Beveiligde FTD-gebeurtenisintegratie configureren met Cloud Security Control via Secure Event Connector

Downloadopties

  • PDF     (669.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:21 juli 2025
Document-id:223081

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u de Cisco Secure FTD configureert voor het verzenden van beveiligingsgebeurtenissen naar de Security Cloud Control (SCC) met behulp van de Secure Event Connector (SEC). 

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Secure Firewall Threat Defense (FTD)
    • Linux Command Line Interface (CLI)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco Secure FTD 7.6
    • Ubuntu Server versie 10 .04

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Stap 1. Meld u aan bij het SCC cloud portal:

    SCC Login

    Stap 2. Kies in het menu aan de linkerkant de optie Beheer en Beveiligde connectors:

    Secure Connectors Option Bordered

    Stap 3. Klik rechtsboven op het plus-pictogram om een nieuwe connector aan boord te nemen en kies Secure Event Connector:

    Secure Connector Options

    Stap 4. Gebruik de stappen om de connector te installeren en op te starten, afhankelijk van de gewenste optie tussen 'Onze VM gebruiken', 'Uw eigen VM gebruiken' of 'Naar een bestaande SDC- of SEC-VM':

    Bootstrap Window Bordered

    Stap 5. Een soortgelijk bericht wordt weergegeven wanneer de bootstrap succesvol wordt uitgevoerd:

    Successful Bootstrap Example

    Stap 6. Zodra de connector is geïmplementeerd en opgestart, is de poortinformatie zichtbaar in het SCC-portaal:

    SEC Information Bordered

    Stap 7. Navigeer in het Cisco Secure Firewall Management Center (FMC) naar Beleid en vervolgens naar Toegangsbeheer. Kies het beleid dat overeenkomt met de apparaten die aan boord zijn.

    Stap 8. Kies Meer en vervolgens Logboekregistratie:

    ACP More Options Window

    Stap 9. Schakel de optie Verzenden met specifieke syslog-waarschuwing in en voeg een nieuwe syslog-waarschuwing toe. Gebruik het IP-adres (Internet Protocol) en de poortinformatie die u hebt verkregen via de SEC-connector in het SCC-portaal:

    Syslog Window Bordered

    Stap 10. Terug in het toegangsbeleid wijzigt u de afzonderlijke regels om de gebeurtenissen naar de Syslog-server te verzenden:

    Rule Logging Configuration in ACP

    Stap 11. Implementeer de wijzigingen die in de FTD zijn aangebracht om de firewall in staat te stellen de gebeurtenissen te registreren.

    Verifiëren

    Om te controleren of de wijzigingen met succes zijn uitgevoerd en of de gebeurtenisregistratie plaatsvindt, gaat u naar Events & Logs en Event Logging in het SCC-portaal en bevestigt u dat de gebeurtenissen zichtbaar zijn:

    Event Information from SCC

    Problemen oplossen

    Voer op FTD een pakketopname uit op het apparaat met behulp van de beheerinterface die overeenkomt met het verkeer dat naar de SEC navigeert om het syslog-verkeer vast te leggen:

    > capture-traffic

Please choose domain to capture traffic from:
  0 - eth0
  1 - Global

Selection? 0

Warning: Blanket capture may cause high CPU usage and reduced throughput, use selective filtering to reduce the impact.
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: host 19.0.0.10 port 10025
Starting traffic capture, press ctrl + c to exit (Maximum 1,000,000 packets will be captured)
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: can't parse filter expression: syntax error
Exiting.

> capture-traffic

Please choose domain to capture traffic from:
  0 - eth0
  1 - Global

Selection? 0

Warning: Blanket capture may cause high CPU usage and reduced throughput, use selective filtering to reduce the impact.
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: host 19.0.0.10 and port 10025
Starting traffic capture, press ctrl + c to exit (Maximum 1,000,000 packets will be captured)
HS_PACKET_BUFFER_SIZE is set to 4.
10:43:00.191655 IP firepower.56533 > 19.0.0.10.10025: UDP, length 876
10:43:01.195318 IP firepower.56533 > 19.0.0.10.10025: UDP, length 1192
10:43:03.206738 IP firepower.56533 > 19.0.0.10.10025: UDP, length 809
10:43:08.242948 IP firepower.56533 > 19.0.0.10.10025: UDP, length 1170

    Zorg ervoor dat de virtuele machine vanaf de SEC een internetverbinding heeft. Voer de opdracht sdc troubleshoot uit, om een bundel voor probleemoplossing te genereren die kan worden gebruikt om het lar.log-bestand te controleren voor verdere diagnose.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    21-Jul-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Leonardo Correa
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten