思科安全分析和日志记录 (SaaS) 允许您从所有 FDM 管理 设备捕获连接、入侵、文件、恶意软件和安全情报事件,并在 思科防御协调器 中的一个位置进行查看。
事件存储在思科云中,可从 CDO 中的“事件日志记录”页面查看,您可以在其中过滤和查看事件,以便清楚地了解在网络中触发的安全规则。日志记录和故障排除软件包为您提供这些功能。
使用日志记录分析和检测包(以前称为防火墙分析和日志记录包),系统可以将安全云分析动态实体建模应用于 FDM 管理 设备事件,并使用行为建模分析生成安全云分析观察结果和警报。如果您获取全部网络分析和监控软件包,则系统会对 FDM 管理 设备事件和网络流量应用动态实体建模,并生成观察结果和警报。您可以使用思科单点登录从 CDO 交叉启动为您调配的思科安全云分析门户。
FDM 事件在 CDO 事件查看器中的显示方式
当单个规则配置为记录事件且网络流量与规则条件匹配时,会生成连接、入侵、文件、恶意软件和安全情报事件。将事件存储在思科云中后,您可以在 CDO 中查看它们。有两种方法可以配置 FDM 管理 设备以将事件发送到思科云:
如何使用安全事件连接器将事件发送到思科云
使用基本日志记录和故障排除许可证,Firepower 设备管理器 事件到达思科云的方式如下:
-
您可以使用用户名和密码或使用注册密钥将 FDM 管理 设备载入 CDO。
-
配置各个规则(例如访问控制规则、安全情报规则和 SSL 解密规则)以将事件转发到任何一个 SEC,就像它是系统日志服务器一样。在访问控制规则中,您还可以启用文件和恶意软件策略以及入侵策略,并将这些策略生成的事件转发到 SEC。
-
您可以在文件事件的 中配置文件/恶意软件日志记录。
-
在 中为入侵事件配置入侵日志记录。
-
SEC 将事件转发到存储事件的思科云。
-
CDO 根据您设置的过滤器在其事件日志记录页面中显示来自思科云的事件。
使用日志记录分析和检测或全部网络分析和监控许可证时,还会发生以下情况:
-
思科安全云分析将分析应用于存储在思科云中的 Firepower 设备管理器 连接事件。
-
生成的观察结果和警报可从与您的 CDO 门户关联的安全云分析门户访问。
-
在 CDO 门户中,您可以交叉启动 Cisco Secure Cloud Analytics 门户,以查看这些观察结果和警报。
如何将事件从 Firepower 设备管理器 发送到思科云
通过使用基本日志记录和故障排除许可证,Firepower 设备管理器 事件会通过以下方式到达思科云:
-
您使用注册令牌将 FDM 管理 设备载入 CDO。
-
配置各个规则(例如访问控制规则、安全情报规则和 SSL 解密规则)以记录事件,但不指定要向其发送事件的系统日志服务器。在访问控制规则中,您还可以启用文件和恶意软件策略以及入侵策略,并将这些策略生成的事件转发到思科云。
-
如果在访问控制规则中配置了文件和恶意软件策略以及入侵策略来记录连接事件,则将文件事件和入侵事件发送到思科云。
-
在 Firepower 设备管理器 上载入云日志记录,并将各种规则中记录的事件发送到思科云。
-
CDO 根据您设置的过滤器从思科云提取事件,并将其显示在其事件查看器中。
使用 日志记录分析和检测 或 全部网络分析和监控 许可证时,还会发生以下情况:
-
思科安全云分析将分析应用于存储在思科云中的 Firepower 设备管理器 连接事件。
-
生成的观察结果和警报可从与您的 CDO 门户关联的安全云分析门户访问。
-
在 CDO 门户中,您可以交叉启动 Cisco Secure Cloud Analytics 门户,以查看这些观察结果和警报。
配置对比
以下是通过 SEC 将事件发送到思科云与直接将事件发送到思科云之间的 CDO 配置差异的摘要。
FDM 管理 设备配置
|
通过安全事件连接器 (SEC) 发送事件时
|
将事件直接发送至思科云时
|
FDM 管理 设备的 CDO 载入方法
|
凭证(用户名和密码)
注册令牌
|
注册令牌
序列号
|
版本支持
|
版本 6.4+
|
注册令牌 - 版本 6.5+
序列号 - 版本 6.7+
|
思科安全分析和日志记录 (SaaS) 许可证
|
日志记录故障排除
日志记录分析和检测(可选)
全面的网络分析和监控(可选)
|
日志记录故障排除
日志记录分析和检测(可选)
全面的网络分析和监控(可选)
|
许可证
|
许可证
- 如果要从入侵规则、文件控制规则或安全情报过滤收集连接事件。
恶意软件 - 如果要从文件控制规则收集连接事件。
|
许可证
- 如果要从入侵规则、文件控制规则或安全情报过滤收集连接事件。
恶意软件 - 如果要从文件控制规则收集连接事件。
|
安全事件连接器
|
必要
|
不适用
|
数据压缩*
|
事件已压缩*
|
事件未压缩*
|
数据计划
|
必填
|
必填
|
注
|
数据订用和您的历史每月使用量基于您使用的未压缩数据量。
|
解决方案中的组件
思科安全分析和日志记录 (SaaS) 使用以下组件向 CDO 传送事件:
安全设备连接器 (SDC) - SDC 将 CDO 连接到您的 FDM 管理 设备。FDM 管理 设备的登录凭证被存储在 SDC 上。有关详细信息,请参阅 安全设备连接器 (SDC)。
安全事件连接器 (SEC) - SEC 是一种从 FDM 管理 设备接收事件并将其转发到思科云的应用。进入思科云后,您可以在 CDO 的事件日志记录页面上查看事件,或使用思科安全云分析进行分析。您可能有一个或多个 SEC 与您的租户相关联。根据您的环境,在安全设备连接器或 CDO 连接器虚拟机上安装安全事件连接器。
Firepower 设备管理器 - FDM 管理 设备是思科的下一代防火墙。除了对网络流量和访问控制进行状态检查之外,FDM 管理 设备还提供多种功能,例如防御恶意软件和应用层攻击、集成入侵防御以及云提供的威胁情报。
如果您有日志记录分析和检测或全面网络分析和监控许可证,思科安全分析和日志记录 (SaaS) 将使用 Cisco Secure Cloud Analytics 进一步分析传送给 CDO 的事件。
思科安全云分析 - 安全云分析将动态实体建模应用于事件,并根据此信息生成检测。这提供了对从网络收集的遥测数据的更深入分析,使您能够识别趋势并检查网络流量中的异常行为。
许可
要配置此解决方案,您需要以下账户和许可证:
思科防御协调器。您必须有 CDO 租户。
安全设备连接器。SDC 没有单独的许可证。
安全事件连接器。SEC 没有单独的许可证。
安全日志记录分析 (SaaS)。您需要购买日志记录和故障排除许可证。此软件包的目标是为网络运营团队提供从其载入的 FDM 管理 设备派生的实时和历史事件,以便对其网络中的流量进行故障排除和分析。
您还可以购买日志记录分析和检测或全面网络分析和监控许可证来应用思科安全云分析。这些软件包的目标是为网络运营团队提供有关事件(以及使用全面网络分析和监控许可证的网络流量)的更多见解,以便更好地识别可能的异常行为并做出响应。
许可证名称
|
提供的功能
|
可用许可证持续时间
|
功能前提条件
|
日志记录故障排除
|
在 CDO 中查看事件和事件详细信息,包括实时源和历史视图
|
|
-
CDO
-
运行 6.4 或更高版本的本地部署 。
-
部署一个或多个 SEC 以将事件传递到云
|
日志记录分析和检测 (以前称为防火墙分析和监控)
|
日志记录和故障排除功能,以及:
|
|
-
CDO
-
运行 6.4 或更高版本的本地部署。
-
部署一个或多个 SEC 以将事件传递到云。
-
新调配的或现有的安全云分析门户。
|
全面的网络分析和监控
|
日志记录分析和检测,以及:
|
|
|
FDM 管理 设备。您需要具有以下许可证才能运行 FDM 管理 设备并创建生成安全事件的规则:
许可证
|
持续时间
|
授予的功能
|
基础版(自动包含)
|
永久
|
可选期限的许可证中未包括的所有功能。
您还必须指定是否在使用此令牌注册的产品上允许出口控制功能。仅在您的国家/地区满足出口控制标准时,才可以选择此选项。此选项控制您对高级加密和需要高级加密的功能的使用。
|
|
基于期限
|
入侵检测和防御 (Intrusion detection and prevention) - 入侵策略用于分析网络流量是否存在入侵和漏洞利用,或者丢弃攻击性数据包。
文件控制 (File control) - 文件策略用于检测和选择性地阻止用户上传(发送)或下载(接收)特定类型的文件。通过面向 Firepower 的 AMP(需要恶意软件许可证),您可以检查和阻止包含恶意软件的文件。必须拥有威胁许可证才可使用任何类型的文件策略。
安全情报过滤 (Security Intelligence filtering) - 将选定流量丢弃后,通过访问控制规则对流量进行分析。动态源可用于根据最新情报立即丢弃连接。
|
恶意软件
|
基于期限
|
检查恶意软件的文件策略,将思科高级恶意软件保护 (AMP) 与适用于 Firepower 的 AMP(基于网络的高级恶意软件保护)和思科 Threat Grid 结合使用。
文件策略可以检测和阻止通过网络传输的文件中的恶意软件。
|
数据计划
您需要购买反映思科云每天从您注册的 FDM 管理 设备接收的事件数量的数据存储计划。确定注入速率的最佳方法是在购买之前参加安全日志分析 (SaaS) (SaaS) 的免费试用。这将为您提供对事件数量的一个很好的估计。此外,您还可以使用日志记录量估算器工具。
小心
|
可以将 FDM 管理 设备配置为直接和通过 SEC 将事件发送到思科云。如果执行此操作,则同一事件将被 "注入" 两次,并根据您的数据计划进行两次计数,但只会在思科云中存储一次。使用一种或另一种方法将事件发送到思科云时,请务必小心,以避免产生不必要的费用。
|
数据计划有 1 年、3 年或 5 年期限,每日增量为 1 GB。有关数据计划的信息,请参阅《安全日志分析 (SaaS) 订购指南 》。
注
|
如果您有安全分析和日志记录许可证和数据计划,则在以后获取不同的许可证,这不需要您获取不同的数据计划。如果您的网络流量吞吐量发生变化,并且您获得了不同的数据计划,则不需要您获得不同的安全分析和日志记录许可证。
|
您可以通过登录 CDO 并导航到 来申请 30 天无风险试用。完成 30 天试用后,您可以按照《安全日志分析 (SaaS) 订购指南》中的说明,从思科商务工作空间 (CCW) 订购所需的事件数据量,以继续使用该服务。