安装和设置
要求和必备条件
-
Firepower 6.0 或更高版本
可用功能取决于 Firepower 版本。
-
您必须具有 Firepower 系统中的管理员用户角色
-
如果您运行的是版本为 1.0 的旧版单一应用程序控制板,请从 QRadar 平台中删除此版本,然后安装 新应用程序。
-
将 IBM QRadar 版本 7.3.1 修补到 73120181123182336 及更高版本。
-
PROTOCOL-CiscoFirepowerEstreamer-7.3-20191007145706.noarch 及更高版本
-
DSM-CiscoFireSIGHTManagementCenter-7.3-20170427133206.noarch 及更高版本
(上述最后两项可从 QRadar 平台中下载。)
获取应用程序
安装应用程序
准备工作
如果您运行的是版本为 1.0 的旧版单一应用程序控制板,请从 QRadar 平台中删除此版本,然后安装 此版本的应用程序。
程序
步骤 1 |
登录到 QRadar。 |
第 2 步 |
转到管理选项卡。 |
第 3 步 |
选择 Extension Management Services(扩展管理服务)。 |
第 4 步 |
将此应用安装为 QRadar 插件(遵循标准 QRadar 插件说明。) |
第 5 步 |
安装后,如果有更改,请在 QRadar 中部署更改。 |
将 FMC 证书导入 QRadar
通过下载 FMC 的 PKCS 证书 并将其安装在 QRadar 中,在 QRadar 与您的 Firepower 管理中心之间建立信任关系。
程序
第 1 步 |
登录到 Firepower 管理中心。 |
第 2 步 |
选择(对象管理)。 |
第 3 步 |
展开 PKI 节点,然后选择 Internal CAs(内部 CA)。 |
第 4 步 |
在 Firepower 管理中心的证书旁边,点击“编辑”按钮。 |
第 5 步 |
单击下载。 |
第 6 步 |
在密码和确认密码字段中输入加密密码。 |
第 7 步 |
点击确定。 |
第 8 步 |
使用以下命令将证书上传到 QRadar:
示例: |
配置日志源
程序
第 1 步 |
从 QRadar 导航栏上的管理选项卡中,向下滚动到 Log Sources(日志源)。 |
||||||||||||||||||||||
第 2 步 |
点击添加创建新日志源。 |
||||||||||||||||||||||
第 3 步 |
输入创建日志源所需的参数:
|
||||||||||||||||||||||
第 4 步 |
保存。 |
||||||||||||||||||||||
第 5 步 |
在 QRadar 中部署更改。 |
配置日志源扩展
操作步骤
第 1 步 |
如果扩展名称未映射到日志源类型 FireSIGHT 管理中心,请选择该名称: |
第 2 步 |
保存。 |
将 CEP 编入索引
要进行更高效的搜索,请在此操作步骤中将 CEP 编入索引。
操作步骤
第 1 步 |
导航至管理 > Index Management(索引管理)。 |
第 2 步 |
选择要编入索引的 CEP,然后点击 Enable Index(启用索引)。 |
第 3 步 |
保存。 |
第 4 步 |
将以下字段编入索引:
|
区分内部和外部网络
指定定义内部和外部网络的 IP 地址,以便能够轻松发现源自网络 内部的威胁。
操作步骤
第 1 步 |
在“Homenet settings”(家庭网络设置)部分: |
第 2 步 |
指定定义内部网络的 IP 地址和范围。 |
第 3 步 |
保存。 |