Configurazione dell'integrazione degli eventi FTD sicuri con Security Cloud Control tramite Secure Event Connector

Opzioni per il download

  • PDF     (668.3 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:21 luglio 2025
ID documento:223081

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come configurare Cisco Secure FTD per inviare eventi di sicurezza al Security Cloud Control (SCC) utilizzando il Secure Event Connector (SEC). 

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Cisco Secure Firewall Threat Defense (FTD)
    • Interfaccia della riga di comando Linux (CLI)

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco Secure FTD 7.6
    • Ubuntu Server versione 24.04

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Passaggio 1. Accedere al portale del cloud SCC:

    SCC Login

    Passaggio 2. Dal menu a sinistra, scegliere Amministrazione e Secure Connectors:

    Secure Connectors Option Bordered

    Passaggio 3. Sul lato superiore destro, fare clic sull'icona più per incorporare un nuovo connettore e scegliere Secure Event Connector:

    Secure Connector Options

    Passaggio 4. Utilizzare i passaggi per installare e avviare il connettore a seconda dell'opzione desiderata tra 'Utilizzo della VM', 'Utilizzo della VM personale' o 'A una VM SDC o SEC esistente':

    Bootstrap Window Bordered

    Passaggio 5. Se il bootstrap viene eseguito correttamente, viene visualizzato un messaggio simile:

    Successful Bootstrap Example

    Passaggio 6. Dopo aver distribuito e avviato il connettore, le informazioni sulla porta sono visibili nel portale SCC:

    SEC Information Bordered

    Passaggio 7. In Cisco Secure Firewall Management Center (FMC), passare a Policy e quindi a Controllo accesso. Scegliere il criterio corrispondente ai dispositivi da caricare.

    Passaggio 8. Scegliere Altro, quindi Log:

    ACP More Options Window

    Passaggio 9. Abilitare l'opzione di avviso Invia utilizzando syslog specifico e aggiungere un nuovo avviso syslog. Utilizzare l'indirizzo IP (Internet Protocol) e le informazioni sulla porta ottenute dal connettore SEC nel portale SCC:

    Syslog Window Bordered

    Passaggio 10. Di nuovo, in Access Control Policy, modificare le singole regole per inviare gli eventi al server Syslog:

    Rule Logging Configuration in ACP

    Passaggio 11. Distribuire le modifiche apportate all'FTD in modo da consentire al firewall di avviare la registrazione degli eventi.

    Verifica

    Per verificare che le modifiche siano state eseguite correttamente e che la registrazione degli eventi sia in corso, passare a Eventi & registri e registrazione eventi nel portale SCC e confermare che gli eventi sono visibili:

    Event Information from SCC

    Risoluzione dei problemi

    Su FTD, eseguire un'acquisizione dei pacchetti sul dispositivo utilizzando l'interfaccia di gestione corrispondente al traffico che naviga fino al secondo per acquisire il traffico syslog:

    > capture-traffic

Please choose domain to capture traffic from:
  0 - eth0
  1 - Global

Selection? 0

Warning: Blanket capture may cause high CPU usage and reduced throughput, use selective filtering to reduce the impact.
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: host 19.0.0.10 port 10025
Starting traffic capture, press ctrl + c to exit (Maximum 1,000,000 packets will be captured)
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: can't parse filter expression: syntax error
Exiting.

> capture-traffic

Please choose domain to capture traffic from:
  0 - eth0
  1 - Global

Selection? 0

Warning: Blanket capture may cause high CPU usage and reduced throughput, use selective filtering to reduce the impact.
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: host 19.0.0.10 and port 10025
Starting traffic capture, press ctrl + c to exit (Maximum 1,000,000 packets will be captured)
HS_PACKET_BUFFER_SIZE is set to 4.
10:43:00.191655 IP firepower.56533 > 19.0.0.10.10025: UDP, length 876
10:43:01.195318 IP firepower.56533 > 19.0.0.10.10025: UDP, length 1192
10:43:03.206738 IP firepower.56533 > 19.0.0.10.10025: UDP, length 809
10:43:08.242948 IP firepower.56533 > 19.0.0.10.10025: UDP, length 1170

    Dalla macchina virtuale SEC, verificare che la macchina virtuale disponga di connettività Internet. Eseguire il comando sdc troubleshoot per generare un pacchetto di risoluzione dei problemi che può essere usato per controllare il file lar.log per un'ulteriore diagnosi.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    21-Jul-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Leonardo Correa
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti