Cisco Threat Intelligence Director configureren en probleemoplossing bieden

Downloadopties

  • PDF     (1.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (886.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (760.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 september 2019
Document-id:214859

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Cisco Threat Intelligence Director (TID) kunt configureren en problemen oplossen.

    Voorwaarden

    Vereisten

    Cisco raadt u aan deze onderwerpen te kennen:

    • Beheer van Firepower Management Center (FMC).

    U moet deze voorwaarden garanderen voordat u de Cisco Threat Intelligence Director-functie configureert:

    • Het Firepower Management Center (FMC):
      • Moet draaien op 6.2.2 (of hoger) versie (kan worden gehost op fysiek of virtueel FMC).
      • Moet worden geconfigureerd met minimaal 15 GB RAM-geheugen.
      • Moet worden geconfigureerd met REST API-toegang ingeschakeld.
    • De sensor moet werken in versie 6.2.2 (of hoger).
    • In het tabblad Advanced Settings van de optie voor het toegangscontrolebeleid moet Threat Intelligence Director inschakelen.
    • Voeg regels toe aan het toegangscontrolebeleid als deze nog niet aanwezig zijn.
    • Als u wilt dat SHA-256 observables waarnemingen en Firepower Management Center gebeurtenissen genereren, maak dan een of meer Malware Cloud Lookup of Block Malware file regels en koppel het bestandsbeleid aan een of meer regels in het toegangscontrolebeleid.
    • Als u IPv4-, IPv6-, URL- of domeinnaamwaarnemingen wilt om verbinding- en veiligheidsintelligentie-gebeurtenissen te genereren, kunt u verbinding- en veiligheidsintelligentie-vastlegging inschakelen in het toegangscontrolebeleid.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • Cisco Firepower Threat Defence (FTD) virtuele applicatie 6.2.2.81
    • Firepower Management Center Virtual (vFMC) met versie 6.2.2.81

    Opmerking: de informatie in dit document is gemaakt van de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie 

    Cisco Threat Intelligence Director (TID) is een systeem dat bedreigingsinformatie operationaliseert. Het systeem gebruikt en normaliseert heterogene externe cyber-bedreigingsinformatie, publiceert de informatie om detectietechnologieën te detecteren en correleert de waarnemingen van de detectietechnologieën.

    Er zijn drie nieuwe termen: observables, indicators en incidenten. Waarneembaar is slechts een variabele, die bijvoorbeeld URL, domein, IP-adres of SHA256 kan zijn. Indicatoren worden gemaakt van waarneembare waarnemingen. Er zijn twee soorten indicatoren. Een simpele indicator bevat slechts één waarneembaar teken. In het geval van complexe indicatoren zijn er twee of meer observables die met elkaar verbonden zijn door gebruik te maken van logische functies zoals AND en OR. Zodra het systeem verkeer detecteert dat op het VCC moet worden geblokkeerd of bewaakt, verschijnt het incident.

    Simple and complex indicators

    Hoe werkt het?

    Zoals in de afbeelding wordt getoond, moet je op het VCC bronnen configureren van waaruit je informatie over bedreigingsinformatie wilt downloaden. Het VCC stuurt die informatie (observables) door naar sensoren. Wanneer het verkeer overeenkomt met de observables, verschijnen de incidenten in de FMC-gebruikersinterface (GUI).

    FMC user interface

     Er zijn twee nieuwe termen:

    • STIX (Structured Threat Intelligence eXpression) is een norm voor het delen en gebruiken van informatie over bedreigingsinformatie. Er zijn drie belangrijke functionele elementen: indicatoren, observabels en incidenten.
    • TAXII (Trusted Automated eXchange of Indicator Information) is een transportmechanisme voor bedreigingsinformatie.

    Configureren 

    Om de configuratie te voltooien moet u rekening houden met deze secties:

    Netwerkdiagram

    Topology

    Configuratie 

    Stap 1. Om de TID te configureren moet u naar het tabblad Intelligence navigeren, zoals in de afbeelding wordt getoond.

    TID configuration

    Opmerking: Status 'Voltooid met fouten' wordt verwacht voor het geval dat een feed niet-ondersteunde observabels bevat.

    Stap 2. Je moet bronnen van bedreigingen toevoegen. Er zijn drie manieren om bronnen toe te voegen:

    • TAXII - Wanneer u deze optie gebruikt, kunt u een server configureren waar bedreigingsinformatie wordt opgeslagen in de STIX-indeling.

    TAXII configuration

    Opmerking: de enige actie die beschikbaar is is Monitor. U kunt de Block Action niet configureren voor bedreigingen in de STIX-indeling.

    • URL - U kunt een link configureren naar een lokale HTTP/HTTPS server waar de STIX-bedreiging of het platte bestand zich bevindt.

    URL configuration

    • Vlak bestand - U kunt een bestand in *.txt-indeling uploaden en u moet de inhoud van het bestand specificeren. Het bestand moet één inhoudsopgave per regel bevatten.

    Flat file upload

    Opmerking: standaard worden alle bronnen gepubliceerd, dit betekent dat ze naar sensoren worden geduwd. Dit proces kan maximaal 20 minuten of meer in beslag nemen.

    Stap 3. Onder het tabblad Indicator kunt u bevestigen of indicatoren zijn gedownload van de ingestelde bronnen:

    Indicator tab

    Stap 4. Als u eenmaal de naam van een indicator hebt geselecteerd, kunt u er meer details over zien. Daarnaast kunt u beslissen of u het wilt publiceren naar de sensor of of dat u de actie wilt wijzigen (in het geval van een eenvoudige indicator).

    Zoals in het beeld wordt getoond, wordt een complexe indicator weergegeven met twee waarneembare elementen die zijn verbonden door de OCR-operator:

    Indicator details

    Stap 5. Navigeer naar het tabblad Observables waar u URL's, IP-adressen, domeinen en SHA256 kunt vinden die zijn opgenomen in de indicatoren. Je kunt beslissen welke observables je naar sensoren wilt duwen en eventueel de actie voor hen wijzigen. In de laatste kolom is er een whitelistknop die equivalent is aan een optie publiceren/niet publiceren.

    Observables tab

     Stap 6. Navigeer naar het tabblad Elementen om de lijst te controleren van apparaten waarop TID is ingeschakeld:

    Elements tab

    Stap 7 (optioneel). Navigeer naar het tabblad Instellingen en selecteer de knop Pauze om te stoppen met het indrukken van indicatoren in sensoren. Dit kan tot 20 minuten duren.

    Settings tab

    Verifiëren 

    Methode 1. Om te verifiëren of TID in het verkeer heeft gehandeld, moet u naar het tabblad Incidenten navigeren.

    Incidents tab

    Methode 2. De incidenten kunnen worden gevonden onder het tabblad Security Intelligence Events onder een TID-tag.

    Security Intelligence Events tab

    Opmerking: TID heeft een opslagcapaciteit van 1 miljoen incidenten.

    Methode 3. U kunt bevestigen of er op het VCC en een sensor ingestelde bronnen (feeds) aanwezig zijn. Om dat te doen, kunt u naar deze locaties op de CLI navigeren:

    /var/sf/siurl_download/

    /var/sf/sidns_download/

    /var/sf/iprep_download/

    Er is een nieuwe directory gecreëerd voor SHA256 feeds: /var/sf/sifile_download/

    root@ftd622:/var/sf/sifile_download# ls -l
total 32
-rw-r--r-- 1 root root  166 Sep 14 07:13 8ba2b2c4-9275-11e7-8368-f6cc0e401935.lf
-rw-r--r-- 1 root root   38 Sep 14 07:13 8ba40804-9275-11e7-8368-f6cc0e401935.lf
-rw-r--r-- 1 root root   16 Sep 14 07:13 IPRVersion.dat
-rw-rw-r-- 1 root root 1970 Sep 14 07:13 dm_file1.acl
-rw-rw-r-- 1 www  www   167 Sep 14 07:13 file.rules
drwxr-xr-x 2 www  www  4096 Sep  4 16:13 health
drwxr-xr-x 2 www  www  4096 Sep  7 22:06 peers
drwxr-xr-x 2 www  www  4096 Sep 14 07:13 tmp
root@ftd622:/var/sf/sifile_download# cat 8ba2b2c4-9275-11e7-8368-f6cc0e401935.lf
#Cisco TID feed:TID SHA-256 Block:1
7a00ef4b801b2b2acd09b5fc72d7c79d20094ded6360fb936bf2c65a1ff16907
2922f0bb1acf9c221b6cec45d6d10ee9cf12117fa556c304f94122350c2bcbdc

    Opmerking: TID is alleen ingeschakeld op het Global Domain op het VCC.

    Opmerking: als u TID host op het actieve Firepower Management Center in een configuratie met hoge beschikbaarheid (fysieke FMC-apparaten), synchroniseert het systeem TID-configuraties en TID-gegevens niet met het standby Firepower Management Center.

    Problemen oplossen

    Er is een proces op het hoogste niveau dat tid wordt genoemd. Dit proces is afhankelijk van drie processen: mongo, RabbitMQ, en redis. Om te controleren of processen werken pmtool status | grep 'RabbitMQ\|mongo\|redis\|tid' | grep " -"-opdracht.

    root@fmc622:/Volume/home/admin# pmtool status | grep 'RabbitMQ\|mongo\|redis\|tid' | grep " - "
RabbitMQ (normal) - Running 4221
mongo (system) - Running 4364
redis (system) - Running 4365
tid (normal) - Running 5128
root@fmc622:/Volume/home/admin#

    Om in real-time te verifiëren welke actie wordt ondernomen, kunt u systeemondersteuning firewall-engine-debug uitvoeren of systeem support trace opdracht.

    > system support firewall-engine-debug

Please specify an IP protocol:
Please specify a client IP address: 192.168.16.2
Please specify a client port:
Please specify a server IP address:
Please specify a server port:
Monitoring firewall engine debug messages
...
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 URL SI: ShmDBLookupURL("http://www.example.com/") returned 1
...
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 URL SI: Matched rule order 19, Id 19, si list id 1074790455, action 4
192.168.16.2-59122 > 129.21.1.40-80 6 AS 1 I 1 deny action

    Er zijn twee actiemogelijkheden:

    • URL SI: Matched rule order 19, ID 19, si list id 1074790455, action 4 - verkeer is geblokkeerd.
    • URL SI: Matched rule order 20, ID 20, si list id 1074790456, actie 6 - verkeer werd gecontroleerd.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    19-Sep-2019
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Maciej Zadlo
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten