思科云事件设置
通过将防火墙事件发送到云,您可以使用外部工具来调查防火墙事件。设备会将防火墙事件发送到 安全服务交换 (SSE),然后将其转发到各种云服务,以统一可见性并加强威胁调查。
要允许设备将防火墙事件发送到 思科安全云,您必须使用智能许可证(系统 () )来注册 管理中心 或启用思科安全云 集成。思科安全云 集成将 管理中心 与您的 CDO 账户相关联,并将您的 Cisco Secure Firewall 部署纳入思科云租户,使其能够连接到思科的集成安全云服务。
有关将 管理中心 与 思科安全云 集成的更多信息,请参阅启用 思科安全云 集成。
安全服务交换 事件整合
安全服务交换 不会显示 管理中心 中的事件的完整列表。相反,它会关联并整合事件,从而只显示唯一的事件。此方法可减少事件的冗余并提高透明度。目前用于整合的分类参数详述如下:
-
要识别重复的入侵事件,需要考虑以下要素:发起方 IP、发起方 IP、SID 和 GID。
-
为识别重复连接事件和与安全相关的连接事件,需要考虑以下要素:发起方 IP、发起方 IP 和安全情报类别。
-
在识别重复文件和恶意软件事件时,会考虑除事件二之外的所有元素。
配置 管理中心 以便将事件发送到 思科安全云
将 管理中心 配置为托管 威胁防御 设备直接将事件发送至 思科安全云。在适用和启用的情况下,您在此页面中配置的云区域和事件类型可用于多个集成。
开始之前
-
确定要用于发送防火墙事件的思科区域云。在选择区域云时,请记住:
-
您选择的区域也可用于思科支持诊断和思科支持网络功能。此设置还使用 Security Analytics and Logging (SaaS)管理 Secure Network Analytics 云的云区域。
-
您无法合并或汇聚不同区域云中的数据。要汇聚来自多个区域的数据,则所有区域中的设备都必须将数据发送至同一区域云。
-
-
确保使用智能许可证(系统 (
) )注册管理中心或启用 思科安全云 集成,以便让设备能够将防火墙事件发送到思科云。
注
如果您已使用版本 7.6 之前的 SecureX 订用将事件发送到 思科安全云,则可以继续将事件发送到 思科安全云 服务,例如 思科 XDR。但是,如果您现在使用 CDO 帐户将管理中心注册到云租赁,则您的 CDO 帐户必须具有 Security Analytics and Logging 许可证才能将事件转发到 思科安全云 服务,例如 思科 XDR。
-
在 管理中心 中:
-
转至系统 (System) > 配置 (Configuration) 页面并为 管理中心 提供唯一名称,以便其可在云中的设备 (Devices) 列表中明确识别。
-
将您的 威胁防御 设备添加到 管理中心,向其分配许可证,并确保系统正常运行。确保您已创建必要的策略,生成的事件如在 管理中心 UI 中的分析 (Analysis) 菜单下如预期那样显示。
-
-
请确保您拥有思科安全云登录凭证,并且可以登录到创建您的账户的区域云。
有关区域云 URL 和支持的设备版本的更多信息,请参阅区域云。
-
请确保将智能账户或 CDO 租户关联到 SSE 账户。
-
如果您当前使用系统日志将事件发送到云,请禁用这以避免重复。
过程
步骤 1 |
确定要用于发送防火墙事件的区域云。有关选择区域云的详细信息,请参阅《Cisco Secure Firewall Threat Defense 和思科 XDR 集成指南》。
|
|||||||||||||||
步骤 2 |
在 管理中心 中,点击 。 |
|||||||||||||||
步骤 3 |
从当前区域 (Current Region) 下拉列表中选择区域云。 |
|||||||||||||||
步骤 4 |
选中将事件发送到云 (Send events to the cloud) 复选框以启用云事件配置。 |
|||||||||||||||
步骤 5 |
选择要发送至云的事件类型。
|
|||||||||||||||
步骤 6 |
点击保存 (Save)。 |
使用 思科 XDR 来分析事件
思科扩展检测和响应 (思科 XDR) 是基于云的解决方案,通过关联多个遥测源的检测来统一可视性,并使安全团队能够检测、确定优先级和响应最复杂的威胁。将 Cisco Secure Firewall Threat Defense 与 思科 XDR 集成,以便将思科的集成安全产品组合与您的防火墙部署连接起来,提供一致的体验,统一可见性、实现自动化并加强整个网络的安全性。
有关 思科 XDR 的详细信息,请参阅思科 XDR 帮助中心。
![]() 重要 |
|
要将 Cisco Secure Firewall Threat Defense 与 思科 XDR 集成,请参阅《Cisco Secure Firewall Management Center 和 Cisco XDR 集成指南》。
![]() 注 |
截至 2024 年 7 月 31 日,思科 SecureX 已被淘汰,不再提供。无法为用户调配思科 SecureX,并且在购买 Cisco Secure Firewall 产品时不提供对思科 SecureX 的访问。此外,所有现有的思科 SecureX 环境都会被禁用,所有功能都不可用。有关更多信息,请参阅 思科 SecureX 生命周期终止公告。 如果在 Firefox 浏览器中安装了思科 SecureX 功能区浏览器扩展,则在使用管理中心时可能会出现兼容性错误。要优化在 Firefox 浏览器中使用管理中心的体验,请删除思科 SecureX 功能区扩展。打开 Firefox,转到浏览器的加载项或扩展管理器,找到思科 SecureX 功能区扩展,然后将其删除。重新启动 Firefox 以应用更改。 |
使用 思科 XDR 自动化功能分析和响应威胁
启用此设置可允许 思科扩展检测和响应 (思科 XDR) 用户创建的自动化工作流程与您的 管理中心 资源进行交互。
思科 XDR 自动化为构建自动化工作流程提供了一种无到低代码方法。您可以使用拖放界面设计自己的工作流程,并且可以将其设置为响应不同的计划和事件。思科 XDR 自动化帮助您使用自动化功能和有关威胁响应的指导建议,信心十足地在所有相关控制点消除威胁。
![]() 注 |
思科 XDR 是单独许可的产品。除 Cisco Secure Firewall 产品的许可证外,还需要额外订用。有关详细信息,请参阅思科 XDR 许可证。 |
有关 思科 XDR 自动化功能的详细信息,请参阅思科 XDR 文档。
开始之前
启用思科安全云并将您的管理中心注册到云。请参阅启用 思科安全云 集成。
过程
步骤 1 |
点击 。 |
步骤 2 |
选中 启用思科 XDR 自动化 复选框。 |
步骤 3 |
选择要分配给思科 XDR 自动化工作流程的 管理中心 用户角色。 访问管理员角色会被设置为默认角色,从而允许访问策略 (Policies) 菜单中的访问控制策略和相关功能。 |
步骤 4 |
点击保存 (Save)。 |