欢迎
这是适用于 Cisco Firepower App for Splunk 的文档,可从以下网址的 Splunkbase 处获取:https://splunkbase.splunk.com/app/4388/。
使用来自 Firepower 管理中心 (FMC) 的威胁和流量数据发现和调查威胁。Splunk 可存储的数据量大于 FMC,因此您可以更好地了解网络上的活动。
此应用程序是对 Splunk 现有思科 Firepower eNcore 应用程序的重大改进 (https://splunkbase.splunk.com/app/3663/)。如果您选择这样做,则可以并行运行这两个应用程序。
设置应用程序
要求、前提条件和限制
-
Cisco Firepower App for Splunk提供从运行 6.0 版或更高版本发送Firepower 管理中心到 Splunk 的安全性和网络事件信息。
可用功能受 Firepower 版本的影响。
-
必须先将您的 Firepower 事件数据置于 Splunk 中,然后才能使用此应用程序。
要将 Firepower 数据置入 Splunk,请使用适用于 Splunk 的思科 eStreamer eNcore 插件。可从https://splunkbase.splunk.com/app/3662/获取此技术性插件 (TA)。
有关此 TA 的文档,请访问https://www.cisco.com/c/en/us/support/security/defense-center/products-programming-reference-guides-list.html。
-
有关可用于分析的数据类型,请访问https://splunkbase.splunk.com/app/3662/。
执行安装
开始之前
满足要求、前提条件和限制中的要求和前提条件。
过程
步骤 1 | |
步骤 2 |
以管理员身份登录到 Splunk。 |
步骤 3 |
下载应用程序。 |
步骤 4 |
选择应用程序 > 管理应用程序。 |
步骤 5 |
单击从文件安装应用程序。 |
步骤 6 |
导航到应用程序“Cisco Firepower App for Splunk”。 |
步骤 7 |
单击升级应用程序。 如果您没有此应用程序的现有安装版本,这样做将执行全新安装;如有,则会覆盖以前的任何版本。 |
步骤 8 |
按指示重新启动 Splunk。 |
最佳实践
配置网络设置(特别是确定您的家庭网络),以便能够轻松识别源自您的网络的攻击。
配置
至少应指定定义您的内部和外部网络的 IP 地址,以便您能够轻松发现源自您的网络的威胁。
过程
步骤 1 |
访问标准 Splunk 位置以配置应用程序的设置:
|
步骤 2 |
指定内部网络上的 IP 地址和范围,以便能够确定攻击方向:
|
步骤 3 |
能够右键单击适用的数据以快速透视,以便在 Firepower 管理中心查看数据。 例如,主机配置文件信息仅在 FMC 上可用。
|
步骤 4 |
点击保存。 |
使用应用程序
建议完成的调查
-
确认您的系统阻止了系统发现的威胁:
在“威胁”>“威胁摘要”页面上,过滤未被阻止的威胁(无论方向)。
在“威胁”>“入侵事件”页面上,过滤未被阻止的 1 级影响力威胁。
-
查找被攻击的内部主机:
内部主机发起的攻击始终会指示攻击。
-
在“威胁”>“入侵事件”页面上,过滤 3 级影响力威胁(无论是否被阻止),然后在时间线下方的饼图中单击相关的内部主机选项。调查页面底部表格中的内部 IP 地址。
-
然后对 2 级影响力事件执行相同的操作。
-
在“威胁”>“威胁摘要”页面上,过滤源自内部主机的方向(无论是否被阻止)并调查牵涉到的内部主机(无论威胁是否被阻止)。
-
-
识别受到恶意软件影响的主机,这些恶意软件在被称为威胁之前进入您的网络:
使用“威胁”>“威胁摘要”页面上的回顾性恶意软件事件图识别受影响的主机。
-
查找网络上的异常状况,例如未经核准的应用程序或使用中的非标准端口:
-
检查“网络”页面上的图表。
-
按照“网络”页面“使用最少见 TCP 端口的最常用服务器应用程序”图上突出显示的信息,查找非常见端口上的活动。
-
-
查看异常的数据 — 出乎意料经常或不经常看到的活动或参数。
-
调查网络上的任何意外主机:
网络上没有关联主机发现的 0 级入侵事件可能表示存在幽灵网络。
(0 级入侵事件也可能表示您的网络发现策略未正确实施。)
-
查找随时间推移或针对密钥主机(例如服务器)的高优先级攻击的峰值或趋势:
这些最容易在“威胁”菜单下每个页面的时间线图中看到。
选择多个时间范围以查看实际意义。
-
消除大量无关紧要的数据,使重要数据更醒目。
-
仔细审查独特的事件,这可能表示针对性极强的攻击。
-
向下钻取感兴趣的事项。
当您发现引发警示标记的模式、主机、用户、应用程序、端口等时,可以向下钻取并过滤以查看涉及相关实体的其他事务。此外,右键单击项目可查看是否有其他信息可用。
-
在深入分析时,留意可能可疑的任何其他行为。例如:
-
一段时间内,一个 URL 意外地与多个 IP 地址和 MAC 地址相关联。
-
过去一小时内,主机使用 SSH 意外连接到 30 个不同的终端。
-
-
查找与特定 IP 地址关联的事件和数据:
使用“威胁”>“上下文资源管理器”页面。
注
如果您的过滤器包含多个 IP 地址,应用程序的响应可能会变得非常慢,具体取决于您的数据设置方式。
-
另请参阅入侵事件影响级别。
小工具说明:
此应用程序中的大多数小工具与 Firepower 管理中心中的等效小工具相同。有关这些小工具的信息,请参阅《配置指南》,网址:https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html。
入侵事件影响级别
影响力级别 |
说明和建议的操作 |
---|---|
0 |
网络上出现意外主机 源和目标主机 IP 地址均不在 Firepower 管理中心发现策略定义的网络内。 如果您的发现策略配置正确,则 0 级影响力事件可能表示网络上有未经授权的设备(幽灵网络)。 单击此影响力级别,查看页面底部的表格以确定哪个传感器看到此流量,并让您的网络小组查找并隔离这些设备。 |
1 |
高优先级入侵事件 目标主机容易受到攻击。 这些事件可能是操作系统、服务器或客户端漏洞,也可能是思科 Talos 定义的攻击迹象。 要按类型查看这些事件的细目,请参阅下方的“1 级影响力 – 高优先级事件”小工具,或者查看页面底部的表以了解有风险的主机列表。 |
2 |
较小可能受到攻击的主机 如果攻击源自您的网络,表示主机受到攻击,您应调查源 IP 地址。 Firepower 尚未发现目标主机上遭攻击的已知漏洞。 但是,无论源 IP 为何,您都应确认目标主机没有受到攻击。 |
3 |
较大可能受到攻击的主机 只有在内部主机是攻击源时,才会发生 3 级影响力事件。 如果事件源自内部,始终表示主机受到攻击。 单击下方的相关小工具以在页面底部的表格中显示源自内部的事件,然后调查该表格中的源 IP 地址。 |
4 |
主机未完全集成到网络中 主机位于 Firepower 管理中心发现策略中配置的预期 IP 地址范围内,但没有主机配置文件。 主机可能是新近增加到您的网络中的,例如,作为尚未正确配置的收购或网络扩建的一部分。 |
故障排除
查看现有说明
确认您满足设置应用程序中所述的要求和前提条件。
获得支持
此应用程序按原样提供,无保修,由社区提供支持。请尝试以下操作:
-
思科社区,例如:
-
Splunk 社区:Splunk 回复
-
报告漏洞和请求功能:fp-4-splunk@cisco.com
Firepower 信息
有关 Firepower(而非特定于 Splunk)的信息,请参阅您的版本的 Firepower 管理中心文档:
-
FMC 中的联机帮助(位于浏览器窗口右上角附近的“帮助”菜单下)。
-
HTML 或 PDF 格式的《Firepower 管理中心配置指南》:
-
其他 FMC 资源:
https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html