Pag-analisar sa Hitabo sa Cisco Gamit ang Giya sa Gumagamit sa External Tools

Cisco Event Analysis Using External Tools User Guide

Cisco-logo

Pag-analisar sa Hitabo sa Cisco Gamit ang External Tools

Cisco-Event-Analysis-Paggamit-External-Tools-PRO

Impormasyon sa Produkto

Ang produkto nagtugot sa mga tiggamit sa pag-integrate sa Cisco SecureX ug pag-access niini gamit ang ribbon feature sa FMC web interface.

Mga detalye

  • Paghiusa: Cisco SecureX
  • Interface: FMC web interface
  • Feature sa Ribbon: Ubos sa matag panid

Mga Instruksyon sa Paggamit sa Produkto

Pag-access sa SecureX Gamit ang Ribbon
Aron ma-access ang SecureX gamit ang ribbon feature, sunda kini nga mga lakang:

  1. Sa FMC, i-klik ang ribbon sa ubos sa bisan unsang FMC page.
  2. I-klik ang "Get SecureX".
  3. Sign in sa SecureX.
  4. I-klik ang link aron tugutan ang pag-access.
  5. I-klik ang ribbon aron mapalapad ug gamiton kini.

Pag-analisar sa Hitabo Gamit ang External Tools
Aron mahimo ang pagtuki sa panghitabo gamit ang mga eksternal nga himan, sunda kini nga mga lakang:

  1. Sa FMC, i-klik ang ribbon sa ubos sa bisan unsang FMC page.
  2. I-klik ang "Get SecureX".
  3. Sign in sa SecureX.
  4. I-klik ang link aron tugutan ang pag-access.
  5. I-klik ang ribbon aron mapalapad ug gamiton kini.

Pag-analisar sa Hitabo uban sa Cisco SecureX nga Tubag sa Panghulga
Ang Cisco SecureX Threat Response (kanhi nailhan nga Cisco Threat Response) nagtugot sa mga tiggamit sa paspas nga pag-ila, pag-imbestiga, ug pagtubag sa mga hulga. Aron mahimo ang pagtuki sa panghitabo gamit ang Cisco SecureX Threat Response, sunda kini nga mga lakang:

  1. Sa FMC, i-klik ang ribbon sa ubos sa bisan unsang FMC page.
  2. I-klik ang "Get SecureX".
  3. Sign in sa SecureX.
  4. I-klik ang link aron tugutan ang pag-access.
  5. I-klik ang ribbon aron mapalapad ug gamiton kini.

View Data sa Panghitabo sa Cisco SecureX nga Tubag sa Panghulga

Sa view data sa panghitabo sa Cisco SecureX Threat Response, sundan
kini nga mga lakang:

  1. Sign in sa Cisco SecureX Threat Response ingon nga giaghat.

Imbestigasyon sa Hitabo Paggamit Web-Base nga mga Kapanguhaan
Sa pag-imbestigar sa mga panghitabo gamit ang web-based nga mga kapanguhaan, sunda kini nga mga lakang:

  1. Sign in sa Cisco SecureX Threat Response ingon nga giaghat.
  2. Gamita ang feature nga cross-launch sa konteksto aron makapangita ug dugang impormasyon bahin sa posibleng mga hulga sa web-based nga mga kapanguhaan gawas sa Firepower Management Center.
  3. Pag-klik direkta gikan sa usa ka panghitabo sa kalihokan viewer o dashboard sa Firepower Management Center sa may kalabutan nga impormasyon sa eksternal nga kapanguhaan.

Mahitungod sa Pagdumala sa Contextual Cross-Launch Resources
Sa pagdumala sa gawas web-based nga mga kapanguhaan, sunda kini nga mga lakang:

  1. Adto sa Pag-analisa> Advanced> Contextual Cross-Launch.
  2. Pagdumala sa pre-defined ug third-party resources nga gitanyag sa Cisco.
  3. Mahimo nimong i-disable, i-delete, o i-rename ang mga kapanguhaan kung gikinahanglan.

Mga FAQ

  • Q: Unsa ang SecureX?
    A: Ang SecureX usa ka platform sa panagsama sa Cisco Cloud nga nagtugot sa mga tiggamit sa pag-analisar sa mga insidente gamit ang datos nga giipon gikan sa daghang mga produkto, lakip ang Firepower.
  • P: Unsaon nako pag-access ang SecureX gamit ang ribbon feature?
    A: Aron ma-access ang SecureX gamit ang ribbon feature, i-klik ang ribbon sa ubos sa bisan unsang FMC page ug sunda ang gihatag nga mga lakang.
  • P: Pwede ba view data sa panghitabo sa Cisco SecureX Threat Response?
    A: Oo, mahimo nimo view data sa panghitabo sa Cisco SecureX Threat Response pinaagi sa pag-sign in ingon nga giaghat.
  • P: Unsaon nako pag-imbestigar sa mga panghitabo gamit ang web-base nga mga kapanguhaan?
    A: Sa pag-imbestigar sa mga panghitabo gamit ang web-based nga mga kahinguhaan, pag-sign in sa Cisco SecureX Threat Response ug gamita ang contextual cross-launch feature aron makapangita og may kalabutan nga impormasyon.

I-integrate sa Cisco SecureX

View ug pagtrabaho uban sa datos gikan sa tanan nimong mga produkto sa seguridad sa Cisco ug uban pa pinaagi sa usa ka pane sa bildo, ang SecureX cloud portal. Gamita ang mga himan nga magamit pinaagi sa SecureX aron mapauswag ang imong pagpangayam ug imbestigasyon sa hulga. Makahatag usab ang SecureX og mapuslanon nga kasayuran sa appliance ug aparato sama sa kung ang matag usa nagpadagan sa labing maayo nga bersyon sa software.

Pag-access sa SecureX Gamit ang Ribbon
Ang ribbon makita sa ubos sa matag panid sa FMC web interface. Mahimo nimong gamiton ang ribbon aron dali nga mag-pivot sa ubang mga produkto sa seguridad sa Cisco ug magtrabaho uban ang datos sa hulga gikan sa daghang mga gigikanan.

Sa dili ka pa magsugod

  • Kung dili nimo makita ang SecureX ribbon sa ilawom sa FMC web mga panid sa interface, ayaw gamita kini nga pamaagi. Hinuon, tan-awa ang Firepower ug SecureX Integration Guide sa https://cisco.com/go/firepower-securex-documentation.
  • Kung wala ka pa usa ka SecureX account, pagkuha usa gikan sa imong departamento sa IT.

Pamaagi

  • Lakang 1 Sa FMC, i-klik ang ribbon sa ubos sa bisan unsang FMC page.
  • Lakang 2 I-klik ang Get SecureX.
  • Lakang 3 Pag-sign in sa SecureX.
  • Lakang 4 I-klik ang link aron tugutan ang pag-access.
  • Lakang 5 I-klik ang ribbon aron mapalapad ug gamiton kini.

Unsa ang sunod nga buhaton
Para sa impormasyon bahin sa mga feature sa ribbon ug unsaon paggamit niini, tan-awa ang online nga tabang sa SecureX.

Pag-analisar sa Hitabo uban ang tubag sa hulga sa Cisco SecureX

Ang tubag sa hulga sa Cisco SecureX kaniadto nailhan nga Cisco Threat Response (CTR.) Paspas nga nakamatikod, nag-imbestiga, ug nagtubag sa mga hulga gamit ang tubag sa hulga sa Cisco SecureX, ang platform sa panagsama sa Cisco Cloud nga nagtugot kanimo sa pag-analisar sa mga insidente gamit ang datos nga giipon gikan sa daghang mga produkto, lakip ang Gahum sa kalayo.

View Data sa Hitabo sa tubag sa hulga sa Cisco SecureX

Sa dili ka pa magsugod

Pamaagi

Lakang 1
Sa Firepower Management Center, buhata ang usa sa mosunod:

  • Aron mag-pivot sa tubag sa hulga sa Cisco SecureX gikan sa usa ka piho nga panghitabo:
    • Pagdala ngadto sa usa ka panid ubos sa Pag-analisa > Mga Intrusions nga menu nga naglista sa gisuportahan nga panghitabo.
    • I-right-click ang tinubdan o destinasyon nga IP address ug pilia View sa SecureX.
  • Sa view impormasyon sa panghitabo kasagaran:
    • Pagdala ngadto sa System > Integrations > Cloud Services.
    • I-klik ang link sa view mga panghitabo sa tubag sa hulga sa Cisco SecureX.

Lakang 2
Pag-sign in sa tubag sa hulga sa Cisco SecureX ingon nga giaghat.

Imbestigasyon sa Hitabo Paggamit Web-Base nga mga Kapanguhaan
Gamita ang feature nga cross-launch sa konteksto aron dali nga makit-an ang dugang nga kasayuran bahin sa mga potensyal nga hulga sa web-based nga mga kapanguhaan gawas sa Firepower Management Center. Kay example, mahimo nimo:

  • Pangitaa ang usa ka kadudahang tinubdan IP address sa usa ka Cisco o ikatulo nga partido nga cloud-host nga serbisyo nga nagpatik sa impormasyon mahitungod sa nahibal-an ug gidudahang mga hulga, o
  • Pangitaa ang nangaging mga higayon sa usa ka partikular nga hulga sa makasaysayanong mga log sa imong organisasyon, kung ang imong organisasyon nagtipig sa datos sa usa ka Security Information and Event Management (SIEM) nga aplikasyon.
  • Pangitag impormasyon bahin sa usa ka partikular file, lakip ang file impormasyon sa trajectory, kung ang imong organisasyon nag-deploy sa Cisco AMP alang sa Endpoints.

Kung nag-imbestiga sa usa ka panghitabo, mahimo ka nga mag-klik direkta gikan sa usa ka panghitabo sa panghitabo viewer o dashboard sa Firepower Management Center ngadto sa may kalabutan nga impormasyon sa eksternal nga kapanguhaan. Gitugotan ka niini nga dali nga makolekta ang konteksto sa palibot sa usa ka piho nga panghitabo base sa mga IP address, pantalan, protocol, domain, ug/o SHA 256 hash. Kay exampug, ingnon ta nga imong gitan-aw ang Top Attackers dashboard widget ug gusto nimo pangitaon ang dugang nga impormasyon bahin sa usa sa tinubdan nga mga IP address nga nalista. Gusto nimong tan-awon kung unsa nga impormasyon ang gipatik ni Talos bahin niining IP address, mao nga imong pilion ang "Talos IP" nga kapanguhaan. Ang Talos web Ang site nag-abli sa usa ka panid nga adunay kasayuran bahin niining piho nga IP address. Makapili ka gikan sa usa ka set sa pre-defined links sa kasagarang gigamit nga Cisco ug third-party threat intelligence services, ug makadugang ug custom links sa uban web-based nga mga serbisyo, ug sa mga SIEM o ubang mga produkto nga adunay a web interface. Timan-i nga ang ubang mga kapanguhaan mahimong magkinahanglan og account o pagpalit og produkto.

Mahitungod sa Pagdumala sa Contextual Cross-Launch Resources

  • Pagdumala sa gawas web-based nga mga kapanguhaan gamit ang Analysis > Advanced > Contextual Cross-Launch page.

Eksepsiyon:
Pagdumala sa cross-launch links sa usa ka Secure Network Analytics appliance nga nagsunod sa pamaagi sa Configure Cross-Launch Links para sa Secure Network Analytics.

  • Pre-defined nga mga kapanguhaan nga gitanyag sa Cisco gimarkahan sa logo sa Cisco. Ang nahabilin nga mga link kay mga kapanguhaan sa ikatulo nga partido.
  • Mahimo nimong i-disable o tangtangon ang bisan unsang mga kahinguhaan nga dili nimo kinahanglan, o mahimo nimong ilisan ang ngalan niini, alang sa example pinaagi sa pag-prefix sa usa ka ngalan nga adunay gamay nga letra nga "z" aron ang kahinguhaan masunud sa ilawom sa lista. Ang pag-disable sa usa ka cross-launch nga kapanguhaan makapawala niini alang sa tanan nga tiggamit. Dili nimo ibalik ang mga natangtang nga mga kapanguhaan, apan mahimo nimo kini pag-usab.
  • Aron makadugang ug kapanguhaan, tan-awa ang Add Contextual Cross-Launch Resources.

Mga Kinahanglanon alang sa Custom Contextual Cross-Launch Resources

Kung nagdugang sa naandan nga konteksto nga cross-launch nga mga kapanguhaan:

  • Ang mga kapanguhaan kinahanglan nga ma-access pinaagi sa web browser.
  • Ang http ug https lang nga mga protocol ang gisuportahan.
  • Ang GET hangyo lamang ang gisuportahan; Ang mga hangyo sa POST dili.
  • Pag-encode sa mga variable sa URLs wala gisuportahan. Samtang ang mga adres sa IPv6 mahimong magkinahanglan og mga separator sa colon nga ma-encode, kadaghanan sa mga serbisyo wala magkinahanglan niini nga pag-encode.
  • Hangtud sa 100 ka mga kapanguhaan ang mahimong ma-configure, lakip ang gitakda nang daan nga mga kapanguhaan.
  • Kinahanglan nga ikaw usa ka Admin o Security Analyst nga tiggamit aron makahimo usa ka cross launch, apan mahimo ka usab usa ka read-only Security Analyst aron magamit kini.

Idugang ang Contextual Cross-Launch Resources

  • Mahimo nimong idugang ang mga kapanguhaan sa cross-launch sa konteksto sama sa mga serbisyo sa paniktik sa hulga ug mga himan sa Security Information and Event Management (SIEM).
  • Sa mga pag-deploy sa multidomain, mahimo nimong makita ug magamit ang mga kahinguhaan sa mga parent domain, apan mahimo ka lang maghimo ug mag-edit sa mga kapanguhaan sa karon nga domain. Limitado sa 100 ang kinatibuk-ang gidaghanon sa mga kahinguhaan sa tanang natad.

Sa dili ka pa magsugod

  • Kung nagdugang ka og mga link sa usa ka appliance sa Secure Network Analytics, susiha aron makita kung ang mga link nga gusto nimo anaa na; kadaghanan sa mga link awtomatik nga gihimo alang kanimo kung imong gi-configure ang Cisco Security Analytics ug Pag-log (On Premises).
  • Tan-awa ang Mga Kinahanglanon alang sa Custom nga Konteksto nga Cross-Launch nga Kapanguhaan.
  • Kung gikinahanglan alang sa kapanguhaan nga imong i-link, paghimo o pagkuha og account ug ang mga kredensyal nga gikinahanglan alang sa pag-access. Opsyonal, pag-assign ug pag-apod-apod sa mga kredensyal alang sa matag tiggamit nga nanginahanglan pag-access.
  • Tinoa ang syntax sa link sa pangutana alang sa kapanguhaan nga imong i-link sa:
    • Pag-access sa kapanguhaan pinaagi sa browser ug, gamit ang dokumentasyon alang sa kana nga kapanguhaan kung gikinahanglan, paghimo sa link sa pangutana nga gikinahanglan aron makapangita usa ka piho nga s.ampsa matang sa impormasyon nga gusto nimo pangitaon sa imong pangutana nga link, sama sa IP address.
    • Pagdalagan ang pangutana, unya kopyaha ang resulta URL gikan sa location bar sa browser.
    • Kay example, basin naay pangutana URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

Pamaagi

  • Lakang 1
    Pilia ang Analysis > Advanced > Contextual Cross-Launch.
  • Lakang 2 I-klik ang Bag-ong Cross-Launch.
    Sa porma nga makita, ang tanan nga mga natad nga gimarkahan og asterisk nanginahanglan usa ka kantidad.
  • Lakang 3 Pagsulod ug talagsaong ngalan sa kapanguhaan.
  • Lakang 4 Idikit ang nagtrabaho URL string gikan sa imong kapanguhaan ngadto sa URL Natad sa template.
  • Lakang 5 Ilisan ang espesipikong datos (sama sa IP address) sa query string nga adunay angay nga variable: Ibutang ang imong cursor, dayon i-klik ang variable (alang sa example, ip) kausa sa pagsal-ot sa variable.
    • Sa example gikan sa “Before You Begin” nga seksyon sa ibabaw, ang resulta URL tingali https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
    • Kung gigamit ang link nga cross-launch sa konteksto, ang {ip} variable sa URL pulihan sa IP address nga gi-right-click sa user sa panghitabo viewer o dashboard.
    • Alang sa usa ka paghulagway sa matag variable, hover sa ibabaw sa variable.
    • Makahimo ka og daghang mga link nga cross-launch sa konteksto alang sa usa ka himan o serbisyo, gamit ang lainlaing mga variable alang sa matag usa.
  • Lakang 6 I-klik ang Pagsulay uban ang exampang datos (Cisco-Event-Analysis-Paggamit-External-Tools-fig- (1) ) aron sulayan ang imong link sa exampang data.
  • Lakang 7 Pag-ayo sa bisan unsang mga problema.
  • Lakang 8 Pag-klik sa Pag-save.

Pag-imbestigar sa mga Hitabo Gamit ang Contextual Cross-Launch

Sa dili ka pa magsugod
Kung ang kapanguhaan nga imong ma-access nanginahanglan mga kredensyal, siguroha nga naa nimo ang mga kredensyal.

Pamaagi

  • Lakang 1 Pagdala ngadto sa usa sa mosunod nga mga panid sa Firepower Management Center nga nagpakita sa mga panghitabo:
    • Usa ka dashboard (Overview > Mga dashboard), o
    • Usa ka panghitabo viewer page (bisan unsang opsyon sa menu ubos sa Analysis menu nga naglakip sa talaan sa mga panghitabo.)
  • Lakang 2 I-right-click ang panghitabo sa interes ug pilia ang kontekstwal nga cross-launch nga kapanguhaan nga gamiton.
    • Kung gikinahanglan, pag-scroll down sa menu sa konteksto aron makita ang tanan nga magamit nga mga kapilian.
    • Ang tipo sa datos nga imong gi-right-click nagtino sa mga kapilian nga imong makita; kay exampUg, kung imong i-right-click ang usa ka IP address, makita ra nimo ang mga kapilian nga cross-launch sa konteksto nga may kalabutan sa mga adres sa IP.
    • Busa, alang sa exampug, aron makakuha og hulga nga paniktik gikan sa Cisco Talos mahitungod sa usa ka tinubdan IP address sa Top Attackers dashboard widget, pagpili Talos SrcIP o Talos IP.
    • Kung ang usa ka kapanguhaan adunay daghang mga variable, ang kapilian sa pagpili sa kana nga kapanguhaan magamit ra alang sa mga panghitabo nga adunay usa ka posible nga kantidad alang sa matag gilakip nga variable.
    • Ang kontekstwal nga cross-launch nga kapanguhaan nagbukas sa usa ka bulag nga bintana sa browser.
    • Mahimong magkinahanglan og pipila ka panahon aron maproseso ang pangutana, depende sa gidaghanon sa datos nga ipangutana, katulin sa ug panginahanglan sa kapanguhaan, ug uban pa.
  • Lakang 3 Pag-sign in sa kapanguhaan kung gikinahanglan.
  • Mahimo nimong i-cross-launch gikan sa data sa panghitabo sa Firepower ngadto sa may kalabutan nga datos sa imong Secure Network Analytics appliance.
  • Alang sa dugang nga impormasyon bahin sa produkto sa Secure Network Analytics, tan-awa https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
  • Alang sa kinatibuk-ang impormasyon bahin sa kontekstwal nga cross-launching, tan-awa ang Pag-imbestigar sa mga Hitabo Gamit ang Contextual Cross-Launch.
  • Gamita kini nga pamaagi aron dali nga ma-configure ang usa ka set sa cross-launch nga mga link sa imong Secure Network Analytics appliance.

Nota

  • Kung kinahanglan nimo nga magbag-o sa kini nga mga link sa ulahi, balik sa kini nga pamaagi; dili ka makahimo og mga pagbag-o direkta sa panid sa listahan sa cross-launch nga konteksto.
  • Mahimo nimo nga mano-mano ang paghimo og dugang nga mga link aron i-cross-launch sa imong Secure Network Analytics appliance gamit ang pamaagi sa Add Contextual Cross-Launch Resources, apan kana nga mga link mahimong independente sa awtomatik nga gihimo nga mga kapanguhaan ug busa kinahanglan nga mano-mano nga pagdumala (gitangtang, updated, etc.)

Sa dili ka pa magsugod

  • Kinahanglan nga aduna kay na-deploy ug nagpadagan nga Secure Network Analytics appliance.
  • Kung gusto nimo ipadala ang data sa Firepower sa imong Secure Network Analytics appliance gamit ang Cisco Security Analytics and Logging (On Premises), tan-awa ang Remote Data Storage sa usa ka Secure Network Analytics Appliance.

Pamaagi

  • Lakang 1 Pilia ang System > Pag-log > Security Analytics & Pag-log.
  • Lakang 2 I-enable ang feature.
  • Lakang 3 Isulod ang hostname o IP address, ug pantalan, sa imong Secure Network Analytics appliance. Ang default nga pantalan mao ang 443.
  • Lakang 4 Pag-klik sa Pag-save.
  • Lakang 5 I-verify ang imong bag-ong cross-launch links: Pilia ang Analysis > Advanced > Contextual Cross-launch. Kung kinahanglan nimo nga magbag-o, balik sa kini nga pamaagi; dili ka makahimo og mga pagbag-o direkta sa panid sa listahan sa cross-launch nga konteksto.

Unsa ang sunod nga buhaton

  • Sa pag-cross-launch gikan sa usa ka panghitabo ngadto sa Secure Network Analytics event viewer, kinahanglan nimo ang imong mga kredensyal sa Secure Network Analytics.
  • Aron makatabok sa paglansad gikan sa usa ka kalihokan sa kalihokan sa FMC viewer o dashboard, i-right-click ang usa ka may kalabutan nga selyula sa lamesa sa panghitabo ug pilia ang angay nga kapilian.
  • Mahimong magkinahanglan og pipila ka panahon aron maproseso ang pangutana, depende sa gidaghanon sa datos nga ipangutana, katulin ug panginahanglan sa Stealthwatch Management Console, ug uban pa.

Mahitungod sa Pagpadala sa Mga Mensahe sa Syslog alang sa Mga Panghinabo sa Seguridad

  • Mahimo nimong ipadala ang mga datos nga may kalabutan sa koneksyon, paniktik sa seguridad, pagsulod, ug file ug mga panghitabo sa malware pinaagi sa syslog ngadto sa usa ka himan sa Security Information and Event Management (SIEM) o laing eksternal nga pagtipig sa panghitabo ug solusyon sa pagdumala.
  • Kini nga mga panghitabo usahay gitawag usab nga mga panghitabo sa Snort®.

Mahitungod sa Pag-configure sa Sistema aron Ipadala ang Data sa Panghitabo sa Seguridad sa Syslog

Aron ma-configure ang sistema aron ipadala ang mga syslog sa panghitabo sa seguridad, kinahanglan nimo mahibal-an ang mga musunud:

  • Labing Maayo nga Mga Praktis alang sa Pag-configure sa Security Syslog Messaging sa Hitabo
  • Mga Lokasyon sa Pag-configure alang sa Mga Syslog sa Panghitabo sa Seguridad
  • Mga Setting sa Platform sa FTD nga Naaplikar sa Mga Mensahe sa Syslog sa Panghitabo sa Seguridad
  • Kung maghimo ka mga pagbag-o sa mga setting sa syslog sa bisan unsang palisiya, kinahanglan nimo nga i-redeploy aron ma-epekto ang mga pagbag-o.

Labing Maayo nga Mga Praktis alang sa Pag-configure sa Security Syslog Messaging sa Hitabo

Device ug Bersyon Pag-configure Lokasyon
Tanan Kung mogamit ka ug syslog o magtipig sa mga panghitabo sa gawas, likayi ang mga espesyal nga karakter sa mga ngalan sa butang sama sa mga ngalan sa palisiya ug lagda. Ang mga ngalan sa butang kinahanglan dili maglangkob sa mga espesyal nga karakter, sama sa mga koma, nga mahimong gamiton sa nakadawat nga aplikasyon ingon mga separator.
Depensa sa Panghulga sa Firepower 1.      I-configure ang mga setting sa platform sa FTD (Mga Device > Mga Setting sa Plataporma > Mga Setting sa Pagdepensa sa Panghulga > Syslog.)

Tan-awa usab ang FTD Platform Settings nga Magamit sa Security Event Syslog Messages.

2.      Sa imong access control policy nga tab nga Logging, pilia ang paggamit sa FTD nga mga setting sa plataporma.

3.      (Para sa intrusion nga mga panghitabo) I-configure ang intrusion nga mga polisiya aron magamit ang mga setting sa imong access control policy Logging tab. (Kini ang default.)

 

Dili girekomenda ang pag-override sa bisan hain niini nga mga setting.

Para sa importanteng mga detalye, tan-awa ang Send Security Event Syslog Messages gikan sa FTD Devices.
Ang tanan nga uban nga mga himan 1.      Paghimo og alerto nga tubag.

2.      I-configure ang access control policy Pag-log aron magamit ang alerto nga tubag.

3.      (Para sa intrusion nga mga panghitabo) I-configure ang syslog settings sa intrusion policy.

 Para sa kompletong detalye, tan-awa ang Send Security Event Syslog Messages gikan sa Classic Devices.

Ipadala ang Security Event Syslog Messages gikan sa FTD Devices
Kini nga pamaagi nagdokumento sa pinakamaayong praktis nga configuration alang sa pagpadala sa mga mensahe sa syslog alang sa mga panghitabo sa seguridad (koneksyon, koneksyon nga may kalabutan sa seguridad, pagsulod, file, ug mga panghitabo sa malware) gikan sa mga device sa Firepower Threat Defense.

Nota
Daghang mga setting sa syslog sa Firepower Threat Defense dili magamit sa mga panghitabo sa seguridad. I-configure lamang ang mga opsyon nga gihulagway niini nga pamaagi.

Sa dili ka pa magsugod

  • Sa FMC, i-configure ang mga palisiya aron makamugna og mga panghitabo sa seguridad ug pamatud-i nga ang mga panghitabo nga imong gilauman nga makita makita sa mga magamit nga mga lamesa sa ilawom sa menu sa Pag-analisar.
  • Tiguma ang syslog server IP address, pantalan, ug protocol (UDP o TCP):
  • Siguruha nga ang imong mga aparato makaabut sa (mga) server sa syslog.
  • Pagmatuod nga ang (mga) server sa syslog makadawat ug layo nga mga mensahe.
  • Para sa importante nga impormasyon bahin sa pag-log sa koneksyon, tan-awa ang kapitulo sa Pag-log sa Koneksyon.

Pamaagi

  • Lakang 1 I-configure ang mga setting sa syslog para sa imong Firepower Threat Defense device:
    • I-klik ang Mga Device > Mga Setting sa Platform.
    • I-edit ang polisiya sa mga setting sa plataporma nga nalangkit sa imong Firepower Threat Defense device.
    • Sa wala nga navigation pane, i-klik ang Syslog.
    • I-klik ang Syslog Servers ug i-klik ang Add aron makasulod sa server, protocol, interface, ug may kalabutan nga impormasyon. Kung naa kay mga pangutana bahin sa mga kapilian sa kini nga panid, tan-awa ang I-configure ang usa ka Syslog Server.
    • I-klik ang Syslog Settings ug i-configure ang mosunod nga mga setting:
      • I-enable ang Timetamp sa Syslog Messages
      • Takdang panahonamp Porma
      • I-enable ang Syslog Device ID
    • I-klik ang Setup sa Pag-log.
    • Pilia kung ipadala o dili ang mga syslog sa format nga EMBLEM.
    • I-save ang imong mga setting.
  • Lakang 2 I-configure ang kinatibuk-ang mga setting sa pag-log alang sa palisiya sa pagkontrol sa pag-access (lakip ang file ug malware logging):
    • I-klik ang Mga Patakaran > Pagkontrol sa Pag-access.
    • I-edit ang angay nga palisiya sa pagkontrol sa pag-access.
    • I-klik ang Pag-log.
    • Pilia ang FTD 6.3 ug sa ulahi: Gamita ang syslog settings nga gi-configure sa FTD Platform Settings policy nga gipakatap sa device.
    • (Opsyonal) Pagpili og Syslog Severity.
    • Kung magpadala ka file ug mga panghitabo sa malware, pilia ang Send Syslog messages para sa File ug mga panghitabo sa Malware.
    • I-klik ang Save.
  • Lakang 3 I-enable ang pag-log alang sa Security-related nga mga panghitabo sa koneksyon para sa access control policy:
    • Sa parehas nga palisiya sa pagkontrol sa pag-access, i-klik ang tab nga Security Intelligence.
    • Sa matag usa sa mosunod nga mga lokasyon, i-klik ang Pag-log (Cisco-Event-Analysis-Paggamit-External-Tools-fig- (2) ) ug mahimo ang pagsugod ug katapusan sa mga koneksyon ug Syslog Server:
      • Gawas sa DNS Policy.
      • Diha sa Block List box, alang sa Networks ug alang sa URLs.
    • I-klik ang Save.
  • Lakang 4 I-enable ang syslog logging alang sa matag lagda sa access control policy:
    • Sa parehas nga palisiya sa pagkontrol sa pag-access, i-klik ang tab nga Mga Lagda.
    • Pag-klik sa usa ka lagda aron ma-edit.
    • I-klik ang tab sa Pag-log sa lagda.
    • Pilia kung i-log ang sinugdanan o katapusan sa mga koneksyon, o pareho.
      (Ang pag-log sa koneksyon makamugna og daghang data; ang pag-log sa sinugdanan ug katapusan makamugna og halos doble sa daghang datos. Dili tanang koneksyon mahimong ma-log sa sinugdanan ug katapusan.)
    • Kung mag log ka file mga panghitabo, pilia ang Log Files.
    • I-enable ang Syslog Server.
    • Tinoa nga ang lagda mao ang "Paggamit sa default syslog configuration sa Access Control Logging."
    • I-klik ang Add.
    • Balika ang matag lagda sa polisiya.
  • Lakang 5 Kung magpadala ka sa mga panghitabo sa pagsulod:
    • Pagdala ngadto sa palisiya sa pagsulod nga nalangkit sa imong polisiya sa pagkontrol sa pag-access.
    • Sa imong polisiya sa pagsulod, i-klik ang Advanced Settings > Syslog Alerting > Enabled.
    • Kung gikinahanglan, i-klik ang Edit
    • Pagsulod sa mga opsyon:
      Opsyon Bili
      Host sa Pag-log Gawas kung magpadala ka ug mga mensahe sa syslog nga panghitabo sa intrusion sa lahi nga server sa syslog kaysa ipadala nimo ang ubang mga mensahe sa syslog, ibilin kini nga blangko aron magamit ang mga setting nga imong gi-configure sa taas.
      Pasilidad Kini nga setting magamit lamang kung imong gitakda ang usa ka Logging Host niini nga panid.

      Para sa mga deskripsyon, tan-awa ang Syslog Alert Facilities.
      Pagkagrabe Kini nga setting magamit lamang kung imong gitakda ang usa ka Logging Host niini nga panid.

      Para sa mga deskripsyon, tan-awa ang Syslog Severity Levels.
    • I-klik Balik.
    • I-klik ang Policy Information sa wala nga navigation pane.
    • I-klik ang I-commit ang mga Pagbag-o.

Unsa ang sunod nga buhaton

  • (Opsyonal) I-configure ang lainlaing mga setting sa pag-log alang sa indibidwal nga mga palisiya ug lagda. Tan-awa ang angay nga mga laray sa lamesa sa Configuration Locations para sa Syslogs para sa Koneksyon ug Security Intelligence nga mga Hitabo (Tanan nga mga Device).
    • Kini nga mga setting magkinahanglan og syslog alert responses, nga gi-configure sama sa gihulagway sa Paghimo og Syslog Alert Response. Wala nila gigamit ang mga setting sa plataporma nga imong gi-configure sa kini nga pamaagi.
  • Aron ma-configure ang syslog logging sa panghitabo sa seguridad alang sa Classic nga mga device, tan-awa ang Send Security Event Syslog Messages gikan sa Classic Devices.
  • Kung nahuman ka na sa paghimo og mga pagbag-o, i-deploy ang imong mga pagbag-o sa gidumala nga mga aparato.

Ipadala ang Mga Mensahe sa Syslog sa Pangseguridad nga Hitabo gikan sa Classic nga mga Device

Sa dili ka pa magsugod

  • I-configure ang mga palisiya aron makamugna og mga panghitabo sa seguridad.
  • Siguruha nga ang imong mga aparato makaabut sa (mga) server sa syslog.
  • Pagmatuod nga ang (mga) server sa syslog makadawat ug layo nga mga mensahe.
  • Para sa importante nga impormasyon bahin sa pag-log sa koneksyon, tan-awa ang kapitulo sa Pag-log sa Koneksyon.

Pamaagi

  • Lakang 1 I-configure ang usa ka alerto nga tubag alang sa imong Classic nga mga aparato: Tan-awa ang Paghimo og Syslog Alert Response.
  • Lakang 2 I-configure ang syslog settings sa access control policy:
    • I-klik ang Mga Patakaran > Pagkontrol sa Pag-access.
    • I-edit ang angay nga palisiya sa pagkontrol sa pag-access.
    • I-klik ang Pag-log.
    • Pilia ang Ipadala gamit ang piho nga syslog alert.
    • Pilia ang Syslog Alert nga imong gibuhat sa ibabaw.
    • I-klik ang Save.
  • Step 3 Kung magpadala ka file ug mga panghitabo sa malware:
    • Pilia ang Send Syslog messages para sa File ug mga panghitabo sa Malware.
    • I-klik ang Save.
  • Lakang 4 Kung magpadala ka sa mga panghitabo sa pagsulod:
    • Pagdala ngadto sa palisiya sa pagsulod nga nalangkit sa imong polisiya sa pagkontrol sa pag-access.
    • Sa imong polisiya sa pagsulod, i-klik ang Advanced Settings > Syslog Alerting > Enabled.
    • Kung gikinahanglan, i-klik ang Edit
    • Pagsulod sa mga opsyon:
      Opsyon Bili
      Host sa Pag-log Gawas kung magpadala ka ug mga mensahe sa syslog nga panghitabo sa intrusion sa lahi nga server sa syslog kaysa ipadala nimo ang ubang mga mensahe sa syslog, ibilin kini nga blangko aron magamit ang mga setting nga imong gi-configure sa taas.
      Pasilidad Kini nga setting magamit lamang kung imong gitakda ang usa ka Logging Host niini nga panid.

      Tan-awa ang Syslog Alert Pasilidad.
      Pagkagrabe Kini nga setting magamit lamang kung imong gitakda ang usa ka Logging Host niini nga panid.

      Tan-awa ang Syslog Severity Levels.
    • I-klik Balik.
    • I-klik ang Policy Information sa wala nga navigation pane.
    • I-klik ang I-commit ang mga Pagbag-o.

Unsa ang sunod nga buhaton

  • (Opsyonal) I-configure ang lainlaing mga setting sa pag-log alang sa indibidwal nga mga lagda sa pagkontrol sa pag-access. Tan-awa ang angay nga mga laray sa lamesa sa Configuration Locations para sa Syslogs para sa Koneksyon ug Security Intelligence nga mga Hitabo (Tanan nga mga Device). Kini nga mga setting magkinahanglan og syslog alert responses, nga gi-configure sama sa gihulagway sa Paghimo og Syslog Alert Response. Wala nila gamita ang mga setting nga imong gi-configure sa ibabaw.
  • Aron ma-configure ang syslog logging sa panghitabo sa seguridad alang sa mga FTD device, tan-awa ang Send Security Event Syslog Messages gikan sa FTD Devices.

Mga Lokasyon sa Pag-configure alang sa Mga Syslog sa Panghitabo sa Seguridad

  • Mga Lokasyon sa Pag-configure para sa Syslogs para sa Koneksyon ug Security Intelligence nga mga Hitabo (Tanan nga mga Device)12
  • Mga Lokasyon sa Configuration para sa Syslogs para sa Intrusion Events (FTD Devices)
  • Mga Lokasyon sa Configuration para sa Syslogs para sa Intrusion Events (Mga Device Gawas sa FTD)
  • Mga Lokasyon sa Pag-configure alang sa Syslogs alang sa File ug Mga Panghitabo sa Malware

Mga Lokasyon sa Pag-configure para sa Syslogs para sa Koneksyon ug Security Intelligence nga mga Hitabo (Tanan nga Device)
Adunay daghang mga lugar aron ma-configure ang mga setting sa pag-log. Gamita ang lamesa sa ubos aron maseguro nga imong gitakda ang mga opsyon nga imong gikinahanglan.

Importante

  • Hatagi'g maayo nga pagtagad kung gi-configure ang mga setting sa syslog, labi na kung gigamit ang napanunod nga mga default gikan sa ubang mga pag-configure. Ang ubang mga kapilian mahimong DILI magamit sa tanan nga gidumala nga mga modelo sa aparato ug mga bersyon sa software, ingon sa gipakita sa lamesa sa ubos.
  • Alang sa importanteng impormasyon sa dihang nag-configure sa pag-log sa koneksyon, tan-awa ang kapitulo sa Pag-log sa Koneksyon.
Pag-configure Lokasyon Deskripsyon ug Dugang pa Impormasyon
Mga Device > Mga Setting sa Platform, Patakaran sa Mga Setting sa Panghulga sa Depensa, Syslog Kini nga opsyon magamit lamang sa Firepower Threat Defense nga mga device.

Ang mga setting nga imong gi-configure dinhi mahimong matino sa mga setting sa Pag-log alang sa usa ka palisiya sa Pagkontrol sa Pag-access ug dayon gamiton o ma-override sa

nahabilin nga mga palisiya ug mga lagda niini nga lamesa.

Tan-awa ang FTD Platform Settings nga Magamit sa Security Event Syslog Messages ug About Syslog ug subtopics.
Mga Patakaran > Pagkontrol sa Pag-access, , Pag-log Ang mga setting nga imong gi-configure dinhi mao ang mga default setting para sa mga syslogs para sa tanang koneksyon ug security intelligence nga mga panghitabo, gawas kung imong i-override ang mga default sa kaliwat nga mga polisiya ug mga lagda sa mga lokasyon nga gitakda sa nahabilin nga mga laray niini nga lamesa.

Girekomenda nga setting para sa FTD device: Gamita ang FTD Platform Settings. Para sa impormasyon, tan-awa ang FTD Platform Settings That Apply to Security Event Syslog Messages and About Syslog and subtopics.

Gikinahanglan nga setting para sa tanang ubang mga device: Gamit ug syslog alert.

Kung imong gitakda ang usa ka alerto sa syslog, tan-awa ang Paghimo usa ka Tubag sa Alerto sa Syslog.

Alang sa dugang nga impormasyon bahin sa mga setting sa tab nga Pag-log, tan-awa ang Mga Setting sa Pag-log alang sa Mga Patakaran sa Pagkontrol sa Pag-access.
Mga Patakaran > Pagkontrol sa Pag-access, , Mga lagda, Default nga Aksyon laray,

Pag-log (Cisco-Event-Analysis-Paggamit-External-Tools-fig- (3) )

 Mga setting sa pag-log alang sa default nga aksyon nga nalangkit sa usa ka polisiya sa pagkontrol sa pag-access.

Tan-awa ang impormasyon bahin sa pag-log in sa Access Control Rules nga kapitulo ug Pag-log sa Koneksyon nga adunay Policy Default nga Aksyon.
Mga Patakaran > Pagkontrol sa Pag-access, , Mga lagda, , Pag-log Mga setting sa pag-log alang sa usa ka partikular nga lagda sa usa ka polisiya sa pagkontrol sa pag-access.

Tan-awa ang impormasyon bahin sa pag-log in sa Access Control Rules nga kapitulo.
Mga Patakaran > Pagkontrol sa Pag-access, , Security Intelligence,

Pag-log (Cisco-Event-Analysis-Paggamit-External-Tools-fig- (2) )

 Mga setting sa pag-log alang sa mga lista sa Security Intelligence Block. I-klik kini nga mga buton aron ma-configure:

• Mga Opsyon sa Pag-log sa Listahan sa Block sa DNS

•  URL Mga Opsyon sa Pag-log sa Listahan sa Pag-block

• Network Block List Logging Options (alang sa mga IP address sa gibabagan nga listahan)

 

Tan-awa ang I-configure ang Security Intelligence, lakip ang mga kinahanglanon nga seksyon, ug mga subtopic ug mga link.
Mga Polisiya > SSL, ,

Default nga Aksyon laray, Pag-log (Cisco-Event-Analysis-Paggamit-External-Tools-fig- (3) )

 Mga setting sa pag-log alang sa default nga aksyon nga nalangkit sa usa ka polisiya sa SSL.

Tan-awa ang Pag-log sa Koneksyon nga adunay Default nga Aksyon sa Patakaran.
Mga polisiya > SSL, , , Pag-log Mga setting sa pag-log alang sa mga lagda sa SSL.

Tan-awa ang TLS/SSL Rule Components.
Mga Polisiya > Prefilter, ,

Default nga Aksyon laray, Pag-log (Cisco-Event-Analysis-Paggamit-External-Tools-fig- (3) )

 Mga setting sa pag-log alang sa default nga aksyon nga nalangkit sa usa ka palisiya sa prefilter.

Tan-awa ang Pag-log sa Koneksyon nga adunay Default nga Aksyon sa Patakaran.
Mga Polisiya > Prefilter, ,

, Pag-log

 Mga setting sa pag-log alang sa matag lagda sa prefilter sa usa ka palisiya sa prefilter.

Tan-awa ang Tunnel ug Prefilter Rule Components
Mga Polisiya > Prefilter, ,

, Pag-log

 Mga setting sa pag-log alang sa matag lagda sa tunnel sa usa ka palisiya sa prefilter.

Tan-awa ang Tunnel ug Prefilter Rule Components
Dugang nga mga setting sa syslog para sa FTD cluster configurations: Ang Clustering alang sa Firepower Threat Defense nga kapitulo adunay daghang mga paghisgot sa syslog; pangitaa ang kapitulo alang sa "syslog."

Mga Lokasyon sa Configuration para sa Syslogs para sa Intrusion Events (FTD Devices)
Mahimo nimong itakda ang mga setting sa syslog alang sa mga palisiya sa pagsulod sa lainlaing mga lugar ug, kung mahimo, makapanunod sa mga setting gikan sa palisiya sa pagkontrol sa pag-access o ang Mga Setting sa FTD Platform o pareho.

Pag-configure Lokasyon Deskripsyon ug Dugang pa Impormasyon
Mga gamit > Plataporma Mga setting, Patakaran sa Mga Setting sa Panghulga sa Depensa, Syslog Ang mga destinasyon sa Syslog nga imong gi-configure dinhi mahimong matino sa tab nga Pag-log sa usa ka palisiya sa pagkontrol sa pag-access nga mahimo’g default alang sa usa ka palisiya sa pagsulod.

Tan-awa ang FTD Platform Settings nga Magamit sa Security Event Syslog Messages ug About Syslog ug subtopics.
Mga Patakaran > Pagkontrol sa Pag-access, , Pag-log Default nga setting para sa syslog nga destinasyon para sa intrusion

mga panghitabo, kung ang palisiya sa pagsulod wala magtino sa ubang mga host sa pag-log.

Tan-awa ang Mga Setting sa Pag-log alang sa Mga Patakaran sa Pagkontrol sa Pag-access.
Mga Patakaran > Pagsulod, , Advanced nga mga Setting, makahimo Pag-alerto sa Syslog, pag-klik Edit Aron ipiho ang mga tigkolekta sa syslog gawas sa mga destinasyon nga gitakda sa tab sa pag-log sa polisiya sa kontrol sa pag-access, ug aron matino ang pasilidad ug kagrabe, tan-awa ang Pag-configure sa Syslog Alerting para sa Mga Panghitabo sa Paglusot.

Kung gusto nimo gamiton ang Pagkagrabe or Pasilidad o pareho nga gi-configure sa polisiya sa pagsulod, kinahanglan nimo usab

i-configure ang logging host sa polisiya. Kung gamiton nimo ang mga host sa pag-log nga gitakda sa palisiya sa pagkontrol sa pag-access, ang kagrabe ug pasilidad nga gipiho sa polisiya sa pagsulod dili gamiton.

Mga Lokasyon sa Configuration para sa Syslogs para sa Intrusion Events (Mga Device Gawas sa FTD)

  • (Default) Patakaran sa pagkontrol sa pag-access Mga Setting sa Pag-log alang sa Mga Patakaran sa Pagkontrol sa Pag-access, KON imong gitakda ang usa ka alerto sa syslog (Tan-awa ang Paghimo usa ka Tubag sa Alerto sa Syslog.)
  • O tan-awa ang Pag-configure sa Syslog Alerto para sa Mga Panghitabo sa Paglusot.

Sa kasagaran, ang palisiya sa pagsulod naggamit sa mga setting sa tab nga Pag-log sa polisiya sa pagkontrol sa pag-access. Kung ang mga setting nga magamit sa mga aparato gawas sa FTD wala ma-configure didto, ang mga syslog dili ipadala alang sa mga aparato gawas sa FTD ug walay pasidaan nga makita.

Mga Lokasyon sa Pag-configure alang sa Syslogs alang sa File ug Mga Panghitabo sa Malware

Pag-configure Lokasyon Deskripsyon ug Dugang pa Impormasyon
Sa usa ka palisiya sa pagkontrol sa pag-access:

Mga Patakaran > Pagkontrol sa Pag-access, , Pag-log

 Kini ang panguna nga lokasyon alang sa pag-configure sa sistema aron ipadala ang mga syslog file ug mga panghitabo sa malware.

Kung dili nimo gamiton ang mga setting sa syslog sa FTD Platform Settings, kinahanglan ka usab nga maghimo usa ka alerto nga tubag. Tan-awa ang Paghimo og Syslog Alert Response.
Pag-configure Lokasyon Deskripsyon ug Dugang pa Impormasyon
Sa Firepower Threat Defense Platform Settings:

Mga gamit > Plataporma Mga setting, Patakaran sa Mga Setting sa Panghulga sa Depensa, Syslog

 Kini nga mga setting magamit ra sa Firepower Threat Defense nga mga aparato nga nagpadagan sa mga gisuportahan nga bersyon, ug kung imong i-configure ang tab nga Pag-log sa palisiya sa pagkontrol sa pag-access aron magamit ang mga setting sa platform sa FTD.

Tan-awa ang FTD Platform Settings nga Magamit sa Security Event Syslog Messages ug About Syslog ug subtopics.
Sa usa ka lagda sa pagkontrol sa pag-access:

Mga Patakaran > Pagkontrol sa Pag-access, , , Pag-log

 Kung dili nimo gamiton ang mga setting sa syslog sa FTD Platform Settings, kinahanglan ka usab nga maghimo usa ka alerto nga tubag. Tan-awa ang Paghimo og Syslog Alert Response.

Anatomy sa Security Event Syslog Messages

Exampmensahe sa panghitabo sa seguridad gikan sa FTD (Intrusion Event)

Cisco-Event-Analysis-Paggamit-External-Tools-fig- (4)

Talaan 1: Mga bahin sa Security Event Syslog Messages

butang Numero in Sample Mensahe Ulohan elemento Deskripsyon
0 PRI Ang prayoridad nga bili nga nagrepresentar sa Pasilidad ug Kagrabe sa alerto. Ang bili makita sa mga mensahe sa syslog lamang kung imong mahimo ang pag-log in sa EMBLEM format gamit ang FMC platform settings. Kung ikaw

makahimo sa pag-log sa mga panghitabo sa intrusion pinaagi sa access control policy Pag-log tab, ang PRI nga bili awtomatikong gipakita sa mga mensahe sa syslog. Para sa impormasyon kon unsaon pag-enable ang EMBLEM format, tan-awa ang Enable Logging and Configure Basic Settings. Para sa impormasyon sa PRI, tan-awa RFC5424.
1 Takdang panahonamp Petsa ug oras gipadala ang mensahe sa syslog gikan sa aparato.

• (Syslogs nga gipadala gikan sa FTD device) Para sa syslogs nga gipadala gamit ang mga setting sa access control policy ug sa mga kaliwat niini, o kung gitino nga gamiton kini nga format sa FTD Platform Settings, ang format sa petsa mao ang format nga gihubit sa ISO 8601 timestamp format nga gitakda sa RFC 5424 (yyyy-MM-ddTHH:mm:ssZ), diin ang letrang Z nagpakita sa UTC time zone.

• (Syslogs nga gipadala gikan sa tanan nga uban nga mga device) Para sa syslogs nga gipadala gamit ang mga setting sa access control policy ug sa mga kaliwat niini, ang format sa petsa mao ang format nga gihubit sa ISO 8601 timestamp

format nga gitakda sa RFC 5424 (yyyy-MM-ddTHH:mm:ssZ), diin ang letrang Z nagpakita sa UTC time zone.

• Kung dili, kini ang bulan, adlaw, ug oras sa time zone sa UTC, bisan kung ang time zone wala gipakita.

 

Aron ma-configure ang orasamp setting sa FTD Platform Settings, tan-awa ang I-configure ang Syslog Settings.
2 Device o interface diin gipadala ang mensahe.

Kini mahimong:

• IP address sa interface

• Device hostname

• Custom device identifier

 (Para sa syslogs nga gipadala gikan sa FTD device)

Kung ang mensahe sa syslog gipadala gamit ang FTD Platform Settings, kini ang kantidad nga gi-configure Mga Setting sa Syslog para sa I-enable ang Syslog Device ID opsyon, kon espesipiko.

Kung dili, kini nga elemento wala sa ulohan.

Aron ma-configure kini nga setting sa FTD Platform Settings, tan-awa ang Configure Syslog Settings.
3 Pasadya nga bili Kung ang mensahe gipadala gamit ang usa ka alerto nga tubag, kini ang Tag bili nga gi-configure sa alerto nga tubag nga nagpadala sa mensahe, kung gi-configure. (Tan-awa ang Paghimo og Syslog Alert Response.)

Kung dili, kini nga elemento wala sa ulohan.
4 %FTD

%NGIPS

 Uri sa device nga nagpadala sa mensahe.

• Ang %FTD kay Firepower Threat Defense

• %NGIPS mao ang tanan nga uban nga mga himan
5 Pagkagrabe Ang kabug-at nga gipiho sa mga setting sa syslog alang sa palisiya nga nag-trigger sa mensahe.

Para sa mga deskripsyon sa kagrabe, tan-awa ang Severity Levels o Syslog Severity Levels.
6 Identifier sa matang sa panghitabo • 430001: Intrusion nga panghitabo

• 430002: Ang panghitabo sa koneksyon natala sa pagsugod sa koneksyon

• 430003: Ang panghitabo sa koneksyon natala sa katapusan sa koneksyon

 

• 430004: File panghitabo

• 430005: File panghitabo sa malware
Pasilidad Tan-awa ang Pasilidad sa Security Event Syslog Messages
Ang nahabilin nga mensahe Mga field ug value nga gibulag sa mga colon.

Ang mga natad nga walay sulod o wala mailhi nga mga kantidad wala iapil sa mga mensahe. Alang sa mga paghulagway sa uma, tan-awa ang:

• Connection ug Security Intelligence Event Fields.

• Mga Natad sa Panghitabo sa Pagsulod

•  File ug Malware Event Fields

 

Nota              Ang mga lista sa paghulagway sa field naglakip sa duha ka syslog field ug

mga natad nga makita sa panghitabo viewer (mga opsyon sa menu ubos sa Analysis menu sa Firepower Management Center web interface.) Ang mga natad nga magamit pinaagi sa syslog gimarkahan sa ingon.

Ang ubang mga natad nga makita sa panghitabo viewer dili magamit pinaagi sa syslog. Usab, ang pipila ka mga syslog nga natad wala gilakip sa panghitabo viewer (apan mahimong magamit pinaagi sa pagpangita), ug pipila ka mga natad gihiusa o gibulag.

Pasilidad sa Security Event Syslog Messages
Ang mga kantidad sa pasilidad dili kasagaran nga may kalabutan sa mga mensahe sa syslog alang sa mga panghitabo sa seguridad. Bisan pa, kung kinahanglan nimo ang Pasilidad, gamita ang mosunod nga lamesa:

Device Aron Iapil ang Pasilidad sa Mga Hitabo sa Koneksyon Sa Iapil Pasilidad in Mga Panghitabo sa Pagsulod Lokasyon sa Syslog Message
FTD Gamita ang opsyon sa EMBLEM sa FTD Platform Settings.

Ang pasilidad kanunay ALERTO alang sa mga panghitabo sa koneksyon sa pagpadala sa mga mensahe sa syslog gamit ang FTD Platform Settings.

 Gamita ang opsyon sa EMBLEM sa FTD Platform Settings o

i-configure ang logging gamit ang syslog settings sa intrusion policy. Kung mogamit ka sa polisiya sa pagsulod, kinahanglan nimo nga ipiho ang host sa pag-log sa mga setting sa polisiya sa pagsulod.

 Ang pasilidad dili makita sa header sa mensahe, apan ang syslog collector mahimong makakuha sa bili

base sa RFC 5424, seksyon 6.2.1.
I-enable ang syslog alerting ug

i-configure ang pasilidad ug kagrabe sa polisiya sa pagsulod. Tan-awa ang Pag-configure sa Syslog Alerto para sa Mga Panghitabo sa Paglusot.
Mga gamit gawas sa FTD Gamit ug alerto nga tubag. Gamita ang syslog setting sa intrusion policy advanced settings o alert response nga giila sa access control policy Logging tab.

Para sa dugang nga impormasyon, tan-awa ang Mga Pasilidad ug Kagrabe alang sa Intrusion Syslog Alerto ug Paghimo og Syslog Alert Response.

Mga Uri sa Mensahe sa Firepower Syslog
Ang Firepower makapadala ug daghang mga tipo sa datos sa syslog, sama sa gihulagway sa mosunod nga lamesa:

Type sa Data sa Syslog Tan-awa
Audit logs gikan sa FMC Stream Audit Logs ngadto sa Syslog ug ang Pag-audit sa System nga kapitulo
Audit logs gikan sa Classic device (ASA FirePOWER, NGIPSv) Stream Audit Logs gikan sa Classic Devices ug ang Auditing the System chapter

CLI nga sugo: syslog
Ang kahimsog sa aparato ug mga log nga may kalabotan sa network gikan sa mga aparato sa FTD Mahitungod sa Syslog ug mga subtopik
Koneksyon, security intelligence, ug intrusion event logs gikan sa FTD device Mahitungod sa Pag-configure sa Sistema aron Ipadala ang Data sa Panghitabo sa Seguridad sa Syslog.
Ang koneksyon, paniktik sa seguridad, ug mga log sa panghitabo sa pagpanghilabot gikan sa mga aparato nga Klasiko Mahitungod sa Pag-configure sa Sistema aron Ipadala ang Data sa Panghitabo sa Seguridad sa Syslog
Mga log para sa file ug mga panghitabo sa malware Mahitungod sa Pag-configure sa Sistema aron Ipadala ang Data sa Panghitabo sa Seguridad sa Syslog

Mga Limitasyon sa Syslog alang sa Mga Panghinabo sa Seguridad

  • Kung mogamit ka ug syslog o magtipig sa mga panghitabo sa gawas, likayi ang mga espesyal nga karakter sa mga ngalan sa butang sama sa mga ngalan sa palisiya ug lagda. Ang mga ngalan sa butang kinahanglan dili maglangkob sa mga espesyal nga karakter, sama sa mga koma, nga mahimong gamiton sa nakadawat nga aplikasyon ingon mga separator.
  • Mahimong moabot ug 15 ka minuto aron makita ang mga panghitabo sa imong collector sa syslog.
  • Data alang sa mosunod file ug ang mga panghitabo sa malware dili magamit pinaagi sa syslog:
  • Retrospective nga mga panghitabo
  • Mga panghitabo nga gihimo ni AMP alang sa Endpoints

eStreamer Server Streaming

  • Ang Event Streamer (eStreamer) nagtugot kanimo sa pag-stream sa daghang matang sa data sa panghitabo gikan sa Firepower Management Center ngadto sa custom-developed nga aplikasyon sa kliyente. Para sa dugang nga impormasyon, tan-awa ang Firepower System Event Streamer Integration Guide.
  • Sa dili pa ang appliance nga gusto nimong gamiton isip usa ka eStreamer server makasugod sa pag-streaming sa mga panghitabo sa eStreamer ngadto sa usa ka eksternal nga kliyente, kinahanglan nimo nga i-configure ang eStreamer server aron ipadala ang mga panghitabo ngadto sa mga kliyente, maghatag og impormasyon mahitungod sa kliyente, ug makamugna og usa ka hugpong sa mga kredensyal sa pag-authenticate nga gamiton sa pag-establisar. komunikasyon. Mahimo nimo kining tanan nga mga buluhaton gikan sa user interface sa appliance. Kung ma-save na ang imong mga setting, ang mga panghitabo nga imong gipili ipasa sa mga kliyente sa eStreamer kung gihangyo.
  • Mahimo nimong kontrolon kung unsang mga matang sa mga panghitabo ang mahimo nga ipadala sa eStreamer server sa mga kliyente nga nangayo kanila.

Talaan 2: Mga Matang sa Hitabo nga Mapasa sa eStreamer Server

Panghitabo Type Deskripsyon
Mga Panghitabo sa Pagsulod intrusion nga mga panghitabo nga namugna sa gidumala nga mga himan
Data sa Packet sa Panghitabo sa Pagsulod mga pakete nga nalangkit sa mga panghitabo sa pagpanghilabot
Ekstra nga Data sa Hitabo sa Pagsulod dugang nga datos nga may kalabutan sa usa ka panghitabo sa pagsulod sama sa gigikanan nga mga IP address sa usa ka kliyente nga nagkonektar sa a web server pinaagi sa HTTP proxy o load balancer
Mga Hitabo sa Pagdiskobre Mga panghitabo sa pagdiskobre sa network
Korelasyon ug Tugoti Ilista ang mga Hitabo correlation ug pagsunod nagtugot sa listahan sa mga panghitabo
Epekto sa Flag Alerto mga alerto sa epekto nga gihimo sa FMC
Mga Hitabo sa Gumagamit mga panghitabo sa tiggamit
Panghitabo Type Deskripsyon
Mga Panghitabo sa Malware mga panghitabo sa malware
File Mga panghitabo file mga panghitabo
Mga Hitabo sa Koneksyon impormasyon bahin sa trapiko sa sesyon tali sa imong gibantayan nga mga host ug tanan nga uban pang mga host.
Pagtandi sa Syslog ug eStreamer alang sa Security Eventing

Sa kinatibuk-an, ang mga organisasyon nga sa pagkakaron wala'y mahinungdanon nga kasamtangan nga pagpamuhunan sa eStreamer kinahanglan nga mogamit sa syslog imbes sa eStreamer aron pagdumala sa data sa panghitabo sa seguridad sa gawas.

Syslog eStreamer
Walay pag-customize nga gikinahanglan Mahinungdanon nga pag-customize ug padayon nga pagmentinar nga gikinahanglan aron ma-accommodate ang mga pagbag-o sa matag pagpagawas
Estandard Proprietary
Ang sumbanan sa Syslog dili manalipod batok sa pagkawala sa datos, labi na kung naggamit sa UDP Proteksyon batok sa pagkawala sa datos
Nagpadala direkta gikan sa mga aparato Nagpadala gikan sa FMC, nagdugang sa overhead sa pagproseso
Suporta alang sa file ug mga panghitabo sa malware, koneksyon

mga panghitabo (lakip ang mga panghitabo sa paniktik sa seguridad) ug mga panghitabo sa pagsulod.

 Suporta para sa tanang matang sa panghitabo nga nalista sa eStreamer Server Streaming.
Ang ubang datos sa panghitabo mahimong ipadala lamang gikan sa FMC. Tan-awa ang Data nga Gipadala Lamang pinaagi sa eStreamer, Dili pinaagi sa Syslog. Naglakip sa datos nga dili ipadala pinaagi sa syslog direkta gikan sa mga aparato. Tan-awa ang Data nga Gipadala Lamang pinaagi sa eStreamer, Dili pinaagi sa Syslog.

Gipadala Lamang ang Data pinaagi sa eStreamer, Dili pinaagi sa Syslog
Ang mosunud nga datos magamit ra gikan sa Firepower Management Center ug sa ingon dili ipadala pinaagi sa syslog gikan sa mga aparato:

  • Packet Logs
  • Pangsulod nga Hitabo sa Dugang nga Data nga mga panghitabo
    Para sa deskripsyon, tan-awa ang eStreamer Server Streaming.
  • Estadistika ug aggregate nga mga panghitabo
  • Mga panghitabo sa Network Discovery
  • Kalihokan sa tiggamit ug mga panghitabo sa pag-login
  • Mga panghitabo sa correlation
  • Para sa mga panghitabo sa malware:
    • retrospective nga mga hukom
    • ThreatName ug Disposition, gawas kung ang impormasyon bahin sa mga may kalabutan nga SHA na-synchronize na sa device
  • Ang mosunod nga mga field:
    • Mga natad sa Impact ug ImpactFlag
      Para sa deskripsyon, tan-awa ang eStreamer Server Streaming.
    • ang IOC_Count field
  • Kadaghanan sa mga hilaw nga ID ug UUID.
    Mga eksepsiyon:
    • Ang mga syslog alang sa mga panghitabo sa koneksyon naglakip sa mosunod: FirewallPolicyUUID, FirewallRuleID, TunnelRuleID, MonitorRuleID, SI_CategoryID, SSL_PolicyUUID, ug SSL_RuleID
    • Ang mga syslog alang sa mga panghitabo sa pagpanghilabot naglakip sa IntrusionPolicyUUID, GeneratorID, ug SignatureID
  • Gipadako nga metadata, lakip apan dili limitado sa:
    • Ang mga detalye sa user nga gihatag sa LDAP, sama sa tibuok ngalan, departamento, numero sa telepono, ug uban pa. Ang Syslog naghatag lang ug mga username sa mga panghitabo.
    • Mga detalye alang sa impormasyon nga nakabase sa estado sama sa mga detalye sa SSL Certificate. Naghatag ang Syslog og batakang impormasyon sama sa fingerprint sa sertipiko, apan dili maghatag ug ubang mga detalye sa sertipiko sama sa cert CN.
    • Detalyadong impormasyon sa aplikasyon, sama sa App Tags ug Mga Kategorya. Ang Syslog naghatag lamang sa mga ngalan sa Aplikasyon. Ang ubang mga mensahe sa metadata naglakip usab og dugang nga impormasyon mahitungod sa mga butang.
  • Impormasyon sa geolocation

Pagpili sa mga Matang sa Panghitabo sa eStreamer

  • Gikontrol sa eStreamer Event Configuration ang mga check box kung unsang mga panghitabo ang mapasa sa eStreamer server.
  • Ang imong kliyente kinahanglan gihapon nga espesipikong mohangyo sa mga matang sa mga panghitabo nga gusto nimo nga madawat niini sa mensahe sa hangyo nga ipadala niini sa eStreamer server. Para sa dugang nga impormasyon, tan-awa ang Firepower System Event Streamer Integration Guide.
  • Sa usa ka multidomain deployment, mahimo nimong i-configure ang eStreamer Event Configuration sa bisan unsang lebel sa domain. Bisan pa, kung ang usa ka ancestor domain nakahimo sa usa ka partikular nga klase sa panghitabo, dili nimo ma-disable ang kana nga klase sa panghitabo sa mga kaliwat nga domain.
  • Kinahanglan nga ikaw usa ka Admin user aron mahimo kini nga buluhaton, alang sa FMC.

Pamaagi

  • Lakang 1 Pilia ang System> Integration.
  • Lakang 2 I-klik ang eStreamer.
  • Lakang 3 Ubos sa eStreamer Event Configuration, susiha o hawanan ang mga check box sunod sa mga tipo sa panghitabo nga gusto nimo nga ipasa sa eStreamer sa paghangyo sa mga kliyente, nga gihulagway sa eStreamer Server Streaming.
  • Lakang 4 Pag-klik sa Pag-save.

Pag-configure sa eStreamer Client Communications

  • Sa dili pa ipadala sa eStreamer ang mga panghitabo sa eStreamer sa usa ka kliyente, kinahanglan nimo nga idugang ang kliyente sa database sa mga kauban sa eStreamer server gikan sa panid sa eStreamer. Kinahanglan usab nimo kopyahon ang sertipiko sa pag-authenticate nga gihimo sa eStreamer server sa kliyente. Human sa pagkompleto niini nga mga lakang dili na nimo kinahanglan nga i-restart ang serbisyo sa eStreamer aron ang kliyente makakonektar sa eStreamer server.
  • Sa usa ka multidomain deployment, makahimo ka og eStreamer nga kliyente sa bisan unsang domain. Ang authentication certificate nagtugot sa kliyente sa paghangyo og mga panghitabo gikan lamang sa domain sa certificate sa kliyente ug sa bisan unsang kaliwat nga domain. Ang panid sa pag-configure sa eStreamer nagpakita lamang sa mga kliyente nga adunay kalabotan sa karon nga domain, busa kung gusto nimo i-download o bawion ang usa ka sertipiko, ibalhin sa domain kung diin gihimo ang kliyente.
  • Kinahanglan nga ikaw usa ka Admin o Discovery Admin user aron mahimo kini nga buluhaton, alang sa FMC.

Pamaagi

  • Lakang 1 Pilia ang System> Integration.
  • Lakang 2 I-klik ang eStreamer.
  • Lakang 3 I-klik ang Paghimo og Kliyente.
  • Lakang 4 Sa Hostname field, isulod ang host name o IP address sa host nga nagpadagan sa eStreamer client.
    Nota Kung wala nimo ma-configure ang resolusyon sa DNS, gamita ang IP address.
  • Lakang 5 Kung gusto nimo i-encrypt ang sertipiko file, pagsulod ug password sa Password field.
  • Lakang 6 Pag-klik sa Pag-save.
    Ang eStreamer server karon nagtugot sa host sa pag-access sa port 8302 sa eStreamer server ug nagmugna og usa ka authentication certificate nga gamiton atol sa client-server authentication.
  • Lakang 7 I-klik ang Download (Cisco-Event-Analysis-Paggamit-External-Tools-fig- (5) ) sunod sa hostname sa kliyente aron ma-download ang sertipiko file.
  • Lakang 8 I-save ang sertipiko file sa angay nga direktoryo nga gigamit sa imong kliyente alang sa SSL authentication.
  • Lakang 9 Aron bawion ang access sa usa ka kliyente, i-klik ang Delete (Cisco-Event-Analysis-Paggamit-External-Tools-fig- (6) ) sunod sa host nga gusto nimong tangtangon.
    Timan-i nga dili nimo kinahanglan nga i-restart ang serbisyo sa eStreamer; ang pag-access gibawi dayon.

Pag-analisar sa Panghitabo sa Splunk

  • Mahimo nimong gamiton ang Cisco Secure Firewall (fka Firepower) app para sa Splunk (kanhi nailhan nga Cisco Firepower App para sa Splunk) isip usa ka eksternal nga himan aron ipakita ug magtrabaho uban ang datos sa panghitabo sa Firepower, aron mangayam ug mag-imbestiga sa mga hulga sa imong network.
  • eStreamer gikinahanglan. Kini usa ka advanced functionality. Tan-awa ang eStreamer Server Streaming.
  • Alang sa dugang impormasyon, tan-awa https://cisco.com/go/firepower-for-splunk.

Pag-analisar sa Hitabo sa IBM QRadar

Kasaysayan alang sa Pag-analisar sa Data sa Hitabo Gamit ang External Tools

Feature Bersyon Mga Detalye
SecureX ribbon 7.0 Ang SecureX ribbon pivots ngadto sa SecureX alang sa instant visibility ngadto sa hulga nga talan-awon sa tibuok imong Cisco nga mga produkto sa seguridad.

Para ipakita ang SecureX ribbon sa FMC, tan-awa ang Firepower ug SecureX Integration Guide sa https://cisco.com/go/firepower-securex-documentation.

Bag-o/Gibag-o nga mga screen: Bag-ong panid: System > SecureX
Ipadala ang tanang panghitabo sa koneksyon ngadto sa Cisco cloud 7.0 Mahimo nimong ipadala ang tanan nga mga panghitabo sa koneksyon sa panganod sa Cisco, imbes nga ipadala lang ang mga panghitabo sa koneksyon nga adunay taas nga prayoridad.

Bag-o/Gibag-o nga mga screen: Bag-ong opsyon sa System > Integration > Cloud Services page
Cross-launch sa view datos sa Secure Network Analytics 6.7 Kini nga bahin nagpaila sa usa ka dali nga paagi sa paghimo og daghang mga entri para sa imong Secure Network Analytics appliance sa Analysis > Contextual Cross-Launch page.

Gitugotan ka niini nga mga entry nga i-right-click ang usa ka may kalabutan nga panghitabo aron i-cross-launch ang Secure Network Analytics ug display nga impormasyon nga may kalabutan sa data point nga imong gi-cross-launch.

Bag-ong menu item: Sistema > Pag-log > Security Analytics ug Pag-log Bag-ong panid aron ma-configure ang pagpadala sa mga panghitabo sa Secure Network Analytics.
Kontekswal nga cross-launch

gikan sa dugang nga mga matang sa uma

 6.7 Mahimo ka na nga mag-cross-launch ngadto sa usa ka eksternal nga aplikasyon gamit ang mosunod nga dugang nga mga tipo sa data sa panghitabo:

• polisiya sa pagkontrolar sa access

• Polisiya sa pagsulod

• Protocol sa aplikasyon

• Aplikasyon sa kliyente

•  Web aplikasyon

• Username (lakip ang gingharian)

 

Bag-ong mga opsyon sa menu: Ang mga opsyon sa paglansad sa konteksto-krus anaa na sa pag-right-click sa mga tipo sa datos sa ibabaw para sa mga panghitabo sa mga widget sa Dashboard ug mga lamesa sa panghitabo sa mga panid ubos sa menu sa Pagtuki.

Gisuportahan nga mga plataporma: Firepower Management Center
Paghiusa sa IBM QRadar 6.0 ug sa ulahi Ang mga tiggamit sa IBM QRadar makagamit ug bag-ong Firepower-specific nga app aron analisahon ang ilang data sa panghitabo. Ang magamit nga gamit maapektuhan sa imong bersyon sa Firepower.

Tan-awa ang Pagtuki sa Hitabo sa IBM QRadar.
Mga pagpauswag sa panagsama sa tubag sa hulga sa Cisco SecureX 6.5 • Suporta para sa rehiyonal nga panganod:

• Estados Unidos (North America)

• Europe

 

• Suporta alang sa dugang nga matang sa panghitabo:

•  File ug mga panghitabo sa malware

• High-priority koneksyon nga mga panghitabo

Kini ang mga panghitabo sa koneksyon nga may kalabutan sa mga musunud:

• Mga panghitabo sa pagsulod

• Mga panghitabo sa Security Intelligence

•  File ug mga panghitabo sa malware

 

 

Giusab nga mga screen: Bag-ong mga opsyon sa System > Integration > Cloud Services.

Gisuportahan nga mga Platform: Ang tanan nga mga aparato nga gisuportahan sa kini nga pagpagawas, pinaagi sa direkta nga paghiusa o syslog.
Syslog 6.5 Ang natad sa AccessControlRuleName anaa na karon sa mga mensahe sa syslog sa intrusion event.
Paghiusa sa Cisco Security Packet Analyzer 6.5 Gikuha ang suporta alang niini nga bahin.
Paghiusa sa tubag sa hulga sa Cisco SecureX 6.3 (pinaagi sa syslog, gamit ang proxy

kolektor)

6.4

(direkta)

 I-integrate ang data sa panghitabo sa pagpanghilabot sa Firepower sa mga datos gikan sa ubang mga tinubdan para sa usa ka hiniusa view sa mga hulga sa imong network gamit ang kusgan nga mga himan sa pagtuki sa tubag sa hulga sa Cisco SecureX.

Giusab nga mga screen (bersyon 6.4): Bag-ong mga kapilian sa System > Integration > Cloud Services. Gisuportahan nga mga Platform: Firepower Threat Defense nga mga aparato nga nagdagan nga bersyon 6.3 (pinaagi sa syslog) o 6.4.
Syslog suporta alang sa File ug mga panghitabo sa Malware 6.4 Hingpit nga kwalipikado file ug ang data sa panghitabo sa malware mahimo na nga ipadala gikan sa gidumala nga mga himan pinaagi sa syslog. Gibag-o nga mga screen: Mga Patakaran > Pagkontrol sa Pag-access > Pagkontrol sa Pag-access > Pag-log.

Gisuportahan nga mga Platform: Tanan nga gidumala nga mga aparato nga nagdagan nga bersyon 6.4.
Paghiusa sa Splunk Nagsuporta sa tanan nga 6.x nga bersyon Ang mga tiggamit sa Splunk mahimong mogamit usa ka bag-o, bulag nga Splunk app, Cisco Secure Firewall (fka Firepower) nga app para sa Splunk, aron analisahon ang mga panghitabo.

Ang magamit nga gamit maapektuhan sa imong bersyon sa Firepower. Tan-awa ang Pagtuki sa Hitabo sa Splunk.
Paghiusa sa Cisco Security Packet Analyzer 6.3 Gipaila ang feature: Pagpangutana dayon sa Cisco Security Packet Analyzer alang sa mga packet nga may kalabutan sa usa ka panghitabo, dayon i-klik aron susihon ang mga resulta sa Cisco Security Packet Analyzer o i-download kini alang sa pagtuki ug laing eksternal nga himan.

Bag-ong mga screen:

Sistema > Paghiusa > Pagtuki sa Packet Analyzer > Abante > Mga Pangutana sa Packet Analyzer

Bag-ong mga opsyon sa menu: Pangutana nga Packet Analyzer menu item kung nag-right-click sa usa ka panghitabo sa Dashboar nga mga panid ug mga lamesa sa panghitabo sa mga panid ubos sa Analysis menu.

Gisuportahan nga mga plataporma: Firepower Management Center
Kontekswal nga cross-launch 6.3 Gipaila ang bahin: Pag-right-click sa usa ka panghitabo aron pangitaon ang may kalabutan nga kasayuran sa gitakda nang daan o naandan URL-base sa gawas nga mga kapanguhaan.

Bag-ong mga screen: Pagtuki > Abante > Kontekswal nga Cross-Launch

Bag-ong mga kapilian sa menu: Daghang mga kapilian kung nag-right-click sa usa ka panghitabo sa mga panid sa Dashboard ug bisan mga lamesa sa mga panid sa ilawom sa menu sa Pag-analisar.

Gisuportahan nga mga plataporma: Firepower Management Center
Mga mensahe sa Syslog alang sa

koneksyon ug intrusion nga mga panghitabo

 6.3 Abilidad sa pagpadala sa bug-os nga-kwalipikado nga koneksyon ug intrusion nga mga panghitabo sa eksternal nga pagtipig ug mga himan pinaagi sa syslog, gamit ang bag-ong nahiusa ug gipasimple nga mga pag-configure. Ang mga ulohan sa mensahe karon gi-standardize ug naglakip sa mga tipo sa panghitabo nga mga identifier, ug ang mga mensahe mas gamay tungod kay ang mga natad nga wala mailhi ug walay sulod nga mga bili wala iapil.

Gisuportahan nga mga Platform:

• Tanan nga bag-ong gamit: FTD device nga nagdagan nga bersyon 6.3.

• Pipila ka bag-ong gamit: Non-FTD device nga nagdagan sa bersyon 6.3.

• Dili kaayo bag-o nga gamit: Ang tanan nga mga aparato nga nagpadagan sa mga bersyon nga mas tigulang kaysa 6.3.

Para sa dugang nga impormasyon, tan-awa ang mga topiko ubos sa About Sending Syslog Messages for Security Events.
eStreamer 6.3 Gibalhin ang sulod sa eStreamer gikan sa kapitulo sa Host Identity Sources ngadto niini nga kapitulo ug midugang og summary nga nagtandi sa eStreamer ngadto sa syslog.

Mga Dokumento / Mga Kapanguhaan

PDF thumbnailPag-analisar sa Hitabo Gamit ang External Tools
User Guide · Event Analysis Using External Tools, Event, Analysis Using External Tools, Using External Tools, External Tools

Mga pakisayran

Gipatik: Nobyembre 15, 2023
Gi-update: Nobyembre 16, 2023

Pangutana

Use this section to ask about setup, compatibility, troubleshooting, or anything missing from this manual.

Pangutana

Ask about setup, compatibility, troubleshooting, or anything missing from this manual. Name and email are optional.

CISCO M5 Update Patch Secure Network Analytics Instruction Manual
Hunyo 1, 2026
CISCO Validated Profile Healthcare SD Access Vertical User Guide
Mayo 26, 2026
CISCO 6851 IP Phone User Guide
Mayo 25, 2026
CISCO Partner Self Service User Guide
Mayo 15, 2026