Configurar e solucionar problemas do Cisco Threat Intelligence Diretor

Opções de download

  • PDF     (1.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (946.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:23 de Setembro de 2019
ID do documento:214859

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar e solucionar problemas do Cisco Threat Intelligence Diretor (TID).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Administração do Firepower Management Center (FMC)

    Você precisa garantir essas condições antes de configurar o recurso Cisco Threat Intelligence Diretor:

    • O Firepower Management Center (FMC):
      • Deve ser executado na versão 6.2.2 (ou posterior) (pode ser hospedado no FMC físico ou virtual).
      • Deve ser configurado com no mínimo 15 GB de memória RAM.
      • Deve ser configurado com o acesso à API REST ativado.
    • O sensor deve executar a versão 6.2.2 (ou posterior).
    • Na guia Advanced Settings (Configurações avançadas) da opção de política de controle de acesso, Enable Threat Intelligence Diretor precisa ser ativado.
    • Adicione regras à política de controle de acesso se elas ainda não estiverem presentes.
    • Se desejar que os observáveis SHA-256 gerem observações e eventos do Firepower Management Center, crie uma ou mais regras de arquivo de pesquisa de nuvem de malware ou bloqueio de malware e associe a política de arquivos a uma ou mais regras na política de controle de acesso.
    • Se desejar que as observações de IPv4, IPv6, URL ou Nome de Domínio gerem eventos de inteligência de segurança e conexão, habilite o log de inteligência de conexão e segurança na política de controle de acesso.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • Cisco Firepower Threat Defense (FTD) Virtual, com 6.2.2.81
    • Firepower Management Center Virtual (vFMC) com 6.2.2.81

    Note: The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio 

    O Cisco Threat Intelligence Diretor (TID) é um sistema que operacionaliza informações de inteligência de ameaças. O sistema consome e normaliza a inteligência heterogênea de ameaças cibernéticas de terceiros, publica a inteligência para tecnologias de detecção e correlaciona as observações das tecnologias de detecção.

    Há três novos termos: observáveis, indicadores e incidentes. Observável é apenas uma variável, pode ser, por exemplo, URL, domínio, endereço IP ou SHA256. Os indicadores são feitos de observáveis. Há dois tipos de indicadores. Um indicador simples contém apenas um observável. No caso de indicadores complexos, há dois ou mais indicadores observáveis que se conectam entre si usando funções lógicas como AND e OR. Quando o sistema detectar o tráfego que deve ser bloqueado ou monitorado no FMC, o incidente será exibido.

    Como funciona?

    Como mostrado na imagem, no FMC, você precisa configurar fontes de onde deseja baixar informações de inteligência de ameaças. Em seguida, o FMC envia essas informações (observáveis) para os sensores. Quando o tráfego corresponde aos observáveis, os incidentes aparecem na interface de usuário (GUI) do FMC.

     Há dois novos termos:

    • O STIX (Structured Threat Intelligence eXpression) é um padrão para compartilhar e usar informações de inteligência de ameaças. Há três elementos funcionais principais: Indicadores, observadores e incidentes
    • TAXII (Trusted Automated eXchange of Indicator Information) é um mecanismo de transporte para informações sobre ameaças

    Configurar 

    Para concluir a configuração, leve em consideração estas seções:

    Diagrama de Rede

    Configuração 

    Etapa 1. Para configurar o TID, você deve navegar até a guia Intelligence, como mostrado na imagem.

    Note: O status 'Concluído com erros' é esperado caso um feed contenha um item observável não suportado.

    Etapa 2. Você precisa adicionar fontes de ameaças. Há três maneiras de adicionar fontes:

    • TAXII - Ao usar essa opção, você pode configurar um servidor no qual as informações de ameaças são armazenadas no formato STIX

    Note: A única ação disponível é monitorar. Não é possível configurar a ação de bloqueio para ameaças no formato STIX.

    • URL - Você pode configurar um link para um servidor local HTTP/HTTPS onde a ameaça STIX ou arquivo simples está localizado.

    • Arquivo plano - Você pode carregar um arquivo no formato *.txt e precisa especificar o conteúdo do arquivo. O arquivo deve conter uma entrada de conteúdo por linha.

    Note: Por padrão, todas as fontes são publicadas, o que significa que elas são empurradas para sensores. Esse processo pode levar até 20 minutos ou mais.

    Etapa 3. Na guia Indicador, você pode confirmar se os indicadores foram baixados da propriedade das fontes configuradas:

    Etapa 4. Depois de selecionar o nome de um indicador, você poderá ver mais detalhes sobre ele. Além disso, você pode decidir se deseja publicá-lo no sensor ou se deseja alterar a ação (no caso de um indicador simples).

    Como mostrado na imagem, um indicador complexo é listado com dois observáveis conectados pelo operador OR:

    Etapa 5. Navegue até a guia Observables, na qual você pode encontrar URLs, endereços IP, domínios e SHA256 incluídos nos indicadores. Você pode decidir quais observáveis deseja enviar para os sensores e, opcionalmente, alterar a ação para eles. Na última coluna, há um botão de lista branca que é equivalente a uma opção de publicação/não publicação.

     Etapa 6. Navegue até a guia Elementos para verificar a lista de dispositivos onde o TID está ativado.

    Etapa 7 (Opcional). Navegue até a guia Configurações e selecione o botão Pausar para parar de enviar indicadores para sensores. Essa operação pode levar até 20 minutos.

    Verificar 

    Método 1. Para verificar se o TID executou uma ação no tráfego, você precisa navegar até a guia Incidentes.

    Método 2. Os incidentes podem ser encontrados na guia Eventos de inteligência de segurança sob uma marca TID.

    Note: A TID tem uma capacidade de armazenamento de 1 milhão de incidentes.

    Método 3. Você pode confirmar se fontes configuradas (feeds) estão presentes no FMC e em um sensor. Para fazer isso, você pode navegar para esses locais na CLI:

    /var/sf/siurl_download/

    /var/sf/sidns_download/

    /var/sf/iprep_download/

    Há um novo diretório criado para feeds SHA256: /var/sf/sifile_download/.

    root@ftd622:/var/sf/sifile_download# ls -l
total 32
-rw-r--r-- 1 root root  166 Sep 14 07:13 8ba2b2c4-9275-11e7-8368-f6cc0e401935.lf
-rw-r--r-- 1 root root   38 Sep 14 07:13 8ba40804-9275-11e7-8368-f6cc0e401935.lf
-rw-r--r-- 1 root root   16 Sep 14 07:13 IPRVersion.dat
-rw-rw-r-- 1 root root 1970 Sep 14 07:13 dm_file1.acl
-rw-rw-r-- 1 www  www   167 Sep 14 07:13 file.rules
drwxr-xr-x 2 www  www  4096 Sep  4 16:13 health
drwxr-xr-x 2 www  www  4096 Sep  7 22:06 peers
drwxr-xr-x 2 www  www  4096 Sep 14 07:13 tmp
root@ftd622:/var/sf/sifile_download# cat 8ba2b2c4-9275-11e7-8368-f6cc0e401935.lf
#Cisco TID feed:TID SHA-256 Block:1
7a00ef4b801b2b2acd09b5fc72d7c79d20094ded6360fb936bf2c65a1ff16907
2922f0bb1acf9c221b6cec45d6d10ee9cf12117fa556c304f94122350c2bcbdc

    Note: O TID só está ativado no Global Doiman no FMC

    Note: Se você hospeda o TID no Firepower Management Center ativo em uma configuração de alta disponibilidade (dispositivos FMC físicos), o sistema não sincroniza as configurações TID e os dados TID com o Firepower Management Center em standby.

    Troubleshoot

    Há um processo de nível superior chamado tid. Esse processo depende de três processos: mongo, RabbitMQ, vermelho. Para verificar os processos executam o status pmtool | grep 'RabbitMQ\|mongo\|redis\|tid' | grep " - " comando.

    root@fmc622:/Volume/home/admin# pmtool status | grep 'RabbitMQ\|mongo\|redis\|tid' | grep " - "
RabbitMQ (normal) - Running 4221
mongo (system) - Running 4364
redis (system) - Running 4365
tid (normal) - Running 5128
root@fmc622:/Volume/home/admin#

    Para verificar em tempo real qual ação é tomada, você pode executar o comando system support firewall-engine-debug ou system support trace.

    > system support firewall-engine-debug

Please specify an IP protocol:
Please specify a client IP address: 192.168.16.2
Please specify a client port:
Please specify a server IP address:
Please specify a server port:
Monitoring firewall engine debug messages
...
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 URL SI: ShmDBLookupURL("http://www.example.com/") returned 1
...
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 URL SI: Matched rule order 19, Id 19, si list id 1074790455, action 4
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 deny action

    Há duas possibilidades de ação:

    • URL SI: Ordem de regra correspondente 19, Id 19, id de lista si 1074790455, ação 4 - o tráfego foi bloqueado
    • URL SI: Ordem de regra correspondente 20, Id 20, id da lista si 1074790456, ação 6 - o tráfego foi monitorado.
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Maciej Zadlo
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos