Cisco Firepower App for Splunk

其他 2020-03-04 18:48:31 阅读次数: 0

文章目录

1. 总览

用于Splunk的Firepower应用程序显示了Firepower管理中心(FMC)提供的关键安全信息,可帮助分析人员专注于高优先级的安全事件。该应用程序提供了许多仪表板和表格,旨在在熟悉的Spunk环境中提高Firepower事件分析的效率。它是某些用户的替代用户界面,而另一些用户则是补充界面。思科致力于根据您的直接反馈不断改进此应用程序。

1.1. 主要功能包括

  • 威胁摘要仪表板
  • 具有方向性的高级影响事件分析
  • 具有IoC和防火墙规则使用的网络事件数据仪表板(允许/阻止)
  • 带有地理位置地图的上下文资源管理器
  • 从恶意软件哈希链接回FMC以获取文件轨迹
  • 链接回FMC以获取主机配置文件
  • CIDR阻止和允许/阻止规则操作的过滤器

2. 详情

用户指南在此处发布https://cisco.com/go/firepower-for-splunk

使用Firepower管理中心(FMC)的威胁和流量数据发现和调查威胁。Splunk比FMC可以存储更多的数据,因此您可以更好地了解网络上的活动。
该应用程序是对Splunk的现有Cisco Firepower eNcore应用程序(https://splunkbase.splunk.com/app/3663/) 的重大改进。您可以选择同时运行两个应用程序。

2.1. 设置应用

2.1.1. 要求,先决条件和限制

  • 用于Splunk的Cisco Firepower应用程序提供了从运行6.0或更高版本的Firepower管理中心发送到Splunk的安全和网络事件信息。
    可用功能受Firepower版本的影响。
  • 在使用此应用之前,您的Firepower事件数据必须位于Splunk中。
    要将您的Firepower数据带入Splunk,请使用Splunk的Cisco eStreamer eNcore插件。可从 https://splunkbase.splunk.com/app/3662/ 获得此技术附件(TA)。
    可从以下位置获得该技术支持的文档
    https://www.cisco.com/c/en/us/support/security/defense-center/products-programming-reference-guides-list.html.
  • 可用于分析的数据类型在
    https://splunkbase.splunk.com/app/3662/.

2.1.2. 安装

2.1.2.1. 在开始之前

满足要求,先决条件和限制中的要求和先决条件。

2.1.2.2. 安装过程

  1. 访问 https://splunkbase.splunk.com/app/4388/
  2. 以管理员身份登录到Splunk。
  3. 下载App。
  4. 选择Apps > Manage Apps.
  5. 点击Install App from File.
  6. 导航到应用程序“ Splunk的Cisco Firepower应用程序”
  7. 点击Upgrade app.
    如果您尚未安装此应用程序的现有版本,则此操作将进行全新安装,或覆盖任何以前的版本。
  8. 按照说明重新启动Splunk。

2.1.3. 最佳实践

配置网络设置(特别是识别您的家庭网络),以便您可以轻松识别源自网络内部的攻击。

2.1.4. 配置

至少应指定定义内部和外部网络的IP地址,以便您可以轻松查看源于网络的威胁。

2.1.4.1. 配置过程

  1. 访问标准Splunk位置以配置应用程序的设置:
    1. 在窗口的左上角,选择App: Cisco Firepower App for Splunk > Manage Apps.
    2. 在适用于Splunk的Cisco Firepower应用的行中,点击Set Up.
  2. 指定内部网络上的IP地址和范围,以便您可以确定利用方向:
    1. 在Homenet Settings部分中:
    2. 指定定义内部网络的IP地址和范围。
  3. 启用右键单击适用数据的功能,以快速旋转以在Firepower管理中心中查看数据。
    例如,主机配置文件信息仅在FMC上可用。
    1. 在FMC Link部分中:
    2. 输入FMC管理界面的IP地址。
  4. 点击Save。

2.2. App的使用

2.2.1. 建议的调查

  • 确认您的系统正在阻止系统已识别的威胁:
    在Threats > Threat Summary页面中,筛选不受威胁的威胁,无论方向如何。
    在Threats > Intrusion Events页面中,未屏蔽影响1威胁的过滤器。
  • 查找受感染的内部主机:
    内部主机发起的攻击始终表明存在危害。
    • 在Threats > Intrusion Events页面中,过滤影响3威胁是否被阻止,然后在时间线下方的饼图中单击相关的内部主机选项。在页面底部的表中调查内部IP地址。
    • 然后对“影响2”事件执行相同的操作。
    • 在Threats > Threat Summary页面中,过滤源于内部主机(无论是否被阻止)的方向,并调查所涉及的内部主机,而不管威胁是否被阻止。
  • 在已知是威胁的情况下,确定受到进入您网络的恶意软件影响的主机:
    使用Threats > Threat Summary页面上的追溯性恶意软件事件图来识别受影响的主机。
  • 查找网络上的异常,例如未批准的应用程序或正在使用的非标准端口:
    • 检查Network页面上的图形。
    • 在Network页面上的Top Server Applications In Use with Least Seen TCP Ports图中突出显示的位置,查找不常见端口上的活动。
  • 查看数据中的异常值-意外或经常看到的活动或参数。
  • 调查网络上所有意外的主机:
    如果在网络上没有相关主机发现,则0级入侵事件可能表明存在幻影网络。
    (0级入侵事件也可能表明您的网络发现策略未正确实施。)
  • 寻找随时间推移或针对关键主机(例如服务器)的高优先级攻击的峰值或趋势:
    在Threats菜单下每页的时间线图中最容易看到这些。
    选择各种时间范围以查看突出的内容。
  • 消除大量无关紧要的数据,以便使重要数据脱颖而出。
  • 仔细查看独特的事件,这可能表示高度针对性的攻击。
  • 深入研究有趣的物品。
    当您发现引发标志的模式,主机,用户,应用程序,端口等时,进行向下钻取和筛选,以查看涉及相关实体的其他事务。
    另外,右键单击项目以查看是否有其他信息。
  • 在探索时,请寻找其他可疑行为。例如:
    • 随着时间的推移,单个URL意外地与多个IP地址和MAC地址相关联。
    • 主机在过去一个小时内使用SSH意外连接到30个不同的端点。
  • 查找与特定IP地址关联的事件和数据:
    使用Threats > Context Explorer页面。
  • 另请参阅入侵事件影响级别

注意:
如果您的过滤器包含许多IP地址,则该应用程序可能会变得非常慢,这取决于您如何设置数据。

小部件说明:
此应用程序中的大多数小部件与Firepower管理中心中的小部件相同。有关这些小部件的信息,配置手册在:https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.

2.2.2. 入侵事件影响等级

表1.

影响等级 说明和建议措施
0 网络上的意外主机
按照Firepower管理中心的发现策略中的定义,源主机IP地址和目标主机IP地址均不在网络内。
如果正确配置了发现策略,则影响等级0事件可能表明网络(影子网络)上存在未经授权的设备。
单击此影响级别,然后查看页面底部的表,以确定哪个传感器正在接收此流量,并请您的网络团队查找和隔离这些设备。
1 高优先级入侵事件
目标主机很容易受到攻击。
这些事件可能是OS,服务器或客户端漏洞,也可能是Cisco Talos定义的破坏迹象。
要按类型查看这些事件的细分,请参阅下面的Impact 1 – High Priority Events部件,或查看页面底部的表以查看有风险主机的列表。
2 可能受损的主机
如果该漏洞利用源于您的网络内部,则表明主机已受损,您应调查源IP地址。
Firepower尚未在目标主机上发现该漏洞的已知漏洞。
但是,无论源IP是什么,都应验证目标主机没有受到威胁。
3 可能受损的主机
影响等级3事件通常仅在内部主机成为漏洞利用源时才会发生。
内部来源的事件始终表示主机受到入侵。
单击下面的相关部件,以在页面底部的表中显示内部来源的事件,然后调查该表中的源IP地址。
4 主机未完全集成到网络中
主机在Firepower管理中心的发现策略中配置的IP地址的预期范围内,但没有主机配置文件。
主机可能是您网络中的新主机,例如,这是尚未正确配置的采集或网络扩展的一部分。

2.3. 排障

2.3.1. 查看现有说明

验证您是否满足设置应用程序中所述的要求和前提条件。

2.3.2. 获取帮助

此应用按原样提供,不提供任何担保,并且受社区支持。请尝试以下操作:

  • 思科社区,例如:
    • https://community.cisco.com/t5/security/ct-p/4561-security
    • https://cisco.com/go/ngfw-community
  • Splunk社区:Splunk Answers
  • 报告错误并请求功能:[email protected]

2.4. 更多关于Firepower

有关Firepower(并非特定于Splunk)的信息,请参阅您所用版本的Firepower管理中心文档:

  • FMC中的联机帮助(在浏览器窗口右上角附近的“帮助”菜单下。)
  • 《 Firepower管理中心配置指南》为HTML或PDF:
    https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html
  • 其他FMC资源:
    https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html
白M
发布了31 篇原创文章 · 获赞 11 · 访问量 3万+
私信 关注

猜你喜欢

转载自blog.csdn.net/MrRight17/article/details/103103029
今日推荐
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
周排行
NEFU 117 素数个数的位数
Closest Common Ancestors (Lca,tarjan)
ELK部署
【转载】Hive笔记整理(三)
SQL语句(一)基本表的定义
关于Java web开发中的MySQL的事务语句
MFC创建自定义窗体
如何用一句话激怒程序员?
《逆袭大学》文摘——9.4 基础和应用的平衡中找到大学的节奏
【spring源码分析】@Value注解原理
每日归档
更多
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022