概述
本指南介绍如何配置 Cisco Security Analytics and Logging(本地部署) 以存储防火墙事件数据,从而在更长的保留期内增加存储量。通过部署 Cisco Cisco Secure Network Analytics(前身为 Stealthwatch)设备并将其与防火墙部署集成,您可以将事件数据导出到 Cisco Secure Network Analytics 设备。
然后,您可以:
-
将事件存储在 Cisco Secure Firewall Management Center 上,并将事件存储在 Cisco Secure Network Analytics 部署上。
-
指定此远程数据源以便在 管理中心 查看这些事件。
-
使用事件查看器从 Cisco Cisco Secure Network Analytics 管理器(前身为 Stealthwatch 管理控制台)Web App UI 查看事件数据。
-
从管理中心 UI 交叉启动到事件查看器,以便查看有关交叉启动信息的其他情景。
 注 |
如果要将防火墙事件数据存储在思科云中而不是内部部署,请参阅 Cisco Security Analytics and Logging (SaaS) 文档了解详细信息。 |
概念和架构
在 Security Analytics and Logging (OnPrem) 部署中,您可以使用 Cisco Secure Network Analytics 设备存储来自其他思科产品部署。在 Cisco Secure Firewall 部署中,您可以将安全事件和数据平面事件从 管理中心 托管的 Cisco Secure Firewall Threat Defense 设备导出到 管理器,以便存储这些信息。
您可以按如下方式部署 Cisco Secure Network Analytics:
-
Data Store - 部署 Cisco Secure Network Analytics 流量收集器(最多 5 个)以接收事件,部署包含 1、3 或更多(3 个一组)Cisco Secure Network Analytics 数据节点的 Cisco Secure Network Analytics Data Store 以存储事件,以及可从中查看和查询事件的管理器
Data Store
有关具有 管理器、数据节点和流量收集器的 Data Store 部署示例,请参阅下图:
在该部署中,威胁防御 和 Cisco Secure Firewall ASA 设备会向流量收集器发送防火墙事件。流量收集器会将事件发送到 Data Store 进行存储。从 管理中心 UI 中,用户可以交叉启动到 管理器 以查看有关存储事件的更多信息。他们还可以远程查询来自 管理中心 的事件。
支持的事件类型
-
威胁防御 安全事件
-
连接事件
-
入侵
-
文件和恶意软件
-
-
威胁防御数据平面事件
-
ASA 事件
反馈