关于直接集成
从 Firepower 版本 6.4 开始,您可以配置 Firepower 系统,将支持的事件直接从 Firepower 威胁防御 (FTD) 设备发送至思科云。
具体而言,Firepower 设备会将事件转发至 安全服务交换 (SSE),在此处可以将这些事件自动或手动升级到可在 思科 Threat Response (CTR) 中显示的突发事件。
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
从 Firepower 版本 6.4 开始,您可以配置 Firepower 系统,将支持的事件直接从 Firepower 威胁防御 (FTD) 设备发送至思科云。
具体而言,Firepower 设备会将事件转发至 安全服务交换 (SSE),在此处可以将这些事件自动或手动升级到可在 思科 Threat Response (CTR) 中显示的突发事件。
相应操作 |
更多信息 |
|
---|---|---|
第 1 步 |
满足要求 |
直接集成要求 及其子主题 |
第 2 步 |
在您的浏览器中访问 安全服务交换,您将使用该 思科 Threat Response 云门户管理设备,过滤事件。 |
请参阅 访问 安全服务交换 。 |
第 3 步 |
在 安全服务交换 中,启用事件服务。 |
单击云服务并启用以下选项:
|
第 4 步 |
在 安全服务交换 中,请链接您的许可帐户,这样您即可以查看和处理从不同设备注册到组织帐户的事件数据。 |
请参阅连接帐户。 重要提示!在链接后,您不能对帐户取消链接。 |
第 5 步 |
在您的 Firepower 产品中,启用与思科云的集成。 |
提示:不要跳过这些主题中的前提条件!
|
第 6 步 |
生成事件 |
-- |
第 7 步 |
验证您的集成设置是否正确。 根据需要对问题进行排除故障。 |
请参阅: |
第 8 步 |
(可选)配置 安全服务交换 以自动删除某些非重要事件,并自动将某些事件升级至突发事件,并使其在 思科 Threat Response 中可见。 |
有关过滤事件和升级事件的详细信息,请参阅 安全服务交换 中的联机帮助。 |
步骤 10 |
验证已升级的事件是否按预期显示在 思科 Threat Response 突发事件管理器中。 |
在 思科 Threat Response 中,单击突发事件。 |
步骤 11 |
在 思科 Threat Response 中,添加 Firepower 模块。 在配置了此模块的情况下,CTR 将返回查看 SSE 中的入侵事件,即使它们尚未升级也是如此。 |
导航至模块 > 集成模块 > 配置模块,然后选择 Firepower 模块。 有关此模块的详细信息,请参阅 CTR 中的联机帮助。 |
要求类型 |
要求 |
---|---|
Firepower 设备 |
Firepower 威胁防御 设备
|
Firepower 版本 |
6.4 或更高版本 Firepower 版本 6.5 中引入了对区域云的支持。 |
思科 Threat Response 云 |
北美洲云 Firepower 版本 6.5 开始支持欧洲云和 https://visibility.eu.amp.cisco.com。 |
许可 |
|
账户 |
请参阅直接集成帐户要求。 |
连接 |
FMC 和受管设备必须能够连接出站到思科云。 北美云: api-sse.cisco.com,端口 443 欧盟云: api.eu.sse.itd.cisco.com,端口 443 |
总则 |
您的 Firepower 系统正在按预期生成事件。 |
要访问云,您必须拥有管理员级思科安全帐户、面向终端的 AMP 帐户或思科威胁网格帐户。
您的帐户必须创建在将向其发送 Firepower 事件数据的区域云上或与其相关联。
如果您或您的组织在您将使用的区域云上已有一个思科安全帐户,请勿创建另一个。
有关获取和激活思科安全帐户的信息,请参阅获取帐户进行访问 思科 Threat Response。
您必须具有已获得许可产品思科智能账户 的管理员权限。
要确定您的智能账户用户角色,请转至 https://software.cisco.com,点击管理智能账户,在页面的右上方区域中选择智能帐户,单击用户选项卡,然后搜索您的用户 ID。
您的许可智能账户和用于访问云的帐户必须与相同的思科 CCO 帐户关联。
您的 Firepower 帐户必须具有以下用户角色之一:
管理
访问管理员
网络管理员
安全审批人
在浏览器中,禁用弹出窗口阻止程序。
步骤 1 |
在浏览器窗口中,转至 思科 Threat Response: |
步骤 2 |
使用面向终端的 AMP、思科威胁网格或思科安全帐户的凭证登录。 您的帐户凭证特定于您登录的区域云。 |
步骤 3 |
导航至 安全服务交换: 选择模块 > 设备 > 管理设备。 安全服务交换 系统将打开一个新的浏览器窗口。 |
要将在不同许可智能账户下注册的产品集成到云中的单个视图中,您必须将这些智能账户链接到用于访问 思科 Threat Response 的帐户。
小心 |
如果您链接帐户,则无法对其取消链接。 |
为了链接帐户,您必须对所有许可智能账户(不仅是虚拟账户)和用于访问 思科 Threat Response 的帐户具有管理员级别权限。
要查看已链接的帐户,用户级别的帐户就足够了。
您将需要您的 Cisco.com (CCO) 凭证才能完成此过程。
步骤 1 |
在 安全服务交换 中任何页面的右上角,点击工具按钮() ,然后选择链接帐户。 |
步骤 2 |
单击链接更多帐户。 |
步骤 3 |
使用您的 Cisco.com (CCO) 凭证登录。 |
步骤 4 |
选择要与此云帐户集成的帐户。 |
步骤 5 |
单击链接帐户。 |
在 如何将事件直接发送至思科云 中执行到此步骤之前的所有步骤。
在 FDM 中,请确保您的设备具有唯一的名称。如果不是,请在设备 > 系统设置 > 主机名中立即分配一个名称。
在 FDM 中,将入侵和其他适用策略应用于至少一个访问控制规则,并验证设备是否成功生成事件。
确保您拥有云凭证,且可以访问 思科 Threat Response。
转至 https://visibility.amp.cisco.com 或 https://visibility.eu.amp.cisco.com 并登录。
在浏览器中:
禁用弹出窗口阻止程序
允许第三方 cookie
步骤 1 |
在 Firepower 设备管理器中:单击设备,然后单击 链接。 如果已经位于“系统设置”页面,只需点击目录中的云服务。 |
步骤 2 |
如果尚未选择区域云,请选择一个区域。 请参阅 思科 Threat Response 区域云 中的规定和限制。 |
步骤 3 |
选择要发送至云的事件类型。 |
步骤 4 |
单击思科威胁响应功能的启用控件。 如果出现提示,请阅读披露内容并单击接受。 |
步骤 5 |
验证您的设备是否在 安全服务交换 中注册成功: |
如果您的部署是高可用性配置,请参阅 FDM 中的联机帮助,了解其他说明。
继续执行如何将事件直接发送至思科云中的剩余步骤。
将 Firepower 管理中心 配置为受管 Firepower 威胁防御 设备直接将事件发送至 安全服务交换。
在 Firepower 管理中心 中:
转至系统 > 配置页面并为 FMC 提供唯一名称,以便其可在云中的“设备”列表中明确识别。
将您的 FTD 设备添加到 FMC,向其分配许可证,并确保系统正常运行。(即,您已创建必要的策略,且事件正在生成且在 Firepower 管理中心 Web 界面中的“分析”选项卡下如预期那样显示。)
在 如何将事件直接发送至思科云 中执行到此步骤之前的所有步骤。
确保您拥有云凭证,且可以访问 思科 Threat Response。
转至在其上创建帐户并登录的区域云。
步骤 1 |
在 Firepower 管理中心 中:选择系统 > 集成。 |
步骤 2 |
点击云服务。 |
步骤 3 |
启用思科云事件配置的滑块。 |
步骤 4 |
如果尚未执行此操作,请选择一个思科云区域。 请参阅 思科 Threat Response 区域云 中的准则和限制。 |
步骤 5 |
启用要发送至云的事件类型。 高优先级连接事件包括:
|
步骤 6 |
点击保存。 如果保存按钮不可用,这意味着 FMC 已注册到所选的区域云。 |
步骤 7 |
请验证是否已正确启用此功能。 |
继续执行如何将事件直接发送至思科云中的剩余步骤。
验证您期望的事件是否在 Firepower 中按预期显示。
步骤 1 |
如果您尚未在中 安全服务交换 生效,请尝试 访问 安全服务交换。 |
步骤 2 |
单击事件。 |
步骤 3 |
从您的设备查找事件。 如果您没有看到预期事件,请参阅 对直接集成进行故障排除 中的提示,然后再次在 如何将事件直接发送至思科云 中查看。 |
如果您在尝试配置此集成之前立即激活您的云帐户,并且在实施此集成时遇到问题,请尝试等待一或两个小,然后登录您的云帐户。
请确保您所访问的与帐户关联的区域云的 URL 正确。
可以使用未链接到您云帐户的智能帐户或虚拟帐户来许可设备。执行以下操作之一:
在 SSE 中,链接设备的授权帐户。
请参阅连接帐户。
通过链接的帐户向设备授予许可证:
在 FMC 或 FDM 中禁用集成,从设备注销当前许可证,通过链接的帐户对设备重新授予许可证,然后在 FDM 或 FMC 中重新启用集成。
请确保您正在查看的区域云与您在 Firepower 设置中选择的相同。如果您在开始向云发送事件时没有选择区域,请先尝试使用北美云。
请确保您的设备可以访问云。对于连接要求,请参阅 直接集成要求。
单击“事件”页面上的刷新按钮以刷新列表。
验证预期事件是否显示在 Firepower 中。
如果您使用的是 FDM,请检查您的访问规则日志记录设置。
在云服务页面的事件服务设置中,检查您的配置以进行自动删除(过滤掉事件)。
有关其他故障排除提示,请参阅 SSE 中的联机帮助。