配置告警

本章重点介绍如何在 Cisco Secure Workload 中配置警报,通过向管理员通知重大事件与异常情况,强化主动安全防护措施。本章阐述如何在 Cisco Secure Workload 中配置和监控取证事件,为安全事件的深度调查提供数据支撑。根据企业需求自定义警报参数,可提升通知的针对性与有效性。

Cisco Secure Workload 中的警报有助于监控工作负载安全并响应潜在威胁。警报的各个组件协同工作,提供可视性、警报源和配置,以及从发布服务器发送警报的功能。您可以配置警报,查看警报触发规则,并选择要发送警报的发布服务器。配置页面上显示的警报会因用户角色而异。警报发布服务器可以是警报或通知者。


注意

由于最近的 GUI 更新,用户指南中使用的某些图像或屏幕截图可能无法完全反映产品的当前设计。建议将本指南与最新版本的软件结合使用,以获得最准确的直观参考。
表 1. 功能信息

功能名称

版本

功能说明

哪里可以找到

警报增强功能

3.9

调查 (Investigate) > 警报 (Alerts) 页面中。其他增强功能包括:

  • 引入了警报名称字段:引入了一个新字段警报名称 (Alert Name),以促进警报管理的结构化方法,允许您为警报分配唯一名称。

  • 引入了 警报类型 (Alert Type)下拉列表:在警报 - 配置 (Alerts – Configs) 页面中引入了新的下拉列表警报类型 (Alert Type),以便于快速进行过滤。

  • 图标更新:现在,可以通过在警报 - 配置 (Alerts – Configs) 页面上选择新的 + 图标来启动警报配置。

警报配置模式

具有增强功能的警报过滤选项的多搜索功能。

当前警报

从 Cisco Secure Workload 3.0 版本开始,Cisco Secure WorkloadApp Store 不再支持警报和合规性应用。您可以在此页面上配置警报和合规性警报,而无需创建警报应用实例或合规性应用实例。

警报类型和发布服务器

Cisco Secure Workload 将警报分为多种类型,包括严重系统警报、策略违规警报、工作负载行为异常警报。各类警报在维护安全完整性方面均有专属作用。系统定义了警报配置流程,从设定警报条件到指定通知方式(如邮件、短信)。警报与现有监控方案集成,全面呈现安全态势。

Cisco Secure Workload 中的警报包括以下组件:

  • 警报可视性

    • 当前警报:从导航窗格中,选择调查 (Investigate) > 警报 (Alerts)。警报预览将发送到数据分流。

    Figure 1. 当前警报

  • 警报源和配置

    • 警报 - 配置:从导航窗格中,选择管理 (Manage) > 工作负载 (Workloads) > 警报配置 (Alert Configs)。系统会显示使用通用模式和警报发布服务器配置的警报配置,以及通知程序设置。

    Figure 2. 警报 - 配置

  • 发送警报:

    • 警报应用:一种将生成的警报发送到已配置的数据分流的隐式 Cisco Secure Workload 应用。警报应用处理暂停取消等功能。

    • 警报发布服务器:限制显示的警报数量,并将警报推送到 Kafka(MDT 或 DataTap)以供外部使用。

    • 边缘设备:将警报推送到其他系统,例如 Slack、PagerDuty、邮件等。

创建警报

从导航窗格中,选择警报 (Alerts) > 配置 (Configuration) 以配置以下警报类型:

Figure 3. 创建警报或触发规则

  • 执行警报

    • 代理可访问性

    • 工作负载防火墙

    • 工作负载策略

  • 传感器警报

    • 代理升级

    • 代理流导出

    • 代理签入

    • 代理内存使用率

    • 代理 CPU 配额

    • 流观察结果的数量

    • 已注册的新代理

    • Pcap 状态

    • 已卸载的代理

    • 不推荐使用的密码

    • 弃用的 TLS 版本

    • 代理自动删除

  • 合规性警报

    • 执行策略

    • 实时分析策略


Note

  • 对于执行和传感器警报类型,警报触发规则在当前选择的根范围内执行。

  • 要为合规性警报类型创建警报触发规则,您必须在当前选择的范围内具有已执行的功能。

以下警报类型没有配置模式:

  • 取证

  • 连接器

  • 流量

交通警报

您可创建流量警报,在工作负载与已知恶意 IPv4 地址发生通信时接收通知。

默认情况下,用于检测恶意地址的选项已被禁用。要启用该选项,请参阅已知恶意 IPv4 地址的可视性部分。

可用的警报条件如下:

  • 观察到恶意流:表示已监测到工作负载与已知恶意 IPv4 地址存在通信行为。

  • 允许恶意流:策略分析与执行后,对已被允许的恶意流进行警报。

  • 拒绝恶意流:策略分析与执行后,对已被拒绝的恶意流进行警报。

警报配置模式

“警报配置”模式包含以下部分:

  • 警报名称:警报名称有助于采用结构化的警报管理方法,从而允许您为警报分配唯一名称。

  • 警报类型:分类为合规性、取证、执行、连接器、平台和流量下的不同类型的警报。

  • 主题:警报的主题取决于应用,当警报模式与情景相关时可以预先填充。

  • 警报条件:触发警报的警报条件。将鼠标悬停在信息图标上可查看可用条件的列表。


    如果生成了多个警报,则优先显示严重性较高的警报,而不是显示严重性较低的警报。

  • 有关更多配置选项,请点击显示高级设置 (Show Advanced Settings)
    • 升级完成后,系统会为当前租户中的所有现有警报配置规则分配基于预定义格式的警报名称。在没有警报名称的情况下,要采用的格式为 Alert_SubType_{DatabaseID}。例如, 
      Workload_Firewall_64bf9b8493dfc94ca0095718
    • 部署或升级集群后,系统会为所有默认警报配置规则(在新租户开始期间创建的规则)分配预定义格式的警报名称Alert_SubType。例如, 
      Upgrade_Status
图 4. 配置告警

摘要警报

汇总警报仅适用于某些应用,以及取决于应用的某些配置选项。

  • 单个警报是基于非汇总或最低限度汇总的信息生成的,并且可能具有一分钟的时间范围。请注意,这并不一定意味着实际上会以分钟间隔生成和发送警报;也可以在应用频率间隔生成单个警报。

  • 根据配置的警报规则(每小时或每天)为所有代理生成汇总警报。例如,系统会为代理汇总传感器和执行警报,并针对已配置的警报规则的所有流汇总合规性警报。

应用

应用频率 1

单个警报

每小时警报

每日警报

合规性

分钟

按应用频率

单个警报的摘要

单个警报的摘要

执行

分钟

按应用频率

单个警报的摘要

单个警报的摘要

传感器

分钟

按应用频率

单个警报的摘要

单个警报的摘要

流量

分钟

按应用频率

单个警报的摘要

单个警报的摘要

Note

摘要警报的事件时间表示过去一小时或指定间隔内首次出现的相同警报类型。

暂停和取消警报

警报程序允许将警报归类到某个警报键下,并在选定的时间内处于暂停状态。


Note

目前,您无法暂停或取消用户应用创建的警报。

要暂停警报,请执行以下操作:

  1. 操作 (Actions) 下,点击暂停 (Snooze) 图标。

  2. 从“间隔”(Interval) 下拉列表中选择适当的间隔。

  3. 点击暂停 (Snooze)

Figure 5. 当前警报
Figure 6. 暂停警报

要取消警报,请执行以下操作:

使用“取消”(Mute) 选项停止接收警报:

  1. 操作 (Actions) 下,点击取消 (Mute) 图标。

  2. 要进行确认,请点击是 (Yes)

  3. (可选)要恢复警报,请从已取消列表中删除警报。(使用状态 (Status) 过滤器下拉列表查看所有已取消 (MUTED) 警报。)

  4. 要恢复警报,请从已取消列表中删除警报。使用状态 (Status) 过滤器下拉列表查看所有已取消 (MUTED) 警报,然后恢复所需的警报。


Note

在一个范围内,您最多可以查看 5000 个已取消或暂停的警报。

Admiral 警报

Admiral 是一个集成的警报系统,用于取代早期版本中的 Bosun。有关详细信息,请参阅 Admiral 警报

汇总与暂停

警报汇总适用于基于警报配置的所有主机,而暂停则适用于特定警报。

以下是两者之间的一些差异:

  • 例如,合规性配置取决于应用工作空间以及应生成警报的违规类型。因此,汇总适用于基于警报规则的所有主机,例如转义条件,而暂停适用于非常特定的使用者范围、提供者范围、提供者端口、协议和转义条件。

  • 按指定频率生成摘要警报,并包含在该间隔内生成的警报。摘要警报提供在指定频率间隔内触发的警报数量,以及该范围内所有代理的摘要。

  • 只有在等待时间结束后产生新警报时,才会发送警报。此外,如果在源范围和目标范围之间的路径上配置了平台警报,且跳数小于一定数量,则会生成非常具体的警报。

Cisco Secure Workload 警报通知程序 (TAN)


Note

从 Cisco Secure Workload 版本 3.3.1.x 开始,TAN 将迁移到 Cisco Secure Workload 边缘设备

警报通知程序提供通过各种工具(例如 Amazon Kinesis、邮件、系统日志和当前所选范围内的 Slack)发送警报的功能。作为范围所有者或站点管理员,可以为每个通知程序配置所需的凭证和通知程序应用的其他特定信息。

配置通知程序

要配置通知程序,您必须配置与警报相关的连接器。只能在部署 Cisco Secure Workload 边缘设备后配置连接器。有关部署 Cisco Secure Workload 边缘设备的详细信息,请参阅连接器的虚拟设备

在设置 Cisco Secure Workload 边缘设备后,您可以使用其特定的所需输入来配置每个通知程序。设置 Cisco Secure Workload 边缘设备后,您将能够看到将警报类型连接到警报发布服务器的虚线。这是因为通知程序基于警报发布服务器构建。

在设置 Cisco Secure Workload 边缘设备后,您可以使用所需的输入配置每个通知程序。设置 Cisco Secure Workload 边缘设备后,您可以查看将警报类型连接到发布服务器的虚线。这是因为通知程序是基于发布服务器构建的。

应用频率是指应用运行和生成警报的大致频率。例如,“合规性”具有灵活的运行频率,实际上可能会在几分钟内计算警报。

选择警报发布服务器

范围所有者站点管理员可以选择要发送警报的发布服务器发布服务器包括 Kafka(数据分流)和通知程序

所有可用发布服务器都显示在警报 - 配置 (Alerts - Configuration) 窗口中,包括警报 (Alerts)活动通知程序 (Active Notifiers)。您可以切换发送图标以选择警报类型的发布服务器最低警报严重性是指警报必须达到的严重性级别才能通过发布服务器发送。

Figure 7. 选择警报发布服务器

Note

TaaS 集群每分钟最多可处理 14000 个警报。这也可以通过选择外部数据分流来减少。

外部系统日志隧道移至 TAN


Note

从 3.1.1.x 版本开始,系统日志隧道功能将移至 TAN。要配置系统日志以获取平台级别系统日志事件,您必须在默认根范围内的 Cisco Secure Workload 边缘设备上配置 TAN。在默认根范围内配置 Cisco Secure Workload 边缘设备后,您可以设置系统日志服务器。要启用平台警报,请为平台启用系统日志通知。这可以通过启用“平台系统日志”连接来完成。

有关如何配置系统日志的详细信息,请参阅系统日志连接器

连接图

连接图表显示警报类型发布服务器之间的连接。为警报类型选择发布服务器后,系统会在警报类型和发布服务器之间建立一条蓝线。请注意,指向内部 Kafka(数据分流)的线始终是用破折号创建的线,因为它表示构建警报通知的内部机制。

Figure 8. 连接图

查看警报触发规则

您可以在警报 - 配置 (Alerts - Configuration) 页面上查看所有已配置的警报触发规则的列表。您还可以执行以下任务:

  • 您可以按警报类型 (Alert Type) 和其他属性过滤规则。

  • 操作 (Actions) 列中,点击铅笔图标以修改详细信息,例如警报名称警报类型警报条件严重性等。

  • 点击查看所有已配置的 [警报类型] 警报 (See All Configured [alert type] Alerts),在新选项卡中查看所选警报类型 (Alert Type) 的所有警报。

Figure 9. 查看警报触发规则

“警报触发规则”窗口用于按警报类型和触发条件来过滤警报触发规则。


Note

警报触发条件是完全匹配条件。

警报触发规则详细信息

点击警报触发规则 (Alerts Trigger Rules) 部分中的一行以查看配置详细信息。

  1. 警报类型 (Alert Type):警报类型。

  2. 警报名称 (Alert Name):警报的名称。

  3. 配置 (Configuration):在特定范围内触发警报时的条件。

您还可以查看其他详细信息,例如严重性 (Severity)单个警报 (Individual Alerts)摘要警报频率 (Summary Alert Frequency)

Figure 10. 警报配置详细信息

生成测试警报

生成测试警报的主要用途是验证与发布服务器的连接。您可以配置测试警报,以根据警报配置中的警报类型和链接发布服务器发送警报。


  • 生成测试警报并非来自实际源,仅为测试目的而生成。

  • 可以为链接到至少一个发布服务器的警报类型生成测试警报。

要生成测试警报,请执行以下步骤:

过程

步骤 1

从导航窗格中,选择管理 (Manage) > 工作负载 (Workloads) > 警报配置 (Alerts Config)

步骤 2

要配置测试警报,请点击测试警报 (Test Alert)

图 11. 测试警报配置

步骤 3

密钥 (Keys) 选项卡下,输入“警报密钥”(Alert Key) 的值,然后选择“事件时间”(Event Time)、“警报时间”(Alert Time)、“警报严重性”(Alert Severity) 和“警报类型”(Alert Type) 的值。

步骤 4

范围 (Scope) 选项卡下,“范围 ID”(Scope ID) 和“租户 ID”(Tenant ID) 的值会根据当前范围自动生成。

 

如果租户 ID 与租户 ID VRF 相同,则系统会自动选中“租户 ID VRF”(Tenant ID VRF) 复选框。

步骤 5

详细信息 (Details) 选项卡下,输入“警报文本”(Alert Text)、“事件注释”(Event Notes)、“警报详细信息”(Alert Details) 和“警报配置 ID”(Alert Configuration ID) 的值。

 

“警报详细信息”(Alert Details) 可以是字符串或 JSON 格式的数据。

JSON 内容的选项包括:

  1. 包含该警报类型所需的字段。

  2. 任何示例 JSON 数据(如果该警报类型不需要默认 JSON 字段)。

    示例 JSON: 
    {"alert_name ":"sample","alert_category":{"severity": "dummy"}}

步骤 6

配置 (Configuration) 选项卡下,选择“单个警报”(Individual Alert)、“警报频率”(Alert Frequency) 和“汇总警报频率”(Summary Alert Frequency) 值。

对于单个警报,请从下拉列表中选择启用 (ENABLE)禁用 (DISABLE)

系统自动选择警报频率,其中频率为单个 (INDIVIDUAL)

 

它仅支持单个警报,不会考虑汇总。

摘要警报自动选择为无 (NONE)

步骤 7

要生成测试警报,请点击测试 (TEST)

 

系统将生成测试警报并将其发送到配置的发布服务器。

当前警报

导航至调查 (Investigate) > 警报 (Alerts) 页面,查看所有活动警报的列表。您可以按状态 (Status)类型 (Type)严重性 (Severity) 和时间范围来过滤警报。

当前警报 (Current Alerts) 页面上仅显示严重性设置为 IMMEDIATE_ACTION、CRITICAL、HIGH、MEDIUM 或 LOW 的警报。无论严重性值如何,所有警报都将发送到配置的 Kafka 代理。

Figure 12. 当前警报

按时间范围过滤警报

  1. 从下拉列表中选择一个范围。默认值为 1 个月。

  2. 点击自定义 (Custom)并填写开始 (From)结束 (To) 日期以配置自定义范围。点击应用 (Apply)。请注意,当选择自定义时间范围时,刷新按钮将处于禁用状态。

高级过滤器

  1. 点击切换为高级 (Switch to Advanced)

  2. 输入要过滤的属性。将鼠标悬停在信息图标上可查看要过滤的属性。

    当您切换回基本选项时,不会保留警报过滤器。

查看其他警报详细信息

您可以通过点击相应警报来查看有关警报的更多详细信息。

Figure 13. 警报详细信息

  • 每个根范围每分钟只会显示 60 个警报。

  • 警报数量越大,系统会生成称为摘要警报的警报类型,其中不会显示警报计数。

  • 在任何时间点显示的警报都有最大数量限制;随着新警报的出现,系统会丢弃较旧的警报。

    有关详细信息,请参阅限制

警报详细信息

常见警报结构

所有警报都遵循整体通用结构。结构对应于可通过 Kafka DataTaps 获得的 json 消息结构。

字段

格式

关于

root_scope_id

字符串

与范围层次结构中的顶级范围对应的范围 ID。

key_id

字符串

ID 字段,用于确定“类似”警报。相同的 key_id 会被暂停。

type

字符串

警报的类型。固定的字符串值集:COMPLIANCE、USERAPP、FORENSICS、ENFORCEMENT、SENSOR、PLATFORM、FEDERATION、CONNECTOR

event_time

长度

事件触发时的时间戳(如果事件跨越一个范围,则为该范围的起始时间)。此时间戳以纪元毫秒 (UTC) 为单位。

alert_time

长度

首次尝试发送警报的时间戳。这将在事件的时间范围之后。此时间戳以纪元毫秒 (UTC) 为单位。

alert_text

字符串

警报的标题。

alert_text_with_names

字符串

内容与 alert_text 相同,但所有 id 字段均用相应名称代替。并非所有警报都存在此字段。

severity

字符串

固定字符串值集:LOW、MEDIUM、HIGH、CRITICAL、IMMEDIATE_ACTION。这是警报的严重性。对于某些类型的警报,这些值均可配置。

alert_notes

字符串

通常不设置。在某些特殊情况下可能存在,用于通过 Kafka DataTap 传递其他信息。

alert_conf_id

字符串

触发此警报的警报配置的 ID。可能并非所有警报都存在。

alert_details

字符串

结构化数据。字符串化的 json。请参阅特定警报类型的功能详细信息,因为此字段的确切结构会因警报类型而异。

alert_details_json

json

与 alert_details 的内容相同,但未进行字符串化。仅针对合规性警报显示,并且仅可通过 Kafka 获得。

tenant_id

字符串

可能包含与 root_ scope_id 对应的 VRF。Or 可能包含 0 作为默认值。或者可能根本不存在。

alert_id

字符串

内部生成的临时 ID。最好忽略。

alert_name

字符串

警报的名称。

  • 合规性:lab-compliance-alert-details

  • 取证:外部集成取证事件字段

  • 传感器警报详细信息

  • 执行警报详细信息

  • 连接器:警报详细信息

  • 联合:federation-alert-details

  • 平台:警报详细信息

通知程序的常规警报格式

以下示例说明了各种通知程序类型的警报显示方式。


Note

从 Cisco Secure Workload 3.9 开始,通知程序详细信息包括警报名称

Kafka (DataTaps)

Kafka (DataTap) 消息采用 JSON 格式。示例如下;有关其他示例,请参阅上面的 alert_details。

{
"_id" : ObjectId("66969d9b89f8901091b54f29"),
"key_id" : "SEN::6c12d5738f083632ad99acb1ba7a6dc4968938be-amt_of_flow_obs",
"event_time" : NumberLong("1721146728000"),
"alert_time" : NumberLong("1721146779640"),
"alert_text" : "Amount Of Flow Observed Above Threshold: collectorDatamover-2",
"alert_text_with_names" : "Amount Of Flow Observed Above Threshold: collectorDatamover-2",
"severity" : "HIGH",
"tenant_id" : "676767",
"root_scope_id" : "6666b8a9497d4f0a95461073",
"type" : "SENSOR",
"alert_details" : "{\"details\":{\"AgentType\":\"SENSOR\",\"Bios\":\"819FAC8D-39DE-
4C56-8CF4-7EEE25CF3510\",\"CurrentVersion\":\"3.10.2.26-
sensor\",\"DesiredVersion\":\"3.10.2.26-sensor\",\"HostName\":\"collectorDatamover-
2\",\"IP\":\"1.1.1.36\",\"LastConfigFetchAt\":\"2024-07-16 15:49:50 +0000
 UTC\",\"Platform\":\"CentOS-
7.9\"},\"agent_uuid\":\"6c12d5738f083632ad99acb1ba7a6dc4968938be\",\"scope_na
me\":\"Tetration\",\"scope_id\":\"6666b8a9497d4f0a95461073\",\"vrf_id\":676767,\"h
ost_name\":{\"collectorDatamover-
2\":\"6c12d5738f083632ad99acb1ba7a6dc4968938be\"},\"alert_sub_type\":[\"Amount 
Of Flow Observed Above Threshold\"]}",
"alert_name" : "Amt_Of_Flow_Obs"
}

邮件

有关配置邮件警报的信息:邮件连接器

Figure 14. Cisco Secure Workload 传感器警报的示例
配置为发送到邮件时的 Cisco Secure Workload 警报示例

PagerDuty

有关配置 PagerDuty 警报的信息:PagerDuty 连接器

Figure 15. PagerDuty 中的 Cisco Secure Workload 警报示例
PagerDuty 中的 Cisco Secure Workload 警报示例

发送到 PagerDuty 的警报是根据 key_id 重新触发的同一警报。

严重性会别映射到 PagerDuty 严重性,如下所示:

Cisco Secure Workload 严重性

PagerDuty 严重性

IMMEDIATE_ACTION

严重性

严重

严重性

错误

警告

LOW

信息

系统日志

有关配置系统日志警报和调整严重性映射的信息:系统日志连接器

Figure 16. 发送到系统日志的 Cisco Secure Workload 警报示例
多个 Cisco Secure Workload 警报发送到系统日志的示例

Slack

有关配置 Slack 警报的信息:Slack 连接器

Figure 17. 发送到 Slack 信道的 Cisco Secure Workload 警报示例
向 Slack 通道发送 Cisco Secure Workload 警报的示例

Kinesis

有关配置 Kinesis 警报的信息:Kinesis 连接器

Kinesis 警报与 Kafka 警报类似,因为两者都是消息队列。