Firma CISCO rozpoczęła pracę z siłą ognia, przeprowadzając wstępną konfigurację
Specyfikacje
- Nazwa produktu: Cisco Firepower
- Typ produktu: Bezpieczeństwo sieci i zarządzanie ruchem
- Opcje wdrożenia: Specjalnie zaprojektowane platformy lub oprogramowanie
- Interfejs zarządzania: Graficzny interfejs użytkownika
Instrukcje użytkowania produktu
Instalowanie i przeprowadzanie wstępnej konfiguracji na urządzeniach fizycznych:
Wykonaj poniższe kroki, aby skonfigurować Centrum zarządzania siłą ognia na urządzeniach fizycznych:
- Szczegółowe instrukcje dotyczące instalacji można znaleźć w Przewodniku startowym.
Wdrażanie urządzeń wirtualnych
W przypadku wdrażania urządzeń wirtualnych wykonaj następujące kroki:
- Określ obsługiwane platformy wirtualne dla centrum zarządzania i urządzeń.
- Wdrażaj wirtualne centra zarządzania siłą ognia w środowiskach chmur publicznych i prywatnych.
- Wdrażaj urządzenia wirtualne dla swojego urządzenia w obsługiwanych środowiskach chmurowych.
Logowanie po raz pierwszy:
Początkowe kroki logowania do Centrum zarządzania siłą ognia:
- Zaloguj się przy użyciu domyślnych danych uwierzytelniających (admin/Admin123).
- Zmień hasło i ustaw strefę czasową.
- Dodaj licencje i zarejestruj zarządzane urządzenia.
Konfigurowanie podstawowych zasad i konfiguracji:
Do view dane w dashboardzie, skonfiguruj podstawowe polityki:
- Skonfiguruj podstawowe zasady bezpieczeństwa sieci.
- Aby zapoznać się z zaawansowanymi konfiguracjami, zapoznaj się z pełną instrukcją obsługi.
Często zadawane pytania:
P: Jak uzyskać dostęp do Centrum zarządzania siłą ognia web berło?
O: Możesz uzyskać dostęp do web interfejsu, wpisując adres IP Centrum Zarządzania w swoim web przeglądarka.
Pierwsze kroki z siłą ognia
Cisco Firepower to zintegrowany pakiet produktów do zabezpieczania sieci i zarządzania ruchem, wdrażany na specjalnie zaprojektowanych platformach lub jako rozwiązanie programowe. System został zaprojektowany, aby pomóc Ci zarządzać ruchem sieciowym w sposób zgodny z polityką bezpieczeństwa Twojej organizacji – Twoimi wytycznymi dotyczącymi ochrony sieci.
W typowym wdrożeniu wiele zarządzanych urządzeń wykrywających ruch zainstalowanych w segmentach sieci monitoruje ruch w celu analizy i raportowania menedżerowi:
- Centrum zarządzania siłą ognia
- Menedżer urządzeń Firepower
Adaptacyjny menedżer urządzeń zabezpieczających (ASDM)
Menedżerowie udostępniają scentralizowaną konsolę zarządzania z graficznym interfejsem użytkownika, której można używać do wykonywania zadań administracyjnych, zarządzania, analiz i raportowania.
Ten przewodnik skupia się na urządzeniu zarządzającym Firepower Management Center. Informacje na temat Menedżera urządzeń Firepower lub ASA z usługami FirePOWER zarządzanymi przez ASDM można znaleźć w przewodnikach dotyczących tych metod zarządzania.
- Przewodnik konfiguracji Cisco Firepower Threat Defense dla Menedżera urządzeń Firepower
- Przewodnik konfiguracji zarządzania lokalnego ASA z usługami FirePOWER
- Szybki start: Konfiguracja podstawowa, na stronie 2
- Urządzenia o sile ognia, na stronie 5
- Funkcje siły ognia, na stronie 6
- Przełączanie domen w Centrum zarządzania siłą ognia, na stronie 10
- Menu kontekstowe, na stronie 11
- Udostępnianie danych firmie Cisco, na stronie 13
- Pomoc online Firepower, instrukcje i dokumentacja, na stronie 13
- Konwencje adresów IP systemów Firepower, na stronie 16
- Dodatkowe zasoby, na stronie 16
Szybki start: konfiguracja podstawowa
Zestaw funkcji Firepower jest wystarczająco wydajny i elastyczny, aby obsługiwać podstawowe i zaawansowane konfiguracje. Skorzystaj z poniższych sekcji, aby szybko skonfigurować Centrum zarządzania siłą ognia i zarządzane przez niego urządzenia, aby rozpocząć kontrolowanie i analizowanie ruchu.
Instalowanie i przeprowadzanie wstępnej konfiguracji na urządzeniach fizycznych
Procedura
Zainstaluj i wykonaj wstępną konfigurację na wszystkich urządzeniach fizycznych, korzystając z dokumentacji urządzenia:
- Centrum zarządzania siłą ognia
Przewodnik wprowadzający dla Twojego modelu sprzętu Cisco Firepower Management Center, dostępny pod adresem http://www.cisco.com/go/firepower-mc-install - Urządzenia zarządzane przez Firepower Threat Defense
Ważne Zignoruj dokumenty Menedżera urządzeń Firepower na tych stronach.
- Przewodnik wprowadzający dla serii Cisco Firepower 2100
- Przewodnik wprowadzający do Cisco Firepower 4100
- Przewodnik wprowadzający do Cisco Firepower 9300
- Cisco Firepower Threat Defense dla ASA 5508-X i ASA 5516-X Przewodnik szybkiego startu dotyczący korzystania z Centrum zarządzania siłą ognia
- Cisco Firepower Threat Defense dla ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X i ASA 5555-X Przewodnik szybkiego startu dotyczący korzystania z Centrum zarządzania siłą ognia
- Przewodnik szybkiego startu Cisco Firepower Threat Defense dla ISA 3000 Korzystanie z Centrum zarządzania siłą ognia
Klasyczne zarządzane urządzenia
- Skrócona instrukcja obsługi modułu Cisco ASA FirePOWER
- Przewodnik wprowadzający dla serii Cisco Firepower 8000
- Przewodnik wprowadzający dla serii Cisco Firepower 7000
Wdrażanie urządzeń wirtualnych
Wykonaj poniższe kroki, jeśli wdrożenie obejmuje urządzenia wirtualne. Skorzystaj z planu działania dokumentacji, aby zlokalizować
dokumenty wymienione poniżej: http://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/ mapa drogowa mocy ognia.html.
Procedura
- Krok 1 Określ obsługiwane platformy wirtualne, których będziesz używać w Centrum zarządzania i urządzeniach (mogą się one różnić). Zobacz Przewodnik dotyczący zgodności Cisco Firepower.
- Krok 2 Wdróż wirtualne centra zarządzania siłą ognia w obsługiwanym środowisku chmury publicznej i prywatnej. Patrz wirtualny przewodnik wprowadzający Cisco Secure Firewall Management Center.
- Krok 3 Wdróż urządzenia wirtualne dla swojego urządzenia w obsługiwanym środowisku chmury publicznej i prywatnej. Szczegółowe informacje można znaleźć w poniższej dokumentacji.
- NGIPSv działający na VMware: Przewodnik szybkiego startu Cisco Firepower NGIPSv dla VMware
- Cisco Firepower Threat Defense dla ASA 5508-X i ASA 5516-X przy użyciu zarządzania siłą ognia
Centrum szybkiego startu
- Firepower Threat Defense Virtual działający w środowiskach chmur publicznych i prywatnych, patrz Przewodnik wprowadzający Cisco Secure Firewall Threat Defense Virtual, wersja 7.3.
Logowanie po raz pierwszy
Zanim zaczniesz
- Przygotuj urządzenia zgodnie z opisem w części Instalowanie i przeprowadzanie wstępnej konfiguracji urządzeń fizycznych, na stronie 2 lub Wdrażanie urządzeń wirtualnych, na stronie 3.
Procedura
- Krok 1 Zaloguj się do Centrum zarządzania siłą ognia web interfejs z admin jako nazwą użytkownika i Admin123 jako hasłem. Zmień hasło do tego konta zgodnie z opisem w Skróconej instrukcji obsługi urządzenia.
- Krok 2 Ustaw strefę czasową dla tego konta zgodnie z opisem w sekcji Ustawianie domyślnej strefy czasowej.
- Krok 3 Dodaj licencje zgodnie z opisem w sekcji Licencjonowanie systemu Firepower.
- Krok 4 Zarejestruj zarządzane urządzenia zgodnie z opisem w sekcji Dodawanie urządzenia do FMC.
- Krok 5 Skonfiguruj zarządzane urządzenia zgodnie z opisem w:
- Wprowadzenie do wdrażania i konfiguracji urządzeń IPS, aby skonfigurować interfejsy pasywne lub wbudowane w urządzeniach z serii 7000 lub 8000
- Interfejs ponadview dla Firepower Threat Defense, aby skonfigurować tryb przezroczysty lub routowany na urządzeniach Firepower Threat Defense
- Interfejs ponadview dla Firepower Threat Defense, aby skonfigurować interfejsy na urządzeniach Firepower Threat Defense
Co robić dalej
- Rozpocznij kontrolowanie i analizowanie ruchu, konfigurując podstawowe zasady zgodnie z opisem w Konfigurowanie podstawowych zasad i konfiguracji, na stronie 4.
Konfigurowanie podstawowych zasad i konfiguracji
Aby widzieć dane w panelu kontrolnym, Eksploratorze kontekstu i tabelach zdarzeń, należy skonfigurować i wdrożyć podstawowe zasady.
To nie jest pełne omówienie zasad lub możliwości funkcji. Wskazówki dotyczące innych funkcji i bardziej zaawansowanych konfiguracji można znaleźć w dalszej części tego przewodnika.
Notatka
Zanim zaczniesz
- Zaloguj się do web interfejsie, ustaw strefę czasową, dodaj licencje, zarejestruj urządzenia i skonfiguruj urządzenia zgodnie z opisem w części Logowanie po raz pierwszy, na stronie 3.
Procedura
- Krok 1 Skonfiguruj politykę kontroli dostępu zgodnie z opisem w Tworzenie podstawowej polityki kontroli dostępu.
- W większości przypadków Cisco sugeruje ustawienie zasad dotyczących włamań w zakresie zrównoważonych zabezpieczeń i łączności jako działania domyślnego. Aby uzyskać więcej informacji, zobacz Domyślne działanie zasad kontroli dostępu oraz Analiza sieci dostarczana przez system i Zasady dotyczące włamań.
- W większości przypadków Cisco sugeruje włączenie rejestrowania połączeń, aby spełnić potrzeby Twojej organizacji w zakresie bezpieczeństwa i zgodności. Decydując, które połączenia należy rejestrować, należy wziąć pod uwagę ruch w sieci, aby nie zaśmiecać wyświetlaczy ani nie obciążać systemu. Aby uzyskać więcej informacji, zobacz Informacje o rejestrowaniu połączeń.
- Krok 2 Zastosuj domyślne zasady dotyczące kondycji dostarczone przez system zgodnie z opisem w części Stosowanie zasad dotyczących kondycji.
- Krok 3 Dostosuj kilka ustawień konfiguracji systemu:
- Jeśli chcesz zezwolić na połączenia przychodzące dla usługi (npample, SNMP lub syslog), zmodyfikuj porty na liście dostępu zgodnie z opisem w Konfigurowanie listy dostępu.
- Zrozum i rozważ edycję limitów zdarzeń w bazie danych zgodnie z opisem w sekcji Konfigurowanie limitów zdarzeń w bazie danych.
- Jeśli chcesz zmienić język wyświetlacza, dokonaj edycji ustawienia języka zgodnie z opisem w części Ustawianie języka dla Web Interfejs.
- Jeśli Twoja organizacja ogranicza dostęp do sieci za pomocą serwera proxy i nie skonfigurowałeś ustawień proxy podczas początkowej konfiguracji, edytuj ustawienia proxy zgodnie z opisem w Modyfikowanie interfejsów zarządzania FMC.
- Krok 4 Dostosuj zasady wykrywania sieci zgodnie z opisem w sekcji Konfigurowanie zasad wykrywania sieci. Domyślnie zasady wykrywania sieci analizują cały ruch w Twojej sieci. W większości przypadków Cisco sugeruje ograniczenie wyszukiwania do adresów podanych w dokumencie RFC 1918.
- Krok 5 Rozważ dostosowanie innych typowych ustawień:
- Jeśli nie chcesz wyświetlać wyskakujących okienek w centrum wiadomości, wyłącz powiadomienia zgodnie z opisem w Konfigurowanie zachowania powiadomień.
- Jeśli chcesz dostosować wartości domyślne zmiennych systemowych, zapoznaj się z ich użyciem w sposób opisany w Zestawy zmiennych.
- Jeśli chcesz zaktualizować bazę danych geolokalizacji, wykonaj aktualizację ręcznie lub zgodnie z harmonogramem, zgodnie z opisem w części Aktualizacja bazy danych geolokalizacji.
- Jeśli chcesz utworzyć dodatkowe lokalnie uwierzytelnione konta użytkowników w celu uzyskania dostępu do FMC, zobacz Dodawanie użytkownika wewnętrznego na stronie Web Interfejs.
- Jeśli chcesz używać zewnętrznego uwierzytelniania LDAP lub RADIUS w celu umożliwienia dostępu do FMC, zobacz Konfigurowanie EUwierzytelnianie zewnętrzne.
- Krok 6 Wdróż zmiany konfiguracyjne; zobacz Wdrażanie zmian konfiguracyjnych.
Co robić dalej
- Review i rozważ skonfigurowanie innych funkcji opisanych w Funkcje siły ognia, na stronie 6 i pozostałej części tego przewodnika.
Urządzenia o sile ognia
W typowym wdrożeniu wiele urządzeń do obsługi ruchu podlega jednemu Centrum zarządzania siłą ognia, którego używa się do wykonywania zadań administracyjnych, zarządzania, analiz i raportowania.
Urządzenia klasyczne
Klasyczne urządzenia obsługują oprogramowanie IPS nowej generacji (NGIPS). Zawierają:
- Urządzenia fizyczne serii Firepower 7000 i Firepower serii 8000.
- NGIPSv, hostowany na VMware.
- ASA z usługami FirePOWER dostępna w wybranych urządzeniach z serii ASA 5500-X (w tym ISA 3000). ASA zapewnia politykę systemową pierwszej linii, a następnie przekazuje ruch do modułu ASA FirePOWER w celu wykrywania i kontroli dostępu.
Należy pamiętać, że do skonfigurowania funkcji opartych na ASA na urządzeniu ASA FirePOWER należy użyć interfejsu ASA CLI lub ASDM. Obejmuje to wysoką dostępność urządzenia, przełączanie, routing, VPN, NAT i tak dalej.
Nie można używać FMC do konfigurowania interfejsów ASA FirePOWER, a interfejs GUI FMC nie wyświetla interfejsów ASA, gdy ASA FirePOWER jest wdrożony w trybie portu SPAN. Nie można także używać FMC do zamykania, ponownego uruchamiania lub innego zarządzania procesami ASA FirePOWER.
Urządzenia do obrony przed zagrożeniami za pomocą siły ognia
Urządzenie Firepower Threat Defense (FTD) to zapora ogniowa nowej generacji (NGFW), która ma również możliwości NGIPS. Funkcje NGFW i platformy obejmują VPN typu site-to-site i dostęp zdalny, solidny routing, NAT, klastrowanie i inne optymalizacje w zakresie inspekcji aplikacji i kontroli dostępu.
FTD jest dostępne na szerokiej gamie platform fizycznych i wirtualnych.
Zgodność
Aby uzyskać szczegółowe informacje na temat zgodności urządzeń menedżera, w tym oprogramowania zgodnego z określonymi modelami urządzeń, wirtualnymi środowiskami hostingowymi, systemami operacyjnymi itp., zobacz Informacje o wydaniu Cisco Firepower i Przewodnik dotyczący kompatybilności Cisco Firepower.
Funkcje siły ognia
W tabelach tych wymieniono niektóre powszechnie używane funkcje Siły Ognia.
Funkcje zarządzania urządzeniem i systemem
Aby zlokalizować nieznane dokumenty, zobacz: http://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html
| Jeśli chcesz… | Konfiguruj… | Jak opisano w… |
| Zarządzaj kontami użytkowników umożliwiającymi logowanie się do urządzeń Firepower | Uwierzytelnianie siły ognia | Informacje o kontach użytkowników |
| Monitoruj stan sprzętu i oprogramowania systemowego | Polityka monitorowania stanu zdrowia | O monitorowaniu zdrowia |
| Utwórz kopię zapasową danych na swoim urządzeniu | Kopia zapasowa i przywracanie | Kopia zapasowa i przywracanie |
| Uaktualnij do nowej wersji Firepower | Aktualizacje systemu | Zarządzanie siłą ognia Cisco Przewodnik aktualizacji centrum, wersja 6.0–7.0 |
| Opracuj bazę swojego urządzenia fizycznego | Przywróć ustawienia fabryczne (reimage) | Ten Siła ognia Cisco Aktualizacja Centrum Zarządzania Przewodnik, wersja 6.0–7.0, aby uzyskać listę łączy do instrukcji dotyczących przeprowadzania nowych instalacji. |
| Zaktualizuj VDB, aktualizacje reguł włamań lub GeoDB na swoim urządzeniu | Aktualizacje bazy danych luk w zabezpieczeniach (VDB), aktualizacje reguł włamań lub aktualizacje bazy danych geolokalizacji (GeoDB) | Aktualizacje systemu |
| Jeśli chcesz… | Konfiguruj… | Jak opisano w… |
| Zastosuj licencje, aby skorzystać z zaliczkitage funkcjonalności kontrolowanej przez licencję | Licencjonowanie klasyczne lub inteligentne | Informacje o licencjach na siłę ognia |
| Zapewnij ciągłość pracy urządzeń | Wysoka dostępność zarządzanych urządzeń i/lub wysoka dostępność Centrum zarządzania siłą ognia | Wysoka dostępność urządzeń z serii 7000 i 8000
Informacje o wysokiej dostępności funkcji Firepower Threat Defense Informacje o Centrum zarządzania siłą ognia Wysoka dostępność |
| Połącz zasoby przetwarzania wielu urządzeń serii 8000 | Układanie urządzeń | Informacje o stosach urządzeń |
| Skonfiguruj urządzenie do kierowania ruchu między dwoma lub większą liczbą interfejsów | Rozgromienie | Wirtualne routery
Koniec trasowaniaview dla obrony przed zagrożeniami za pomocą siły ognia |
| Skonfiguruj przełączanie pakietów między dwiema lub więcej sieciami | Przełączanie urządzeń | Przełączniki wirtualne
Skonfiguruj interfejsy grupy mostów |
| Tłumacz adresy prywatne na adresy publiczne dla połączeń internetowych | Translacja adresów sieciowych (NAT) | Konfiguracja zasad NAT
Translacja adresów sieciowych (NAT) dla ochrony przed zagrożeniami za pomocą siły ognia |
| Utwórz bezpieczny tunel pomiędzy zarządzanymi urządzeniami Firepower Threat Defense lub urządzeniami z serii 7000/8000 | Wirtualna sieć prywatna typu lokacja-lokacja (VPN) | Koniec VPNview dla obrony przed zagrożeniami za pomocą siły ognia |
| Twórz bezpieczne tunele pomiędzy zdalnymi użytkownikami i zarządzanym zagrożeniem Firepower
Urządzenia obronne |
Zdalny dostęp VPN | Koniec VPNview dla obrony przed zagrożeniami za pomocą siły ognia |
| Segmentuj dostęp użytkowników do zarządzanych urządzeń, konfiguracji i zdarzeń | Wielodostępność przy użyciu domen | Wprowadzenie do wielodostępności przy użyciu domen |
| View i zarządzaj urządzeniem
konfiguracja przy użyciu klienta API REST |
API REST i API REST
Odkrywca |
Preferencje API REST
Przewodnik szybkiego startu interfejsu API REST Firepower |
| Rozwiązywanie problemów | Brak | Rozwiązywanie problemów z systemem |
Funkcje wysokiej dostępności i skalowalności w zależności od platformy
Konfiguracje o wysokiej dostępności (czasami nazywane przełączaniem awaryjnym) zapewniają ciągłość działania. Konfiguracje klastrowe i piętrowe grupują wiele urządzeń w jedno logiczne, co pozwala uzyskać większą przepustowość i nadmiarowość.
| Platforma | Wysoka dostępność | Klastrowanie | Układanie |
| Centrum zarządzania siłą ognia | Tak
Z wyjątkiem MC750 |
— | — |
| Wirtualne centrum zarządzania siłą ognia | — | — | — |
|
Tak | — | — |
Obrona przed zagrożeniami za pomocą siły ognia:
|
Tak | Tak | — |
Wirtualna obrona przed zagrożeniami za pomocą siły ognia:
|
Tak | — | — |
Firepower Threat Defense Virtual (chmura publiczna):
|
— | — | — |
|
Tak | — | — |
|
Tak | — | Tak |
| SIŁA Ognia ASA | — | — | — |
| NGIPS w | — | — | — |
Powiązane tematy
Wysoka dostępność urządzeń z serii 7000 i 8000
Informacje o wysokiej dostępności funkcji Firepower Threat Defense
Informacje o Centrum zarządzania siłą ognia Wysoka dostępność
Funkcje wykrywania, zapobiegania i przetwarzania potencjalnych zagrożeń
Aby zlokalizować nieznane dokumenty, zobacz: http://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html
| Jeśli chcesz… | Konfiguruj… | Jak opisano w… |
| Sprawdzaj, rejestruj i podejmuj działania dotyczące ruchu sieciowego | Polityka kontroli dostępu, matka kilku innych zasad | Wprowadzenie do kontroli dostępu |
| Blokuj lub monitoruj połączenia do i z adresów IP, URLs i/lub nazwy domen | Analiza bezpieczeństwa w ramach polityki kontroli dostępu | O inteligencji bezpieczeństwa |
| Kontroluj webwitryny, do których mogą uzyskać dostęp użytkownicy Twojej sieci | URL filtrowanie w ramach reguł polityki | URL Filtracja |
| Monitoruj złośliwy ruch i włamania w Twojej sieci | Polityka włamań | Podstawy zasad dotyczących włamań |
| Blokuj zaszyfrowany ruch bez kontroli
Sprawdź zaszyfrowany lub odszyfrowany ruch |
Polityka SSL | Koniec z polityką SSLview |
| Dostosuj głęboką inspekcję do hermetyzowanego ruchu i popraw wydajność dzięki szybkiej ścieżce | Polityka wstępnego filtrowania | O filtrowaniu wstępnym |
| Ogranicz prędkość ruchu sieciowego, który jest dozwolony lub zaufany przez kontrolę dostępu | Polityka jakości usług (QoS). | Informacje o zasadach QoS |
| Zezwól lub zablokuj files (w tym złośliwe oprogramowanie) w Twojej sieci | File/zasady dotyczące złośliwego oprogramowania | File Zasady i ochrona przed złośliwym oprogramowaniem |
| Operacjonalizacja danych ze źródeł informacji o zagrożeniach | Dyrektor ds. analizy zagrożeń Cisco (TID) | Koniec dyrektora ds. analizy zagrożeńview |
| Skonfiguruj pasywne lub aktywne uwierzytelnianie użytkownika, aby zapewnić świadomość użytkownika i kontrolę użytkownika | Świadomość użytkownika, tożsamość użytkownika, polityki tożsamości | Informacje o źródłach tożsamości użytkowników Informacje o zasadach tożsamości |
| Zbieraj dane hosta, aplikacji i użytkownika z ruchu w sieci, aby zwiększyć świadomość użytkowników | Zasady wykrywania sieci | Nadview: Zasady wykrywania sieci |
| Korzystaj z narzędzi wykraczających poza system Firepower, aby zbierać i analizować dane o ruchu sieciowym i potencjalnych zagrożeniach | Integracja z narzędziami zewnętrznymi | Analiza zdarzeń przy użyciu narzędzi zewnętrznych |
| Wykonaj wykrywanie i kontrolę aplikacji | Detektory aplikacyjne | Nadview: Wykrywanie aplikacji |
| Rozwiązywanie problemów | Brak | Rozwiązywanie problemów z systemem |
Integracja z narzędziami zewnętrznymi
Aby zlokalizować nieznane dokumenty, zobacz: http://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html
| Jeśli chcesz… | Konfiguruj… | Jak opisano w… |
| Automatycznie uruchamiaj środki zaradcze, gdy warunki w Twojej sieci naruszają powiązane zasady | Naprawy | Wprowadzenie do środków zaradczych
Przewodnik po interfejsie API dotyczącym naprawiania systemu Firepower |
| Przesyłaj strumieniowo dane o zdarzeniach z Centrum zarządzania siłą ognia do
specjalnie opracowaną aplikację kliencką |
Integracja z eStreamerem | Przesyłanie strumieniowe z serwera eStreamer
Przewodnik integracji eStreamera z systemem Firepower |
| Wykonuj zapytania do tabel bazy danych w Centrum zarządzania siłą ognia, korzystając z klienta innej firmy | Dostęp do zewnętrznej bazy danych | Ustawienia dostępu do zewnętrznej bazy danych
Przewodnik dostępu do bazy danych systemu siły ognia |
| Poszerzaj dane dotyczące wykrywania, importując dane ze źródeł zewnętrznych | Wejście hosta | Dane wejściowe hosta
Przewodnik po interfejsie API wprowadzania hosta systemu Firepower |
| Badaj zdarzenia, korzystając z zewnętrznych narzędzi do przechowywania danych o zdarzeniach i innych danych
zasoby |
Integracja z zewnętrznymi narzędziami do analizy zdarzeń | Analiza zdarzeń przy użyciu narzędzi zewnętrznych |
| Rozwiązywanie problemów | Brak | Rozwiązywanie problemów z systemem |
Przełączanie domen w Centrum zarządzania siłą ognia
W przypadku wdrożenia wielodomenowego uprawnienia roli użytkownika określają, do jakich domen użytkownik może uzyskać dostęp i jakie uprawnienia posiada w każdej z tych domen. Możesz powiązać jedno konto użytkownika z wieloma domenami i przypisać mu różne uprawnienia w każdej domenie. Na przykładample, możesz przypisać użytkownika
uprawnienia tylko do odczytu w domenie globalnej, ale uprawnienia administratora w domenie potomnej.
Użytkownicy powiązani z wieloma domenami mogą przełączać się między domenami w tej samej web sesja interfejsu.
Pod Twoją nazwą użytkownika na pasku narzędzi system wyświetli drzewo dostępnych domen. Drzewo:
- Wyświetla domeny nadrzędne, ale może wyłączyć do nich dostęp w zależności od uprawnień przypisanych do Twojego konta użytkownika.
- Ukrywa każdą inną domenę, do której Twoje konto użytkownika nie ma dostępu, w tym domeny rodzeństwa i potomków.
Po przejściu na domenę system wyświetli:
- Dane istotne tylko dla tej domeny.
- Opcje menu zależą od roli użytkownika przypisanej do Ciebie w tej domenie.
Procedura
Z listy rozwijanej pod nazwą użytkownika wybierz domenę, do której chcesz uzyskać dostęp.
Menu kontekstowe
Niektóre strony w systemie siły ognia web interfejs obsługuje menu kontekstowe uruchamiane prawym przyciskiem myszy (najczęściej) lub lewym przyciskiem myszy, którego można używać jako skrótu umożliwiającego dostęp do innych funkcji w systemie Firepower. Zawartość menu kontekstowego zależy od tego, gdzie uzyskasz do niego dostęp — nie tylko od strony, ale także od konkretnych danych.
Na przykładampna:
- Hotspoty adresów IP dostarczają informacji o hoście powiązanym z tym adresem, w tym o wszelkich dostępnych usługach Whois i Host Profile informacja.
- Hotspoty wartości skrótu SHA-256 umożliwiają dodanie pliku a filewartość skrótu SHA-256 na czystą listę lub niestandardową listę wykrywania, lub view całą wartość skrótu do skopiowania. Na stronach lub lokalizacjach, które nie obsługują menu kontekstowego Firepower System, pojawia się normalne menu kontekstowe Twojej przeglądarki.
Redaktorzy zasad
Wiele edytorów zasad zawiera punkty aktywne przy każdej regule. Możesz wstawić nowe reguły i kategorie; zasady wycinania, kopiowania i wklejania; ustaw stan reguły; i edytuj regułę.
Edytor reguł włamań
Edytor reguł włamań zawiera punkty aktywne dla każdej reguły włamań. Możesz edytować regułę, ustawić jej stan, skonfigurować opcje progowania i pomijania oraz view dokumentacja regulaminowa. Opcjonalnie, po kliknięciu Dokumentacja reguł w menu kontekstowym, możesz kliknąć Dokumentacja reguł w wyskakującym oknie dokumentacji, aby view bardziej szczegółowe szczegóły reguły.
Wydarzenie Viewer
Strony zdarzeń (strony drążenia i tabela viewdostępne w menu Analiza) zawierają punkty aktywne dla każdego zdarzenia, adresu IP, URL, zapytanie DNS i pewne filewartości skrótu SHA-256. Chwila viewW przypadku większości typów zdarzeń możesz:
- View powiązane informacje w Eksploratorze kontekstu.
- Przejrzyj informacje o wydarzeniu w nowym oknie.
- View pełny tekst w miejscach, gdzie pole zdarzenia zawiera zbyt długi tekst, aby wyświetlić go w całości w zdarzeniu view, taki jak filewartość skrótu SHA-256, opis luki lub a URL.
- Otwórz web okno przeglądarki ze szczegółowymi informacjami o elemencie ze źródła zewnętrznego wobec Firepower, przy użyciu funkcji kontekstowego uruchamiania krzyżowego. Aby uzyskać więcej informacji, zobacz badanie zdarzeń przy użyciu Web-Zasoby oparte na.
- (Jeśli w Twojej organizacji wdrożono Cisco Security Packet Analyzer) Przeglądaj pakiety powiązane ze zdarzeniem. Aby uzyskać szczegółowe informacje, zobacz Badanie zdarzeń przy użyciu narzędzia Cisco Security Packet Analyzer.
Chwila viewPodczas zdarzeń połączenia możesz dodawać elementy do domyślnych list blokowania i nie blokowania analityki bezpieczeństwa:
- Adres IP z hotspotu adresu IP.
- A URL lub nazwa domeny, z a URL punkt dostępu.
- Zapytanie DNS z hotspotu zapytań DNS.
Chwila viewschwytany files, file zdarzenia i zdarzenia związane ze złośliwym oprogramowaniem, możesz:
- Dodaj file do lub usunąć file z czystej listy lub niestandardowej listy wykrywania.
- Pobierz kopię file.
- View zagnieżdżony filejest w archiwum file.
- Pobierz archiwum nadrzędne file dla zagnieżdżonego file.
- View ten file kompozycja.
- Prześlij file dla lokalnego złośliwego oprogramowania i analizy dynamicznej.
Chwila viewW przypadku zdarzeń związanych z włamaniami możesz wykonywać zadania podobne do tych w edytorze reguł włamań lub polityce włamań:
- Edytuj regułę wyzwalającą.
- Ustaw stan reguły, łącznie z wyłączeniem reguły.
- Skonfiguruj opcje progowania i tłumienia.
- View dokumentacja regulaminowa. Opcjonalnie, po kliknięciu Dokumentacja reguł w menu kontekstowym, możesz kliknąć Dokumentacja reguł w wyskakującym oknie dokumentacji, aby view bardziej szczegółowe szczegóły reguły.
Pakiet zdarzeń włamań View
Pakiet zdarzeń włamań views zawierają hotspoty adresów IP. Pakiet view korzysta z menu kontekstowego uruchamianego lewym przyciskiem myszy.
Panel
Wiele widżetów pulpitu nawigacyjnego zawiera punkty aktywne view powiązane informacje w Eksploratorze kontekstu. Panel
widżety mogą również zawierać adres IP i hotspoty z wartością skrótu SHA-256.
Eksplorator kontekstu
Eksplorator kontekstu zawiera punkty aktywne na wykresach, tabelach i wykresach. Jeśli chcesz zbadać dane z wykresów lub list bardziej szczegółowo, niż pozwala na to Eksplorator kontekstu, możesz przejść do tabeli viewodpowiednich danych. Możesz również view powiązany host, użytkownik, aplikacja, fileoraz informacje o regułach włamań.
Eksplorator kontekstu korzysta z menu kontekstowego uruchamianego lewym przyciskiem myszy, które zawiera także filtrowanie i inne opcje charakterystyczne dla Eksploratora kontekstu.
Powiązane tematy
Listy i kanały analizy bezpieczeństwa
Udostępnianie danych firmie Cisco
Możesz zdecydować się na udostępnianie danych firmie Cisco, korzystając z następujących funkcji:
- Sieć sukcesu Cisco
Zobacz Sieć sukcesu Cisco - Web analityka
Zobacz (Opcjonalnie) Rezygnacja z Web Śledzenie analityki
Pomoc online Firepower, instrukcje i dokumentacja Pomoc online jest dostępna pod adresem web interfejs:
- Klikając link pomocy kontekstowej na każdej stronie
- Wybierając Pomoc > Online
Jak to widżet, który zapewnia instrukcje poruszania się po zadaniach w Centrum zarządzania siłą ognia.
Instrukcje prowadzą Cię przez kroki wymagane do wykonania zadania, przeprowadzą Cię przez każdy krok, jeden po drugim, niezależnie od różnych ekranów interfejsu użytkownika, po których będziesz musiał przejść, aby ukończyć zadanie.
Widget Jak to zrobić jest domyślnie włączony. Aby wyłączyć widżet, wybierz Preferencje użytkownika z listy rozwijanej pod swoją nazwą użytkownika i usuń zaznaczenie pola wyboru Włącz instrukcje w Ustawieniach porad.
Instrukcje są ogólnie dostępne dla wszystkich stron interfejsu użytkownika i nie są zależne od roli użytkownika. Jednakże, w zależności od uprawnień użytkownika, niektóre pozycje menu nie pojawią się w interfejsie Firepower Management Center. Dlatego też instrukcje nie będą wykonywane na takich stronach.
Notatka
W Centrum zarządzania siłą ognia dostępne są następujące instrukcje:
- Zarejestruj FMC na koncie Cisco Smart Account: Ten przewodnik poprowadzi Cię do zarejestrowania Centrum zarządzania siłą ognia na koncie Cisco Smart Account.
- Skonfiguruj urządzenie i dodaj je do FMC: Ten przewodnik poprowadzi Cię przez konfigurację urządzenia i dodanie go do Centrum zarządzania siłą ognia.
- Skonfiguruj datę i godzinę: Ten przewodnik poprowadzi Cię do skonfigurowania daty i godziny Firepower
- Urządzenia Threat Defense korzystające z zasad ustawień platformy.
- Skonfiguruj ustawienia interfejsu: Ten przewodnik przeprowadzi Cię przez konfigurację interfejsów na urządzeniach Firepower Threat Defense.
- Utwórz politykę kontroli dostępu: Polityka kontroli dostępu składa się z zestawu uporządkowanych reguł, które są oceniane od góry do dołu. Ten przewodnik poprowadzi Cię do utworzenia zasad kontroli dostępu. Dodaj regułę kontroli dostępu — opis funkcji: W tym przewodniku opisano komponenty
regułę kontroli dostępu i sposób ich wykorzystania w Centrum zarządzania siłą ognia. - Skonfiguruj ustawienia routingu: Firepower Threat Defense obsługuje różne protokoły routingu. Trasa statyczna określa, gdzie wysyłać ruch do określonych sieci docelowych. Ten przewodnik poprowadzi Cię przez konfigurację routingu statycznego dla urządzeń.
- Tworzenie zasady NAT — opis funkcji: Ten przewodnik poprowadzi Cię do utworzenia zasady NAT i przeprowadzi Cię przez różne funkcje reguły NAT.
Dodatkową dokumentację dotyczącą systemu Firepower można znaleźć, korzystając z planu dokumentacji: http://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html
Strony z listą dokumentacji najwyższego poziomu dotyczące wdrożeń FMC
Poniższe dokumenty mogą być pomocne podczas konfigurowania wdrożeń Firepower Management Center w wersji 6.0 lub nowszej.
Niektóre z powiązanych dokumentów nie mają zastosowania do wdrożeń Centrum zarządzania siłą ognia. Na przykładample, niektóre łącza na stronach Firepower Threat Defense dotyczą wdrożeń zarządzanych przez Firepower Device Manager, a niektóre łącza na stronach sprzętu nie są związane z FMC. Aby uniknąć nieporozumień, zwróć szczególną uwagę na tytuły dokumentów. Ponadto niektóre dokumenty dotyczą wielu produktów i dlatego mogą pojawiać się na wielu stronach produktów.
Centrum zarządzania siłą ognia
- Urządzenia sprzętowe Centrum Zarządzania Siłą Ognia: http://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html
- Centrum Zarządzania Siłą Ognia Urządzenia wirtualne: • http://www.cisco.com/c/en/us/support/security/defense-center-virtual-appliance/tsd-products-support-series-home.html • http://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html
- Firepower Threat Defense, zwane także urządzeniami NGFW (Next Generation Firewall).
- Oprogramowanie do ochrony przed zagrożeniami Firepower: http://www.cisco.com/c/en/us/support/security/firepower-ngfw/tsd-products-support-series-home.html
- Wirtualna obrona przed zagrożeniami za pomocą siły ognia: http://www.cisco.com/c/en/us/support/security/firepower-ngfw-virtual/tsd-products-support-series-home.html
- Seria Siła Ognia 4100: https://www.cisco.com/c/en/us/support/security/firepower-4100-series/tsd-products-support-series-home.html
- Siła ognia 9300: https://www.cisco.com/c/en/us/support/security/firepower-9000-series/tsd-products-support-series-home.html
- ISA 3000: https://www.cisco.com/c/en/us/support/security/industrial-security-appliance-isa/tsd-products-support-series-home.html
Urządzenia klasyczne, zwane także urządzeniami NGIPS (Next Generation Intrusion Prevention System).
- ASA z usługami FirePOWER:
- ASA 5500-X z usługami FirePOWER: • https://www.cisco.com/c/en/us/support/security/asa-firepower-services/tsd-products-support-series-home.html https://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/tsd-products-support-series-home.html
- ISA 3000 z usługami FirePOWER: https://www.cisco.com/c/en/us/support/security/industrial-security-appliance-isa/tsd-products-support-series-home.html
- Seria Siła Ognia 8000: https://www.cisco.com/c/en/us/support/security/firepower-8000-series-appliances/tsd-products-support-series-home.html
- Seria Siła Ognia 7000: https://www.cisco.com/c/en/us/support/security/firepower-7000-series-appliances/tsd-products-support-series-home.html
- AMP dla sieci: https://www.cisco.com/c/en/us/support/security/amp-appliances/tsd-products-support-series-home.html
- NGIPSv (urządzenie wirtualne): https://www.cisco.com/c/en/us/support/security/ngips-virtual-appliance/tsd-products-support-series-home.html
Oświadczenia licencyjne w dokumentacji
Informacja o licencji na początku sekcji wskazuje, którą licencję Classic lub Smart musisz przypisać do zarządzanego urządzenia w systemie Firepower, aby włączyć funkcję opisaną w tej sekcji.
Ponieważ licencjonowane możliwości często się sumują, instrukcja licencyjna podaje tylko najwyższą wymaganą licencję na każdą funkcję.
Stwierdzenie „lub” w oświadczeniu o licencji wskazuje, że musisz przypisać konkretną licencję do zarządzanego urządzenia, aby włączyć funkcję opisaną w tej sekcji, ale dodatkowa licencja może dodać funkcjonalność. Na przykładample, w ciągu a file polityka, niektórzy file działania reguł wymagają przypisania licencji ochrony do urządzenia, podczas gdy inne wymagają przypisania licencji na złośliwe oprogramowanie.
Aby uzyskać więcej informacji na temat licencji, zobacz Informacje o licencjach Firepower.
Powiązane tematy
Informacje o licencjach na siłę ognia
Oświadczenia dotyczące obsługiwanych urządzeń w dokumentacji
Oświadczenie Obsługiwane urządzenia na początku rozdziału lub tematu wskazuje, że dana funkcja jest obsługiwana tylko w określonej serii, rodzinie lub modelu urządzeń. Na przykładample, wiele funkcji jest obsługiwanych tylko na urządzeniach Firepower Threat Defense.
Więcej informacji na temat platform obsługiwanych przez to wydanie można znaleźć w uwagach do wydania.
Oświadczenia dotyczące dostępu w dokumentacji
Instrukcja Access na początku każdej procedury w tej dokumentacji wskazuje wstępnie zdefiniowane role użytkowników wymagane do wykonania procedury. Dowolna z wymienionych ról może wykonać tę procedurę.
Użytkownicy z rolami niestandardowymi mogą mieć zestawy uprawnień różniące się od zestawów uprawnień zdefiniowanych wcześniej. Jeśli do wskazania wymagań dotyczących dostępu do procedury używana jest predefiniowana rola, dostęp ma również rola niestandardowa z podobnymi uprawnieniami. Niektórzy użytkownicy z niestandardowymi rolami mogą korzystać z nieco innych ścieżek menu, aby dotrzeć do stron konfiguracji. Na przykładample użytkownicy, którzy mają rolę niestandardową i mają jedynie uprawnienia do zasad włamań, uzyskują dostęp do zasad analizy sieci za pośrednictwem zasad włamań, a nie standardowej ścieżki poprzez zasady kontroli dostępu.
Aby uzyskać więcej informacji na temat ról użytkowników, zobacz Role użytkowników i Dostosowywanie ról użytkowników dla Web Interfejs.
Konwencje adresów IP systemów Firepower
Notacji CIDR (Beclassless Inter-Domain Routing) IPv4 i podobnej notacji długości prefiksu IPv6 można używać do definiowania bloków adresowych w wielu miejscach systemu Firepower.
Kiedy używasz CIDR lub notacji długości prefiksu do określenia bloku adresów IP, Firepower System używa tylko części sieciowego adresu IP określonej przez maskę lub długość prefiksu. Na przykładample, jeśli wpiszesz 10.1.2.3/8, system siły ognia użyje 10.0.0.0/8.
Innymi słowy, chociaż Cisco zaleca standardową metodę używania sieciowego adresu IP na granicy bitów podczas korzystania z CIDR lub zapisu długości prefiksu, system Firepower tego nie wymaga.
Dodatkowe zasoby
Społeczność Firewalls to wyczerpujące repozytorium materiałów referencyjnych, które uzupełniają naszą obszerną dokumentację. Obejmuje to łącza do modeli 3D naszego sprzętu, selektor konfiguracji sprzętu, materiały dodatkowe dotyczące produktu, konfigurację npamppliki, notatki techniczne dotyczące rozwiązywania problemów, filmy szkoleniowe, sesje laboratoryjne i sesje Cisco Live, kanały mediów społecznościowych, blogi Cisco i cała dokumentacja opublikowana przez zespół ds. publikacji technicznych.
Niektóre osoby zamieszczające posty w witrynach społecznościowych lub witrynach do udostępniania plików wideo, w tym moderatorzy, pracują dla Cisco Systems. Opinie wyrażane w tych witrynach oraz we wszelkich powiązanych komentarzach są osobistymi opiniami oryginalnych autorów, a nie firmy Cisco. Treść jest udostępniana wyłącznie w celach informacyjnych i nie stanowi poparcia ani oświadczenia firmy Cisco ani żadnej innej strony.
Notatka
Niektóre filmy, uwagi techniczne i materiały referencyjne w społeczności zapór sieciowych wskazują na starsze wersje FMC. Twoja wersja FMC i wersja wymieniona w filmach lub uwagach technicznych mogą różnić się w interfejsie użytkownika, co powoduje, że procedury nie będą identyczne.
Pierwsze kroki z siłą ognia
Dokumenty / Zasoby
 |
Firma CISCO rozpoczęła pracę z siłą ognia, przeprowadzając wstępną konfigurację [plik PDF] Instrukcja użytkownika Rozpoczęto od siły ognia podczas wstępnej konfiguracji, siły ognia podczas wstępnej konfiguracji, przeprowadzenia wstępnej konfiguracji, wstępnej konfiguracji, konfiguracji |
