تحليل أحداث Cisco باستخدام دليل مستخدم الأدوات الخارجية

تحليل أحداث Cisco باستخدام أدوات خارجية

معلومات المنتج

يتيح المنتج للمستخدمين التكامل مع Cisco SecureX والوصول إليه باستخدام ميزة الشريط في FMC web واجهة.

تحديد

• اندماج: سيسكو SecureX
• الواجهة: شركة اف ام سي web واجهة
• ميزة الشريط: أسفل كل صفحة

تعليمات استخدام المنتج

الوصول إلى SecureX باستخدام الشريط
للوصول إلى SecureX باستخدام ميزة الشريط، اتبع الخطوات التالية:

1. في FMC، انقر فوق الشريط الموجود أسفل أي صفحة FMC.
2. انقر فوق "الحصول على SecureX".
3. قم بتسجيل الدخول إلى SecureX.
4. انقر على الرابط للسماح بالوصول.
5. انقر فوق الشريط لتوسيعه واستخدامه.

تحليل الأحداث باستخدام أدوات خارجية
لإجراء تحليل الحدث باستخدام أدوات خارجية، اتبع الخطوات التالية:

1. في FMC، انقر فوق الشريط الموجود أسفل أي صفحة FMC.
2. انقر فوق "الحصول على SecureX".
3. قم بتسجيل الدخول إلى SecureX.
4. انقر على الرابط للسماح بالوصول.
5. انقر فوق الشريط لتوسيعه واستخدامه.

تحليل الأحداث باستخدام الاستجابة للتهديدات من Cisco SecureX
تسمح خدمة Cisco SecureX Threat Response (المعروفة سابقًا باسم Cisco Threat Response) للمستخدمين باكتشاف التهديدات والتحقيق فيها والاستجابة لها بسرعة. لإجراء تحليل الأحداث باستخدام Cisco SecureX Threat Response، اتبع الخطوات التالية:

1. في FMC، انقر فوق الشريط الموجود أسفل أي صفحة FMC.
2. انقر فوق "الحصول على SecureX".
3. قم بتسجيل الدخول إلى SecureX.
4. انقر على الرابط للسماح بالوصول.
5. انقر فوق الشريط لتوسيعه واستخدامه.

View بيانات الأحداث في الاستجابة للتهديدات من Cisco SecureX

ل view اتبع بيانات الحدث في الاستجابة للتهديدات Cisco SecureX
هذه الخطوات:

1. قم بتسجيل الدخول إلى Cisco SecureX Threat Response كما هو مطلوب.

التحقيق في الأحداث باستخدام Web-الموارد القائمة
للتحقيق في الأحداث باستخدام webالموارد المستندة إلى، اتبع الخطوات التالية:

1. قم بتسجيل الدخول إلى Cisco SecureX Threat Response كما هو مطلوب.
2. استخدم ميزة التشغيل المشترك للسياق للعثور على مزيد من المعلومات حول التهديدات المحتملة في webالموارد المستندة إلى خارج مركز إدارة القوة النارية.
3. انقر مباشرة من حدث في الحدث viewer أو لوحة المعلومات في مركز إدارة القوة النارية إلى المعلومات ذات الصلة في المورد الخارجي.

حول إدارة موارد الإطلاق المتبادل السياقية
لإدارة الخارجية webالموارد المستندة إلى، اتبع الخطوات التالية:

1. انتقل إلى التحليل > متقدم > التشغيل المشترك للسياق.
2. إدارة الموارد المحددة مسبقًا وموارد الطرف الثالث التي تقدمها Cisco.
3. يمكنك تعطيل الموارد أو حذفها أو إعادة تسميتها حسب الحاجة.

الأسئلة الشائعة

• س: ما هو SecureX؟
  ج: SecureX عبارة عن منصة تكامل في Cisco Cloud تتيح للمستخدمين تحليل الحوادث باستخدام البيانات المجمعة من منتجات متعددة، بما في ذلك Firepower.
• س: كيف يمكنني الوصول إلى SecureX باستخدام ميزة الشريط؟
  ج: للوصول إلى SecureX باستخدام ميزة الشريط، انقر فوق الشريط الموجود أسفل أي صفحة FMC واتبع الخطوات المتوفرة.
• س: هل يمكنني view بيانات الحدث في الاستجابة للتهديدات Cisco SecureX؟
  أ: نعم يمكنك view بيانات الأحداث في Cisco SecureX Threat Response عن طريق تسجيل الدخول كما هو مطلوب.
• س: كيف يمكنني التحقيق في الأحداث باستخدام webالموارد القائمة؟
  ج: للتحقيق في الأحداث باستخدام webالموارد المستندة إلى الموارد، قم بتسجيل الدخول إلى Cisco SecureX Threat Response واستخدم ميزة التشغيل المشترك السياقية للعثور على المعلومات ذات الصلة.

التكامل مع Cisco SecureX

View والعمل مع البيانات من جميع منتجات Cisco الأمنية الخاصة بك والمزيد من خلال لوحة زجاجية واحدة، وهي البوابة السحابية SecureX. استخدم الأدوات المتاحة عبر SecureX لإثراء عمليات البحث عن التهديدات والتحقيقات فيها. يمكن لـ SecureX أيضًا توفير معلومات مفيدة عن الأجهزة والأجهزة مثل ما إذا كان كل منها يشغل إصدار البرنامج الأمثل.

• لمزيد من المعلومات حول SecureX، راجع http://www.cisco.com/c/en/us/products/security/securex.html.
• لدمج Firepower مع SecureX، راجع دليل تكامل Firepower وSecureX على https://cisco.com/go/firepower-securex-documentation.

الوصول إلى SecureX باستخدام الشريط
يظهر الشريط أسفل كل صفحة في FMC web واجهه المستخدم. يمكنك استخدام الشريط للتحول سريعًا إلى منتجات الأمان الأخرى من Cisco والتعامل مع بيانات التهديد الواردة من مصادر متعددة.

قبل أن تبدأ

• إذا كنت لا ترى شريط SecureX الموجود أسفل FMC web صفحات الواجهة، لا تستخدم هذا الإجراء. وبدلاً من ذلك، راجع دليل تكامل Firepower وSecureX على https://cisco.com/go/firepower-securex-documentation.
• إذا لم يكن لديك حساب SecureX بالفعل، فاحصل على حساب من قسم تكنولوجيا المعلومات لديك.

إجراء

• الخطوة 1 في FMC، انقر فوق الشريط الموجود أسفل أي صفحة FMC.
• الخطوة 2 انقر فوق الحصول على SecureX.
• الخطوة 3 قم بتسجيل الدخول إلى SecureX.
• الخطوة 4 انقر على الرابط لتخويل الوصول.
• الخطوة 5 انقر على الشريط لتوسيعه واستخدامه.

ماذا تفعل بعد ذلك
للحصول على معلومات حول ميزات الشريط وكيفية استخدامها، راجع المساعدة عبر الإنترنت في SecureX.

تحليل الأحداث باستخدام الاستجابة للتهديدات من Cisco SecureX

كانت استجابة تهديدات Cisco SecureX تُعرف سابقًا باسم Cisco Threat Response (CTR). يمكنك اكتشاف التهديدات والتحقيق فيها والاستجابة لها بسرعة باستخدام استجابة تهديدات Cisco SecureX، وهي منصة التكامل في Cisco Cloud التي تتيح لك تحليل الحوادث باستخدام البيانات المجمعة من منتجات متعددة، بما في ذلك القوة النارية.

• للحصول على معلومات عامة حول الاستجابة للتهديدات Cisco SecureX، راجع: https://www.cisco.com/c/en/us/products/security/threat-response.html.
• للحصول على تعليمات تفصيلية حول دمج Firepower مع الاستجابة للتهديدات Cisco SecureX، راجع:
• دليل تكامل الاستجابة للتهديدات Firepower وCisco SecureX على https://cisco.com/go/firepower-ctr-integration-docs.

View بيانات الحدث في الاستجابة للتهديدات Cisco SecureX

قبل أن تبدأ

• قم بإعداد التكامل كما هو موضح في دليل تكامل الاستجابة للتهديدات Firepower وCisco SecureX على https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html.
• Review المساعدة عبر الإنترنت في الاستجابة للتهديدات من Cisco SecureX لمعرفة كيفية العثور على التهديدات والتحقيق فيها واتخاذ الإجراءات اللازمة بشأنها.
• ستحتاج إلى بيانات الاعتماد الخاصة بك للوصول إلى الاستجابة للتهديدات الخاصة بـ Cisco SecureX.

إجراء

الخطوة 1
في مركز إدارة القوة النارية، قم بأحد الإجراءات التالية:

• للتركيز على الاستجابة لتهديدات Cisco SecureX من حدث معين:
  • انتقل إلى صفحة ضمن قائمة التحليل > التدخلات التي تسرد حدثًا مدعومًا.
  • انقر بزر الماوس الأيمن فوق عنوان IP المصدر أو الوجهة وحدد View في سيكيور اكس.
• ل view معلومات الحدث بشكل عام:
  • انتقل إلى النظام > عمليات التكامل > الخدمات السحابية.
  • انقر على الرابط ل view الأحداث في الاستجابة للتهديدات Cisco SecureX.

الخطوة 2
قم بتسجيل الدخول إلى الاستجابة للتهديدات Cisco SecureX كما هو مطلوب.

التحقيق في الأحداث باستخدام Web-الموارد القائمة
استخدم ميزة التشغيل المشترك للسياق للعثور بسرعة على مزيد من المعلومات حول التهديدات المحتملة في webالموارد المستندة إلى خارج مركز إدارة القوة النارية. على سبيل المثالampلو، ربما:

• ابحث عن عنوان IP مصدر مشبوه في خدمة مستضافة على السحابة من Cisco أو جهة خارجية والتي تنشر معلومات حول التهديدات المعروفة والمشتبه بها، أو
• ابحث عن الأمثلة السابقة لتهديد معين في السجلات التاريخية لمؤسستك، إذا كانت مؤسستك تخزن تلك البيانات في تطبيق إدارة معلومات الأمان والأحداث (SIEM).
• ابحث عن معلومات حول أمر معين file، مشتمل file معلومات المسار، إذا قامت مؤسستك بنشر Cisco AMP لنقاط النهاية.

عند التحقيق في حدث ما، يمكنك النقر مباشرة من حدث في الحدث viewer أو لوحة المعلومات في مركز إدارة القوة النارية إلى المعلومات ذات الصلة في المورد الخارجي. يتيح لك ذلك جمع السياق بسرعة حول حدث معين استنادًا إلى عناوين IP والمنافذ والبروتوكول والمجال و/أو تجزئة SHA 256 الخاصة به. على سبيل المثالampلنفترض أنك تنظر إلى أداة لوحة معلومات Top Attackers وتريد معرفة المزيد من المعلومات حول أحد عناوين IP المصدرية المدرجة. تريد أن ترى المعلومات التي ينشرها Talos حول عنوان IP هذا، لذلك تختار مورد "Talos IP". تالوس web يفتح الموقع على صفحة تحتوي على معلومات حول عنوان IP المحدد هذا. يمكنك الاختيار من بين مجموعة من الارتباطات المحددة مسبقًا إلى خدمات معلومات التهديدات الشائعة الاستخدام من Cisco والجهات الخارجية، وإضافة روابط مخصصة إلى خدمات أخرى. webالخدمات المستندة إلى SIEMs أو المنتجات الأخرى التي لها web واجهه المستخدم. لاحظ أن بعض الموارد قد تتطلب حسابًا أو شراء منتج.

حول إدارة موارد الإطلاق المتبادل السياقية

• إدارة الخارجية webالموارد المستندة إلى التحليل > المتقدمة > صفحة التشغيل المشترك السياقي.

استثناء:
قم بإدارة روابط التشغيل المشترك إلى جهاز Secure Network Analytics باتباع الإجراء الوارد في تكوين روابط التشغيل المشترك لتحليلات الشبكة الآمنة.

• يتم تمييز الموارد المحددة مسبقًا التي تقدمها Cisco بشعار Cisco. الروابط المتبقية هي موارد الطرف الثالث.
• يمكنك تعطيل أو حذف أي موارد لا تحتاج إليها، أو يمكنك إعادة تسميتها، على سبيل المثالample عن طريق إضافة اسم بحرف صغير "z" بحيث يتم فرز المورد إلى أسفل القائمة. يؤدي تعطيل مورد التشغيل المشترك إلى تعطيله لجميع المستخدمين. لا يمكنك استعادة الموارد المحذوفة، ولكن يمكنك إعادة إنشائها.
• لإضافة مورد، راجع إضافة موارد التشغيل المشترك السياقية.

متطلبات موارد التشغيل المشتركة السياقية المخصصة

عند إضافة موارد التشغيل المشترك السياقية المخصصة:

• يجب أن تكون الموارد متاحة عبر web المتصفح.
• يتم دعم بروتوكولات http وhttps فقط.
• يتم دعم طلبات GET فقط؛ طلبات POST ليست كذلك.
• ترميز المتغيرات في URLغير مدعوم. في حين أن عناوين IPv6 قد تتطلب تشفير فواصل النقطتين، إلا أن معظم الخدمات لا تتطلب هذا التشفير.
• يمكن تكوين ما يصل إلى 100 مورد، بما في ذلك الموارد المحددة مسبقًا.
• يجب أن تكون مستخدمًا مسؤولاً أو محلل أمان حتى تتمكن من إنشاء عملية تشغيل مشتركة، ولكن يمكنك أيضًا أن تكون محلل أمان للقراءة فقط لاستخدامها.

أضف موارد التشغيل المشتركة السياقية

• يمكنك إضافة موارد التشغيل المشترك السياقية مثل خدمات المعلومات المتعلقة بالتهديدات وأدوات إدارة المعلومات والأحداث (SIEM).
• في عمليات النشر متعددة النطاقات، يمكنك رؤية الموارد واستخدامها في المجالات الأصلية، ولكن يمكنك فقط إنشاء الموارد وتحريرها في المجال الحالي. يقتصر العدد الإجمالي للموارد في جميع المجالات على 100.

قبل أن تبدأ

• إذا كنت تقوم بإضافة روابط إلى جهاز Secure Network Analytics، فتحقق لمعرفة ما إذا كانت الروابط التي تريدها موجودة بالفعل؛ يتم إنشاء معظم الروابط تلقائيًا لك عند تكوين تحليلات أمان Cisco والتسجيل (في أماكن العمل).
• راجع متطلبات موارد التشغيل المشترك السياقية المخصصة.
• إذا لزم الأمر للمورد، فسوف تقوم بالارتباط أو إنشاء أو الحصول على حساب وبيانات الاعتماد اللازمة للوصول. اختياريًا، قم بتعيين وتوزيع بيانات الاعتماد لكل مستخدم يحتاج إلى الوصول.
• حدد صيغة رابط الاستعلام للمورد الذي سترتبط به:
  • قم بالوصول إلى المورد عبر المتصفح، وباستخدام الوثائق الخاصة بهذا المورد حسب الحاجة، قم بصياغة رابط الاستعلام المطلوب للبحث عن ملف معينampنوع المعلومات التي تريد أن يعثر عليها رابط الاستعلام الخاص بك، مثل عنوان IP.
  • قم بتشغيل الاستعلام، ثم انسخ النتيجة URL من شريط الموقع بالمتصفح.
  • على سبيل المثالampلو، قد يكون لديك الاستعلام URL https://www.talosintelligence.com/reputation_center/lookup?search=10.10.10.10.

إجراء

• الخطوة 1
  اختر تحليل > متقدم > التشغيل المشترك للسياق.
• الخطوة 2 انقر فوق إطلاق مشترك جديد.
  في النموذج الذي يظهر، تتطلب كافة الحقول التي تحمل علامة النجمة قيمة.
• الخطوة 3 أدخل اسمًا فريدًا للمورد.
• الخطوة 4 لصق العمل URL سلسلة من المورد الخاص بك إلى URL حقل القالب.
• الخطوة 5 استبدل البيانات المحددة (مثل عنوان IP) في سلسلة الاستعلام بمتغير مناسب: ضع المؤشر، ثم انقر فوق متغير (على سبيل المثالample, ip) مرة واحدة لإدراج المتغير.
  • في السابقample من قسم "قبل أن تبدأ" أعلاه، النتيجة URL ربما يكون https://www.talosintelligence.com/reputation_center/lookup?search={ip}.
  • عند استخدام رابط التشغيل المشترك السياقي، سيظهر المتغير {ip} في ملف URL سيتم استبداله بعنوان IP الذي ينقر عليه المستخدم بزر الماوس الأيمن في الحدث viewإيه أو لوحة القيادة.
  • للحصول على وصف لكل متغير، قم بالتمرير فوق المتغير.
  • يمكنك إنشاء روابط تشغيل مشتركة سياقية متعددة لأداة أو خدمة واحدة، باستخدام متغيرات مختلفة لكل منها.
• الخطوة 6 انقر فوق اختبار مع السابقينampالبيانات لو ( ) لاختبار الارتباط الخاص بك مع السابقينampلو البيانات.
• الخطوة 7 إصلاح أي مشاكل.
• الخطوة 8 انقر فوق حفظ.

التحقيق في الأحداث باستخدام الإطلاق السياقي

قبل أن تبدأ
إذا كان المورد الذي ستصل إليه يتطلب بيانات اعتماد، فتأكد من أن لديك بيانات الاعتماد هذه.

إجراء

• الخطوة 1 انتقل إلى إحدى الصفحات التالية في Firepower Management Center التي تعرض الأحداث:
  • لوحة القيادة (فوقview > لوحات المعلومات)، أو
  • حدث viewالصفحة (أي خيار قائمة ضمن قائمة التحليل يتضمن جدول الأحداث.)
• الخطوة 2 انقر بزر الماوس الأيمن فوق الحدث محل الاهتمام واختر مورد التشغيل المشترك السياقي لاستخدامه.
  • إذا لزم الأمر، قم بالتمرير لأسفل في قائمة السياق لرؤية جميع الخيارات المتاحة.
  • يحدد نوع البيانات الذي تنقر عليه بزر الماوس الأيمن الخيارات التي تراها؛ على سبيل المثالampإذا قمت بالنقر بزر الماوس الأيمن فوق عنوان IP، فسترى فقط خيارات التشغيل المشترك السياقية ذات الصلة بعناوين IP.
  • لذلك ، على سبيل المثالample، للحصول على معلومات حول التهديد من Cisco Talos حول عنوان IP المصدر في أداة لوحة معلومات Top Attackers، اختر Talos SrcIP أو Talos IP.
  • إذا كان المورد يتضمن متغيرات متعددة، فإن خيار اختيار هذا المورد يكون متاحًا فقط للأحداث التي لها قيمة واحدة محتملة لكل متغير مضمن.
  • يتم فتح مورد التشغيل المشترك السياقي في نافذة متصفح منفصلة.
  • قد يستغرق الأمر بعض الوقت حتى تتم معالجة الاستعلام، اعتمادًا على كمية البيانات التي سيتم الاستعلام عنها وسرعة المورد والطلب عليه، وما إلى ذلك.
• الخطوة 3 قم بتسجيل الدخول إلى المورد إذا لزم الأمر.

قم بتكوين روابط الإطلاق المشترك لتحليلات الشبكة الآمنة

• يمكنك التشغيل المتبادل من بيانات الأحداث في Firepower إلى البيانات ذات الصلة في جهاز Secure Network Analytics الخاص بك.
• لمزيد من المعلومات حول منتج تحليلات الشبكة الآمنة، راجع https://www.cisco.com/c/en/us/products/security/security-analytics-logging/index.html.
• للحصول على معلومات عامة حول التشغيل المشترك للسياق، راجع التحقيق في الأحداث باستخدام التشغيل المشترك للسياق.
• استخدم هذا الإجراء لتكوين مجموعة من روابط التشغيل المشترك لجهاز Secure Network Analytics بسرعة.

ملحوظة

• إذا كنت بحاجة إلى إجراء تغييرات على هذه الارتباطات لاحقًا، فارجع إلى هذا الإجراء؛ لا يمكنك إجراء تغييرات مباشرة على صفحة قائمة التشغيل المشترك السياقية.
• يمكنك إنشاء روابط إضافية يدويًا للتشغيل المشترك في جهاز Secure Network Analytics الخاص بك باستخدام الإجراء الموجود في إضافة موارد التشغيل المشترك السياقية، ولكن هذه الروابط ستكون مستقلة عن الموارد التي تم إنشاؤها تلقائيًا وبالتالي ستحتاج إلى إدارتها يدويًا (محذوفة، محدثة، الخ.)

قبل أن تبدأ

• يجب أن يكون لديك جهاز Secure Network Analytics منشورًا وقيد التشغيل.
• إذا كنت تريد إرسال بيانات Firepower إلى جهاز Secure Network Analytics الخاص بك باستخدام Cisco Security Analytics والتسجيل (في أماكن العمل)، فراجع تخزين البيانات عن بُعد على جهاز تحليلات الشبكة الآمنة.

إجراء

• الخطوة 1 حدد النظام > التسجيل > تحليلات الأمان والتسجيل.
• الخطوة 2 تمكين الميزة.
• الخطوة 3 أدخل اسم المضيف أو عنوان IP والمنفذ لجهاز Secure Network Analytics الخاص بك. المنفذ الافتراضي هو 443.
• الخطوة 4 انقر فوق حفظ.
• الخطوة 5: التحقق من روابط التشغيل المشترك الجديدة: حدد التحليل > متقدم > التشغيل المشترك السياقي. إذا كنت بحاجة إلى إجراء تغييرات، فارجع إلى هذا الإجراء؛ لا يمكنك إجراء تغييرات مباشرة على صفحة قائمة التشغيل المشترك السياقية.

ماذا تفعل بعد ذلك

• للتشغيل المتبادل من حدث ما إلى حدث Secure Network Analytics viewحسنًا، ستحتاج إلى بيانات اعتماد Secure Network Analytics الخاصة بك.
• لعبور الإطلاق من حدث في حدث FMC viewفي لوحة المعلومات أو لوحة المعلومات، انقر بزر الماوس الأيمن فوق خلية جدول الحدث ذي الصلة واختر الخيار المناسب.
• قد يستغرق الأمر بعض الوقت حتى تتم معالجة الاستعلام، اعتمادًا على كمية البيانات المطلوب الاستعلام عنها وسرعة وحدة التحكم في إدارة Stealthwatch والطلب عليها، وما إلى ذلك.

حول إرسال رسائل سجل النظام للأحداث الأمنية

• يمكنك إرسال البيانات المتعلقة بالاتصال والاستخبارات الأمنية والتسلل file وأحداث البرامج الضارة عبر سجل النظام إلى أداة إدارة معلومات الأمان والأحداث (SIEM) أو حل آخر لتخزين وإدارة الأحداث الخارجية.
• ويُشار أحيانًا إلى هذه الأحداث باسم أحداث Snort®.

حول تكوين النظام لإرسال بيانات الأحداث الأمنية إلى Syslog

لتكوين النظام لإرسال سجلات النظام للأحداث الأمنية، ستحتاج إلى معرفة ما يلي:

• أفضل الممارسات لتكوين مراسلة سجل نظام الأحداث الأمنية
• مواقع التكوين لسجلات النظام الخاصة بالأحداث الأمنية
• إعدادات النظام الأساسي FTD التي تنطبق على رسائل سجل النظام لحدث الأمان
• إذا قمت بإجراء تغييرات على إعدادات سجل النظام في أي سياسة، فيجب عليك إعادة النشر لتصبح التغييرات سارية المفعول.

أفضل الممارسات لتكوين مراسلة سجل نظام الأحداث الأمنية

الجهاز والإصدار	إعدادات موقع
الجميع	إذا كنت ستستخدم سجل النظام أو تخزن الأحداث خارجيًا، فتجنب استخدام الأحرف الخاصة في أسماء الكائنات مثل أسماء السياسات والقواعد. يجب ألا تحتوي أسماء الكائنات على أحرف خاصة، مثل الفواصل، التي قد يستخدمها التطبيق المتلقي كفواصل.

الدفاع عن تهديد القوة النارية

1.      تكوين إعدادات منصة FTD (الأجهزة > إعدادات النظام الأساسي > إعدادات الدفاع عن التهديدات > سجل النظام.) راجع أيضًا إعدادات النظام الأساسي FTD التي تنطبق على رسائل سجل النظام لحدث الأمان. 2.      في علامة التبويب تسجيل سياسة التحكم في الوصول، اختر استخدام إعدادات النظام الأساسي FTD. 3.      (بالنسبة لأحداث التطفل) قم بتكوين سياسات التطفل لاستخدام الإعدادات الموجودة في علامة التبويب تسجيل سياسة التحكم في الوصول. (هذا هو الافتراضي.)   لا يوصى بتجاوز أي من هذه الإعدادات. للحصول على التفاصيل الأساسية، راجع إرسال رسائل سجل النظام لحدث الأمان من أجهزة FTD.

جميع الأجهزة الأخرى

1.      إنشاء استجابة تنبيه. 2.      تكوين تسجيل سياسة التحكم في الوصول لاستخدام استجابة التنبيه. 3.      (بالنسبة لأحداث التطفل) قم بتكوين إعدادات سجل النظام في سياسات التطفل.  للحصول على التفاصيل الكاملة، راجع إرسال رسائل سجل نظام الحدث الأمني ​​من الأجهزة الكلاسيكية.

إرسال رسائل سجل النظام لحدث الأمان من أجهزة FTD
يوثق هذا الإجراء تكوين أفضل الممارسات لإرسال رسائل سجل النظام لأحداث الأمان (الاتصال، والاتصال المتعلق بالأمان، والتطفل، fileوأحداث البرامج الضارة) من أجهزة Firepower Threat Defense.

ملحوظة
لا تنطبق العديد من إعدادات سجل نظام Firepower Threat Defense على الأحداث الأمنية. قم بتكوين الخيارات الموضحة في هذا الإجراء فقط.

قبل أن تبدأ

• في FMC، قم بتكوين السياسات لإنشاء أحداث أمنية والتحقق من ظهور الأحداث التي تتوقع رؤيتها في الجداول القابلة للتطبيق ضمن قائمة التحليل.
• اجمع عنوان IP لخادم سجل النظام والمنفذ والبروتوكول (UDP أو TCP):
• تأكد من أن أجهزتك يمكنها الوصول إلى خادم (خوادم) سجل النظام.
• تأكد من أن خادم (خوادم) سجل النظام يمكنه قبول الرسائل عن بعد.
• للحصول على معلومات مهمة حول تسجيل الاتصال، راجع الفصل الخاص بتسجيل الاتصال.

إجراء

• الخطوة 1 قم بتكوين إعدادات سجل النظام لجهاز Firepower Threat Defense الخاص بك:
  • انقر فوق الأجهزة > إعدادات النظام الأساسي.
  • قم بتحرير سياسة إعدادات النظام الأساسي المرتبطة بجهاز Firepower Threat Defense الخاص بك.
  • في جزء التنقل الأيمن، انقر فوق Syslog.
  • انقر فوق Syslog Servers وانقر فوق Add (إضافة) لإدخال الخادم والبروتوكول والواجهة والمعلومات ذات الصلة. إذا كانت لديك أسئلة حول الخيارات الموجودة في هذه الصفحة، فراجع تكوين خادم Syslog.
  • انقر فوق إعدادات Syslog وقم بتكوين الإعدادات التالية:
    • تمكين التوقيتamp على رسائل سجل النظام
    • توقيتamp شكل
    • تمكين معرف جهاز Syslog
  • انقر فوق إعداد التسجيل.
  • حدد ما إذا كنت تريد إرسال سجلات النظام بتنسيق EMBLEM أم لا.
  • احفظ إعداداتك.
• الخطوة 2: تكوين إعدادات التسجيل العامة لسياسة التحكم في الوصول (بما في ذلك file وتسجيل البرامج الضارة):
  • انقر فوق السياسات > التحكم في الوصول.
  • قم بتحرير سياسة التحكم في الوصول المعمول بها.
  • انقر فوق التسجيل.
  • حدد FTD 6.3 والإصدارات الأحدث: استخدم إعدادات سجل النظام التي تم تكوينها في سياسة إعدادات النظام الأساسي FTD المنشورة على الجهاز.
  • (اختياري) حدد خطورة سجل النظام.
  • إذا كنت سوف ترسل file وأحداث البرامج الضارة، حدد إرسال رسائل Syslog لـ File وأحداث البرامج الضارة.
  • انقر فوق حفظ.
• الخطوة 3 تمكين التسجيل لأحداث الاتصال المتعلقة بالأمان لسياسة التحكم في الوصول:
  • في نفس سياسة التحكم في الوصول، انقر فوق علامة التبويب الاستخبارات الأمنية.
  • في كل موقع من المواقع التالية، انقر فوق تسجيل ( ) وتمكين بداية ونهاية الاتصالات وخادم Syslog:
    • بجوار سياسة DNS.
    • في مربع قائمة الحظر، للشبكات ولـ URLs.
  • انقر فوق حفظ.
• الخطوة 4: تمكين تسجيل سجل النظام لكل قاعدة في سياسة التحكم في الوصول:
  • في نفس سياسة التحكم في الوصول، انقر فوق علامة التبويب القواعد.
  • انقر فوق قاعدة لتحريرها.
  • انقر فوق علامة التبويب التسجيل في القاعدة.
  • اختر ما إذا كنت تريد تسجيل بداية الاتصالات أو نهايتها، أو كليهما.
    (يولد تسجيل الاتصال الكثير من البيانات؛ ويؤدي تسجيل كل من البداية والنهاية إلى توليد ضعف هذا القدر من البيانات تقريبًا. ولا يمكن تسجيل كل اتصال في البداية والنهاية).
  • إذا قمت بتسجيل الدخول file الأحداث، حدد السجل Files.
  • تمكين خادم سجل النظام.
  • تحقق من أن القاعدة هي "استخدام تكوين سجل النظام الافتراضي في تسجيل التحكم في الوصول".
  • انقر فوق إضافة.
  • كرر لكل قاعدة في السياسة.
• الخطوة 5 إذا كنت سترسل أحداث الاقتحام:
  • انتقل إلى سياسة التطفل المرتبطة بسياسة التحكم في الوصول الخاصة بك.
  • في سياسة التطفل الخاصة بك، انقر فوق الإعدادات المتقدمة > تنبيه سجل النظام > ممكّن.
  • إذا لزم الأمر، انقر فوق تحرير
  • أدخل الخيارات:
    

    خيار	قيمة
    مضيف التسجيل	ما لم تكن سترسل رسائل سجل نظام لحدث التطفل إلى خادم سجل نظام مختلف عن الذي سترسله لرسائل سجل النظام الأخرى، فاترك هذا فارغًا لاستخدام الإعدادات التي قمت بتكوينها أعلاه.
    منشأة	ينطبق هذا الإعداد فقط إذا قمت بتحديد مضيف تسجيل في هذه الصفحة. للحصول على الأوصاف، راجع مرافق تنبيهات Syslog.
    خطورة	ينطبق هذا الإعداد فقط إذا قمت بتحديد مضيف تسجيل في هذه الصفحة. للحصول على الأوصاف، راجع مستويات خطورة سجل النظام.

  • انقر فوق رجوع.
  • انقر فوق معلومات السياسة في جزء التنقل الأيمن.
  • انقر فوق تنفيذ التغييرات.

ماذا تفعل بعد ذلك

• (اختياري) قم بتكوين إعدادات تسجيل مختلفة للسياسات والقواعد الفردية. راجع صفوف الجدول القابلة للتطبيق في مواقع التكوين لسجلات النظام لأحداث معلومات الاتصال والأمان (جميع الأجهزة).
  • ستتطلب هذه الإعدادات استجابات تنبيه سجل النظام، والتي تم تكوينها كما هو موضح في إنشاء استجابة تنبيه سجل النظام. ولا يستخدمون إعدادات النظام الأساسي التي قمت بتكوينها في هذا الإجراء.
• لتكوين تسجيل سجل النظام لحدث الأمان للأجهزة الكلاسيكية، راجع إرسال رسائل سجل النظام لحدث الأمان من الأجهزة الكلاسيكية.
• إذا انتهيت من إجراء التغييرات، فقم بنشر تغييراتك على الأجهزة المُدارة.

إرسال رسائل سجل النظام الخاصة بالحدث الأمني ​​من الأجهزة الكلاسيكية

قبل أن تبدأ

• تكوين السياسات لإنشاء الأحداث الأمنية.
• تأكد من أن أجهزتك يمكنها الوصول إلى خادم (خوادم) سجل النظام.
• تأكد من أن خادم (خوادم) سجل النظام يمكنه قبول الرسائل عن بعد.
• للحصول على معلومات مهمة حول تسجيل الاتصال، راجع الفصل الخاص بتسجيل الاتصال.

إجراء

• الخطوة 1 تكوين استجابة التنبيه لأجهزتك الكلاسيكية: راجع إنشاء استجابة تنبيه سجل النظام.
• الخطوة 2: تكوين إعدادات سجل النظام في سياسة التحكم في الوصول:
  • انقر فوق السياسات > التحكم في الوصول.
  • قم بتحرير سياسة التحكم في الوصول المعمول بها.
  • انقر فوق التسجيل.
  • حدد إرسال باستخدام تنبيه سجل النظام المحدد.
  • حدد تنبيه Syslog الذي قمت بإنشائه أعلاه.
  • انقر فوق حفظ.
• الخطوة 3 إذا كنت سترسل file وأحداث البرامج الضارة:
  • حدد إرسال رسائل Syslog لـ File وأحداث البرامج الضارة.
  • انقر فوق حفظ.
• الخطوة 4 إذا كنت سترسل أحداث الاقتحام:
  • انتقل إلى سياسة التطفل المرتبطة بسياسة التحكم في الوصول الخاصة بك.
  • في سياسة التطفل الخاصة بك، انقر فوق الإعدادات المتقدمة > تنبيه سجل النظام > ممكّن.
  • إذا لزم الأمر، انقر فوق تحرير
  • أدخل الخيارات:
    

    خيار	قيمة
    مضيف التسجيل	ما لم تكن سترسل رسائل سجل نظام لحدث التطفل إلى خادم سجل نظام مختلف عن الذي سترسله لرسائل سجل النظام الأخرى، فاترك هذا فارغًا لاستخدام الإعدادات التي قمت بتكوينها أعلاه.
    منشأة	ينطبق هذا الإعداد فقط إذا قمت بتحديد مضيف تسجيل في هذه الصفحة. راجع تسهيلات تنبيه Syslog.
    خطورة	ينطبق هذا الإعداد فقط إذا قمت بتحديد مضيف تسجيل في هذه الصفحة. راجع مستويات خطورة سجل النظام.

  • انقر فوق رجوع.
  • انقر فوق معلومات السياسة في جزء التنقل الأيمن.
  • انقر فوق تنفيذ التغييرات.

ماذا تفعل بعد ذلك

• (اختياري) قم بتكوين إعدادات تسجيل مختلفة لقواعد التحكم في الوصول الفردية. راجع صفوف الجدول القابلة للتطبيق في مواقع التكوين لسجلات النظام لأحداث معلومات الاتصال والأمان (جميع الأجهزة). ستتطلب هذه الإعدادات استجابات تنبيه سجل النظام، والتي تم تكوينها كما هو موضح في إنشاء استجابة تنبيه سجل النظام. ولا يستخدمون الإعدادات التي قمت بتكوينها أعلاه.
• لتكوين تسجيل سجل النظام لحدث الأمان لأجهزة FTD، راجع إرسال رسائل سجل النظام لحدث الأمان من أجهزة FTD.

مواقع التكوين لسجلات النظام الخاصة بالأحداث الأمنية

• مواقع التكوين لسجلات النظام لأحداث الاتصال ومعلومات الأمان (جميع الأجهزة)12
• مواقع التكوين لسجلات النظام لأحداث التطفل (أجهزة FTD)
• مواقع التكوين لسجلات النظام الخاصة بأحداث التطفل (الأجهزة بخلاف FTD)
• مواقع التكوين لسجلات النظام لـ File وأحداث البرامج الضارة

مواقع التكوين لسجلات النظام لأحداث الاتصال ومعلومات الأمان (جميع الأجهزة)
هناك العديد من الأماكن لتكوين إعدادات التسجيل. استخدم الجدول أدناه للتأكد من قيامك بتعيين الخيارات التي تحتاجها.

مهم

• انتبه جيدًا عند تكوين إعدادات سجل النظام، خاصة عند استخدام الإعدادات الافتراضية الموروثة من تكوينات أخرى. قد لا تتوفر بعض الخيارات لجميع طرازات الأجهزة المُدارة وإصدارات البرامج، كما هو موضح في الجدول أدناه.
• للحصول على معلومات مهمة عند تكوين تسجيل الاتصال، راجع الفصل الخاص بتسجيل الاتصال.

إعدادات موقع	وصف و أكثر معلومة
الأجهزة> إعدادات النظام الأساسي، سياسة إعدادات الدفاع عن التهديدات، سجل النظام	ينطبق هذا الخيار فقط على أجهزة Firepower Threat Defense. يمكن تحديد الإعدادات التي تقوم بتكوينها هنا في إعدادات التسجيل لسياسة التحكم في الوصول ثم استخدامها أو تجاوزها في السياسات والقواعد المتبقية في هذا الجدول. راجع إعدادات النظام الأساسي FTD التي تنطبق على رسائل سجل النظام لحدث الأمان وحول سجل النظام والمواضيع الفرعية.
السياسات > التحكم في الوصول, , التسجيل	الإعدادات التي تقوم بتكوينها هنا هي الإعدادات الافتراضية لسجلات النظام لجميع أحداث الاتصال والمعلومات الأمنية، إلا إذا قمت بتجاوز الإعدادات الافتراضية في السياسات والقواعد التابعة في المواقع المحددة في الصفوف المتبقية من هذا الجدول. الإعداد الموصى به لأجهزة FTD: استخدم إعدادات منصة FTD. للحصول على معلومات، راجع إعدادات النظام الأساسي FTD التي تنطبق على رسائل Syslog لحدث الأمان وحول Syslog والمواضيع الفرعية. الإعداد المطلوب لجميع الأجهزة الأخرى: استخدم تنبيه سجل النظام. إذا قمت بتحديد تنبيه سجل النظام، فراجع إنشاء استجابة تنبيه سجل النظام. لمزيد من المعلومات حول الإعدادات الموجودة في علامة التبويب "التسجيل"، راجع إعدادات التسجيل لسياسات التحكم في الوصول.

السياسات > التحكم في الوصول, , قواعد, الإجراء الافتراضي صف، التسجيل ( )	إعدادات التسجيل للإجراء الافتراضي المرتبط بسياسة التحكم في الوصول. راجع المعلومات حول تسجيل الدخول في فصل قواعد التحكم في الوصول وتسجيل الاتصالات باستخدام الإجراء الافتراضي للسياسة.
السياسات > التحكم في الوصول, , قواعد, , التسجيل	تسجيل الإعدادات لقاعدة معينة في سياسة التحكم في الوصول. راجع المعلومات حول تسجيل الدخول في فصل قواعد التحكم في الوصول.
السياسات > التحكم في الوصول, , المخابرات الأمنية, التسجيل ( )	إعدادات التسجيل لقوائم حظر الاستخبارات الأمنية. انقر فوق هذه الأزرار للتكوين: • خيارات تسجيل قائمة حظر DNS •  URL خيارات تسجيل قائمة الحظر • خيارات تسجيل قائمة حظر الشبكة (لعناوين IP الموجودة في القائمة المحظورة)   راجع تكوين الاستخبارات الأمنية، بما في ذلك قسم المتطلبات الأساسية والمواضيع الفرعية والارتباطات.
السياسات > طبقة المقابس الآمنة (SSL)., , الإجراء الافتراضي صف، التسجيل ( )	إعدادات التسجيل للإجراء الافتراضي المرتبط بسياسة SSL. راجع تسجيل الاتصالات باستخدام الإجراء الافتراضي للسياسة.
السياسات > شهادة SSL, , , التسجيل	إعدادات التسجيل لقواعد SSL. راجع مكونات قاعدة TLS/SSL.
السياسات > التصفية المسبقة, , الإجراء الافتراضي صف، التسجيل ( )	إعدادات التسجيل للإجراء الافتراضي المرتبط بسياسة التصفية المسبقة. راجع تسجيل الاتصالات باستخدام الإجراء الافتراضي للسياسة.
السياسات > التصفية المسبقة, , , التسجيل	إعدادات التسجيل لكل قاعدة تصفية مسبقة في سياسة التصفية المسبقة. راجع مكونات قاعدة النفق والتصفية المسبقة
السياسات > التصفية المسبقة, , , التسجيل	إعدادات التسجيل لكل قاعدة نفق في سياسة التصفية المسبقة. راجع مكونات قاعدة النفق والتصفية المسبقة
إعدادات سجل النظام الإضافية لتكوينات مجموعة FTD:	يحتوي فصل "التجميع للدفاع عن تهديدات القوة النارية" على إشارات متعددة إلى سجل النظام؛ ابحث في الفصل عن "سجل النظام".

مواقع التكوين لسجلات النظام لأحداث التطفل (أجهزة FTD)
يمكنك تحديد إعدادات سجل النظام لسياسات التطفل في أماكن مختلفة، واختياريًا، وراثة الإعدادات من سياسة التحكم في الوصول أو إعدادات النظام الأساسي FTD أو كليهما.

إعدادات موقع	وصف و أكثر معلومة
الأجهزة > منصة إعدادات، سياسة إعدادات الدفاع عن التهديدات، سجل النظام	يمكن تحديد وجهات سجل النظام التي قمت بتكوينها هنا في علامة تبويب التسجيل الخاصة بسياسة التحكم في الوصول والتي يمكن أن تكون الافتراضية لسياسة التطفل. راجع إعدادات النظام الأساسي FTD التي تنطبق على رسائل سجل النظام لحدث الأمان وحول سجل النظام والمواضيع الفرعية.
السياسات > التحكم في الوصول, , التسجيل	الإعداد الافتراضي لوجهة سجل النظام للتطفل الأحداث، إذا لم تحدد سياسة التطفل مضيفي التسجيل الآخرين. راجع إعدادات التسجيل لسياسات التحكم في الوصول.
السياسات > التطفل, , الإعدادات المتقدمة، يُمكَِن تنبيه سجل النظام, انقر يحرر	لتحديد جامعي سجل النظام بخلاف الوجهات المحددة في علامة التبويب تسجيل سياسة التحكم في الوصول، ولتحديد السهولة والخطورة، راجع تكوين تنبيه سجل النظام لأحداث التطفل. إذا كنت تريد استخدام خطورة or منشأة أو كليهما كما هو محدد في سياسة التطفل، يجب عليك أيضًا قم بتكوين مضيفي التسجيل في السياسة. إذا كنت تستخدم مضيفي التسجيل المحددين في سياسة التحكم في الوصول، فلن يتم استخدام درجة الخطورة والتسهيلات المحددة في سياسة التطفل.

مواقع التكوين لسجلات النظام الخاصة بأحداث التطفل (الأجهزة بخلاف FTD)

• (افتراضي) إعدادات تسجيل سياسة التحكم في الوصول لسياسات التحكم في الوصول، إذا قمت بتحديد تنبيه سجل النظام (راجع إنشاء استجابة تنبيه سجل النظام.)
• أو راجع تكوين تنبيهات Syslog لأحداث التطفل.

افتراضيًا، تستخدم سياسة التطفل الإعدادات الموجودة في علامة التبويب "التسجيل" الخاصة بسياسة التحكم في الوصول. إذا لم يتم تكوين الإعدادات المطبقة على أجهزة أخرى غير FTD هناك، فلن يتم إرسال سجلات النظام لأجهزة أخرى غير FTD ولن يظهر أي تحذير.

مواقع التكوين لسجلات النظام لـ File وأحداث البرامج الضارة

إعدادات موقع	وصف و أكثر معلومة
في سياسة التحكم في الوصول: السياسات > التحكم في الوصول, , التسجيل	هذا هو الموقع الرئيسي لتكوين النظام لإرسال سجلات النظام إليه file وأحداث البرامج الضارة. إذا لم تستخدم إعدادات سجل النظام في إعدادات النظام الأساسي FTD، فيجب عليك أيضًا إنشاء استجابة تنبيه. راجع إنشاء استجابة تنبيه Syslog.

إعدادات موقع	وصف و أكثر معلومة
في إعدادات النظام الأساسي للدفاع عن تهديدات القوة النارية: الأجهزة > منصة إعدادات، سياسة إعدادات الدفاع عن التهديدات، سجل النظام	تنطبق هذه الإعدادات فقط على أجهزة Firepower Threat Defense التي تعمل بالإصدارات المدعومة، وفقط إذا قمت بتكوين علامة التبويب تسجيل في سياسة التحكم في الوصول لاستخدام إعدادات النظام الأساسي FTD. راجع إعدادات النظام الأساسي FTD التي تنطبق على رسائل سجل النظام لحدث الأمان وحول سجل النظام والمواضيع الفرعية.
في قاعدة التحكم بالوصول: السياسات > التحكم في الوصول, , , التسجيل	إذا لم تستخدم إعدادات سجل النظام في إعدادات النظام الأساسي FTD، فيجب عليك أيضًا إنشاء استجابة تنبيه. راجع إنشاء استجابة تنبيه Syslog.

تشريح رسائل سجل النظام للحدث الأمني

Exampرسالة حدث الأمان من FTD (حدث التطفل)

الجدول 1: مكونات رسائل سجل النظام لحدث الأمان

غرض رقم in Sample رسالة	رأس الصفحة عنصر	وصف
0	PRI	قيمة الأولوية التي تمثل كلاً من سهولة التنبيه وخطورته. تظهر القيمة في رسائل سجل النظام فقط عند تمكين تسجيل الدخول بتنسيق EMBLEM باستخدام إعدادات النظام الأساسي FMC. اذا أنت تمكين تسجيل أحداث التطفل من خلال علامة التبويب تسجيل سياسة التحكم في الوصول، ويتم عرض قيمة PRI تلقائيًا في رسائل سجل النظام. للحصول على معلومات حول كيفية تمكين تنسيق EMBLEM، راجع تمكين التسجيل وتكوين الإعدادات الأساسية. للحصول على معلومات حول PRI، راجع RFC5424.
1	توقيتamp	تاريخ ووقت إرسال رسالة سجل النظام من الجهاز. • (سجلات النظام المرسلة من أجهزة FTD) بالنسبة لسجلات النظام المرسلة باستخدام الإعدادات في سياسة التحكم في الوصول والإصدارات التابعة لها، أو إذا تم تحديدها لاستخدام هذا التنسيق في إعدادات النظام الأساسي FTD، فإن تنسيق التاريخ هو التنسيق المحدد في ISO 8601 timestamp التنسيق كما هو محدد في RFC 5424 (yyyy-MM-ddTHH:mm:ssZ)، حيث يشير الحرف Z إلى المنطقة الزمنية UTC. • (سجلات النظام المرسلة من كافة الأجهزة الأخرى) بالنسبة لسجلات النظام المرسلة باستخدام الإعدادات الموجودة في سياسة التحكم في الوصول والإصدارات التابعة لها، فإن تنسيق التاريخ هو التنسيق المحدد في وقت ISO 8601amp التنسيق كما هو محدد في RFC 5424 (yyyy-MM-ddTHH:mm:ssZ)، حيث يشير الحرف Z إلى المنطقة الزمنية UTC. • بخلاف ذلك، فهو الشهر واليوم والوقت حسب المنطقة الزمنية UTC، على الرغم من عدم الإشارة إلى المنطقة الزمنية.   لتكوين الوقتamp في إعدادات النظام الأساسي FTD، راجع تكوين إعدادات Syslog.
2	الجهاز أو الواجهة التي تم إرسال الرسالة منها. يمكن أن يكون هذا: • عنوان IP للواجهة • اسم مضيف الجهاز • معرف الجهاز المخصص	(بالنسبة لسجلات النظام المرسلة من أجهزة FTD) إذا تم إرسال رسالة سجل النظام باستخدام إعدادات النظام الأساسي FTD، فهذه هي القيمة التي تم تكوينها إعدادات سجل النظام من اجل تمكين معرف جهاز Syslog الخيار إذا تم تحديده. وإلا فإن هذا العنصر غير موجود في الرأس. لتكوين هذا الإعداد في إعدادات النظام الأساسي FTD، راجع تكوين إعدادات Syslog.

3	القيمة الجمركية	إذا تم إرسال الرسالة باستخدام استجابة التنبيه، فهذا هو Tag القيمة التي تم تكوينها في استجابة التنبيه التي أرسلت الرسالة، إذا تم تكوينها. (راجع إنشاء استجابة تنبيه Syslog.) وإلا فإن هذا العنصر غير موجود في الرأس.
4	%FTD % نجيبس	نوع الجهاز الذي أرسل الرسالة. • %FTD هو الدفاع عن تهديدات القوة النارية • %NGIPS هو كافة الأجهزة الأخرى
5	خطورة	درجة الخطورة المحددة في إعدادات سجل النظام للسياسة التي أدت إلى ظهور الرسالة. للحصول على أوصاف الخطورة، راجع مستويات الخطورة أو مستويات خطورة Syslog.
6	معرف نوع الحدث	• 430001: حدث الاقتحام • 430002: تم تسجيل حدث الاتصال في بداية الاتصال • 430003: تم تسجيل حدث الاتصال في نهاية الاتصال   • 430004: File حدث • 430005: File حدث البرمجيات الخبيثة
—	منشأة	راجع المرفق في رسائل سجل النظام لحدث الأمان
—	بقية الرسالة	الحقول والقيم مفصولة بنقطتين. يتم حذف الحقول ذات القيم الفارغة أو غير المعروفة من الرسائل. للحصول على أوصاف الحقول، راجع: • حقول أحداث الاتصال والاستخبارات الأمنية. • حقول حدث التسلل •  File وحقول أحداث البرامج الضارة   ملحوظة              تتضمن قوائم وصف الحقول كلاً من حقول سجل النظام و الحقول المرئية في الحدث viewer (خيارات القائمة ضمن قائمة التحليل في Firepower Management Center web الواجهة.) يتم تصنيف الحقول المتاحة عبر سجل النظام على هذا النحو. بعض الحقول مرئية في الحدث viewإيه غير متوفرة عبر سجل النظام. وأيضًا، لم يتم تضمين بعض حقول سجل النظام في الحدث viewer (ولكن قد يكون متاحًا عبر البحث)، ويتم دمج بعض الحقول أو فصلها.

مرفق في رسائل سجل النظام للحدث الأمني
لا تكون قيم المنشأة ذات صلة بشكل عام برسائل سجل النظام الخاصة بالأحداث الأمنية. ومع ذلك، إذا كنت بحاجة إلى منشأة، استخدم الجدول التالي:

جهاز	لتضمين المنشأة في أحداث الاتصال	ل يشمل منشأة in أحداث التسلل	الموقع في رسالة سجل النظام
الخرف الجبهي الصدغي	استخدم خيار EMBLEM في إعدادات منصة FTD. المنشأة دائما يُحذًِر لأحداث الاتصال عند إرسال رسائل سجل النظام باستخدام إعدادات النظام الأساسي FTD.	استخدم خيار EMBLEM في إعدادات منصة FTD أو تكوين التسجيل باستخدام إعدادات سجل النظام في سياسة التطفل. إذا كنت تستخدم سياسة التطفل، فيجب عليك أيضًا تحديد مضيف التسجيل في إعدادات سياسة التطفل.	لا تظهر الأداة في رأس الرسالة، لكن يمكن لمجمع سجل النظام استخلاص القيمة استنادًا إلى RFC 5424، القسم 6.2.1.
		تمكين تنبيه سجل النظام و تكوين المنشأة وشدتها في سياسة التطفل. راجع تكوين تنبيهات Syslog لأحداث التطفل.
أجهزة أخرى غير FTD	استخدام استجابة التنبيه.	استخدم إعداد سجل النظام في الإعدادات المتقدمة لسياسة التطفل أو استجابة التنبيه المحددة في علامة التبويب تسجيل سياسة التحكم في الوصول.

لمزيد من المعلومات، راجع المرافق ومستوى الخطورة لتنبيهات سجل النظام للتطفل وإنشاء استجابة لتنبيه سجل النظام.

أنواع رسائل سجل نظام Firepower
يمكن لـ Firepower إرسال أنواع متعددة من بيانات سجل النظام، كما هو موضح في الجدول التالي:

نوع بيانات سجل النظام	يرى
سجلات التدقيق من FMC	دفق سجلات التدقيق إلى Syslog وفصل تدقيق النظام
سجلات التدقيق من الأجهزة الكلاسيكية (ASA FirePOWER، NGIPSv)	دفق سجلات التدقيق من الأجهزة الكلاسيكية وفصل تدقيق النظام أمر سطر الأوامر: سجل النظام
صحة الجهاز والسجلات المتعلقة بالشبكة من أجهزة FTD	حول Syslog والمواضيع الفرعية
سجلات الاتصال والاستخبارات الأمنية وأحداث التسلل من أجهزة FTD	حول تكوين النظام لإرسال بيانات الأحداث الأمنية إلى Syslog.
سجلات الاتصال والاستخبارات الأمنية وأحداث الاختراق من الأجهزة الكلاسيكية	حول تكوين النظام لإرسال بيانات الأحداث الأمنية إلى Syslog

سجلات لـ file وأحداث البرامج الضارة

حول تكوين النظام لإرسال بيانات الأحداث الأمنية إلى Syslog

حدود Syslog للأحداث الأمنية

• إذا كنت ستستخدم سجل النظام أو تخزن الأحداث خارجيًا، فتجنب استخدام الأحرف الخاصة في أسماء الكائنات مثل أسماء السياسات والقواعد. يجب ألا تحتوي أسماء الكائنات على أحرف خاصة، مثل الفواصل، التي قد يستخدمها التطبيق المتلقي كفواصل.
• قد يستغرق الأمر ما يصل إلى 15 دقيقة حتى تظهر الأحداث في أداة تجميع سجل النظام لديك.
• بيانات لما يلي file وأحداث البرامج الضارة غير متاحة عبر سجل النظام:
• أحداث بأثر رجعي
• الأحداث التي تم إنشاؤها بواسطة AMP لنقاط النهاية

تدفق خادم eStreamer

• يتيح لك برنامج بث الأحداث (eStreamer) إمكانية دفق عدة أنواع من بيانات الأحداث من مركز إدارة قوة النار إلى تطبيق عميل تم تطويره خصيصًا. لمزيد من المعلومات، راجع دليل تكامل أداة بث الأحداث لنظام Firepower.
• قبل أن يتمكن الجهاز الذي تريد استخدامه كخادم eStreamer من بدء دفق أحداث eStreamer إلى عميل خارجي، يجب عليك تكوين خادم eStreamer لإرسال الأحداث إلى العملاء، وتوفير معلومات حول العميل، وإنشاء مجموعة من بيانات اعتماد المصادقة لاستخدامها عند التأسيس تواصل. يمكنك تنفيذ كل هذه المهام من واجهة مستخدم الجهاز. بمجرد حفظ إعداداتك، ستتم إعادة توجيه الأحداث التي حددتها إلى عملاء eStreamer عند الطلب.
• يمكنك التحكم في أنواع الأحداث التي يستطيع خادم eStreamer إرسالها إلى العملاء الذين يطلبونها.

الجدول 2: أنواع الأحداث القابلة للنقل بواسطة خادم eStreamer

حدث يكتب	وصف
أحداث التسلل	أحداث التطفل الناتجة عن الأجهزة المُدارة
بيانات حزمة حدث التسلل	الحزم المرتبطة بأحداث الاختراق
بيانات إضافية لحدث التسلل	البيانات الإضافية المرتبطة بحدث الاقتحام مثل عناوين IP الأصلية للعميل المتصل بجهاز web الخادم من خلال وكيل HTTP أو موازن التحميل
أحداث الاكتشاف	أحداث اكتشاف الشبكة
علاقة والسماح قائمة الأحداث	الارتباط والامتثال يسمحان بأحداث القائمة
تنبيهات علم التأثير	تنبيهات التأثير الصادرة عن FMC
أحداث المستخدم	أحداث المستخدم

حدث يكتب	وصف
أحداث البرامج الضارة	أحداث البرامج الضارة
File الأحداث	file الأحداث
أحداث الاتصال	معلومات حول حركة مرور الجلسة بين المضيفين الخاضعين للمراقبة وجميع المضيفين الآخرين.

مقارنة Syslog وeStreamer للأحداث الأمنية

بشكل عام، يجب على المؤسسات التي ليس لديها حاليًا استثمارات كبيرة في eStreamer استخدام سجل النظام بدلاً من eStreamer لإدارة بيانات الأحداث الأمنية خارجيًا.

سجل النظام	البث الإلكتروني
لا التخصيص المطلوب	مطلوب تخصيص كبير وصيانة مستمرة لاستيعاب التغييرات في كل إصدار
معيار	الملكية
لا يحمي معيار Syslog من فقدان البيانات، خاصة عند استخدام UDP	الحماية ضد فقدان البيانات
يرسل مباشرة من الأجهزة	يتم الإرسال من FMC، مع إضافة تكاليف المعالجة
دعم ل file وأحداث البرامج الضارة، والاتصال الأحداث (بما في ذلك أحداث الاستخبارات الأمنية) وأحداث الاقتحام.	دعم لجميع أنواع الأحداث المدرجة في تدفق خادم eStreamer.
يمكن إرسال بعض بيانات الأحداث من FMC فقط. راجع البيانات المرسلة فقط عبر eStreamer، وليس عبر Syslog.	يتضمن البيانات التي لا يمكن إرسالها عبر سجل النظام مباشرة من الأجهزة. راجع البيانات المرسلة فقط عبر eStreamer، وليس عبر Syslog.

يتم إرسال البيانات فقط عبر eStreamer، وليس عبر Syslog
البيانات التالية متاحة فقط من Firepower Management Center وبالتالي لا يمكن إرسالها عبر سجل النظام من الأجهزة:

• سجلات الحزمة
• أحداث البيانات الإضافية لحدث التسلل
  للحصول على وصف، راجع تدفق خادم eStreamer.
• الإحصائيات والأحداث الإجمالية
• أحداث اكتشاف الشبكة
• نشاط المستخدم وأحداث تسجيل الدخول
• أحداث الارتباط
• بالنسبة لأحداث البرامج الضارة:
  • أحكام بأثر رجعي
  • اسم التهديد والتخلص، ما لم تتم مزامنة المعلومات حول SHAs ذات الصلة مع الجهاز بالفعل
• الحقول التالية:
  • حقول التأثير و ImpactFlag
    للحصول على وصف، راجع تدفق خادم eStreamer.
  • حقل IOC_Count
• معظم المعرفات الأولية ومعرفات UUID.
  الاستثناءات:
  • تتضمن سجلات النظام لأحداث الاتصال ما يلي: FirewallPolicyUUID، وFirewallRuleID، وTunnelRuleID، وMonitorRuleID، وSI_CategoryID، وSSL_PolicyUUID، وSSL_RuleID
  • تشتمل سجلات النظام الخاصة بأحداث التطفل على IntrusionPolicyUUID وGeneratorID وSignatureID
• البيانات الوصفية الموسعة، بما في ذلك على سبيل المثال لا الحصر:
  • تفاصيل المستخدم المقدمة من LDAP، مثل الاسم الكامل والقسم ورقم الهاتف وما إلى ذلك. يوفر Syslog فقط أسماء المستخدمين في الأحداث.
  • تفاصيل المعلومات المستندة إلى الحالة مثل تفاصيل شهادة SSL. يوفر Syslog معلومات أساسية مثل بصمة الشهادة، لكنه لن يوفر تفاصيل أخرى للشهادة مثل CN للشهادة.
  • معلومات التطبيق التفصيلية، مثل التطبيق Tags والفئات. يوفر Syslog أسماء التطبيقات فقط. تتضمن بعض رسائل بيانات التعريف أيضًا معلومات إضافية حول الكائنات.
• معلومات تحديد الموقع الجغرافي

اختيار أنواع أحداث eStreamer

• تتحكم خانات اختيار تكوين حدث eStreamer في الأحداث التي يمكن لخادم eStreamer إرسالها.
• لا يزال يتعين على عميلك أن يطلب على وجه التحديد أنواع الأحداث التي تريد أن يتلقاها في رسالة الطلب التي يرسلها إلى خادم eStreamer. لمزيد من المعلومات، راجع دليل تكامل جهاز بث الأحداث لنظام Firepower.
• في النشر متعدد النطاقات، يمكنك تكوين تكوين حدث eStreamer على أي مستوى مجال. ومع ذلك، إذا قام مجال أصل بتمكين نوع حدث معين، فلا يمكنك تعطيل نوع الحدث هذا في المجالات التابعة.
• يجب أن تكون مستخدمًا إداريًا لتتمكن من تنفيذ هذه المهمة لـ FMC.

إجراء

• الخطوة 1 اختر النظام > التكامل.
• الخطوة 2 انقر على eStreamer.
• الخطوة 3 ضمن تكوين حدث eStreamer، قم بتحديد أو إلغاء تحديد خانات الاختيار المجاورة لأنواع الأحداث التي تريد من eStreamer إعادة توجيهها إلى العملاء الطالبين، الموضحة في تدفق خادم eStreamer.
• الخطوة 4 انقر فوق حفظ.

تكوين اتصالات عميل eStreamer

• قبل أن يتمكن eStreamer من إرسال أحداث eStreamer إلى العميل، يجب عليك إضافة العميل إلى قاعدة بيانات أقران خادم eStreamer من صفحة eStreamer. يجب عليك أيضًا نسخ شهادة المصادقة التي أنشأها خادم eStreamer إلى العميل. بعد إكمال هذه الخطوات، لن تحتاج إلى إعادة تشغيل خدمة eStreamer لتمكين العميل من الاتصال بخادم eStreamer.
• في النشر متعدد النطاقات، يمكنك إنشاء عميل eStreamer في أي مجال. تسمح شهادة المصادقة للعميل بطلب الأحداث فقط من مجال شهادة العميل وأي مجالات فرعية. تعرض صفحة تكوين eStreamer فقط العملاء المرتبطين بالمجال الحالي، لذلك إذا كنت تريد تنزيل شهادة أو إبطالها، فانتقل إلى المجال الذي تم إنشاء العميل فيه.
• يجب أن تكون مستخدمًا مسؤولاً أو مسؤولاً عن Discovery لتتمكن من تنفيذ هذه المهمة لـ FMC.

إجراء

• الخطوة 1 اختر النظام > التكامل.
• الخطوة 2 انقر على eStreamer.
• الخطوة 3 انقر فوق إنشاء عميل.
• الخطوة 4 في حقل اسم المضيف، أدخل اسم المضيف أو عنوان IP الخاص بالمضيف الذي يقوم بتشغيل عميل eStreamer.
  ملحوظة إذا لم تقم بتكوين تحليل DNS، فاستخدم عنوان IP.
• الخطوة 5 إذا كنت تريد تشفير الشهادة file، أدخل كلمة المرور في حقل كلمة المرور.
• الخطوة 6 انقر فوق حفظ.
  يسمح خادم eStreamer الآن للمضيف بالوصول إلى المنفذ 8302 على خادم eStreamer ويقوم بإنشاء شهادة مصادقة لاستخدامها أثناء مصادقة خادم العميل.
• الخطوة 7 انقر فوق تنزيل ( ) بجوار اسم مضيف العميل لتنزيل الشهادة file.
• الخطوة 8 احفظ الشهادة file إلى الدليل المناسب الذي يستخدمه عميلك لمصادقة SSL.
• الخطوة 9 لإلغاء وصول العميل، انقر فوق حذف ( ) بجوار المضيف الذي تريد إزالته.
  لاحظ أنك لا تحتاج إلى إعادة تشغيل خدمة eStreamer؛ تم إلغاء الوصول على الفور.

تحليل الحدث في Splunk

• يمكنك استخدام تطبيق Cisco Secure Firewall (fka Firepower) لـ Splunk (المعروف سابقًا باسم Cisco Firepower App for Splunk) كأداة خارجية لعرض بيانات أحداث Firepower والعمل معها، لمطاردة التهديدات على شبكتك والتحقيق فيها.
• مطلوب eStreamer. هذه وظيفة متقدمة. راجع تدفق خادم eStreamer.
• لمزيد من المعلومات، انظر https://cisco.com/go/firepower-for-splunk.

تحليل الأحداث في آي بي إم QRadar

• يمكنك استخدام تطبيق Cisco Firepower لـ IBM QRadar كطريقة بديلة لعرض بيانات الأحداث ومساعدتك في تحليل التهديدات التي تتعرض لها شبكتك والبحث عنها والتحقيق فيها.
• مطلوب eStreamer. هذه وظيفة متقدمة. راجع تدفق خادم eStreamer.
• لمزيد من المعلومات، انظر https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/QRadar/integration-guide-for-the-cisco-firepower-app-for-ibm-qradar.html.

تاريخ تحليل بيانات الأحداث باستخدام أدوات خارجية

ميزة	إصدار	تفاصيل
شريط SecureX	7.0	يتمحور شريط SecureX حول SecureX للحصول على رؤية فورية لمشهد التهديدات عبر منتجات Cisco الأمنية الخاصة بك. لعرض شريط SecureX في FMC، راجع دليل تكامل Firepower وSecureX على https://cisco.com/go/firepower-securex-documentation. الشاشات الجديدة/المعدلة: صفحة جديدة: النظام > SecureX
أرسل جميع أحداث الاتصال إلى سحابة Cisco	7.0	يمكنك الآن إرسال جميع أحداث الاتصال إلى سحابة Cisco، بدلاً من مجرد إرسال أحداث الاتصال ذات الأولوية العالية. الشاشات الجديدة/المعدلة: خيار جديد في صفحة النظام > التكامل > الخدمات السحابية
إطلاق متقاطع ل view البيانات في تحليلات الشبكة الآمنة	6.7	تقدم هذه الميزة طريقة سريعة لإنشاء إدخالات متعددة لجهاز Secure Network Analytics الخاص بك في صفحة التحليل > التشغيل المشترك السياقي. تسمح لك هذه الإدخالات بالنقر بزر الماوس الأيمن فوق حدث ذي صلة لبدء تشغيل Secure Network Analytics بشكل متبادل وعرض المعلومات المتعلقة بنقطة البيانات التي قمت بالتشغيل المشترك منها. عنصر القائمة الجديد: النظام > التسجيل > تحليلات الأمان والتسجيل. صفحة جديدة لتكوين إرسال الأحداث إلى تحليلات الشبكة الآمنة.

إطلاق عبر السياق من أنواع الحقول الإضافية	6.7	يمكنك الآن التشغيل المتبادل في تطبيق خارجي باستخدام الأنواع الإضافية التالية من بيانات الأحداث: • سياسة التحكم في الوصول • سياسة التطفل • بروتوكول التطبيق • تطبيق العميل •  Web طلب • اسم المستخدم (بما في ذلك المجال)   خيارات القائمة الجديدة: تتوفر الآن خيارات التشغيل عبر السياق عند النقر بزر الماوس الأيمن فوق أنواع البيانات المذكورة أعلاه للأحداث في عناصر واجهة المستخدم للوحة المعلومات وجداول الأحداث في الصفحات ضمن قائمة التحليل. المنصات المدعومة: مركز إدارة القوة النارية
التكامل مع IBM QRadar	6.0 وما بعده	يمكن لمستخدمي IBM QRadar استخدام تطبيق جديد خاص بـ Firepower لتحليل بيانات الأحداث الخاصة بهم. تتأثر الوظائف المتوفرة بإصدار Firepower لديك. راجع تحليل الأحداث في IBM QRadar.
تحسينات للتكامل مع الاستجابة للتهديدات من Cisco SecureX	6.5	• دعم السحب الإقليمية: • الولايات المتحدة (أمريكا الشمالية) • أوروبا   • دعم أنواع الأحداث الإضافية: •  File وأحداث البرامج الضارة • أحداث الاتصال ذات الأولوية العالية هذه هي أحداث الاتصال المتعلقة بما يلي: • أحداث التسلل • أحداث الاستخبارات الأمنية •  File وأحداث البرامج الضارة     الشاشات المعدلة: خيارات جديدة قيد التشغيل النظام > التكامل > الخدمات السحابية. الأنظمة الأساسية المدعومة: جميع الأجهزة المدعومة في هذا الإصدار، إما عبر التكامل المباشر أو سجل النظام.
سجل النظام	6.5	أصبح الحقل AccessControlRuleName متاحًا الآن في رسائل سجل النظام الخاصة بأحداث التطفل.
التكامل مع محلل حزم الأمان من Cisco	6.5	تمت إزالة الدعم لهذه الميزة.

التكامل مع الاستجابة للتهديدات Cisco SecureX	6.3 (عبر سجل النظام، باستخدام وكيل جامع) 6.4 (مباشر)	دمج بيانات حدث اقتحام Firepower مع البيانات من مصادر أخرى لنظام موحد view التهديدات على شبكتك باستخدام أدوات التحليل القوية في الاستجابة للتهديدات Cisco SecureX. الشاشات المعدلة (الإصدار 6.4): تم تفعيل الخيارات الجديدة النظام > التكامل > الخدمات السحابية. الأنظمة الأساسية المدعومة: أجهزة Firepower Threat Defense التي تعمل بالإصدار 6.3 (عبر سجل النظام) أو 6.4.
دعم سجل النظام ل File وأحداث البرامج الضارة	6.4	مؤهل تماما file ويمكن الآن إرسال بيانات أحداث البرامج الضارة من الأجهزة المُدارة عبر سجل النظام. الشاشات المعدلة: السياسات > التحكم في الوصول > التحكم في الوصول > التسجيل. الأنظمة الأساسية المدعومة: جميع الأجهزة المُدارة التي تعمل بالإصدار 6.4.
التكامل مع Splunk	يدعم كافة الإصدارات 6.x	يمكن لمستخدمي Splunk استخدام تطبيق Splunk جديد ومنفصل، وهو تطبيق Cisco Secure Firewall (fka Firepower) لـ Splunk، لتحليل الأحداث. تتأثر الوظائف المتوفرة بإصدار Firepower لديك. راجع تحليل الحدث في Splunk.
التكامل مع محلل حزم الأمان من Cisco	6.3	الميزة المقدمة: الاستعلام الفوري عن Cisco Security Packet Analyzer عن الحزم المتعلقة بحدث ما، ثم انقر لفحص النتائج في Cisco Security Packet Analyzer أو تنزيلها لتحليلها في أداة خارجية أخرى. الشاشات الجديدة: نظام > اندماج > تحليل محلل الحزم > متقدم > استعلامات محلل الحزم خيارات القائمة الجديدة: محلل حزمة الاستعلام عنصر القائمة عند النقر بزر الماوس الأيمن على حدث في صفحات لوحة المعلومات وجداول الأحداث في الصفحات الموجودة ضمن قائمة التحليل. المنصات المدعومة: مركز إدارة القوة النارية
إطلاق عبر السياق	6.3	الميزة المقدمة: انقر بزر الماوس الأيمن فوق أحد الأحداث للبحث عن المعلومات ذات الصلة بشكل محدد مسبقًا أو مخصص URL-الموارد الخارجية المعتمدة. الشاشات الجديدة: تحليل > متقدم > إطلاق سياقي متقاطع خيارات القائمة الجديدة: خيارات متعددة عند النقر بزر الماوس الأيمن على حدث ما في صفحات لوحة المعلومات وحتى الجداول في الصفحات ضمن قائمة التحليل. المنصات المدعومة: مركز إدارة القوة النارية

رسائل سجل النظام ل أحداث الاتصال والاختراق	6.3	القدرة على إرسال أحداث الاتصال والتطفل المؤهلة بالكامل إلى وحدات التخزين والأدوات الخارجية عبر سجل النظام، باستخدام تكوينات موحدة ومبسطة جديدة. أصبحت رؤوس الرسائل الآن موحدة وتتضمن معرفات نوع الحدث، وأصبحت الرسائل أصغر نظرًا لحذف الحقول ذات القيم غير المعروفة والفارغة. المنصات المدعومة: • جميع الوظائف الجديدة: أجهزة FTD التي تعمل بالإصدار 6.3. • بعض الوظائف الجديدة: الأجهزة غير FTD التي تعمل بالإصدار 6.3. • وظائف جديدة أقل: جميع الأجهزة التي تعمل بإصدارات أقدم من 6.3. لمزيد من المعلومات، راجع المواضيع الموجودة ضمن حول إرسال رسائل سجل النظام للأحداث الأمنية.
البث الإلكتروني	6.3	تم نقل محتوى eStreamer من فصل مصادر هوية المضيف إلى هذا الفصل وإضافة ملخص مقارنة eStreamer بسجل النظام.