Configurar Integração de Evento de FTD Seguro com Controle de Nuvem de Segurança via Conector de Evento Seguro

Introdução

Este documento descreve como configurar o Cisco Secure FTD para enviar eventos de segurança ao Security Cloud Control (SCC) usando o Secure Event Connector (SEC). 

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Defesa contra ameaças (FTD) do Cisco Secure Firewall
• Interface de linha de comando (CLI) do Linux

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco Secure FTD 7.6
• Ubuntu Server versão 24.04

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Etapa 1. Fazer login no portal de nuvem do SCC:

Etapa 2. No menu do lado esquerdo, escolha Administration e Secure Connectors:

Etapa 3. No lado superior direito, clique no ícone plus para integrar um novo conector e escolha Secure Event Connector:

Etapa 4. Use as etapas para instalar e inicializar o conector, dependendo da opção desejada entre 'Usando nossa VM', 'Usando sua própria VM' ou 'Para um SDC ou VM SEC existente':

Etapa 5. Uma mensagem semelhante é vista quando o bootstrap é executado com êxito:

Etapa 6. Depois que o conector for implantado e inicializado, as informações da porta estarão visíveis no portal SCC:

Etapa 7. No Cisco Secure Firewall Management Center (FMC), navegue para Policies e, em seguida, para Access Control. Escolha a política correspondente aos dispositivos que estão sendo integrados.

Etapa 8. Escolha Mais e, em seguida, Log:

Etapa 9. Ative a opção Send using specific syslog alert e adicione um novo Syslog Alert. Use as informações de endereço e porta do Internet Protocol (IP) obtidas do conector SEC no portal SCC:

Etapa 10. De volta à Política de controle de acesso, modifique as regras individuais para enviar os eventos ao servidor Syslog:

Etapa 11. Implante as alterações feitas no FTD para permitir que o firewall comece a registrar os eventos.

Verificar

Para verificar se as alterações foram executadas com êxito e se o registro de eventos está ocorrendo, navegue para Eventos e registros e Registro de eventos no portal do SCC e confirme se os eventos estão visíveis:

Troubleshooting

No FTD, execute uma captura de pacote no dispositivo usando a interface de gerenciamento que corresponde ao tráfego que navega para o SEC para capturar o tráfego de syslog:

> capture-traffic

Please choose domain to capture traffic from:
  0 - eth0
  1 - Global

Selection? 0

Warning: Blanket capture may cause high CPU usage and reduced throughput, use selective filtering to reduce the impact.
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: host 19.0.0.10 port 10025
Starting traffic capture, press ctrl + c to exit (Maximum 1,000,000 packets will be captured)
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: can't parse filter expression: syntax error
Exiting.

> capture-traffic

Please choose domain to capture traffic from:
  0 - eth0
  1 - Global

Selection? 0

Warning: Blanket capture may cause high CPU usage and reduced throughput, use selective filtering to reduce the impact.
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: host 19.0.0.10 and port 10025
Starting traffic capture, press ctrl + c to exit (Maximum 1,000,000 packets will be captured)
HS_PACKET_BUFFER_SIZE is set to 4.
10:43:00.191655 IP firepower.56533 > 19.0.0.10.10025: UDP, length 876
10:43:01.195318 IP firepower.56533 > 19.0.0.10.10025: UDP, length 1192
10:43:03.206738 IP firepower.56533 > 19.0.0.10.10025: UDP, length 809
10:43:08.242948 IP firepower.56533 > 19.0.0.10.10025: UDP, length 1170

Na máquina virtual SEC, verifique se a máquina virtual tem conectividade com a Internet. Execute o comando sdc troubleshoot, para gerar um pacote de solução de problemas que pode ser usado para verificar o arquivo lar.log para diagnóstico adicional.