簡介
本檔案介紹將Cisco XDR與安全防火牆整合、驗證和故障排除所需的步驟。
整合安全防火牆和XDR的方法有兩種,每種整合都會提供不同的結果。
第一種方法描述如何整合安全防火牆、安全服務交換(SSX)、安全雲控制、XDR-Analytics和XDR以豐富調查。
第二種方法描述如何整合Secure Firewall、SSX、安全雲控制、XDR-A、SAL雲和XDR以豐富突發事件。
必要條件
需求
思科建議您瞭解以下主題:
- 思科防火牆管理中心(FMC)
- 思科安全防火牆威脅防禦
- 映像的可選虛擬化
- Cisco Defense Orchestrator
- 安全服務交換
- 安全雲端控制
採用元件
- 安全防火牆 — 7.2
- Firepower管理中心(FMC)- 7.2
- 安全服務交換(SSX)
- Cisco XDR
- 智慧授權入口網站
- Cisco Defense Orchestrator
- 安全雲端控制
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
授權
虛擬帳戶角色:
只有虛擬帳戶管理員或智慧帳戶管理員有權將智慧帳戶與SSX帳戶連結。
步驟1。若要驗證智慧帳戶角色,請導覽至software.cisco.com,然後在Administration Menu下選擇Manage Smart Account。

步驟2。若要驗證使用者角色,請導覽至Users,並驗證在「Roles」下,帳戶是否設為虛擬帳戶管理員,如下圖所示。

步驟3.確保選擇在SSX上鍊接的虛擬帳戶包含安全裝置的許可證,前提是不包含安全許可證的帳戶連結在SSX上,安全裝置和事件沒有顯示在SSX門戶上。

步驟4.要驗證FMC是否已註冊到正確的虛擬帳戶,請導航到System > Licenses > Smart License:

將您的帳戶連結到SSX並註冊裝置。
步驟1。當您登入到SSX帳戶時,必須將智慧帳戶連結到SSX帳戶,為此,您需要按一下「工具」圖示並選擇「連結智慧/虛擬帳戶」。

帳戶連結後,您會看到智慧帳戶及其上的所有虛擬帳戶。
方法1(半整合):豐富調查
將裝置註冊到SSX
步驟1.確保您的環境中允許這些URL:
美國地區
歐盟地區
APJC地區
- api.apj.sse.itd.cisco.com
- mx*.apj.sse.itd.cisco.com
- dex.apj.sse.itd.cisco.com
- eventing-ingest.apj.sse.itd.cisco.com
- registration.apj.sse.itd.cisco.com
- apj.cdo.cisco.com
- edge.apj.cdo.cisco.com
澳洲地區:
-
api.aus.sse.itd.cisco.com
-
mx*.aus.sse.itd.cisco.com
-
dex.au.sse.itd.cisco.com
-
eventing-ingest.aus.sse.itd.cisco.com
-
registration.au.sse.itd.cisco.com
-
aus.cdo.cisco.com
印度地區:
步驟2.使用此URL https://admin.sse.itd.cisco.com登入SSX入口網站,導覽至Cloud Services,然後啟用Cisco XDR 和Eventing這兩個選項,如下圖所示。

步驟3.您可以驗證現在是否可在SSX上看到註冊的裝置:

事件由安全防火牆裝置傳送,導航到SSX門戶上的事件以驗證裝置傳送到SSX的事件,如下圖所示。

將裝置註冊到安全雲控制(SCC/CDO)
步驟1.確保在您的環境中允許這些URL
美國地區:
-
defenseorchestrator.com
- edge.us.cdo.cisco.com
歐盟地區
-
defenseorchestrator.eu
- edge.eu.cdo.cisco.com
APJC地區
-
apjc.cdo.cisco.com
- edge.apjc.cdo.cisco.com
澳洲地區:
印度地區:
步驟2.導航到Security Cloud Control(連結因區域而異),此操作將指導您選擇您的安全雲控制組織。

步驟3.選擇適當的組織後,導航至產品>防火牆,驗證您的裝置是否已存在,如果沒有,您可以將其加入安全雲控制(Cisco Defense Orchestrator),為此,在「整體庫存」下,按一下「新建所有裝置」。

步驟4.導覽至Administration > Firewall Management Center,此時將顯示整合到SCC的FMC清單。如果您沒有看到您的Firewall Management Center,請按一下加號圖示。
步驟4.1。一般情況下,Secure防火牆會自動登入,否則請選擇您要登入的裝置(FTD)和您的首選登入方法。
步驟4.2.在Security Devices(安全裝置)部分下,按一下plus圖示,選擇Onboard Secure Firewall裝置,然後選擇您的首選


步驟5.在Security Cloud Control中登入裝置後,您便可以在清單中對其進行視覺化。
步驟6.確保您的CDO組織已連結到SSX組織,為此,請導航到Security Services Exchange,按一下「工具」選單圖示,然後按一下「連結CDO帳戶」。

整合安全防火牆
從7.2.x到7.4.x(使用Cisco XDR)
步驟1.在Secure Firewall Management Center中,導航到Integration > SecureX

步驟2.選擇右側區域,然後按一下Enable SecureX。

步驟 3. 按一下Enable SecureX後,它將您重定向到Cisco Defense Orchestrator Authentication Page(利用Security Cloud Sign On),按一下Continue to Cisco SSO。

附註:
從7.6.x及更高版本通過Cisco XDR
步驟1。在安全防火牆管理中心,導覽至Integration > Cisco Security Cloud

步驟2.選擇右側區域,然後按一下Enable Cisco Security Cloud。
步驟 3. 點選啟用思科安全雲後,它將您重定向到Cisco Defense Orchestrator身份驗證頁面(該頁面利用安全雲登入),然後點選繼續到Cisco SSO。
步驟4.您可以選擇現有的安全雲控制租戶,也可以建立新租戶。
步驟5.選擇適當的租戶,並確保您在此頁面中收到的代碼與您在FMC中收到的代碼相匹配,如果匹配,請按一下授權FMC。


步驟6.輸入您的安全雲登入憑證並授權整合,一旦完成,系統將顯示確認FMC已獲授權向思科安全雲註冊。

步驟7。完成授權後,您可以導覽回FMC,選擇要傳送到雲的事件,並在完成此操作後按一下儲存。
步驟8.您可以選擇啟用SecureX Orchestration(XDR Automatic)

步驟9.導航到XDR> Administration> On Premises Appliance,然後搜尋您的裝置,這些裝置必須自動註冊。
步驟10.導覽至XDR>管理>整合,然後啟用Secure Firewall整合。

步驟10.1.為整合分配名稱,按一下+Add。

通過這種整合,您可以在XDR中豐富調查工作。
方法2(完全整合):在XDR中豐富事件
附註:為了確保安全防火牆、XDR、Cisco Defense Orchestrator(CDO)、安全服務交換(SSX)以及安全分析和記錄(SAL)之間的無縫集成,需要手動對映。此過程涉及到聯絡Cisco TAC以執行必要的配置和對映。
步驟1。您的CDO帳戶必須具有Security Analytics and Logging許可證,才能將事件轉發到Cisco XDR。
步驟2.請使用前面介紹的步驟在SSX和安全雲控制中註冊您的裝置。
步驟3.完成後,請使用這些詳細資訊聯絡TAC,並請求將安全雲控制/SAL連結到XDR分析。
- CDO租戶ID
- CDO名稱
- XDR組織ID
- SSX租戶ID
- SSX名稱
- SCA組織ID
步驟4.確保您的CDO帳戶連結到XDR分析門戶。
將CDO門戶連結到XDR分析之前,它如下所示:

連結完成後,您可以看到導航到XDR分析門戶的選項。

步驟5.在將XDR Analytics帳戶連結到安全雲控制門戶(CDO)後,您需要確保XDR Analytics與XDR整合,為此,在XDR Analytics中,導航到Settings > Integrations > XDR,查詢XDR Integration,並確儲存在綠色勾選標籤,並且整合模組指向正確的XDR組織。

驗證
驗證Secure 防火牆是否生成事件(惡意軟體或入侵),對於入侵事件,請導航至
驗證在SSX門戶上註冊的事件,如將裝置註冊到SSX部分步驟4中所述.
驗證資訊是否顯示在Cisco XDR控制面板上,或者檢查API日誌,以便檢視可能的API故障原因。
驗證是否所有租戶正確連結在一起,如果您遇到問題,請開啟TAC案例並提供以下詳細資訊:
- CDO租戶ID
- CDO名稱
- XDR組織ID
- SSX租戶ID
- SSX名稱
- SCA組織ID
疑難排解
檢測連線問題
可以從action_queue.log檔案中檢測一般連線問題。在出現故障時,您可以看到檔案中存在以下日誌:
ActionQueueScrape.pl[19094]: [SF::SSE::Enrollment] canConnect: System (/usr/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --capath /ngfw/etc/sf/keys/fireamp/thawte_roots -f https://api.eu.sse.itd.cisco.com/providers/sse/api/v1/regions) Failed, curl returned 28 at /ngfw/usr/local/sf/lib/perl/5.10.1/SF/System.pmline 10477.
在這種情況下,退出代碼28表示操作超時,我們必須檢查與Internet的連線。您還必須看到退出代碼6,這意味著存在DNS解析問題
由於DNS解析引起的連線問題
步驟1.檢查連通性是否正常工作。
root@ftd01:~# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* getaddrinfo(3) failed for api-sse.cisco.com:443
* Couldn't resolve host 'api-sse.cisco.com'
* Closing connection 0
curl: (6) Couldn't resolve host 'api-sse.cisco.com'
此輸出顯示,裝置無法解析URL https://api-sse.cisco.com,在這種情況下,我們需要驗證是否配置了正確的DNS伺服器,它可以通過專家CLI中的nslookup進行驗證:
root@ftd01:~# nslookup api-sse.cisco.com
;; connection timed out; no servers could be reached
此輸出顯示未到達已配置的DNS,為了確認DNS設定,請使用show network命令:
> show network
===============[ System Information ]===============
Hostname : ftd01
DNS Servers : x.x.x.10
Management port : 8305
IPv4 Default route
Gateway : x.x.x.1
======================[ eth0 ]======================
State : Enabled
Link : Up
Channels : Management & Events
Mode : Non-Autonegotiation
MDI/MDIX : Auto/MDIX
MTU : 1500
MAC Address : x:x:x:x:9D:A5
----------------------[ IPv4 ]----------------------
Configuration : Manual
Address : x.x.x.27
Netmask : 255.255.255.0
Broadcast : x.x.x.255
----------------------[ IPv6 ]----------------------
Configuration : Disabled
===============[ Proxy Information ]================
State : Disabled
Authentication : Disabled
在此示例中,使用了錯誤的DNS伺服器,您可以使用以下命令更改DNS設定:
> configure network dns x.x.x.11
在可以再次測試此連線之後,這次連線成功。
root@ftd01:~# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* Trying x.x.x.66...
* Connected to api-sse.cisco.com (x.x.x.66) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Request CERT (13):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=api -sse.cisco.com
* start date: 2019-12-03 20:57:56 GMT
* expire date: 2021-12-03 21:07:00 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID S SL ICA G2
* SSL certificate verify result: self signed certificate in certificate c hain (19), continuing anyway.
> GET / HTTP/1.1
> Host: api-sse.cisco.com
> User-Agent: curl/7.44.0
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< Date: Wed, 08 Apr 2020 01:27:55 GMT
< Content-Type: text/plain; charset=utf-8
< Content-Length: 9
< Connection: keep-alive
< Keep-Alive: timeout=5
< ETag: "5e17b3f8-9"
< Cache-Control: no-store
< Pragma: no-cache
< Content-Security-Policy: default-src 'self'
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< Strict-Transport-Security: max-age=31536000; includeSubdomains;
SSX門戶的註冊問題
FMC和Secure Firewall都需要連線到其管理介面上的SSX URL,要測試連線,請在具有根訪問許可權的Firepower CLI上輸入以下命令:
curl -v https://api-sse.cisco.com/providers/sse/services/registration/api/v2/clients --cacert /ngfw/etc/ssl/connectorCA.pem
curl -v https://est.sco.cisco.com --cacert /ngfw/etc/ssl/connectorCA.pem
curl -v https://eventing-ingest.sse.itd.cisco.com --cacert /ngfw/etc/ssl/connectorCA.pem
curl -v https://mx01.sse.itd.cisco.com --cacert /ngfw/etc/ssl/connectorCA.pem
可以使用以下命令繞過證書檢查:
root@ftd01:~# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* Trying x.x.x.66...
* Connected to api-sse.cisco.com (x.x.x.66) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Request CERT (13):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=api -sse.cisco.com
* start date: 2019-12-03 20:57:56 GMT
* expire date: 2021-12-03 21:07:00 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID S SL ICA G2
* SSL certificate verify result: self signed certificate in certificate c hain (19), continuing anyway.
> GET / HTTP/1.1
> Host: api-sse.cisco.com
> User-Agent: curl/7.44.0
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< Date: Wed, 08 Apr 2020 01:27:55 GMT
< Content-Type: text/plain; charset=utf-8
< Content-Length: 9
< Connection: keep-alive
< Keep-Alive: timeout=5
< ETag: "5e17b3f8-9"
< Cache-Control: no-store
< Pragma: no-cache
< Content-Security-Policy: default-src 'self'
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< Strict-Transport-Security: max-age=31536000; includeSubdomains;
附註:您會收到403 Forbidden消息,因為從測試傳送的引數不是SSX期望的,但這一點足以驗證連線。
驗證SSEConnector狀態
您可以驗證聯結器屬性,如圖所示。
# more /ngfw/etc/sf/connector.properties
registration_interval=180
connector_port=8989
connector_fqdn=api-sse.cisco.com
為了檢查SSConnector和EventHandler之間的連線,可以使用此命令,以下是連線錯誤的示例:
root@firepower:/etc/sf# netstat -anlp | grep EventHandler_SSEConnector.sock
unix 2 [ ACC ] STREAM LISTENING 3022791165 11204/EventHandler /ngfw/var/sf/run/EventHandler_SSEConnector.sock
在已建立的連線的範例中,可以看到串流狀態為已連線:
root@firepower:/etc/sf# netstat -anlp | grep EventHandler_SSEConnector.sock
unix 2 [ ACC ] STREAM LISTENING 382276 7741/EventHandler /ngfw/var/sf/run/EventHandler_SSEConnector.sock
unix 3 [ ] STREAM CONNECTED 378537 7741/EventHandler /ngfw/var/sf/run/EventHandler_SSEConnector.soc
驗證傳送到SSX門戶和CTR的資料
若要將事件從安全防火牆裝置傳送到SSX,需要使用https://eventing-ingest.sse.itd.cisco.com建立TCP連線。以下範例說明在SSX入口和安全防火牆之間未建立連線:
root@firepower:/ngfw/var/log/connector# lsof -i | grep conn
connector 60815 www 10u IPv4 3022789647 0t0 TCP localhost:8989 (LISTEN)
connector 60815 www 12u IPv4 110237499 0t0 TCP firepower.cisco.com:53426->ec2-100-25-93-234.compute-1.amazonaws.com:https (SYN_SENT)
在connector.log日誌中:
time="2020-04-13T14:34:02.88472046-05:00" level=error msg="[firepower.cisco.com][events.go:90 events:connectWebSocket] dial tcp x.x.x.246:443: getsockopt: connection timed out"
time="2020-04-13T14:38:18.244707779-05:00" level=error msg="[firepower.cisco.com][events.go:90 events:connectWebSocket] dial tcp x.x.x.234:443: getsockopt: connection timed out"
time="2020-04-13T14:42:42.564695622-05:00" level=error msg="[firepower.cisco.com][events.go:90 events:connectWebSocket] dial tcp x.x.x.246:443: getsockopt: connection timed out"
time="2020-04-13T14:47:48.484762429-05:00" level=error msg="[firepower.cisco.com][events.go:90 events:connectWebSocket] dial tcp x.x.x.234:443: getsockopt: connection timed out"
time="2020-04-13T14:52:38.404700083-05:00" level=error msg="[firepower.cisco.com][events.go:90 events:connectWebSocket] dial tcp x.x.x.234:443: getsockopt: connection timed out"
附註:請注意,顯示的x.x.x.246和1x.x.246屬於https://eventing-ingest.sse.itd.cisco.com的IP地址必須更改,因此建議允許基於URL而不是IP地址的SSX門戶流量。
如果此連線未建立,則不會將事件傳送到SSX門戶。以下是在安全防火牆和SSX入口之間建立連線的示例:
root@firepower:# lsof -i | grep conn
connector 13277 www 10u IPv4 26077573 0t0 TCP localhost:8989 (LISTEN)
connector 13277 www 19u IPv4 26077679 0t0 TCP x.x.x.200:56495->ec2-35-172-147-246.compute-1.amazonaws.com:https (ESTABLISHED)
無法將裝置(FTD)註冊到安全雲控制
如果您的裝置無法註冊到安全雲控制,請確保該裝置已連線到適當的CDO租戶。
要驗證正確的URL,請導航到Administration > Firewall Management Center,選擇Cloud Delivered FMC,在螢幕右上角可以看到主機名。
admin@MexAmpFTD:~$ nc -vz xxxxxxxx.app.us.cdo.cisco.com 443
Connection to xxxxxxxx.app.us.cdo.cisco.com 443 port [tcp/https] succeeded!
如果您在連線到CDO時仍然遇到問題,請確保埠8305已開啟,這是連線問題的一個示例。
admin@AMP-DMZ-FPR:~$ sudo tail /ngfw/var/log/messages
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_peers [INFO] Peer xxxxxxxx.app.us.cdo.cisco.com needs a single connection
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Connect to xxxxxxxx.app.us.cdo.cisco.com on port 8305 - management0
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Initiate connection using resolved_ip_list having [2] entries on list [1] (via management0)
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Initiate IPv6 type connection
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Initiate IPv4 type connection
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Initiate IPv4 connection from resolved_ip_list to x.x.x.51 (via management0)
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Initiating IPv4 connection to x.x.x.51:8305/tcp
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Wait to connect to 8305 (IPv4): x.x.x.51
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Connect to x.x.x.51 failed on port 8305 socket 8 (Connection refused)
裝置已註冊到錯誤的SSX租戶
您可以驗證您的FMC已註冊到哪個SSX租戶。
admin@fmc01:~$ curl localhost:8989/v1/contexts/default/tenant
{"registeredTenantInfo":{"companyId":"689xxxxx-eaxx-5bxx-b1xx-a7662axxxxx","companyName":"XDR BETA - TAC Org","id":"7487917c-2ead-471b-b521-caxxxxxxxxxa","spId":"SXSO"},"tenantInfo":[{"companyId":"689xxxxx-eaxx-5bxx-b1xx-a7662axxxxx","companyName":"XDR BETA - TAC Org","id":"7487917c-2ead-471b-b521-caxxxxxxxxxa","spId":"SXSO"}]}admin@fmc01:~$
如果SSX租戶不正確,您需要重新執行步驟以將裝置註冊到SSX
如果SSX租戶正確,但CDO租戶未連結到適當的SSX組織,請通過以下詳細資訊聯絡TAC:
相關資訊