Talos Threat Hunting Telemetry-functie in 7.6 begrijpen

Downloadopties

  • PDF     (647.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (481.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (341.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:19 december 2024
Document-id:222661

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de Talos Threat Hunting Telemetry functie in 7.6.

    Voorwaarden

    Vereisten

    Minimale software- en hardwareplatforms

    Minimum Software and Hardware Platforms

    • Biedt Talos de mogelijkheid om inlichtingen en vals-positieve testen te verzamelen via speciale klasse van regels die naar de Firepower Devices worden geduwd.
    • Deze gebeurtenissen worden via de SSX-connector naar de cloud verzonden en worden alleen door Talos geconsumeerd.
    • Een nieuw selectievakje voor functies waarin de regels voor het opsporen van bedreigingen zijn opgenomen als onderdeel van de globale beleidsconfiguratie.
    • Een nieuw logbestand (threat_telemetry_snort-unified.log.*) in de instance-* directory om de inbraakgebeurtenissen te registreren die zijn gegenereerd als onderdeel van de regels voor het opsporen van bedreigingen.
    • Dump IPS-buffers voor de dreigingsjachtregels als een nieuw recordtype in extra gegevens.
    • Het EventHandler-proces maakt gebruik van een nieuwe consument om IPS / Packet / Extradata-evenementen naar de cloud te verzenden in een volledig gekwalificeerd formaat, gebundeld en gecomprimeerd.
    • Deze gebeurtenissen worden niet weergegeven in FMC UI

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Kenmerken en details

    FMC-GEBRUIKERSINTERFACE

    • Nieuwe functie vlag checkbox op Systeem / Configuratie / Inbraak Beleid Voorkeur pagina voor Talos Threat Hunting Telemetry.
    • De functie vlag is standaard ON, zowel voor nieuwe installaties op 7.6.0 en voor bestaande klanten upgraden naar 7.6.0.
    • Deze functie is afhankelijk van "Enable Cisco Success Network".  De opties "Cisco Success Network inschakelen" en "Talos Threat Hunting Telemetry" moeten zijn ingeschakeld.
    • Als beide niet zijn ingeschakeld, wordt _SSE_ThreatHunting.json consumer niet ingeschakeld en is _SSE_ThreatHunting.json nodig om de gebeurtenissen te verwerken en naar SSE Connector te pushen.
    • De waarde van de markering feature synchroniseert naar alle beheerde apparaten met versies 7.6.0 of hoger.

    Hoe het werkt

    FMC UI

    FMC UI Cisco Security Integration

    • De functievlag is opgeslagen in - /etc/sf/threat_hunting.conf op FMC.
    • Deze vlagwaarde van de functie wordt ook opgeslagen als "threat_hunting" in /var/sf/tds/cloud-events.json, die vervolgens wordt gesynchroniseerd met beheerde apparaten op /ngfw/var/tmp/tds-cloud-events.json.
    • Logs om te controleren of de vlagwaarde niet naar FTD's wordt gesynchroniseerd:
      • /var/log/sf/data_service.log op FMC.
      • /ngfw/var/log/sf/data_service.log op FTD.

    Korten 3

    • Threat Hunting Telemetry (THT)-regels worden op dezelfde manier verwerkt als algemene IPS-regels.
    • FTD u2unified logger schrijft threat hunting telemetry IPS events alleen naar threat_telemetry_snort-unified.log.*. Deze gebeurtenissen zijn dus niet zichtbaar voor FTD-gebruikers. Het nieuwe bestand bevindt zich in dezelfde directory als snort-unified.log.*
    • Bovendien bevatten telemetriegebeurtenissen voor dreigingsjacht een stortplaats van IPS-buffers die worden gebruikt voor regelevaluatie.
    • Omdat het een IPS-regel is, is de telemetrieregel voor dreigingsjacht een onderwerp voor gebeurtenisfiltering aan de kant van Snort. De eindgebruiker kan echter geen event_filter configureren voor THT-regels, omdat deze niet worden vermeld in FMC.

    gebeurtenishandler

    • Snort genereert Intrusion, Packet en Extradata events in het uniforme bestandsprefix threat_telemetry_snort-unified.log.
    • EventHandler op het apparaat verwerkt deze gebeurtenissen en stuurt ze via de SSX-connector naar de cloud.
    • Nieuwe EventHandler-consument voor deze evenementen:
      • /etc/sf/EventHandler/Consumers/SSE_ThreatHunting
      • Thread met lage prioriteit – Wordt alleen uitgevoerd wanneer extra CPU beschikbaar is

    Hoe het werkt

    Event Handler

    Probleemoplossing

    Problemen met EventHandler oplossen - Apparaat

    • Kijk in /ngfw/var/log/messages voor EventHandler-logs
    Jan 11 21:26:01 firepower SF-IMS[39581]: [10055] EventHandler:EventHandler[INFO] Consumer SSE_ThreatHuntinginitialization complete
    • Kijk in het bestand /ngfw/var/log/EventHandlerStats voor details over de verwerking van gebeurtenissen:
    {"Time": "2024-01-11T21:26:01Z", "ConsumerStatus": "Start SSE_ThreatHunting", "TID": 10055}
{"Time": "2024-01-11T21:31:56Z", "Consumer": "SSE_ThreatHunting", "Events": 9, "PerSec": 0, "CPUSec": 0.070, "%CPU": 0.0}
{"Time": "2024-01-11T21:31:56Z", "ConsumerEvent": "SSE_ThreatHunting-IntrusionExtraData", "InTransforms": 3, "OutTransforms": 3}
{"Time": "2024-01-11T21:31:56Z", "ConsumerEvent": "SSE_ThreatHunting-IntrusionPacket", "InTransforms": 3, "OutTransforms": 3}
{"Time": "2024-01-11T21:31:56Z", "ConsumerEvent": "SSE_ThreatHunting-IntrusionEvent", "InTransforms": 3, "OutTransforms": 3}
    • Als EventHandlerStats geen gebeurtenissen weergeeft, controleert u of Snort dreigingsgebeurtenissen genereert:
    ls -l /ngfw/var/sf/detection_engines/*/instance-1 | grep unified
    • De gebeurtenissen bevinden zich in de bestanden met het voorvoegsel "threat_telemetry_snort-unified.log"
    • Controleer de bestanden op de gewenste gebeurtenissen door deze uitvoer te inspecteren:
    u2dump output:u2dump/ngfw/var/sf/detection_engines/*/instance-1/threat_telemetry_snort-unified.log.1704976175 > dump
    • Als de bestanden niet de gewenste gebeurtenissen bevatten, controleert u:
      • Of de configuratie voor het opsporen van bedreigingen is ingeschakeld
      • Of Snortprocess nu wel of niet actief is

    Problemen met configuratie sorteren - Apparaat

    • Controleer of de Snort-configuratie het mogelijk maakt om telemetriegebeurtenissen voor bedreigingsjacht uit te voeren:
    /ngfw/var/sf/detection_engines//snort3 --plugin-path /ngfw/var/sf/detection_engines//plugins:/ngfw/var/sf/lsp/active-so_rules-c /ngfw/var/sf/detection_engines//snort3.lua --dump-config-text 2>/dev/null | grep "sfunified2_logger.threat_hunting_telemetry_gid"
    • Controleer of de telemetrieregels voor de jacht op bedreigingen aanwezig zijn en zijn ingeschakeld:
    /ngfw/var/sf/detection_engines//snort3 --plugin-path /ngfw/var/sf/detection_engines//plugins:/ngfw/var/sf/lsp/active-so_rules -c /ngfw/var/sf/detection_engines//snort3.lua –lua "process=nil" --dump-rule-state 2>/dev/null | grep "\"gid\": 6,"
    • De regels voor de jacht op bedreigingen zijn opgenomen in de statistieken van Rule Profiling. Dus als de regels veel CPU-tijd in beslag nemen, zijn ze zichtbaar in de statistieken voor regelprofilering op de FMC-pagina.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    19-Dec-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Sangeeth
      Namath
    • technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten