通过系统日志集成
从 Firepower 版本 6.3 开始,您可以使用系统日志将支持的事件从 Firepower 设备发送至思科云。您必须设置本地 思科安全服务代理 (CSSP) 服务器,并将设备配置为将系统日志消息发送至此代理。
每隔 10 分钟,代理会将收集的事件转发至 安全服务交换 (SSE),在此处可以将这些事件自动或手动升级到 思科 Threat Response (CTR) 中显示的突发事件。
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
从 Firepower 版本 6.3 开始,您可以使用系统日志将支持的事件从 Firepower 设备发送至思科云。您必须设置本地 思科安全服务代理 (CSSP) 服务器,并将设备配置为将系统日志消息发送至此代理。
每隔 10 分钟,代理会将收集的事件转发至 安全服务交换 (SSE),在此处可以将这些事件自动或手动升级到 思科 Threat Response (CTR) 中显示的突发事件。
相应操作 |
更多信息 |
|
---|---|---|
第 1 步 |
满足要求。 |
请参阅 使用系统日志集成要求。 |
第 2 步 |
访问 安全服务交换 (SSE),您将使用该 思科 Threat Response 云门户管理设备,过滤事件。 |
请参阅访问 安全服务交换。 |
步骤 3 |
安装和配置 思科安全服务代理 (CSSP) 服务器。 |
从 安全服务交换 下载免费安装程序和说明: 在 SSE 中,从浏览器窗口右上角的工具按钮() 中,选择下载。 |
第 4 步 |
在 安全服务交换 中,启用功能。 |
单击云服务并启用以下选项:
|
第 5 步 |
配置您的 Firepower 设备,以将受支持事件的系统日志消息发送至代理服务器。 |
|
第 6 步 |
在您的 Firepower 产品中,确保消息可标识生成每个事件的设备。 |
|
第 7 步 |
生成支持的事件。 |
-- |
第 8 步 |
验证您的事件是否按预期显示在 安全服务交换 中,并在必要时进行故障排除。 |
请参阅: |
步骤 9 |
(可选)配置 安全服务交换 以自动删除某些非重要事件,并自动将某些事件升级至突发事件,并使其在 思科 Threat Response 中可见。 |
有关过滤事件和升级事件的详细信息,请参阅 安全服务交换 中的联机帮助。 |
步骤 11 |
验证已升级的事件是否按预期显示在 思科 Threat Response 突发事件管理器中。 |
在 思科 Threat Response 中,单击突发事件。 |
第 12 步 |
在 思科 Threat Response 中,添加 Firepower 模块。 在配置了此模块的情况下,CTR 将返回查看 SSE 中的入侵事件,即使它们尚未升级也是如此。 |
导航至模块 > 集成模块 > 配置模块,然后选择 Firepower 模块。 有关此模块的详细信息,请参阅 CTR 中的联机帮助。 |
要求类型 |
要求 |
---|---|
Firepower 设备 |
运行 Firepower 软件支持版本的任何设备 |
Firepower 版本 |
6.3 或更高版本 |
支持的 思科 Threat Response 区域云 |
北美洲云 欧洲云 |
您将使用的 思科 Threat Response 云上的帐户 |
|
总则 |
您的 Firepower 系统正在按预期生成事件。 |
在浏览器中,禁用弹出窗口阻止程序。
步骤 1 |
在浏览器窗口中,转至您思科 Threat Response的云: |
步骤 2 |
使用面向终端的 AMP、思科威胁网格或思科安全帐户的凭证登录。 |
步骤 3 |
导航至 安全服务交换: 选择模块 > 设备 > 管理设备。 安全服务交换 系统将打开一个新的浏览器窗口。 |
验证您期望的事件是否在 Firepower 中按预期显示。
步骤 1 |
在 Firepower 设备检测到支持的事件,以允许将邮件从代理转发到 安全服务交换 之前,请等待 15 分钟。 |
步骤 2 | |
步骤 3 |
在 安全服务交换 中,单击事件。 |
步骤 4 |
从您的设备查找事件。 如果您没有看到预期事件,请参阅 对系统日志集成进行故障排除 中的提示,然后再次在 如何使用系统日志将事件发送到思科云 中查看。 |
请确保您的设备可以通过网络访问 CSSP。
如果您在尝试配置此集成之前立即激活您的云帐户,并且在实施此集成时遇到问题,请尝试等待一或两个小,然后登录您的云帐户。
请确保您所访问的与帐户关联的区域云的 URL 正确。
选中以下复选框:
单击“事件”页面上的刷新按钮以刷新列表。
验证预期事件是否显示在 Firepower 中。
在 SSE 的云服务页面的事件服务设置中,检查您的配置以进行自动删除(过滤掉事件)。
请确保您正在查看的是要向其发送事件的区域云。
有关其他故障排除提示,请参阅 SSE 中的联机帮助。
有关系统日志字段及说明,请参阅《思科 Firepower 威胁防御系统日志消息指南》(https://www.cisco.com/c/en/us/support/security/defense-center/products-system-message-guides-list.html)。