flux, puis vérifier les horodatages par Last Updated (dernière mise à jour). Vous pouvez sélectionner et mettre à jour le flux dans le chemin suivant : Objects (objets) > Object Management (gestion des objets) > Security Intelligence (renseignements de sécurité) > Network Lists and Feeds (listes et flux de réseau) > Update Feeds (mettre à jour les flux)
Étape 6	Accédez à AWS Console (console AWS) > Services > CloudWatch > Logs (journaux) > Log groups (groupes de journaux) > select the log group (sélectionner le groupe de journaux) pour vérifier les journaux Lambda dans la console CloudWatch. Vous pouvez identifier le nom du groupe de journaux CloudWatch au format : <deployment-name>-lambda.
Étape 7	Après avoir validé le déploiement, nous vous recommandons de nettoyer les données générées par l’exemple de résultat comme suit : Accédez à AWS Console (console AWS) > Services > GuardDuty > Findings (résultats) > Select the finding (sélectionner le résultat) > Actions > Archive (archiver) pour afficher les exemples de données de résultat. Supprimez les adresses IP malveillantes ajoutées dans le groupe d’objets réseau pour effacer les données mises en mémoire cache de Cisco Secure Firewall Management Center Virtual. Nettoyez le fichier de rapport dans le compartiment Amazon S3. Vous pouvez mettre à jour le fichier en supprimant les adresses IP malveillantes signalées par l’exemple de résultat.

Mettre à jour la configuration de déploiement de solution existante

Nous vous recommandons de ne pas mettre à jour le compartiment S3 ou les valeurs de préfixe de dossier et de chemin d’accès au compartiment S3 après le déploiement. Toutefois, si vous devez mettre à jour la configuration d’une solution qui a été déployée, utilisez l’option Update Stack (mettre à jour la pile) sur la page CloudFormation dans la console AWS.

Vous pouvez mettre à jour n’importe lequel des paramètres ci-dessous.

Paramètre	Description
Nom du fichier de configuration du gestionnaire Cisco Secure Firewall Threat Defense Virtual	Ajoutez ou mettez à jour le fichier de configuration dans le compartiment Amazon S3. Vous êtes autorisé à mettre à jour le fichier du même nom que le fichier précédent. Si le nom du fichier de configuration est modifié, vous pouvez mettre à jour ce paramètre en utilisant l’option Update stack (mettre à jour la pile) dans la console AWS.
Niveau de gravité minimal de la recherche de GD*	Utilisez l’option Update stack (mettre à jour la pile) dans la console AWS pour mettre à jour la valeur du paramètre.
ID courriel de l’administrateur*	Mettez à jour la valeur du paramètre d’ID d’e-mail à l’aide de l’option Update Stack (mettre à jour la pile) dans la console AWS. Vous pouvez également ajouter ou mettre à jour des abonnements par courriel via la console de service SNS.
Nom du compartiment S3*	Mettez à jour le fichier zip dans le compartiment Amazon S3 avec un nouveau nom, puis mettez à jour le paramètre à l’aide de l’option Update Stack (mettre à jour la pile) dans la console AWS.
Nom du fichier zip de la couche Lambda*	Mettez à jour le nom du fichier zip de la couche Lambda dans le compartiment Amazon S3 avec un nouveau nom, puis mettez à jour cette valeur de paramètre à l’aide de l’option Update Stack (mettre à jour la pile) dans la console AWS.
Nom du fichier zip de la fonction Lambda*	Mettez à jour le fichier zip de la fonction Lambda dans le compartiment Amazon S3 avec un nouveau nom, puis mettez à jour cette valeur de paramètre à l’aide de l’option Update Stack (mettre à jour la pile) dans la console AWS.
ARN de la clé KMS utilisée pour le chiffrement des mots de passe	Utilisez l’option Update stack (mettre à jour la pile) dans la console AWS pour mettre à jour la valeur du paramètre.
Activer/désactiver les journaux de débogage*	Utilisez l’option Update stack (mettre à jour la pile) dans la console AWS pour mettre à jour la valeur du paramètre.

Procédure

Étape 1	Accédez à la console de gestion AWS.
Étape 2	Si nécessaire, créez le nouveau compartiment et le nouveau dossier.
Étape 3	Assurez-vous que les artefacts ci-dessous sont copiés de l’ancien compartiment au nouveau compartiment. Cisco Secure Firewall Threat Defense Virtual : ngfwv-config-input.ini Fichier zip de la couche Lambda : ngfwv-gd-lambda-layer.zip Fichier zip de la fonction Lambda : ngfwv-gd-lambda.zip Fichier de rapport de sortie : <deployment-name>-report.txt
Étape 4	Pour mettre à jour les valeurs des paramètres, accédez à Services > CloudFormation > Stacks > > Update (Update Stack) > Prepare template > Use current template > Next > `<update parameters>` > Update Stack .

Guide de démarrage Cisco Cisco Secure Firewall Threat Defense Virtual, version 7.2 et antérieure

Langage exempt de préjugés

À propos de la traduction

Results

Chapter: Déployer Défense contre les menaces virtuelles sur AWS

Déployer Défense contre les menaces virtuelles sur AWS

Aperçu

Procédure de bout en bout

Gestion du périphérique Cisco Secure Firewall Threat Defense Virtual

Cisco Secure Firewall Management Center

Cisco Secure Firewall device manager

Aperçu de la solution AWS

Conditions préalables

Plateformes logicielles prises en charge

Lignes directrices et limites relatives à la licence

Fonctionnalités prises en charge

Fonctionnalités non prises en charge

Licence

Niveaux de performance pour les licences Smart Défense contre les menaces virtuelles

Optimisation des performances

Limites Défense contre les menaces virtuelles

Configuration de l’environnement AWS

Avant de commencer

Création du VPC

Procédure

Prochaine étape

Ajout de la passerelle Internet

Procédure

Prochaine étape

Ajouter des sous-réseaux

Procédure

Prochaine étape

Ajout d’un tableau de routage

Procédure

Prochaine étape

Création d’un groupe de sécurité

Procédure

Prochaine étape

Création d'interfaces réseau

Procédure

Prochaine étape

Création d’une adresse IP élastique

Procédure

Prochaine étape

Déployer Défense contre les menaces virtuelles

Avant de commencer

Procédure

Prochaine étape

Défense contre les menaces virtuelles avec utilisation d'un instantané

Défense contre les menaces virtuelles Survol de l’instantané

Créer une AMI d’instantané Défense contre les menaces virtuelles

Avant de commencer

Procédure

Prochaine étape

Déployez l’instance Défense contre les menaces virtuelles à l’aide de l’AMI de l’instantané.

Avant de commencer

Procédure

Intégration du service Amazon GuardDuty et Défense contre les menaces virtuelles

Aperçu

Procédure de bout en bout

Intégration avec Cisco Secure Firewall Management Center Virtual à l’aide du flux réseau de renseignements de sécurité

Intégration avec Cisco Secure Firewall Management Center Virtual à l’aide du groupe d’objets réseau

Intégration avec Cisco Secure Firewall device manager à l’aide du groupe d’objets réseau

Composants clés de cette intégration

Plateformes logicielles prises en charge

Lignes directrices et limites relatives à la licence

Intégrer Amazon GuardDuty avec Cisco Secure Firewall Threat Defense

Activer le service Amazon GuardDuty sur AWS

Avant de commencer

Procédure

Prochaine étape

Télécharger Cisco Secure Firewall Threat Defense Virtual et le référentiel de solutions d’intégration Amazon GuardDuty

Configurer vos périphériques gérés pour qu’ils fonctionnent avec Amazon GuardDuty

Configurer le flux réseau de renseignements de sécurité avec l’URL du fichier de rapport

Avant de commencer

Procédure

Prochaine étape

Créer un groupe d’objets réseau

Créer des groupes d’objets réseau Cisco Secure Firewall Management Center Virtual

Procédure